Spring Security(maven项目) 3.0.2.4版本

前言：

通过实践而发现真理，又通过实践而证实真理和发展真理。从感性认识而能动地发展到理性认识，又从理性认识而能动地指导革命实践，改造主观世界和客观世界。实践、认识、再实践、再认识，这种形式，循环往复以至无穷，而实践和认识之每一循环的内容，都比较地进到了高一级的程度

温故知新：

正片：

第四篇：认识SpringSecurity认证框架（下）

第五篇：

第四篇：认识SpringSecurity认证框架（下）

标题为Access Currently Authenticated User——访问当前已验证的用户

在上一期，我们体验官方的Security认证模型（框架），如何定义的

在这一期，我们将体验SecurityContextHolder承担完登录，认证后的内容

逻辑推演：

认证完后的内容，存储在SecurityContextHolder内的SecurityContext中的Authentication中

那么，我们要读出存储在Authenticaiton的内容该怎么办？

第一：获取SecurityContext内容

第二：获取Authentication的内容

第三：获取详细信息

发现没，这就是创建的倒用，对比一下

第一：通过SecurityContextHolder创建EMptyContext内容

第二：创建Authenticaiton详细认证内容

第三：将Authentication设置为Context内容

第四：将Context内容设置为SecurityContextHolder内容

其中第三与第四可以合成一步，但是在官方文档中是不建议这么做的，因为会导致线程竞争

看到官方的示例

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
String username = authentication.getName();
Object principal = authentication.getPrincipal();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

第一步：获取SecurityContext ✔

第二步：获取Authentication ✔

第三步：针对需要的内容去获取剩下的三部分 ✔

对比自定义Context

SecurityContext context = SecurityContextHolder.createEmptyContext();
Authentication authentication =
		new TestingAuthenticationToken("username", "password", "ROLE_USER");
context.setAuthentication(authentication);

SecurityContextHolder.setContext(context);

第一步：创建EmptyContext

第二步：创建Authentication

第三步：设置ContextHolder

在对比中，我们可以发现，Authenticaiton认证是基于SecurityContext的，而SecurityContext是基于SecurityContextHolder

也是十分符合认证框架图，SecurityContextHolder在最底层，Authentication在最顶层，在这一期，我们将体验SecurityContextHolder在完成一个完整的认证循环后的内容

这么大费周章的去描述这个内容，为了更好看懂下面这个BUG

在运行这段代码时，我们碰见了Security第一个报错

Exception in thread "main" java.lang.NullPointerException: Cannot invoke "org.springframework.security.core.Authentication.getName()" because "authentication" is null

线程 “main” java.lang.NullPointerException 中出现异常：无法调用 “org.springframework.security.core.Authentication.getName（）”，因为 “authentication” 为 null

为什么会导致该内容为空的？

因为SecurityContextHolder没接受到认证用户信息，导致Context为空，最终导致Authentication为空！

知道了为什么报错，就知道怎么解决

这里作者想到了三种

第一种：SecurityContextHolder成功接受内容

第二种：自定义一个登录认证代码，完成SecurityContextHolder

这两种方法都离不开SecurityCOntextHolder，因为没有Holder就没有Context，懂不懂Security authentication认证地基含金量！

实践

第一种：让SecurityContextHolder成功接受内容

        答案：因为报错，无法运行客户端，导致无法接受信息，死局！

第二种：自定义一个登入认证代码

        答案：由于作者水平，导致无法实践

那这个就不能管了吗？有一句话说的好，发现问题是代码你有能力，解决问题靠的是态度，而不是技术！

我就在第一种方法上，修改了，既然没办法直接调用，因为Holder必为空，也就是死局，那我能不能让他先登录，再去调用呢？

结合上MVC框架，哦，懂了，我们可以将这段内容编写成一个接口，先完成登录功能，再去调用接口，接口再去完成Holder → context →Authentication的循环，返回Context

理论可行，实践开始

实践结果

打印出来了，和创建时的差不多

差不多，代表了，代码也差不多

废话，打印的都是基于Authenticaion的，能差不多吗！！！！！！！

疑问，既然能打印出单独的属性，那么我直接打印context可以吗？

实践开始

内容SecurityContextImpl [Authentication=UsernamePasswordAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=user, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, CredentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=127.0.0.1, SessionId=1D1D1BFC6CA26B03307193822580EAAD], Granted Authorities=[]]]

Contest里面包含很多内容

既然可以打印这个，不妨试试Authentication的全部GEt方法的内容

我们打印了Authentication的区别内容+Context

发现没，这个用户名和密码是不属于用户明细的

代码运行完了，下面的说明没啥好看的，总结下来就两个字，勿动，六个字，勿动默认配置

总结：第四篇上下

第一：Security认证架构（专业点，模板阿，框架阿，都差不多）一切基于SecurityContextHolder，Authentication基于Context

第二：解决问题靠的是态度，而不是能力