为什么已经有了ThreadLocal,还需要SecurityContextHolder呢?
提出一个问题:
为什么已经有了ThreadLocal,还需要有SecurityContextHolder呢?
1、SecurityContextHolder是什么
先解释一些SecurityContextHolder是什么:是SpringSecurity中的一个核心类。
它的作用是:用来管理当前线程的安全上下文对象。
2、设计出的目的是:
1、提供了方便的方式访问当前线程。——SecurityContextHolder.getContext()
2、提供了可靠方式管理安全上下文对象——内部使用ThreadLocal
3、提供了一种灵活的方式来配置和扩展安全上下文管理机制。
3、总结一下
1、SecurityContextHolder类内部可以理解成一个Thread Local集合
2、它是一个静态类,可以用来访问不同线程之间的数据
3、它在ThreadLocal上进行了更高级的封装。
通过前面3点已经可以知道为什么要有ThreadLocal了,再提出一个问题,
SecurityContextHolder在ThreadLocal上进行了哪些更高级的封装和管理?
回答:
1、封装获取和设置安全上下文对象的方法。
SecurityContextHolder 提供了静态方法 getContext() 和 setContext() 来获取和设置当前线程的安全上下文对象。这里就可以不需要之间操作ThreadLocal了。
2、自动清空安全上下文对象。
会在特定时机自动清空当前线程中的安全上下文对象。
在使用 @Async 注解或使用线程池时,SecurityContextHolder 会在每个任务或线程执行完成后自动清空安全上下文对象,以避免潜在的线程间数据共享问题。
3、支持多种安全上下文管理策略的切换。
SecurityContextHolder 可以通过配置不同的 SecurityContextHolderStrategy 实现类来支持不同的安全上下文管理策略。默认情况下,它使用 ThreadLocalSecurityContextHolderStrategy,基于 ThreadLocal 来管理安全上下文对象。但也可以根据需要,通过自定义的实现类来支持其他的策略,比如基于 InheritableThreadLocal 或外部存储介质等。
4、提供便捷的安全上下文清空方法。
SecurityContextHolder 提供了 clearContext() 方法,用于清空当前线程中的安全上下文对象。这样,在特定的场景下,我们可以手动清空安全上下文对象,以确保及时释放资源或切换用户身份等需求。