对于最新的稳定版本,请使用 Spring Security 6.3.3! |
对于最新的稳定版本,请使用 Spring Security 6.3.3! |
在大多数环境中,Security 是按个人存储的。
这意味着,当在 new 上完成工作时,将丢失。
Spring Security 提供了一些基础结构来帮助使其更易于管理。
Spring Security 为在多线程环境中使用 Spring Security 提供了低级抽象。
事实上,这就是 Spring Security 与 AsyncContext.start(Runnable)
和 Spring MVC 异步集成集成的基础。Thread
Thread
SecurityContext
DelegatingSecurityContextRunnable
Spring Security 的并发支持中最基本的构建块之一是 .
它包装一个委托,以使用为委托指定的 来初始化 。
然后,它会调用 delegate ,确保清除 after.
它看起来像这样:DelegatingSecurityContextRunnable
Runnable
SecurityContextHolder
SecurityContext
Runnable
SecurityContextHolder
DelegatingSecurityContextRunnable
public void run() {
try {
SecurityContextHolder.setContext(securityContext);
delegate.run();
} finally {
SecurityContextHolder.clearContext();
}
}
虽然非常简单,但它可以无缝地从一个转移到另一个。
这很重要,因为在大多数情况下,这些行为是按个人进行的。
例如,您可能已经使用了 Spring Security 的 <global-method-security>
支持来保护您的一项服务。
您现在可以将 current 的 转移到调用 secured 服务的 。
以下示例显示了如何执行此操作:SecurityContext
Thread
SecurityContextHolder
Thread
SecurityContext
Thread
Thread
Runnable originalRunnable = new Runnable() {
public void run() {
// invoke secured service
}
};
SecurityContext context = SecurityContextHolder.getContext();
DelegatingSecurityContextRunnable wrappedRunnable =
new DelegatingSecurityContextRunnable(originalRunnable, context);
new Thread(wrappedRunnable).start();
上述代码:
-
创建一个调用我们的安全服务。 请注意,它不知道 Spring Security。
Runnable
-
从 中获取我们希望使用的 ,并初始化 .
SecurityContext
SecurityContextHolder
DelegatingSecurityContextRunnable
-
使用 创建 .
DelegatingSecurityContextRunnable
Thread
-
启动 we created.
Thread
由于通常使用 from the 创建 a,因此有一个快捷方式构造函数。
以下代码与上述代码具有相同的效果:DelegatingSecurityContextRunnable
SecurityContext
SecurityContextHolder
Runnable originalRunnable = new Runnable() {
public void run() {
// invoke secured service
}
};
DelegatingSecurityContextRunnable wrappedRunnable =
new DelegatingSecurityContextRunnable(originalRunnable);
new Thread(wrappedRunnable).start();
我们拥有的代码易于使用,但它仍然需要知道我们正在使用 Spring Security。
在下一节中,我们将了解如何利用它来隐藏我们正在使用 Spring Security 的事实。DelegatingSecurityContextExecutor
DelegatingSecurityContextExecutor
在上一节中,我们发现它很容易使用 ,但并不理想,因为我们必须了解 Spring Security 才能使用它。
现在我们看看如何保护我们的代码免受我们正在使用 Spring Security 的任何知识的影响。DelegatingSecurityContextRunnable
DelegatingSecurityContextExecutor
的设计与 的设计类似,只是它接受委托而不是委托。
以下示例演示如何使用它:DelegatingSecurityContextExecutor
DelegatingSecurityContextRunnable
Executor
Runnable
SecurityContext context = SecurityContextHolder.createEmptyContext();
Authentication authentication =
UsernamePasswordAuthenticationToken.authenticated("user","doesnotmatter", AuthorityUtils.createAuthorityList("ROLE_USER"));
context.setAuthentication(authentication);
SimpleAsyncTaskExecutor delegateExecutor =
new SimpleAsyncTaskExecutor();
DelegatingSecurityContextExecutor executor =
new DelegatingSecurityContextExecutor(delegateExecutor, context);
Runnable originalRunnable = new Runnable() {
public void run() {
// invoke secured service
}
};
executor.execute(originalRunnable);
此代码:
请注意,在此示例中,我们将手动创建 .
但是,我们从何处或如何获得 并不重要(例如,我们可以从 中获得它)。
* 创建一个负责执行提交的对象的 。
* 最后,我们创建一个 ,它负责用 .
然后,它将 wrapped 传递给 .
在这种情况下,对提交到我们的 .
如果我们运行需要由具有提升权限的用户运行的后台任务,这很好。
* 此时,您可能会问自己,“这如何保护我的代码免受 Spring Security 的任何知识?我们可以注入一个已经初始化的 .SecurityContext
SecurityContext
SecurityContextHolder
delegateExecutor
Runnable
DelegatingSecurityContextExecutor
Runnable
execute
DelegatingSecurityContextRunnable
Runnable
delegateExecutor
SecurityContext
Runnable
DelegatingSecurityContextExecutor
SecurityContext
DelegatingSecurityContextExecutor
DelegatingSecurityContextExecutor
请考虑以下示例:
@Autowired
private Executor executor; // becomes an instance of our DelegatingSecurityContextExecutor
public void submitRunnable() {
Runnable originalRunnable = new Runnable() {
public void run() {
// invoke secured service
}
};
executor.execute(originalRunnable);
}
现在我们的代码不知道 the 正在传播到 ,则运行和 the 被清除。
在此示例中,使用同一用户运行每个线程。
如果我们想在调用 process 时使用 user(即当前登录的用户)怎么办?
您可以通过从构造函数中删除参数来实现:SecurityContext
Thread
originalRunnable
SecurityContextHolder
SecurityContextHolder
executor.execute(Runnable)
originalRunnable
SecurityContext
DelegatingSecurityContextExecutor
SimpleAsyncTaskExecutor delegateExecutor = new SimpleAsyncTaskExecutor();
DelegatingSecurityContextExecutor executor =
new DelegatingSecurityContextExecutor(delegateExecutor);
现在,无论何时运行,它首先由 获取,然后用于创建我们的 。
这意味着我们正在使用用于调用代码的同一用户运行我们的。executor.execute(Runnable)
SecurityContext
SecurityContextHolder
SecurityContext
DelegatingSecurityContextRunnable
Runnable
executor.execute(Runnable)
Spring Security 并发类
有关与 Java 并发 API 和 Spring Task 抽象的其他集成,请参阅 Javadoc。 一旦您理解了前面的代码,它们就不言自明了。