前言
SecurityContextHolder 按字面意思理解,就是安全上下文支持。在使用了 Spring Security 的 Spring Boot 应用中,我们在后端想要获取登录用户的信息,可以使用命令:
SecurityContextHolder.getContext().getAuthentication().getPrincipal()
源码分析
这里调用了方法.getContext(),打开 SecurityContextHolder 的源码,部分源码如下
public class SecurityContextHolder {
public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
public static final String MODE_GLOBAL = "MODE_GLOBAL";
public static final String SYSTEM_PROPERTY = "spring.security.strategy";
private static String strategyName = System.getProperty("spring.security.strategy");
private static SecurityContextHolderStrategy strategy;
private static int initializeCount = 0;
...
private static void initialize() {
if (!StringUtils.hasText(strategyName)) {
strategyName = "MODE_THREADLOCAL";
}
if (strategyName.equals("MODE_THREADLOCAL")) {
strategy = new ThreadLocalSecurityContextHolderStrategy();
...
public static SecurityContext getContext() {
return strategy.getContext();
}
...
可以看到,方法.getContext()来源于 SecurityContextHolderStrategy ,再打开 SecurityContextHolderStrategy 的源码:
package org.springframework.security.core.context;
public interface SecurityContextHolderStrategy {
void clearContext();
SecurityContext getContext();
void setContext(SecurityContext var1);
SecurityContext createEmptyContext();
}
可知 SecurityContestHolderStrategy 只是一个接口,这个接口提供创建、清空、获取、设置上下文的操作。
那它有哪些实现类呢,也就是有哪些存储策略呢?按住 Ctrl + H,查看它的实现类,如下图:
可以看出,SecurityContestHolderStrategy 有三个实现类,分别是
-
ThreadLocalSecurityContextHolderStrategy
-
GlobalSecurityContextHolderStrategy
-
InheritableThreadLocalSecurityContextHolderStrategy
就跟字面意思一样三种策略分别对应 threadlocal,global,InheritableThreadLocal 三种方式。
SecurityContextHolder 默认使用的是 ThreadLocalSecurityContextHolderStrategy 安全策略。
也就是说,方法.getContext()在接口SecurityContestHolderStrategy中定义,在类 ThreadLocalSecurityContextHolderStrategy 中实现的。
然后是方法.getAuthentication(), 按 Ctrl + 鼠标左键,打开源码:
public interface SecurityContext extends Serializable {
Authentication getAuthentication();
void setAuthentication(Authentication var1);
}
接口 SecurityContext 只有 getAuthentication 和 setAuthentication 这两个方法,而这两个方法都是 Authentication 类型。
由源码可知,所谓的安全上下文,只是保存了 Authentication(认证信息),在 Spring Security 使用一个 Authentication 对象来表示这些用户信息。
打开 Authentication 的源码:
public interface Authentication extends Principal, Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
Object getCredentials();
Object getDetails();
Object getPrincipal();
boolean isAuthenticated();
void setAuthenticated(boolean var1) throws IllegalArgumentException;
}
由源码可知,Authentication(认证信息),主要包含了以下内容
-
getAuthorities => 可用于访问受保护资源时的权限验证
-
getCredentials => 初次认证的时候,进行填充,认证成功后将被清空
-
getDetails=> 暂不清楚,猜测应该是记录哪些保护资源已经验证授权,下次不用再验证,等等。
-
Pirncipal => 类似于 UserDetails(用户信息)
-
isAuthenticated => 是否已认证成功
参考资源
https://blog.csdn.net/baidu_38225647/article/details/104396392
https://www.cnblogs.com/longfurcat/p/9417912.html
https://blog.csdn.net/chihaihai/article/details/104830066
每天学习一点点,每天进步一点点。