写作目的

最近在学习SpringSecurity，中间就遇到了一个问题：我在浏览器中第一次输入localhost:8080/hello，提示我没有登陆，自动跳转到登陆页面，等我登陆成功后，我在输入localhost:8080/hello,就成功访问了，验证第二次的时候，验证信息是存储在哪呢？

案例代码

https://gitee.com/cbeann/Demooo/tree/master/springboot-security-demo

源码分析

初始化

我们从WebSecurityConfiguration类的加载开始，因为这个类带有@Configuration，从这里出发也说的过去。这个类有一个带有@Autowired的方法，所以在Bean的生命周期的里会执行这个方法，执行这个方法的时候会执行this.webSecurity=xxx ，创建webSecurity。

然后创建SpringSecurityFilterChain对象，并且name 等于常量 "springSecurityFilterChain"

其中springSecurityFilterChain的类型是FilterChainProxy，里面有一个类型是DefaultSecurityChain属性filterChains，filterChains里包含11个默认的Filter。

登陆验证过程

在浏览器中输入http://localhost:8080/login  （这个地址是/login是配置的），跳转到登陆页面；输入正确的用户名（zhangsan）和密码（123456）后，我们看这个请求的执行流程。

我们从DelegatingFilterProxy.doFilter()开始，首先获取applicationContext,然后从applicationContext中获取DefalutSecurityFilterChain（包含11个Filter）

把11个Security Filter 和FilterChain 封装成VirtualFilterChain,执行VirtualFilterChain.doFilter()方法

获取SecurityContext对象。session存在并且session.getAttribute("SPRING_SECURITY_CONTEXT")!=null,返回SecurityContxt;

否则创建一个新的SecurityContext。

并且把SecurityContext放在SecurityContextHolder(ThreadLocal)中。

AbstractAuthenticationProcessingFilter.doFilter（）方法里面做了认证，并且有认证成功后的 自定义处理逻辑

认证成功后。把认证成功的信息保存在session中

获取用户信息

@RequestMapping("/hello")
    @ResponseBody
    public String hello(Authentication authentication) {
        System.out.println(authentication.getName());
        return "hello security";
    }

    @RequestMapping("/hello2")
    @ResponseBody
    public String hello2(Authentication authentication) {
        String username = SecurityContextHolder.getContext().getAuthentication().getName();
        return "hello security2";
    }

我们可以在controller层获取，也可以在SecurityContextHolder(ThreadLocal)中获取。

为什么可以在 SecurityContextHolder中获取，因为每次请求都会在session中获取认证信息，并且保存在ThreadLocal中。

拓展

request.getSession(true/false)的区别

HttpServletRequest.getSession(ture)等同于 HttpServletRequest.getSession() 
HttpServletRequest.getSession(ture)表示如果有session返回，没有创建一个返回
HttpServletRequest.getSession(false)表示如果有session返回，没有就为null； 

ThreadLocal笔记

https://blog.csdn.net/qq_37171353/article/details/116859018

参考

https://blog.csdn.net/icarusliu/article/details/78739006

https://blog.csdn.net/u014236541/article/details/49786493

https://blog.csdn.net/qq_37171353/article/details/116859018