Spring Security SecurityContextHolder组件

在本篇博客中，我们将讨论 Spring Security 的 SecurityContextHolder 组件，包括其实现方式、关键特性，并通过实际示例进行说明。

理解 SecurityContextHolder

SecurityContextHolder 是 Spring Security 存储当前安全上下文详细信息的地方。这个上下文包括：

当前已认证的用户
用户的授予权限
其他相关安全细节

SecurityContextHolder 在 Spring Security 的认证和授权过程中起着核心作用，使开发者能够在应用程序的任何地方访问用户的当前安全上下文。

SecurityContextHolder 的关键特性

全局访问：它允许全局访问当前的认证详细信息。
线程局部存储：默认情况下，它将认证详细信息存储在线程局部变量中，确保安全上下文隔离到各个线程。
上下文传播：它支持安全上下文在不同线程间的传播，这对于异步处理至关重要。

SecurityContextHolder 的工作原理

SecurityContextHolder 使用 SecurityContext 来持有表示当前已认证用户的 Authentication 对象。Authentication 对象包含：

主体（Principal）
凭证（Credentials）
授予权限（Granted Authorities）

当用户认证成功后，Spring Security 会更新 SecurityContextHolder 中的认证详细信息。在整个请求生命周期中，应用程序可以通过 SecurityContextHolder 访问这些认证详细信息，以便进行安全相关的决策。

存储安全上下文的策略

Spring Security 提供了几种存储安全上下文的策略：

MODE_THREADLOCAL：默认策略，将上下文存储在线程局部变量中。
MODE_INHERITABLETHREADLOCAL：支持子线程继承父线程的安全上下文。
MODE_GLOBAL：全局上下文，但由于潜在的安全风险，很少使用。

使用示例

示例 1：访问已认证用户的详细信息

一个常见的用例是在控制器或服务中访问已认证用户的详细信息，如用户名或角色。

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
String username = authentication.getName();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

这段代码从 SecurityContextHolder 中获取当前的 Authentication 对象，从而访问已认证用户的用户名和权限。

示例 2：手动设置认证信息

在某些情况下，您可能需要手动设置 SecurityContextHolder 中的 Authentication 对象，例如在测试或程序化认证时。

Authentication authentication = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authentication);

这里创建了一个新的 Authentication 对象，并将其设置到 SecurityContextHolder 中，从而在当前上下文中认证用户。

示例 3：使用认证信息保护方法

存储在 SecurityContextHolder 中的认证详细信息也可以用于保护方法，例如基于用户的角色限制方法的执行。

public void sensitiveAction() {Authentication authentication = SecurityContextHolder.getContext().getAuthentication();if (authentication.getAuthorities().contains(new SimpleGrantedAuthority("ROLE_ADMIN"))) {// 执行敏感操作} else {throw new AccessDeniedException("此操作仅限管理员执行。");}
}