Spring Security4源码解读探寻权限机制
我们知道springSecurity 会在用户登录的时候获取用户的角色权限, 你是一个普通用户可能没有管理员拥有的权限。用户登录后Authentication 获取用户的权限。 不通用户登录系统会生成各自Authentication
那么这个 Authentication 存在哪 呢?服务端?那100万 个用户都同时登录,系统如何区分哪个 Authentication是哪个用户的?
测试。使用两个账号,分布登录两个不通浏览器。一个是火狐,一个是谷歌。控制台分别打印出
==========================两个角色互不干扰。
这个授权是在调用登录接口时候验证的。
我的疑惑是如果是 存在内存里,内存怎么识别哪个用户哪个角色。
其他接口调用,使用AuthUtil 获取权限的时候, 没有在去授权
难道存在客户端的cookie?
现在一个测试浏览器 两个窗口打开, 登录两个不同的账号 ,结果不同角色不同权限。
好吧, 开始看源码吧。
先看我自定义的授权接口:
返回一个UsernamePasswordAuthenticationToken 对象,存储了用户名。 密码。权限
点进去
顶级接口AbstractAuthenticationToken
点进去
AbstractAuthenticationToken 这个抽象类, 实现了两个接口Authentication // CredentialsContainer
CredentialsContainer 接口点击进去
CredentialsContainer 谷歌翻译 凭据容器 难道是所有的授权存在这里?看了它 的方法, 只有一个, void eraseCredentials(); 清除凭证
=====================先不探究
看下 另一个接口 Authentication
实现了Serializable 接口 。序列化对象。
好吧还是看不懂, 那看获取权限另一种方式, 不是AuthUtil
看下SecurityContextHolder 源码
有个静态方法 initialize();
看下这个方法
第一个 if判断 返回一个空
strategyName = MODE_THREADLOCAL;
THREADLOCAL 线程局部变量
每一个线程都可以独立地改变自己的副本,而不会和其它线程的副本冲突。
继续往下面看:
这里跳转:
返回一个对象 ThreadLocalSecurityContextHolderStrategy
声明一个ThreadLocal
存储的是对象
这里存了权限。
================================
重点是这个set 方法, 看看被哪些 调用
被七个方法调用:
卧槽,
第一个
看看父类 AbstractSecurityInterceptor 抽象权限过滤器, 应该不是这个时候存进去的。
第二个
DelegatingSecurityContextCallable 委派权限上下文对象, 看着也不像。
第三个
谷歌翻译 是消化授权过滤器, 应该不是这个时候存的
第四个
权限上下文持久化过滤器
看到持久化,赶紧点进去==》
response 里面拿?我记得我授权之后不是扔到response里面
继续看下五个
抽象权限拦截器, 这个更不是了
第六个
上下文进程拦截器。 马丹还不是。
第七个
委派权限上下文接口
这个线程好像也不是,现在似乎都很迷糊。
好吧还是研究UsernamePasswordAuthenticationToken
最终找到了,好吧, 这个 就是最终的设置方法了
来看他的源码:
原来是这样的。
==============================================================================================================
现在大概明白了 原理:
1 、用户密码用户名验证。
2 、授权通过,会放到threadLocal。
疑惑: 某个用户调用某个方法,获取方法,怎么判断他就是那个用户?
多个用户调用服务器这段代码, 获取不一样的角色怎么做到的!!!!
ThreadLocal在Spring中发挥着重要的作用,在管理request作用域的Bean、事务管理、任务调度、AOP等模块都出现了它们的身影,起着举足轻重的作用。要想了解Spring事务管理的底层技术,ThreadLocal是必须攻克的山头堡垒。
ThreadLocal是什么
早在JDK 1.2的版本中就提供java.lang.ThreadLocal,ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。
ThreadLocal很容易让人望文生义,想当然地认为是一个“本地线程”。其实,ThreadLocal并不是一个Thread,而是Thread的局部变量,也许把它命名为ThreadLocalVariable更容易让人理解一些。
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。
======================================================源码太多, 有些人说看源码是一种享受,很少吧