SpringSecurity核心组件

SecurityContextHolder, SecurityContext和Authentication

SecurityContextHolder是SpringSecurity最基本的组件了，是用来存放SecurityContext的对象，默认是使用ThreadLocal实现的，这样就保证了本线程内所有的方法都可以获得SecurityContext对象。

SecurityContextHolder还有其他两种模式，分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL，前者表示SecurityContextHolder对象的全局的，应用中所有线程都可以访问；后者用于线程有父子关系的情境中，线程希望自己的子线程和自己有相同的安全性。

大部分情况下我们不需要修改默认的配置，ThreadLocal是最常用也是最合适大部分应用的。

获得认证主体信息

我们可以用下面的代码段获得认证的主体信息

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (principal instanceof UserDetails) {  String username = ((UserDetails)principal).getUsername();} else {  String username = principal.toString();}

第一行代码返回的是一个UserDetails类型的实例，其中包含了username，password和权限等信息，当然，我们也可以通过实现这个接口自定义我们自己的UserDetails实例，给我们自己的应用使用，以符合需要的业务逻辑。

UserDetailsService

上面说到可以自定义UserDetails实例，我们怎么获得这个实例呢，就需要通过UserDetailsService来实现，这个接口只有一个方法

UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

这个方法接受一个用户名参数，返回UserDetails实例。

认证成功之后，UserDetails对象用来构建Authentication对象并存放在SecurityContextHolder中，所以，我们需要的用户信息都可以通过SecurityContextHolder拿到。

GrantedAuthority

Authentication对象还提供了getAuthorities方法，获取用户被赋予的权限，权限通常对应着角色，什么角色对应着什么样的访问权限，例如ADMIN_ROLE可以访问/admin下的内容，其他角色则无权访问。

GrantedAuthority对象也通常由UserDetailsService实例获取。

总结

我们上面提到了如下几个对象：

SecurityContextHolder：提供对SecurityContext的访问
SecurityContext,：持有Authentication对象和其他可能需要的信息
Authentication：Spring Security方式的认证主体
GrantedAuthority：对认证主题的应用层面的授权
UserDetails：构建Authentication对象必须的信息，可以自定义，可能需要访问DB得到
UserDetailsService：通过username构建UserDetails对象