SecurityContextHolder实现原理(策略模式和ThreadLocal)

最新推荐文章于 2024-11-19 19:09:10 发布
原创 最新推荐文章于 2024-11-19 19:09:10 发布 · 4.2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #Spring Security #ThreadLocal

本文深入剖析了Spring Security中的SecurityContextHolder组件,它是保存认证信息的核心,利用策略模式和ThreadLocal实现线程安全的认证信息存储。讲解了SecurityContextHolder、SecurityContextHolderStrategy接口,特别是ThreadLocalSecurityContextHolderStrategy,以及ThreadLocal的工作原理,包括如何保存和获取线程局部变量。文章通过源码分析,帮助理解这两个技术在实际项目中的应用。

SecurityContextHolder实现原理

SecurityContextHolder是SpringSecurity中保存认证信息的核心组件,重点是将给定的认证信息(SecurityContext)与当前执行线程关联。也就是说在同一个线程中可以通过该组件随时方便的获得认证信息,基本操作

//保存认证信息
SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
//获得认证信息
SecurityContextHolder.getContext().getAuthentication()

一、核心组件

1.1 SecurityContextHolder

SecurityContextHolder源码如下,为方便阅读,增加中文注释:


package org.springframework.security.core.context;

import org.springframework.util.ReflectionUtils;

import java.lang.reflect.Constructor;

/**
 * 将给定的SecurityContext与当前执行线程关联。该类的提供了一系列的静态方法,真正的实现者,均交由org.springframework.security.core.context.SecurityContextHolderStrategy的实现类来完成
 */
public class SecurityContextHolder {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
	public static final String MODE_GLOBAL = "MODE_GLOBAL";
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
	//被委托者,采用策略模式
	private static SecurityContextHolderStrategy strategy;
	private static int initializeCount = 0;

//当类进行加载的时候,需要进行初始化操作
	static {
		initialize();
	}

	// ~ Methods
	// ========================================================================================================

	/**
	 * 从当前线程显式清除上下文值。
	 */
	public static void clearContext() {
		strategy.clearContext();
	}

	/**
	 * 从当前线程获得上下文值。值非空
	 */
	public static SecurityContext getContext() {
		return strategy.getContext();
	}

	/**
	 * 主要用于故障排除目的,此方法显示的次数已重新初始化SecurityContextHolderStrategy的次数
	 * 默认返回1
	 */
	public static int getInitializeCount() {
		return initializeCount;
	}

/**
该初始化方法就是实例化策略对象SecurityContextHolderStrategy
security内置三种策略来操作认证信息(SecurityContext),当然也可以通过设置策略名,来指定自定义的策略
 */
	private static void initialize() {
		if ((strategyName == null) || "".equals(strategyName)) {
			// 默认采用ThreadLocal实现方式
			strategyName = MODE_THREADLOCAL;
		}

		if (strategyName.equals(MODE_THREADLOCAL)) {
		// 默认采用ThreadLocal实现方式
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
		//可继承的线程局部变量策略
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_GLOBAL)) {
		//全局唯一策略
			strategy = new GlobalSecurityContextHolderStrategy();
		}
		else {
			// 自定义测试
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception ex) {
				ReflectionUtils.handleReflectionException(ex);
			}
		}
//记录策略初始化的次数信息
		initializeCount++;
	}

	/**
	 * 在当前线程中绑定一个认证信息
	 */
	public static void setContext(SecurityContext context) {
		strategy.setContext(context);
	}

	/**
	 * 设置自定义操作SecurityContext的策略类
	 */
	public static void setStrategyName(String strategyName) {
		SecurityContextHolder.strategyName = strategyName;
		initialize();
	}

	/**
	 * 获得操作SecurityContext的策略类
	 */
	public static SecurityContextHolderStrategy getContextHolderStrategy() {
		return strategy;
	}

	/**
	 * 使用指定策略生成 新的空上下文的
	 */
	public static SecurityContext createEmptyContext() {
		return strategy.createEmptyContext();
	}
	public String toString() {
		return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount="
				+ initializeCount + "]";
	}
}

1.2 SecurityContextHolderStrategy

策略模式参考:一个男人的设计模式:策略模式
该策略接口源码

package org.springframework.security.core.context;

/**
 * 保存认证信息的策略接口
 * 该接口是SecurityContextHolder中委托实现的实际对象
 * 其框架实现有三个
 * 1.ThreadLocalSecurityContextHolderStrategy
 * 2.GlobalSecurityContextHolderStrategy
 * 3.InheritableThreadLocalSecurityContextHolderStrategy
 */
public interface SecurityContextHolderStrategy {
		/**
	 * Clears the current context.
	 */
	void clearContext();

	/**
	 * Obtains the current context.
	 *
	 * @return a context (never <code>null</code> - create a default implementation if
	 * necessary)
	 */
	SecurityContext getContext();

	/**
	 * Sets the current context.
	 *
	 * @param context to the new argument (should never be <code>null</code>, although
	 * implementations must check if <code>null</code> has been passed and throw an
	 * <code>IllegalArgumentException</code> in such cases)
	 */
	void setContext(SecurityContext context);

	/**
	 * Creates a new, empty context implementation, for use by
	 * <tt>SecurityContextRepository</tt> implementations, when creating a new context for
	 * the first time.
	 *
	 * @return the empty context.
	 */
	SecurityContext createEmptyContext();
}

方法很少,接口每个含义应该都是见名知意,不做过多的解释

1.3ThreadLocalSecurityContextHolderStrategy

核心的原理就是通过ThreadLocal来保存认证信息,具体的ThreadLocal实现原理,下一小节详细分析;

该接口主要关联的两个核心技术 ThreadLocal 和SecurityContextPersistenceFilter
ThreadLocal :线程局部变量
SecurityContextPersistenceFilter:该过滤器属于Security的核心过滤器之一,其作用是在进行后续认证操作之前,将SecurityContext认证信息保存到SecurityContextHolder中,以便在当前线程其它处理类方便的处理认证信息,当Security其它核心过滤器走完之后,SecurityContextPersistenceFilter会把认证过后的SecurityContext持久化到指定的介质中(redis,mysql等等),同时删除SecurityContextHolder保存的认证信息.


package org.springframework.security.core.context;
import org.springframework.util.Assert;

/**
基于线程局部变量的SecurityContextHolderStrategy
 * @see java.lang.ThreadLocal
 * @see org.springframework.security.core.context.web.SecurityContextPersistenceFilter
 */
final class ThreadLocalSecurityContextHolderStrategy implements
		SecurityContextHolderStrategy {
		//核心的原理就是通过ThreadLocal来保存认证信息,具体的ThreadLocal实现原理,下一小节详细分析
		private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<SecurityContext>();

	public void clearContext() {
		contextHolder.remove();
	}

	public SecurityContext getContext() {
		SecurityContext ctx = contextHolder.get();

		if (ctx == null) {
			ctx = createEmptyContext();
			contextHolder.set(ctx);
		}

		return ctx;
	}
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder.set(context);
	}

	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}
}

二、ThreadLocal源码分析

ThreadLocal完成的功能是每个线程通过同样的操作步骤,在不同的线程中可以得到自己线程特有的数据,即线程局部变量(保存在各线程中的变量)

1.1实现该功能的核心技术

保存数据到ThreadLocal中源码:

    public void set(T value) {
    //获得当前线程
        Thread t = Thread.currentThread();
         //获得当前线程中的ThreadLocalMap信息
        ThreadLocalMap map = getMap(t);
        //在当前线程中保存ThreadLocal到value的映射关系
        if (map != null)
            map.set(this, value);
        else
            createMap(t, value);
    }

从ThreadLocal获取数据源码

    public T get() {
    //获得当前线程
        Thread t = Thread.currentThread();
        //获得当前线程中的ThreadLocalMap信息
        ThreadLocalMap map = getMap(t);
        if (map != null) {
        //获取对象的数据
            ThreadLocalMap.Entry e = map.getEntry(this);
            if (e != null) {
                @SuppressWarnings("unchecked")
                T result = (T)e.value;
                return result;
            }
        }
        return setInitialValue();
    }

从获取或设置数据的源码中,均通过Thread t = Thread.currentThread();获得了当前线程对象,然后执行了getMap方法
getMap源码如下,核心获得Thread中的保存特有数据的map:

    ThreadLocalMap getMap(Thread t) {
        return t.threadLocals;
    }

其中threadLocals是Thread中的字段

    /* 该字段由ThreadLocal类来维护,在ThreadLocal的get或set信息时本质上是修改了该map中保存的信息 */
    ThreadLocal.ThreadLocalMap threadLocals = null;

ThreadLocalMap是ThreadLocal中的一个static类
ThreadLocalMap保存数据

        private void set(ThreadLocal<?> key, Object value) {

            //保存局部变量信息的容器
            Entry[] tab = table;
            int len = tab.length;
            //通过位运算获得数组角标
            int i = key.threadLocalHashCode & (len-1);

            for (Entry e = tab[i];
                 e != null;
                 e = tab[i = nextIndex(i, len)]) {
                ThreadLocal<?> k = e.get();

                if (k == key) {
                    e.value = value;
                    return;
                }

                if (k == null) {
                    replaceStaleEntry(key, value, i);
                    return;
                }
            }
			//组成Entry保存到数组中
            tab[i] = new Entry(key, value);
            int sz = ++size;
            if (!cleanSomeSlots(i, sz) && sz >= threshold)
                rehash();
        }

ThreadLocalMap获取数据Entry

private Entry getEntry(ThreadLocal<?> key) {
            int i = key.threadLocalHashCode & (table.length - 1);
            Entry e = table[i];
            if (e != null && e.get() == key)
                return e;
            else
                return getEntryAfterMiss(key, i, e);
        }

1.2ThreadLocal总结

ThreadLocal通过操作Thread中的ThreadLocal.ThreadLocalMap threadLocals = null;来保存或获取线程对象的信息

本质上Thread中保存了自己的特有数据,而对自己特有的数据,是通过ThreadLocal这个帮助类来进行的,而不是程序员直接操作Thread中的ThreadLocal.ThreadLocalMap threadLocals 字段来完成的

总结

以上通过对SecurityContextHolder的源码剖析,可以学到策略模式和ThreadLocal在实际项目中的应用,希望对大家有用!

SpringSecurity6从入门到实战之SecurityContextHolder详解
helloworld工程师的博客
12-03 806
Spring Security中的一个核心组件,它提供了对的访问管理。是一个包含了安全信息的对象,例如用户的认证信息、授权信息以及任何与当前安全上下文相关的其他信息。通过线程局部存储(ThreadLocal)的方式来存储,这使得每个线程都可以访问其自己的安全上下文,从而实现了安全信息的线程隔离。
SpringSecurity(七)用户数据获取之SpringSecurityContextHolder深度剖析(上)
陈橙橙
03-11 4391
登录用户数据获取 登录成功之后,在后续的业务逻辑中,我们可能还需要获取登录成功用户的用户对象,如果我们不使用任何安全框架,我们可以将用户信息保存在HttpSession中,需要的话就从HttpSession中获取数据。在SpringSecurity中,用户登录信息本质上还是保存在HttpSession中,但是为了方便使用,SpringSecurity对HttpSession中的用户信息进行了封装,封装之后,我们在想获取用户登录数据就会有两种不同的思路: 从SecurityContextHolder中获取
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring Security 身份验证的基本类/架构
swadian2008的博客
07-24 1574
用作验证用户凭据的基本过滤器。在对凭证进行身份验证之前,Spring Security 通常会使用来请求凭证。doFilter 源码】//总流程//身份认证过滤器的处理流程if (!} else {try {//1- 尝试进行身份验证return;//2-如果验证成功,创建新会话,更新sessionId//3-调用认证成功后处理流程//4-调用认证失败后处理流程//4-调用认证失败后处理流程接下来,可以对提交给它的任何身份验证请求进行身份验证。
核心组件之SecurityContextHolder
dieqiuxie4160的博客
08-04 739
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户的信息。 上下文细节怎么表示? 用SecurityContext对象来表示 每个用户都会有它的上下文,那这个SecurityContext保存在哪里呢? 存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolderSecurityCo...
SpringSecuritySecurityContextHolder详解
无限进步的博客
03-26 3060
SpringSecuritySecurityContextHolder详细解释
SecurityContextHolder解析
嘿!没错,我是李先生
02-19 4010
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户信息。 每个用户都有自己的SecurityContext,存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolderSecurityContextHolder存储SecurityContext的方式: 1 单机系统:应用从开启到关闭的整个生命周期只有一个用户在使用。由于整个应用...
ThreadLocal详解:原理、应用与内存泄漏防范
ThreadLocal并不通过“互斥”来保证线程安全,而是采用“隔离”的策略——为每一个线程提供独立的变量副本,使得每个线程对变量的操作都不会影响其他线程中的副本,从而实现线程间的隔离数据独立性。这种设计思想...
SecurityContextHolder应该怎么用
02-28
| 策略模式 | 特点 | 适用场景 | |---------|------|---------| | `MODE_THREADLOCAL` | 默认模式,仅当前线程可见 | 常规同步请求 | | `MODE_INHERITABLETHREADLOCAL` | 子线程可继承父线程上下文 | 手动创建新线程...
spring框架中哪些地方使用了threadlocal
最新发布
08-26
Spring框架在多处关键组件中使用了ThreadLocal实现线程隔离的上下文管理,以下是主要应用场景及实现原理: --- #### 一、请求上下文管理(Request Context) **核心组件**:`RequestContextHolder` **实现方式*...
SpringSecurity原理剖析及其实战(四)
weixin_43934626的博客
11-06 447
SpringSecurity原理剖析及其实战(四)1、认证原理2、认证流程3、相关接口 1、认证原理 Spring Security是如何完成身份认证的? 用户名密码被过滤器获取到,封装成Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 AuthenticationManager身份管理器负责验证这个Authentication 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提
Spring Security SecurityContextHolder(安全上下文信息)
疯一样的码农
11-19 2644
在本篇博客中,我们将讨论 Spring Security 的组件,包括其实现方式、关键特性,并通过实际示例进行说明。
安全认证之SecurityContextHolder
花&败
11-28 3万+
简介 1)SecurityContextHolderSpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBALSecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
Spring Security(学习笔记)-SecurityContextHolder
TONGZHOUGONGDU的博客
04-22 4435
匿名访问,多线程获取用户信息。
Spring Security 的基本组件 SecurityContextHolder
热门推荐
Details Inside Spring
08-10 3万+
Spring Security 中最基本的组件应该是SecurityContextHolder了。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。 SecurityContextHolder的工作原理 缺省工作模式 MODE_THREADLOCAL 我们知道,一个应用同时可能有多个使用者,每个使用者对应不同的安全上下文,那么Securi...
SpringsecuritySecurityContextHolderStrategy
weixin_34343308的博客
08-19 745
2019独角兽企业重金招聘Python工程师标准>>> ...
[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
qq_41662584的博客
09-15 365
【代码】[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
史上最简单的Spring Security教程(四十一):SecurityContextHolderSecurityContextHolderStrategy详解
银河架构师的博客
11-25 6881
如何静态的、较为方便的获取当前系统已登录的用户的信息?这恐怕就要靠 Spring Security 框架的另外一个“著名”的组件类SecurityContextHolder了。 /** * Associates a given {@link SecurityContext} with the current execution thread. */ SecurityContextHolder类最核心的作用,便是将当前给定的 SecurityContext 与 当前执行线程绑定,从而方便...
SecurityContextHolder
weixin_30920513的博客
04-01 245
SecurityContextHolder.getContext().getAuthentication().getPrincipal() SecurityContextHolder.getContext().getAuthentication().getPrincipal() 安全包括两个主要操作。   第一个被称为“认证”,是为用户建立一个他所声明的主题。主...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值