Spring Security4源码解读探寻权限机制

我们知道springSecurity 会在用户登录的时候获取用户的角色权限， 你是一个普通用户可能没有管理员拥有的权限。用户登录后Authentication 获取用户的权限。 不通用户登录系统会生成各自Authentication

那么这个 Authentication 存在哪 呢？服务端？那100万 个用户都同时登录，系统如何区分哪个 Authentication是哪个用户的？

测试。使用两个账号，分布登录两个不通浏览器。一个是火狐，一个是谷歌。控制台分别打印出

==========================两个角色互不干扰。

这个授权是在调用登录接口时候验证的。

我的疑惑是如果是 存在内存里，内存怎么识别哪个用户哪个角色。

其他接口调用，使用AuthUtil 获取权限的时候， 没有在去授权

难道存在客户端的cookie？

现在一个测试浏览器 两个窗口打开， 登录两个不同的账号 ，结果不同角色不同权限。

好吧， 开始看源码吧。

先看我自定义的授权接口：

返回一个UsernamePasswordAuthenticationToken 对象，存储了用户名。 密码。权限

点进去

顶级接口AbstractAuthenticationToken

点进去

AbstractAuthenticationToken 这个抽象类， 实现了两个接口Authentication // CredentialsContainer

CredentialsContainer 接口点击进去

CredentialsContainer 谷歌翻译   凭据容器  难道是所有的授权存在这里？看了它 的方法， 只有一个， void eraseCredentials();  清除凭证

=====================先不探究

看下 另一个接口 Authentication

实现了Serializable 接口 。序列化对象。

好吧还是看不懂， 那看获取权限另一种方式， 不是AuthUtil

看下SecurityContextHolder 源码

有个静态方法     initialize();

看下这个方法

第一个 if判断 返回一个空

strategyName = MODE_THREADLOCAL;

THREADLOCAL 线程局部变量

每一个线程都可以独立地改变自己的副本，而不会和其它线程的副本冲突。

继续往下面看：

这里跳转：

返回一个对象 ThreadLocalSecurityContextHolderStrategy

声明一个ThreadLocal

存储的是对象

================================

重点是这个set 方法， 看看被哪些 调用

被七个方法调用：

卧槽，

第一个

看看父类 AbstractSecurityInterceptor 抽象权限过滤器， 应该不是这个时候存进去的。

第二个 

DelegatingSecurityContextCallable  委派权限上下文对象， 看着也不像。

第三个

谷歌翻译 是消化授权过滤器， 应该不是这个时候存的

第四个

权限上下文持久化过滤器

看到持久化，赶紧点进去==》

response 里面拿？我记得我授权之后不是扔到response里面

继续看下五个

抽象权限拦截器， 这个更不是了

第六个

上下文进程拦截器。 马丹还不是。

第七个

委派权限上下文接口

这个线程好像也不是，现在似乎都很迷糊。

好吧还是研究UsernamePasswordAuthenticationToken

最终找到了，好吧， 这个 就是最终的设置方法了

来看他的源码：

原来是这样的。

==============================================================================================================

现在大概明白了 原理：

1 、用户密码用户名验证。

2 、授权通过，会放到threadLocal。

疑惑： 某个用户调用某个方法，获取方法，怎么判断他就是那个用户？

多个用户调用服务器这段代码， 获取不一样的角色怎么做到的！！！！

ThreadLocal在Spring中发挥着重要的作用，在管理request作用域的Bean、事务管理、任务调度、AOP等模块都出现了它们的身影，起着举足轻重的作用。要想了解Spring事务管理的底层技术，ThreadLocal是必须攻克的山头堡垒。

ThreadLocal是什么

早在JDK 1.2的版本中就提供java.lang.ThreadLocal，ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。

ThreadLocal很容易让人望文生义，想当然地认为是一个“本地线程”。其实，ThreadLocal并不是一个Thread，而是Thread的局部变量，也许把它命名为ThreadLocalVariable更容易让人理解一些。

当使用ThreadLocal维护变量时，ThreadLocal为每个使用该变量的线程提供独立的变量副本，所以每一个线程都可以独立地改变自己的副本，而不会影响其它线程所对应的副本。

======================================================源码太多， 有些人说看源码是一种享受，很少吧