核心组件之SecurityContextHolder
SecurityContextHolder用途
保存系统当前的安全上下文细节,其中就包括当前系统使用者的信息。
SecurityContextHolder如何存储数据?
上下文细节怎么表示
用SecurityContext对象来表示
每个用户都会有它的上下文,那这个SecurityContext保存在哪里呢?
存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。
SecurityContextHolder存储SecurityContext的方式?
这要考虑到应用场景。
(1)单机系统,即应用从开启到关闭的整个生命周期只有一个用户在使用。由于整个应用只需要保存一个SecurityContext(安全上下文即可)
(2)多用户系统,比如典型的Web系统,整个生命周期可能同时有多个用户在使用。这时候应用需要保存多个SecurityContext(安全上下文),需要利用ThreadLocal进行保存,每个线程都可以利用ThreadLocal获取其自己的SecurityContext,及安全上下文。
源码分析:
SecurityContextHolder结构
SecurityContextHolder.java(部分源码)
由源码可知,SecurityContextHolder利用了一个SecurityContextHolderStrategy(存储策略)进行上下文的存储。我们来看看SecurityContestHolderStrategy,到底是什么
SecurityContestHolderStrategy.java(全部源码)
可知 SecurityContestHolderStrategy只是一个接口,这个接口提供创建、清空、获取、设置上下文的操作。那它有哪些实现类呢,也就是有哪些存储策略呢?
GlobalSecurityContextHolderStrategy.java(全部源码)
全局的上下文存取策略,只存储一个上下文,对应前面说的单机系统。
ThreadLocalSecurityContextHolderStrategy.java(全部源码)
基于ThreadLocal的存储策略实现,看上去,这个类好像跟上面那个全局的没什么差别。但是要注意了,它是用ThreadLocal来存储的。新手可能会疑惑,就一个变量,我怎么存储多个上下文,这个变量又不是集合。
这里就不分析源码了,实际上ThreadLocal内部会用数组来存储多个对象的。原理是,ThreadLocal会为每个线程开辟一个存储区域,来存储相应的对象。
SecruityContext存储的Authentication
在SecurityContextHolder中存储了当前与系统交互的用户的信息。Spring Security使用一个Authentication 对象来表示这些信息。
一般不需要自己创建这个对象,但是用户会经常用到这个对象。例如通过SecurityContextHolder获取当前登陆用户的ID,来实现一些操作记录和更细粒度的权限控制
批注:
①Principal(准则)=> 允许通过的规则,即允许访问的规则,基本等价于UserDetails(用户信息)
源码分析:
我们来看看,这个SecurityContext(安全上下文),到底是个什么样子。
SecurityContext.java(全部源码)
由源码可知,所谓的安全上下文,只是保存了Authentication(认证信息)。那认证信息包含哪些内容呢?
Authentication.java(全部源码)
由源码可知,Authentication(认证信息),主要包含了以下内容
- 用户权限集合 => 可用于访问受保护资源时的权限验证
- 用户证书(密码) => 初次认证的时候,进行填充,认证成功后将被清空
- 细节 => 暂不清楚,猜测应该是记录哪些保护资源已经验证授权,下次不用再验证,等等。
- Pirncipal => 大概就是账号吧
- 是否已认证成功