SecurityUtils是一個抽象的工具類，提供了 SecurityManager 例項的儲存和獲取的方法，以及建立Subject的方法。 一、SecurityUtils中的方法 SecurityUtils提供了 getSecurityManager()和setSecurityManager外，還有個特別的方法 getSubject()，這是獲取subject的最有效的途徑。 下面是 SecurityUtils 提供的三個方法：

1. public static void setSecurityManager(SecurityManager securityManager) {
2. SecurityUtils.securityManager = securityManager;
3. }

1. public static SecurityManager getSecurityManager() throws UnavailableSecurityManagerException {
2. SecurityManager securityManager = ThreadContext.getSecurityManager();
3. if (securityManager == null) {
4. securityManager = SecurityUtils.securityManager;
5. }
6. if (securityManager == null) {
7. String msg = "No SecurityManager accessible to the calling code, either bound to the " +
8. ThreadContext.class.getName() + " or as a vm static singleton. This is an invalid application " +
9. "configuration.";
10. throw new UnavailableSecurityManagerException(msg);
11. }
12. return securityManager;
13. }

1. public static Subject getSubject() {
2. Subject subject = ThreadContext.getSubject();
3. if (subject == null) {
4. subject = (new Subject.Builder()).buildSubject();
5. ThreadContext.bind(subject);
6. }
7. return subject;
8. }

實際上，建立的subject的工作還是由 SecurityManager 來完成的。 Buidler是在 Subject的內類，在Buidler中通過SecurityUtils 獲取到了 SecurityManager ，呼叫buildSubject()。 在buildSubject()中呼叫了 securityManager.createSubject()方法(由SecurityManager 的子類DefaultSecurityManager 的 實現createSubject())，完成subject建立的。 二、最終subject建立的程式碼 DefaultSecurityManager 例項化的時候，生成了 SubjectFactory子類DefaultSubjectFactory 例項的屬性。 DefaultSecurityManager的createSubject()方法 呼叫 DefaultSubjectFactory 的 createSubject()方法最終完成了subject 的建立： 下面是 DefaultSubjectFactory 中createSubject()方法的程式碼：

1. public Subject createSubject(SubjectContext context) {
2. SecurityManager securityManager = context.resolveSecurityManager();
3. Session session = context.resolveSession();
4. boolean sessionCreationEnabled = context.isSessionCreationEnabled();
5. PrincipalCollection principals = context.resolvePrincipals();
6. boolean authenticated = context.resolveAuthenticated();
7. String host = context.resolveHost();
8. return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
9. }

可見，subject的最終例項是 DelegatingSubject的例項，並且包含host,authenticated,principals,securityManager等豐富的資訊。