SecurityContextPersistenceFilter和SecurityContextHolder的作用

SecurityContextPersistenceFilter和SecurityContextHolder的作用

SecurityContextHolder

SecurityContextHolder是Spring Security 中最基本的组件，SecurityContextHolder是一个工具类，只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。

SecurityContext securityContext = SecurityContextHolder.getContext();

默认情况下：

• SecurityContextHolder使用了ThreadLocal机制来保存每个使用者的安全上下文。
• 根据Servlet规范，一个Servlet request的处理不管经历了多少个Filter，自始至终都由同一个线程来完成。

这意味着，只要针对某个使用者的逻辑执行都是在同一个线程中进行，即使不在各个方法之间以参数的形式传递其安全上下文，各个方法也能通过SecurityContextHolder工具获取到该安全上下文。并且因为SecurityContextHolder使用了ThreadLocal机制来保存每个使用者的安全上下文，所以在一个请求处理的逻辑执行中都在同一个线程中进行，而请求对应的安全上下文就保存在SecurityContextHolder中。所以我们才可以通过SecurityContextHolder.getContext();每个请求自己独立的安全上下文。

需要注意的一点是，这里说的是一次请求，而非一次会话，而如何将请求的信息保存在session中就要看下面的SecurityContextPersistenceFilter的工作原理了。

SecurityContextHolder的其他工作模式

根据不同的web应用可以有不同的上下文保存和管理方式，而SecurityContextHolder一共提供了三种工作模式，而每一种工作模式就对应着一个一种上下文管理方式。

SecurityContextHolder有以下三种模式:

• MODE_THREADLOCAL (缺省工作模式，也就是默认模式)
• MODE_GLOBAL
• MODE_INHERITABLETHREADLOCAL

MODE_GLOBAL

这个称之为全局模式，该模式下的JVM中所有的线程使用同一个安全上下文，所以所以请求的线程都是共用一个上下文，而不存在MODE_THREADLOCAL模式中的使用ThreadLocal机制来保存每个使用者的安全上下文。

MODE_INHERITABLETHREADLOCAL

根据名字可以猜测出这是一个继承MODE_THREADLOCAL的一种模式，在该模式下，用户可以自定义自己的线程创建，并且希望这些自定义的新建线程也能使用创建者的安全上下文。

SecurityContextPersistenceFilter

SecurityContextPersistenceFilter其实是spring security中filterchainproxy中的一个Filter，而跨请求安全上下文SecurityContext的保持，是通过SecurityContextPersistenceFilter来实现的，SecurityContextPersistenceFilter将安全上下文SecurityContext对象保存为当前用户HttpSession对象的一个属性。

SecurityContextPersistenceFilter除了负责安全上下文的持久化，在一些restful api的非持久化的请求场景中，SecurityContextPersistenceFilter还负责该安全上下文的销毁。

SecurityContextPersistenceFilter有两个主要任务:

• 在请求到达时处理之前，从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder;
• 在请求处理结束后返回响应时，将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空SecurityContextHolder。

SecurityContextPersistenceFilter的工作过程

对于一些要求跨 request 请求保持的场景，我们都是通过session来保存一次request中的信息，当下次请求过来的时候，我们可以通过session获取之前请求中的信息。SecurityContextPersistenceFilter这个filter就是处理请求最后的保存操作。

具体来讲，操作如下：

• 一个安全上下文在某个请求1处理过程中被创建并记录到SecurityContextHolder（准确来说是SecurityContextHolder中对应的ThreadLocal）；
• 请求1的处理结束时返回响应时，SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文保存到HttpSession（SecurityContextRepository负责安全上下文的持久）;
• 后续该用户会话中的另外一个请求2处理过程开始时，SecurityContextPersistenceFilter会将安全上下文从HttpSession恢复到SecurityContextHolder;
• 请求2处理过程结束时，SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文保存到HttpSession;
• 后续其他请求的处理过程会重复和上面请求2处理过程中一样的使用SecurityContextPersistenceFilter重置/恢复SecurityContext的动作。

在现实场景中，处理在一些restful api的非持久化的请求场景中，SecurityContextPersistenceFilter负责安全上下文的销毁，具体操作如下：

• 一个安全上下文在某个请求1处理过程中被创建并记录到SecurityContextHolder
• 请求1的处理结束时，SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文进行销毁