首页 > 代码库 > Spring Security4源码解读探寻权限机制

Spring Security4源码解读探寻权限机制

  我们知道springSecurity 会在用户登录的时候获取用户的角色权限, 你是一个普通用户可能没有管理员拥有的权限。用户登录后Authentication 获取用户的权限。 不通用户登录系统会生成各自Authentication

  那么这个 Authentication 存在哪 呢?服务端?那100万 个用户都同时登录,系统如何区分哪个 Authentication是哪个用户的?

 

 

 

测试。使用两个账号,分布登录两个不通浏览器。一个是火狐,一个是谷歌。控制台分别打印出

技术分享

 

技术分享

==========================两个角色互不干扰。

技术分享

这个授权是在调用登录接口时候验证的。

我的疑惑是如果是 存在内存里,内存怎么识别哪个用户哪个角色。

技术分享

其他接口调用,使用AuthUtil 获取权限的时候, 没有在去授权

难道存在客户端的cookie?

现在一个测试浏览器 两个窗口打开, 登录两个不同的账号 ,结果不同角色不同权限。

好吧, 开始看源码吧。

先看我自定义的授权接口:

技术分享

返回一个UsernamePasswordAuthenticationToken 对象,存储了用户名。 密码。权限

点进去

技术分享

顶级接口AbstractAuthenticationToken

点进去

技术分享

AbstractAuthenticationToken 这个抽象类, 实现了两个接口Authentication // CredentialsContainer

CredentialsContainer 接口点击进去

技术分享

 

CredentialsContainer 谷歌翻译   凭据容器  难道是所有的授权存在这里?看了它 的方法, 只有一个, void eraseCredentials();  清除凭证

=====================先不探究

看下 另一个接口 Authentication

技术分享

实现了Serializable 接口 。序列化对象。

好吧还是看不懂, 那看获取权限另一种方式, 不是AuthUtil

技术分享

 

看下SecurityContextHolder 源码

技术分享

 

有个静态方法     initialize();

看下这个方法

技术分享

 

技术分享

第一个 if判断 返回一个空

strategyName = MODE_THREADLOCAL;

 THREADLOCAL 线程局部变量

每一个线程都可以独立地改变自己的副本,而不会和其它线程的副本冲突。

继续往下面看:

这里跳转:

技术分享

返回一个对象 ThreadLocalSecurityContextHolderStrategy

 

技术分享

声明一个ThreadLocal

存储的是对象

技术分享 这里存了权限。

 

================================

技术分享

重点是这个set 方法, 看看被哪些 调用

技术分享

被七个方法调用:

卧槽,

第一个技术分享

 看看父类 AbstractSecurityInterceptor 抽象权限过滤器, 应该不是这个时候存进去的。

第二个 技术分享

DelegatingSecurityContextCallable  委派权限上下文对象, 看着也不像。

第三个

技术分享

谷歌翻译 是消化授权过滤器, 应该不是这个时候存的

第四个

技术分享

权限上下文持久化过滤器

看到持久化,赶紧点进去==》

技术分享

response 里面拿?我记得我授权之后不是扔到response里面

继续看下五个

技术分享

抽象权限拦截器, 这个更不是了

第六个

技术分享

上下文进程拦截器。 马丹还不是。

第七个

技术分享

委派权限上下文接口

技术分享

这个线程好像也不是,现在似乎都很迷糊。

 

好吧还是研究UsernamePasswordAuthenticationToken

技术分享

最终找到了,好吧, 这个 就是最终的设置方法了

来看他的源码:

技术分享

 

 

原来是这样的。

技术分享

 

==============================================================================================================

现在大概明白了 原理:

1 、用户密码用户名验证。

2 、授权通过,会放到threadLocal。

疑惑: 某个用户调用某个方法,获取方法,怎么判断他就是那个用户?

 

技术分享

多个用户调用服务器这段代码, 获取不一样的角色怎么做到的!!!!

ThreadLocal在Spring中发挥着重要的作用,在管理request作用域的Bean、事务管理、任务调度、AOP等模块都出现了它们的身影,起着举足轻重的作用。要想了解Spring事务管理的底层技术,ThreadLocal是必须攻克的山头堡垒。

ThreadLocal是什么

早在JDK 1.2的版本中就提供java.lang.ThreadLocal,ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。

ThreadLocal很容易让人望文生义,想当然地认为是一个“本地线程”。其实,ThreadLocal并不是一个Thread,而是Thread的局部变量,也许把它命名为ThreadLocalVariable更容易让人理解一些。

当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。

======================================================源码太多, 有些人说看源码是一种享受,很少吧

 

Spring Security4源码解读探寻权限机制