Spring-Security 核心类详解一_security中几个核心的概念-CSDN博客

本文链接：https://blog.csdn.net/MSDA/article/details/108846086

本文详细介绍了Spring-Security的核心类，包括SecurityContextHolder、Authentication、AuthenticationManager和AuthenticationProvider。SecurityContextHolder使用ThreadLocal保存SecurityContext，提供全局访问用户认证信息的方式。Authentication接口表示用户认证信息，AuthenticationManager通过AuthenticationProvider列表处理认证请求，实现灵活的认证策略。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. Spring-Security 核心类图

在这里插入图片描述

2. 核心类说明

2.1. SecurityContextHolder

SecurityContextHolder 是用来保存 SecurityContext 的。SecurityContext 中含有当前正在访问系统的用户的详细信息。默认情况下，SecurityContextHolder 将使用 ThreadLocal 来保存 SecurityContext，这也就意味着在处于同一线程中的方法中我们可以从 ThreadLocal 中获取到当前的 SecurityContext。因为线程池的原因，如果我们每次在请求完成后都将 ThreadLocal 进行清除的话，那么我们把 SecurityContext 存放在 ThreadLocal 中还是比较安全的。这些工作 Spring Security 已经自动为我们做了，即在每一次 request 结束后都将清除当前线程的 ThreadLocal。

SecurityContextHolder 中定义了一系列的静态方法，而这些静态方法内部逻辑基本上都是通过 SecurityContextHolder 持有的 SecurityContextHolderStrategy 来实现的，如 getContext()、setContext()、clearContext()等。而默认使用的 strategy 就是基于 ThreadLocal 的。而默认使用的 strategy 就是基于 ThreadLocal 的 ThreadLocalSecurityContextHolderStrategy。除了ThreadLocalSecurityContextHolderStrategy，Spring-security还定义了两种类型的Strategy实现。

2.1.1. GlobalSecurityContextHolderStrategy

表示全局使用同一个 SecurityContext，如 C/S 结构的客户端

2.1.2. InheritableThreadLocalSecurityContextHolderStrategy

InheritableThreadLocal 来存放 SecurityContext，即子线程可以使用父线程中存放的变量。

一般而言，我们使用默认的 strategy 就可以了，但是如果要改变默认的 strategy，Spring Security 为我们提供了两种方法，这两种方式都是通过改变 strategyName 来实现的。SecurityContextHolder 中为三种不同类型的 strategy 分别命名为 MODE_THREADLOCAL、MODE_INHERITABLETHREADLOCAL 和 MODE_GLOBAL。第一种方式是通过 SecurityContextHolder 的静态方法 setStrategyName() 来指定需要使用的 strategy；第二种方式是通过系统属性进行指定，其中属性名默认为 “spring.security.strategy”，属性值为对应 strategy 的名称。

2.2. Authentication

Authentication 是一个接口，用来表示用户认证信息的，在用户登录认证之前相关信息会封装为一个 Authentication 具体实现类的对象，在登录认证成功之后又会生成一个信息更全面，包含用户权限等信息的 Authentication 对象，然后把它保存在 SecurityContextHolder 所持有的 Secu