是否需要 SecurityContextHolder

Question

我已经实现了一个特定的 Oauth 令牌。它是在客户端信息满足特定条件时创建的。当我分析之前为 jwt 编写的代码时，使用了 id 和密码。每个代码中的 contextSecurityHolder 和身份验证机制几乎相同。使用这些的主要目的是什么？ contextSecurityHolder 是否总是必要的？

这是一个示例代码：

@Component
public class JwtTokenFilter extends OncePerRequestFilter {

    @Autowired
    private TokenManager tokenManager;

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest,
                                    HttpServletResponse httpServletResponse,
                                    FilterChain filterChain) throws ServletException, IOException {

        final String authHeader = httpServletRequest.getHeader("Authorization");

        String username = null;
        String token = null;


        if (authHeader != null && authHeader.contains("Bearer")) {
            token = authHeader.substring(7);
            try {
                username = tokenManager.getUsernameToken(token);
            } catch (Exception e) {
                System.out.println(e.getMessage());
            }
        }

        if (username != null && token != null
                && SecurityContextHolder.getContext().getAuthentication() == null) {
            if (tokenManager.tokenValidate(token)) {
                UsernamePasswordAuthenticationToken upassToken =
                        new UsernamePasswordAuthenticationToken(username, null, new ArrayList<>());
                upassToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
                SecurityContextHolder.getContext().setAuthentication(upassToken);
            }
        }

        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

Answer 1

SecurityContextHolder 在ThreadLocal 上下文中保存身份验证信息（默认情况下）。它是 Spring Security 的一个基本帮助类，它提供对安全上下文的访问。您（和框架）可以访问在同一线程中运行的每个方法中的身份验证。即使您保护 url 或使用方法安全性也是必要的，但有时您在业务逻辑中也需要用户信息，您可以从那里获取它。 所以答案是肯定的，如果你使用 spring security，它总是需要的。