快捷導(dǎo)航

SpringSecurity之SecurityContextHolder使用解讀

更新時(shí)間：2023年03月17日 14:08:18 作者：chihaihai

這篇文章主要介紹了SpringSecurity之SecurityContextHolder使用解讀，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教

之前在使用SpringSecurity的過(guò)程中并沒(méi)有把很多東西理解透徹，找了很多學(xué)習(xí)資料也都只是是很淺顯了告訴你怎么使用這個(gè)東西?，F(xiàn)在只能自己回過(guò)頭來(lái)研究研究。。。。終究是一個(gè)人扛下了所有/(ㄒoㄒ)/~~。

GO，現(xiàn)在越看spring源碼越覺(jué)得里面注釋是真的詳細(xì)，雖然英語(yǔ)很菜耐不住有翻譯哈哈哈。

介紹

看了幾篇大佬的技術(shù)博客里面都介紹到，SecurityContextHolder是保存全上下文對(duì)象（SecurityContext）的地方。對(duì)于這種說(shuō)法我感覺(jué)是完全不正確的，如果后面有新的認(rèn)知我會(huì)回來(lái)進(jìn)行修改。

我認(rèn)為SecurityContextHolder只是為SecurityContext提供一種存儲(chǔ)策略，只是主導(dǎo)了他的存儲(chǔ)方式及地址。

使用中我們表面上看起來(lái)SecurityContext的存儲(chǔ)都是通過(guò)SecurityContextHolder在控制人們就習(xí)以為常的說(shuō)成了Security Context存儲(chǔ)在了SecurityContextHolder中，至于真相我們看源碼慢慢分析。

public class SecurityContextHolder {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
	public static final String MODE_GLOBAL = "MODE_GLOBAL";
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
	private static SecurityContextHolderStrategy strategy;
	private static int initializeCount = 0;

首先從源碼可以看到SecurityContextHolder提供了一個(gè)SecurityContextHolderStrategy存儲(chǔ)策略進(jìn)行上下文的存儲(chǔ)，進(jìn)入到Security ContextHolderStrategy接口，由下圖我們可以清晰的看到其總共有三個(gè)實(shí)現(xiàn)類(lèi)。

分別對(duì)應(yīng)三種存儲(chǔ)策略，這里我不知道為什么99的文章都只說(shuō)了threadlocal和global兩種。

要不是看了下實(shí)現(xiàn)類(lèi)我都信了。

在這里插入圖片描述

就跟字面意思一樣三種策略分別對(duì)應(yīng)threadlocal,global,InheritableThreadLocal三種方式。

繼續(xù)回到源碼我們?cè)敿?xì)看這三種方式。

	private static void initialize() {
		if (!StringUtils.hasText(strategyName)) {
			// 如果沒(méi)有設(shè)置自定義的策略，就采用MODE_THREADLOCAL模式
			strategyName = MODE_THREADLOCAL;
		}
			// ThreadLocal策略
		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}
		// 采用InheritableThreadLocal，它是ThreadLocal的一個(gè)子類(lèi)
		else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		}
		// 全局策略，實(shí)現(xiàn)方式就是static SecurityContext contextHolder
		else if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
		}
		else {
			// Try to load a custom strategy  自定義的策略，通過(guò)返回創(chuàng)建出
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception ex) {
				ReflectionUtils.handleReflectionException(ex);
			}
		}

		initializeCount++;
	}

由源碼我們可以得出SecurityContextHolder 默認(rèn)使用的是THREADLOCAL模式，光從名字看感覺(jué)就是存儲(chǔ)在threadlocal中的策略到底是不是我們?nèi)ピ创a中分別一探究竟：

ThreadLocalSecurityContextHolderStrategy

final class ThreadLocalSecurityContextHolderStrategy implements
		SecurityContextHolderStrategy {
	// ~ Static fields/initializers
	// =====================================================================================

	private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();
	。。。。。。
}

InheritableThreadLocalSecurityContextHolderStrategy

final class InheritableThreadLocalSecurityContextHolderStrategy implements
		SecurityContextHolderStrategy {
	// ~ Static fields/initializers
	// =====================================================================================

	private static final ThreadLocal<SecurityContext> contextHolder = new InheritableThreadLocal<>();
	。。。。。。
}

GlobalSecurityContextHolderStrategy

final class GlobalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {
	// ~ Static fields/initializers
	// =====================================================================================

	private static SecurityContext contextHolder;
	。。。。。。
}

到這里那些說(shuō)SecurityContext存儲(chǔ)在SecurityContextHolder的大佬們我認(rèn)為應(yīng)該是不嚴(yán)謹(jǐn)?shù)摹?/p>

默認(rèn)是將SecurityContext存儲(chǔ)在threadlocal中，可能是spring考慮到目前大多數(shù)為BS應(yīng)用，一個(gè)應(yīng)用同時(shí)可能有多個(gè)使用者，每個(gè)使用者又對(duì)應(yīng)不同的安全上下，Security Context Holder為了保存這些安全上下文。

缺省情況下，使用了ThreadLocal機(jī)制來(lái)保存每個(gè)使用者的安全上下文。

因?yàn)槿笔∏闆r下根據(jù)Servlet規(guī)范，一個(gè)Servlet request的處理不管經(jīng)歷了多少個(gè)Filter，自始至終都由同一個(gè)線(xiàn)程來(lái)完成。這樣就很好的保證了其安全性。

但是當(dāng)我們開(kāi)發(fā)的是一個(gè)CS本地應(yīng)用的時(shí)候，這種模式就不太適用了。

spring早早的就考慮到了這種情況，這個(gè)時(shí)候我們就可以設(shè)置為Global模式僅使用一個(gè)變量來(lái)存儲(chǔ)SecurityContext。比如還有其他的一些應(yīng)用會(huì)有自己的線(xiàn)程創(chuàng)建，并且希望這些新建線(xiàn)程也能使用創(chuàng)建者的安全上下文。

這種效果，我們就可以通過(guò)將SecurityContextHolder配置成MODE_INHERITABLETHREADLOCAL策略達(dá)到。

SecurityContext又到底是個(gè)什么東西呢？稍后新開(kāi)一遍學(xué)習(xí)記錄。