你的位置:首页 > Java教程

[Java教程]Spring Security4源码解读探寻权限机制


  我们知道springSecurity 会在用户登录的时候获取用户的角色权限, 你是一个普通用户可能没有管理员拥有的权限。用户登录后Authentication 获取用户的权限。 不通用户登录系统会生成各自Authentication

  那么这个 Authentication 存在哪 呢?服务端?那100万 个用户都同时登录,系统如何区分哪个 Authentication是哪个用户的?

 

 

 

测试。使用两个账号,分布登录两个不通浏览器。一个是火狐,一个是谷歌。控制台分别打印出

==========================两个角色互不干扰。

其他接口调用,使用AuthUtil 获取权限的时候, 没有在去授权

难道存在客户端的cookie?

现在一个测试浏览器 两个窗口打开, 登录两个不同的账号 ,结果不同角色不同权限。

好吧, 开始看源码吧。

先看我自定义的授权接口:

顶级接口AbstractAuthenticationToken

点进去

AbstractAuthenticationToken 这个抽象类, 实现了两个接口Authentication // CredentialsContainer

CredentialsContainer 接口点击进去

实现了Serializable 接口 。序列化对象。

好吧还是看不懂, 那看获取权限另一种方式, 不是AuthUtil

 

看下SecurityContextHolder 源码

 

有个静态方法     initialize();

看下这个方法

第一个 if判断 返回一个空

strategyName = MODE_THREADLOCAL;

 THREADLOCAL 线程局部变量

每一个线程都可以独立地改变自己的副本,而不会和其它线程的副本冲突。

继续往下面看:

这里跳转:

声明一个ThreadLocal

存储的是对象

这里存了权限。

 

================================

重点是这个set 方法, 看看被哪些 调用

 看看父类 AbstractSecurityInterceptor 抽象权限过滤器, 应该不是这个时候存进去的。

第二个 

DelegatingSecurityContextCallable  委派权限上下文对象, 看着也不像。

第三个

谷歌翻译 是消化授权过滤器, 应该不是这个时候存的

第四个

权限上下文持久化过滤器

看到持久化,赶紧点进去==》

抽象权限拦截器, 这个更不是了

第六个

上下文进程拦截器。 马丹还不是。

第七个

委派权限上下文接口

最终找到了,好吧, 这个 就是最终的设置方法了

来看他的源码:

 

==============================================================================================================

现在大概明白了 原理:

1 、用户密码用户名验证。

2 、授权通过,会放到threadLocal。

疑惑: 某个用户调用某个方法,获取方法,怎么判断他就是那个用户?

 

多个用户调用服务器这段代码, 获取不一样的角色怎么做到的!!!!

ThreadLocal在Spring中发挥着重要的作用,在管理request作用域的Bean、事务管理、任务调度、AOP等模块都出现了它们的身影,起着举足轻重的作用。要想了解Spring事务管理的底层技术,ThreadLocal是必须攻克的山头堡垒。

ThreadLocal是什么

早在JDK 1.2的版本中就提供java.lang.ThreadLocal,ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。

ThreadLocal很容易让人望文生义,想当然地认为是一个“本地线程”。其实,ThreadLocal并不是一个Thread,而是Thread的局部变量,也许把它命名为ThreadLocalVariable更容易让人理解一些。

当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。

======================================================源码太多, 有些人说看源码是一种享受,很少吧