IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Java知识库 -> SpringSecurity(七)剖析SecuriyContextHolder存储登录数据策略 -> 正文阅读

[Java知识库]SpringSecurity(七)剖析SecuriyContextHolder存储登录数据策略

登录用户数据获取

登录成功之后,在后续的业务逻辑中,我们可能还需要获取登录成功用户的用户对象,如果我们不使用任何安全框架,我们可以将用户信息保存在HttpSession中,需要的话就从HttpSession中获取数据。在SpringSecurity中,用户登录信息本质上还是保存在HttpSession中,但是为了方便使用,SpringSecurity对HttpSession中的用户信息进行了封装,封装之后,我们在想获取用户登录数据就会有两种不同的思路:

  • 从SecurityContextHolder中获取
  • 从当前请求对象中获取。

这里列出的两种方式是主流的做法,当然也可以使用一些非主流的方法获取登录成功后的用户信息,例如直接从HttpSession中获取用户登录数据。。

无论是哪种获取方式,都离不开一个重要的对象:Authentication。在SpringSecurity中,Authentication对象主要有两个方面的功能:

(1)、作为AuthenticationManager的输入参数,提供用户身份认证的凭证,当它作为一个输入参数时,它的isAuthentication方法返回false,表示用户还未认证。

(2)、代表已经经过认证的用户,此时的Authentication可以从SecurityContext中获取。


一个Authentication对象主要包含三个方面的信息:

(1)、principal:定义认证的用户。如果用户使用用户名/密码的方式登录,principal通常就算一个UserDetails对象。

(2)、credentials:登录凭证,一般就是指密码,当用户登录成功之后,登录凭证会被自动擦除,以防止泄露。

(3)、authorities:用户被授予的权限信息。

Java中本身提供了Principal接口用来描述认证主题,Principal可以代表一个公司、个人或者登录ID,SpringSecurity中定义了Authentication接口用来规范登录用户信息,Authentication继承自Principal:

public interface Authentication extends Principal, Serializable {
	
	Collection<? extends GrantedAuthority> getAuthorities();
	
	Object getCredentials();
	
	Object getDetails();

	Object getPrincipal();
	
	boolean isAuthenticated();

	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

这里接口中的定义方法都很好理解:

  • getAuthorities方法:获取用户权限
  • getCredentials方法:用来获取用户凭证,一般来说就是密码。
  • getDetails方法:用来获取用户的详细信息,可能是当前的请求之类。
  • getPrincipal方法:用来获取当前用户信息信息,可能是一个用户名,也可能是一个用户对象。
  • isAuthenticated方法:当前用户是否认证成功。

可以看到,在SpringSecurity中,只要获取到Authentication对象,就可以获取到登录用户的详细信息。

不同的认证方式对应不同的Authentication实例,SpringSecurity中的Authentication实例类如下:
在这里插入图片描述

(1)、AbstractAuthenticationToken:该类实现了Authentication和CredentialsContainer两个接口,在AbstractAuthenticationToken中对Authentication接口定义的各个数据获取方法进行了实现,CredentialsContainer则提供了登录凭证擦除方法。一般登录成功后,为了防止用户信息泄露,可以将登录凭证(例如密码)擦除。

(2)、RememberMeAuthenticationToken:如果用户使用RememberMe的方式登录,登录信息封装在该类中。

(3)、TestingAuthenticationToken:单元测试时封装的用户对象。

(4)、AnonymousAuthenticationToken:匿名登录时封装的用户对象。

(5)、UsernamePasswordAuthenticationToken:表单登录时封装的用户对象。

(6)、RunAsUserToken:替换验证身份时封装的用户对象。

(7)、JaasAuthenticationToken:JAAS认证时封装的用户对象。

(8)、PreAuthenticatedAuthenticationToken:Pre-Authentication场景下封装的用户对象。

在这些Authentication的实例中,最常用的有两个:UsernamePasswordAuthenticationToken和RememberMeAuthenticationToken。在上几篇文章中我们案例的认证对象就是UsernamePasswordAuthenticationToken。

了解了Authentication对象之后,接下来我们来看一下如何在登录成功后获取用户的登录信息,即Authentication对象。


从SecurityContextHolder中获取

我们增加一个UserController,如下:

@RestController
public class UserController {


    @GetMapping("/user")
    public void userInfo() {
        final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        String name = authentication.getName();
        final Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        System.out.println("name = "+ name);
        System.out.println("authorities = " + authorities);
    }
}

配完成之后,启动项目登录成功后访问/user接口,可以看到打印的信息如下。

在这里插入图片描述

这里为了方便,我们在Controller中获取登录用户信息,可以发现SecurityContextHolder.getContext()是一个静态方法,也就意味着我们随时随地都可以获取到登录用户信息,在service层也可以获取到登录用户信息(实际中,大部分情况也都是在service层获取)

获取登录用户信息的代码很简单,那么SecurityContextHolder到底是什么?它里面的数据又是从何来的?


SecurityContextHolder

SecurityContextHolder中存储的是SecurityContext,SecurityContext中存储的则是Authenticaion,三者的关系如下:
在这里插入图片描述

这里清楚的描述了三者之间的关系。

首先在SpringSecurityContextHolder中存放的是SecurityContext,SecurityContextHolder中定义了三种不同的数据存储策略,这实际上是一个典型的策略模式:

public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";

	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";

	public static final String MODE_GLOBAL = "MODE_GLOBAL";

	private static final String MODE_PRE_INITIALIZED = "MODE_PRE_INITIALIZED";

(1)、MODE_THREADLOCAL:这种存放策略是将SecurityContext存放在ThreadLocal中,大家知道ThreadLocal的特点是在哪个线程中存储就要在哪个线程中读取,这其实非常适合web应用,因为在默认情况下,一个请求无论经过多少Filter到达Servlet,都是由一个线程来处理的,这也是SecurityContextHolder默认的存储策略,这种存储策略意味着如果在具体的业务代码中,开启了子线程,在子线程去获取登录用户数据,就会获取不到。

(2)、MODE_INHERITABLETHREADLOCAL:这种存储模式适用于多线程环境,如果希望在子线程中也能够获取到登录用户数据,那么可以使用这种存储模式。

(3)、MODE_GLOBAL:这种存储模式实际上是将数据保存在一个静态变量中,在JAVAWeb开发中,这种模式很少使用到。

SpringSecurity中定义了SecurityContextHolderStrategy接口用来规范存储策略中的方法,我们来看下:

public interface SecurityContextHolderStrategy {

	void clearContext();

	SecurityContext getContext();

	void setContext(SecurityContext context);
    
    SecurityContext createEmptyContext();

}

接口中一共定义了四个方法:

(1)、clearContext:用来清除存储的SecurityContext对象。

(2)、getContext:用来获取存储SecurityContext对象。

(3)、setContext:用来设置存储的SecurityContext对象。

(4)、createEmptyContext:用来创建一个空的SecurityContext对象。

在SpringSecurity中,SecurityContextHolderStrategy接口一共有三个实现类,对应了三种不同存储策略。

在这里插入图片描述

每一个实现类都对应了不同的实现策略,我们先来看一下ThreadLocalSecurityContextHolderStrategy:

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

	private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

	@Override
	public void clearContext() {
		contextHolder.remove();
	}

	@Override
	public SecurityContext getContext() {
		SecurityContext ctx = contextHolder.get();
		if (ctx == null) {
			ctx = createEmptyContext();
			contextHolder.set(ctx);
		}
		return ctx;
	}

	@Override
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder.set(context);
	}

	@Override
	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}

}

ThreadLocalSecurityContextHolderStrategy实现了SecurityContextHolderStrategy接口并实现了接口中的方法,存储数据的载体是一个ThreadLocal,所以针对SecurityContext的清空,获取以及存储,都是在ThreadLocal中进行操作,例如清空就是调用ThreadLocal的remove方法。SecurityContext是一个接口,它只有一个实现类SecurityContextImpl,所以创建就直接新建一个SecurityContextImpl对象即可。


在来看InheritableThreadLocalSecurityContextHolderStrategy:

final class InheritableThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

	private static final ThreadLocal<SecurityContext> contextHolder = new InheritableThreadLocal<>();

	@Override
	public void clearContext() {
		contextHolder.remove();
	}

	@Override
	public SecurityContext getContext() {
		SecurityContext ctx = contextHolder.get();
		if (ctx == null) {
			ctx = createEmptyContext();
			contextHolder.set(ctx);
		}
		return ctx;
	}

	@Override
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder.set(context);
	}

	@Override
	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}

}

InheritableThreadLocalSecurityContextHolderStrategy和ThreadLocalSecurityContextHolderStrategy的实现策略基本一致,不同的是存储数据的载体变了,在InheritableThreadLocalSecurityContextHolderStrategy中存储数据的载体变成了InheritableThreadLocal。InheritableThreadLocal继承自ThreadLocal,但是多了一个特性,就是在子线程创建的一瞬间,会自动父线程数据复制到子线程中。该策略就是利用了这已特性,实现了在子线程中获取登录用户信息的功能。


最后再来看GlobalSecurityContextHolderStrategy

final class GlobalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

	private static SecurityContext contextHolder;

	@Override
	public void clearContext() {
		contextHolder = null;
	}

	@Override
	public SecurityContext getContext() {
		if (contextHolder == null) {
			contextHolder = new SecurityContextImpl();
		}
		return contextHolder;
	}

	@Override
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder = context;
	}

	@Override
	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}

}

GlobalSecurityContextHolderStrategy的实现就更简单了,用一个静态变量来保存SecurityContext,所以它也可以在多线程下使用,但是一般在Web开发中,这种存储策略使用少。


最后我们在看一下SecurityContextHolder:

public class SecurityContextHolder {

	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";

	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";

	public static final String MODE_GLOBAL = "MODE_GLOBAL";

	private static final String MODE_PRE_INITIALIZED = "MODE_PRE_INITIALIZED";

	public static final String SYSTEM_PROPERTY = "spring.security.strategy";

	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);

	private static SecurityContextHolderStrategy strategy;

	private static int initializeCount = 0;

	static {
		initialize();
	}

	private static void initialize() {
		initializeStrategy();
		initializeCount++;
	}

	private static void initializeStrategy() {
		if (MODE_PRE_INITIALIZED.equals(strategyName)) {
			Assert.state(strategy != null, "When using " + MODE_PRE_INITIALIZED
					+ ", setContextHolderStrategy must be called with the fully constructed strategy");
			return;
		}
		if (!StringUtils.hasText(strategyName)) {
			// Set default
			strategyName = MODE_THREADLOCAL;
		}
		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
			return;
		}
		if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
			return;
		}
		if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
			return;
		}
		// Try to load a custom strategy
		try {
			Class<?> clazz = Class.forName(strategyName);
			Constructor<?> customStrategy = clazz.getConstructor();
			strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
		}
		catch (Exception ex) {
			ReflectionUtils.handleReflectionException(ex);
		}
	}

	
	public static void clearContext() {
		strategy.clearContext();
	}

	
	public static SecurityContext getContext() {
		return strategy.getContext();
	}

	
	public static int getInitializeCount() {
		return initializeCount;
	}

	
	public static void setContext(SecurityContext context) {
		strategy.setContext(context);
	}

	
	public static void setStrategyName(String strategyName) {
		SecurityContextHolder.strategyName = strategyName;
		initialize();
	}

	
	public static void setContextHolderStrategy(SecurityContextHolderStrategy strategy) {
		Assert.notNull(strategy, "securityContextHolderStrategy cannot be null");
		SecurityContextHolder.strategyName = MODE_PRE_INITIALIZED;
		SecurityContextHolder.strategy = strategy;
		initialize();
	}

	
	public static SecurityContextHolderStrategy getContextHolderStrategy() {
		return strategy;
	}

	/**
	 * Delegates the creation of a new, empty context to the configured strategy.
	 */
	public static SecurityContext createEmptyContext() {
		return strategy.createEmptyContext();
	}

	@Override
	public String toString() {
		return "SecurityContextHolder[strategy='" + strategy.getClass().getSimpleName() + "'; initializeCount="
				+ initializeCount + "]";
	}

}

从这可以看到SecurityContextHolder定义了三个静态常量用来描述三种不同的存储策略,存储策略stragey会在静态代码块中进行初始化,根据不同的strategyName初始化不同的存储策略,strategyName变量表示目前正在使用的存储策略,我们可以通过配置系统变量或者调用setStrategyName来修改SecurityContextHolder中的存储策略,调用setStrategyName后会重新初始化strategy。


默认情况下,如果我们试图从子线程中获取当前登录用户数据,就会获取失败,如下:

我们来修改一下上面/user接口

 @GetMapping("/user")
    public void userInfo() {
        final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        String name = authentication.getName();
        final Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        System.out.println("name = "+ name);
        System.out.println("authorities = " + authorities);

        new Thread(new Runnable() {
            @Override
            public void run() {
                final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
                if(authentication == null){
                    System.out.println("获取用户失败");
                    return;
                }
                String name = authentication.getName();
                final Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
                final String threadName = Thread.currentThread().getName();
                System.out.println(threadName + ":name = "+ name);
                System.out.println(threadName + ":authorities = " + authorities);


            }
        }).start();

    }
}

在这里插入图片描述

可以发现在子线程中获取信息失败。

子线程之所以获取不到用户登录信息,就是因为数据存储在ThreadLocal中,存储和读取不是同一个线程,所以获取不到,如果希望子线程中也能获取到用户信息,可以将SecurityContextHolder中的存储信息策略改为MODE_INHERITABLETHREADLOCAL,这样就支持多线程环境下获取登录用户信息了。

默认的存储策略是通过System.getProperties加载的,因此我们可以通过配置系统变量来修改默认的存储策略,在IDEA中,我们可以添加vm options参数。如下

在这里插入图片描述

-Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL

然后可以看到控制台打印,在线程中获取到了登录用户信息如下:

在这里插入图片描述

这有一个问题,既然SecurityContextHolder默认是将用户信息存储在ThreadLocal中,在SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息?这个问题有点长,我们在下一篇文章中进行讨论一下。

  Java知识库 最新文章
计算距离春节还有多长时间
系统开发系列 之WebService(spring框架+ma
springBoot+Cache(自定义有效时间配置)
SpringBoot整合mybatis实现增删改查、分页查
spring教程
SpringBoot+Vue实现美食交流网站的设计与实
虚拟机内存结构以及虚拟机中销毁和新建对象
SpringMVC---原理
小李同学: Java如何按多个字段分组
打印票据--java
上一篇文章      下一篇文章      查看所有文章
加:2022-03-12 17:18:07  更:2022-03-12 17:18:28 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年10日历 -2024/10/31 10:16:42-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码