前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >Spring Security权限框架理论与实战(二)-常用权限拦截器1 SecurityContextPersistenceFilter

Spring Security权限框架理论与实战(二)-常用权限拦截器1 SecurityContextPersistenceFilter

作者头像
JavaEdge
发布2018-11-07 11:21:48
1.8K0
发布2018-11-07 11:21:48
举报
文章被收录于专栏:JavaEdgeJavaEdgeJavaEdge

1 SecurityContextPersistenceFilter

通过观察Filter的名字,就能大概猜出来这个过滤器的作用,持久化SecurityContext实例 org.springframework.security.web.context.SecurityContextPersistenceFilter

该 Filter 位于过滤器的顶端,所有过滤器的入口

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (request.getAttribute(FILTER_APPLIED) != null) {
            // 确保对于每个请求只应用一次过滤器
            chain.doFilter(request, response);
            return;
        }

        final boolean debug = logger.isDebugEnabled();

        request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

        if (forceEagerSessionCreation) {
            HttpSession session = request.getSession();

            if (debug && session.isNew()) {
                logger.debug("Eagerly created session: " + session.getId());
            }
        }
        // 将 request/response 对象交给该对象维护  
        HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,response);
        //通过SecurityContextRepository接口的实现类装载SecurityContext实例  
        //HttpSessionSecurityContextRepository将产生SecurityContext实例的任务交给SecurityContextHolder.createEmptyContext()  
        //SecurityContextHolder再根据策略模式的不同,  
        //把任务再交给相应策略类完成SecurityContext的创建  
        //如果没有配置策略名称,则默认为  
        //ThreadLocalSecurityContextHolderStrategy,  
        //该类直接通过new SecurityContextImpl()创建实例
        SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

        try {
            //将产生的SecurityContext再通过SecurityContextHolder->  
            //ThreadLocalSecurityContextHolderStrategy设置到ThreadLocal 
            SecurityContextHolder.setContext(contextBeforeChainExecution);
            //继续把请求流向下一个过滤器执行  
            chain.doFilter(holder.getRequest(), holder.getResponse());

        }
        finally {
            // 所有过滤器执行完后

            //先从SecurityContextHolder获取SecurityContext实例  
            SecurityContext contextAfterChainExecution = SecurityContextHolder
                    .getContext();
            //关键性地除去SecurityContextHolder内容 - 在任何事情之前执行此操作
            //再把SecurityContext实例从SecurityContextHolder中清空
                        //若没有清空,会受到服务器的线程池机制的影响  
            SecurityContextHolder.clearContext();
            //将SecurityContext实例持久化到session中 
            repo.saveContext(contextAfterChainExecution, holder.getRequest(),
                    holder.getResponse());
            request.removeAttribute(FILTER_APPLIED);

            if (debug) {
                logger.debug("SecurityContextHolder now cleared, as request processing completed");
            }
        }
    }

该Filter的作用主要是创建一个空的SecurityContext(如果session中没有SecurityContext实例),然后持久化到session中

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2018.10.20 ,如有侵权请联系 cloudcommunity@tencent.com 删除
其他

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

其他
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 1 SecurityContextPersistenceFilter
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论