码迷,mamicode.com
首页 > 编程语言 > 详细

SpringSecurity核心组件

时间:2015-03-17 15:52:04      阅读:253      评论:0      收藏:0      [点我收藏+]

标签:

SecurityContextHolder, SecurityContext和Authentication

SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。

SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL,前者表示SecurityContextHolder对象的全局的,应用中所有线程都可以访问;后者用于线程有父子关系的情境中,线程希望自己的子线程和自己有相同的安全性。

大部分情况下我们不需要修改默认的配置,ThreadLocal是最常用也是最合适大部分应用的。

获得认证主体信息

我们可以用下面的代码段获得认证的主体信息

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
  String username = ((UserDetails)principal).getUsername();
} else {
  String username = principal.toString();
}
第一行代码返回的是一个UserDetails类型的实例,其中包含了username,password和权限等信息,当然,我们也可以通过实现这个接口自定义我们自己的UserDetails实例,给我们自己的应用使用,以符合需要的业务逻辑。

UserDetailsService

上面说到可以自定义UserDetails实例,我们怎么获得这个实例呢,就需要通过UserDetailsService来实现,这个接口只有一个方法

UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
这个方法接受一个用户名参数,返回UserDetails实例。

认证成功之后,UserDetails对象用来构建Authentication对象并存放在SecurityContextHolder中,所以,我们需要的用户信息都可以通过SecurityContextHolder拿到。

GrantedAuthority

Authentication对象还提供了getAuthorities方法,获取用户被赋予的权限,权限通常对应着角色,什么角色对应着什么样的访问权限,例如ADMIN_ROLE可以访问/admin下的内容,其他角色则无权访问。

GrantedAuthority对象也通常由UserDetailsService实例获取。

总结

我们上面提到了如下几个对象:

SecurityContextHolder:提供对SecurityContext的访问
SecurityContext,:持有Authentication对象和其他可能需要的信息
Authentication:Spring Security方式的认证主体
GrantedAuthority:对认证主题的应用层面的授权
UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
UserDetailsService:通过username构建UserDetails对象

SpringSecurity核心组件

标签:

原文地址:http://blog.csdn.net/ro_wsy/article/details/44341547

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!