SecurityContextHolderAwareRequestFilter

• 1、目的与作用
• 2、工作原理
• 3、配置和作用
• 4、 使用场景
• 5、与其他过滤器的关系
• 6、配置示例

SecurityContextHolderAwareRequestFilter 是一个负责为每个 HTTP 请求提供 SecurityContext 相关信息的过滤器。它的主要功能是确保通过 SecurityContextHolder 获取的 Authentication 对象（即当前用户的认证信息）能被正确地绑定到 HTTP 请求中，提供对当前用户身份信息的访问。

1、目的与作用

SecurityContextHolderAwareRequestFilter 的核心作用是通过将 SecurityContext 中的认证信息（如当前用户）与 HttpServletRequest 关联起来，便于在请求处理过程中访问当前认证的用户。它通常用于提供一种方式来检查用户是否已经认证、获取当前用户的角色或其他认证信息。

2、工作原理

SecurityContextHolderAwareRequestFilter 工作的原理是在请求的生命周期内将 SecurityContextHolder 中的 Authentication 对象绑定到请求上。它通过向 HttpServletRequest 添加一个 SecurityContext 相关的 wrapper，使得应用中的任何地方都可以访问当前的认证信息。

• 请求过滤：每当 HTTP 请求到达时，SecurityContextHolderAwareRequestFilter 会检查 SecurityContextHolder 中的认证对象，通常是 Authentication 对象（如果存在）。如果认证对象存在，它将该对象封装在请求中，使得后续处理链中的组件能够访问该认证信息。
• 便捷的访问方式：使用 SecurityContextHolderAwareRequestFilter 后，你可以通过标准的 HttpServletRequest API 访问认证信息。例如，request.getUserPrincipal() 可以用来访问当前用户。

3、配置和作用

通常，Spring Security 会自动配置 SecurityContextHolderAwareRequestFilter，无需进行额外的配置。这个过滤器通常会位于过滤器链中的较早位置。它的作用是确保请求中的 SecurityContext 被正确地设置，并为后续的过滤器提供认证信息。

4、 使用场景

Spring Security 通过 SecurityContextHolderAwareRequestFilter 提供了多种方式来访问当前用户的认证信息。具体场景包括：

• 获取当前用户：你可以通过 request.getUserPrincipal() 获取当前用户的身份（通常是 Authentication 对象）。例如，request.getUserPrincipal().getName() 返回的是当前用户的用户名。
• 检查用户是否已认证：通过 request.isUserInRole("ROLE_ADMIN")，你可以检查当前用户是否具备某个角色，通常用于授权控制。
• 跨层访问认证信息：在服务层或其他地方，你可以通过 HttpServletRequest 获取到认证信息，而无需直接依赖 SecurityContextHolder。

5、与其他过滤器的关系

SecurityContextHolderAwareRequestFilter 会在过滤器链中紧随其后的请求过滤器（如 FilterSecurityInterceptor）之前执行。这确保了在请求到达需要认证和授权的控制器或服务之前，SecurityContextHolder 中的认证信息已经能够被访问。

过滤器链的顺序如下：

1. SecurityContextPersistenceFilter：确保 SecurityContext 被正确存取。
2. SecurityContextHolderAwareRequestFilter：确保请求可以访问到 SecurityContext 中的认证信息。
3. 其他过滤器：如 UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter 等。
4. FilterSecurityInterceptor：用于授权控制，根据当前用户的角色/权限进行资源的访问控制。

6、配置示例

尽管 Spring Security 在默认配置中会自动启用 SecurityContextHolderAwareRequestFilter，你仍然可以通过自定义配置来控制它的位置和行为。以下是一个简单的 Spring Security 配置示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated() // 配置所有请求都需要认证
            .and()
            .formLogin()  // 启用表单登录
                .permitAll()
            .and()
            .httpBasic().disable();  // 禁用 HTTP Basic 认证

        // 确保 SecurityContextHolderAwareRequestFilter 被启用
        http.addFilterAfter(new SecurityContextHolderAwareRequestFilter(), SecurityContextPersistenceFilter.class);

        return http.build();
    }
}

在这个例子中，SecurityContextHolderAwareRequestFilter 被手动添加到过滤器链中，并位于 SecurityContextPersistenceFilter 之后。SecurityContextPersistenceFilter 确保了在请求到达时，SecurityContext 已经存在，并且包含有效的认证信息。