在Spring Security3.0以后,spring-security-core jar包的内容被剥离到最小化。它不再包含任何与web-application security、LDAP或命名空间配置相关的代码。我们将在这里查看到核心模块中可以找到的一些Java类型。它们代表了框架的组成部分,因此,如果您需要编写比简单的命名空间配置更好的代码,那么了解它们是什么很重要,即使您实际上不需要直接与它们交互。
SecurityContextHolder
最基本的对象是SecurityContextHolder。这里我们存储应用程序当前安全上下文的详细信息,其中包括当前使用应用程序的主体的详细信息。默认情况下SecurityContextHolder使用ThreadLocal去存储这些详细信息,这意味着安全上下文始终可用于同一执行线程中的方法,即使安全上下文没有作为参数显式传递给这些方法。如果在处理当前主体的请求之后清除线程,以这种方式使用ThreadLocal局部变量是非常安全的。当然,Spring Security会自动为你处理这一问题,所以您无需担心它。
有些应用程序并不完全适合使用ThreadLocal,因为它们使用线程的特定方式。例如,一个Swing客户端可能希望Java虚拟机中的所有线程使用相同的安全上下文。在你应用启动时可以使用一个策略配置SecurityContextHolder,以指定你希望如何存储上下文。对于一个独立的应用程序,您可以使用SecurityContextHolder.MODE_GLOBAL的策略。其他应用程序可能希望安全线程生成的线程也具有相同的安全标识,可以通过使用SecurityContextHolder.MODE_INHERITABLETHREADLOCAL的策略。你可以从默认的SecurityContextHolder.MODE_THREADLOCAL两种方式去改变。第一种方式是通过设置一个system property,第二种方式是在SecurityContextHolder中调用静态方法SecurityContextHolder.setStrategyName(策略方式)。大多数应用程序都不需要更改默认值。
获取有关当前用户的信息
在SecurityContextHolder中,我们存储当前与应用程序交互的主体的详细信息。Spring Security使用一个Authentication对象去存储这些信息。你通常不需要自己创建一个Authentication对象,但是对于查看一个用户的Authentication对象信息是相当常见的。你可以在应用的任意位置使用以下代码去获取当前授权通过的用户信息:
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
String username = ((UserDetails)principal).getUsername();
} else {
String username = principal.toString();
}
调用getContext()返回的对象是SecurityContext 接口的实例。这是保存在ThreadLocal存储中的对象。正如我们将在下面看到的,大多数使用Spring Security的身份验证机制都会将UserDetails的实例作为主体返回。
UserDetailsService
前面说到通过SecurityContextHolder对象可以获取Authentication对象。大多数情况下我们可以将这个对象强制转化为UserDetails对象。UserDetails是Spring Security的核心接口。它代表一个主体,但以可扩展和特定于应用程序的方式表示。将UserDetails看作是你自己的用户数据库之间的适配器,以及SecurityContextHolder内部的Spring Security信息。
到目前为止,您可能还在想,我什么时候才能提供UserDetails对象呢?我该怎么做?此接口上的唯一方法接受基于字符串的用户名参数并返回UserDetails:
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
这是在Spring Security范围内为用户加载信息的最常见方法,每当需要有关用户的信息时,您将看到它在整个框架中使用。
在一个成功的授权中UserDetails用于构建存储在SecurityContHold中的身份验证对象。
UserDetailsService经常会有一些混淆。它纯粹是对用户数据的一种DAO,除了向框架内的其他组件提供数据之外,它没有执行其他功能。特别是,它不对用户进行身份验证,这是由AuthenticationManager完成的。在许多情况下,如果需要自定义身份验证过程,那么直接实现AuthenticationProvider就可以了。
GrantedAuthority
除了主体之外,Authentication提供的另一个重要方法是getAuthorities()。此方法提供了一个GrantedAuthority对象数组。GrantedAuthority是授予一个主体权限的。这些权限通常是角色,例如ROLE_ADMINISTRATOR或者ROLE_HR_SUPERVISOR。这些角色后来被配置为web授权、方法授权和域对象授权。Spring Security可以拦截请求,从而判断该请求的用户是否具有相关的GrantedAuthority权限信息,这些权限信息是由UserDetailsService进行加载的。
摘要
简单地回顾一下,我们到目前为止看到的Spring Security的主要组成部分是:
- SecurityContextHolder:提供对SecurityContext的访问。
- SecurityContext:保存身份验证,并可能请求特定的安全信息。
- Authentication:以特定于Spring Security的方式表示主体。
- GrantedAuthority:描述用户的角色权限信息
- UserDetails:提供从应用程序的DAO或其他安全数据源构建身份验证对象所需的信息。
- UserDetailsService:用于创建UserDetails对象,是基于字符串的用户名加载的。
网友评论