2. 程式人生 > >Spring Security Config 5.1.2 原始碼解析 -- 工具類 AutowireBeanFactoryObjectPostProcessor

Spring Security Config 5.1.2 原始碼解析 -- 工具類 AutowireBeanFactoryObjectPostProcessor

阿新 發佈:2018-12-12

概述

Spring Security的配置機制會使用到很多物件,比如WebSecurity,ProviderManager,各個安全Filter等。這些物件的建立並不是通過bean定義的形式被容器發現和註冊進入容器的。而是由Spring Security配置機制使用Java new操作符建立。但對於這些並未被容器管理的物件,Spring Security配置機制也稱之為bean,並且希望它們也經歷跟容器bean同樣的生命週期,也能注入相應的依賴,從而進入準備好被使用的狀態。為達成這個目標,Spring Security配置機制提供了一個工具類AutowireBeanFactoryObjectPostProcessor

工具類AutowireBeanFactoryObjectPostProcessor本身會被註冊成為容器的一個bean,並且它實現了Spring bean基本的DisposableBean,SmartInitializingSingleton生命週期介面,也就是說它會經歷容器標準的生命週期方法呼叫。在此基礎之上,AutowireBeanFactoryObjectPostProcessor又實現了另外一個介面ObjectPostProcessor,這是一個Spring Security自己定義的介面,用來初始化某個新建的物件,通常就是呼叫其可能帶有的跟Aware方法,InitializingBean#afterPropertiesSet()

方法同樣設計目的的各個初始化方法,並保證DisposableBean#destroy()這樣的方法也能被執行。

具體我們通過程式碼來分析。

AutowireBeanFactoryObjectPostProcessor被註冊為容器bean

當使用了註解@EnableWebSecurity,或者@EnableGlobalMethodSecurity時,AutowireBeanFactoryObjectPostProcessor會被註冊為一個容器bean

// @EnableWebSecurity 註解程式碼片段,可以看到該註解隱含使用了@EnableGlobalMethodSecurity
 

@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {

	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;
}

// @EnableGlobalAuthentication 註解程式碼片段,可以看到它匯入了類 AuthenticationConfiguration
@Import(AuthenticationConfiguration.class)
@Configuration
public @interface EnableGlobalAuthentication {
}

從上面的程式碼片段來看,不管使用了@EnableWebSecurity還是@EnableGlobalAuthentication,最終都會匯入類AuthenticationConfiguration :

@Configuration
@Import(ObjectPostProcessorConfiguration.class) // 匯入了類 ObjectPostProcessorConfiguration
public class AuthenticationConfiguration {
	// 省略無關程式碼實現
}

而類AuthenticationConfiguration又匯入了類ObjectPostProcessorConfiguration,ObjectPostProcessorConfiguration進一步註冊了bean AutowireBeanFactoryObjectPostProcessor :

@Configuration
public class ObjectPostProcessorConfiguration {

	// 這裡的引數beanFactory會被自動注入成當前Spring bean容器
	@Bean
	public ObjectPostProcessor<Object> objectPostProcessor(
			AutowireCapableBeanFactory beanFactory) {
		return new AutowireBeanFactoryObjectPostProcessor(beanFactory);
	}
}

AutowireBeanFactoryObjectPostProcessor的任務

package org.springframework.security.config.annotation.configuration;

import java.util.ArrayList;
import java.util.List;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

import org.springframework.beans.factory.Aware;
import org.springframework.beans.factory.DisposableBean;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.SmartInitializingSingleton;
import org.springframework.beans.factory.config.AutowireCapableBeanFactory;
import org.springframework.security.config.annotation.ObjectPostProcessor;
import org.springframework.util.Assert;

final class AutowireBeanFactoryObjectPostProcessor
		implements ObjectPostProcessor<Object>, DisposableBean, SmartInitializingSingleton {
	private final Log logger = LogFactory.getLog(getClass());
	private final AutowireCapableBeanFactory autowireBeanFactory;
	private final List<DisposableBean> disposableBeans = new ArrayList<>();
	private final List<SmartInitializingSingleton> smartSingletons = new ArrayList<>();

	// 使用指定的 autowireBeanFactory 構造物件
	// autowireBeanFactory 通常是 Spring bean 容器
	public AutowireBeanFactoryObjectPostProcessor(
			AutowireCapableBeanFactory autowireBeanFactory) {
		Assert.notNull(autowireBeanFactory, "autowireBeanFactory cannot be null");
		this.autowireBeanFactory = autowireBeanFactory;
	}

	
	// 對某個剛剛建立的物件 object 執行這裡所謂的 post-process 流程 :
	// 1. 使用指定的 autowireBeanFactory 對該物件 object 執行初始化過程;
	// 2. 使用指定的 autowireBeanFactory 對該物件 object 執行依賴注入過程;
	// 3. 如果該物件 object 是一個 DisposableBean , 則將它記錄下來,在當前物件的destroy()
	//    被呼叫時,它們的 destroy() 方法也都會被呼叫;
	// 4. 如果該物件 object 是一個 SmartInitializingSingleton , 則將它記錄下來,
	//    在當前物件的 afterSingletonsInstantiated () 被呼叫時,它們的 afterSingletonsInstantiated() 
	//    方法也都會被呼叫;
	@SuppressWarnings("unchecked")
	public <T> T postProcess(T object) {
		if (object == null) {
			return null;
		}
		T result = null;
		try {
			// 使用容器autowireBeanFactory標準初始化方法initializeBean()初始化物件 object
			result = (T) this.autowireBeanFactory.initializeBean(object,
					object.toString());
		}
		catch (RuntimeException e) {
			Class<?> type = object.getClass();
			throw new RuntimeException(
					"Could not postProcess " + object + " of type " + type, e);
		}
		// 使用容器autowireBeanFactory標準依賴注入方法autowireBean()處理 object物件的依賴注入
		this.autowireBeanFactory.autowireBean(object);
		
		if (result instanceof DisposableBean) {
			// 記錄一個 DisposableBean 物件
			this.disposableBeans.add((DisposableBean) result);
		}
		if (result instanceof SmartInitializingSingleton) {
			// 記錄一個 SmartInitializingSingleton 物件
			this.smartSingletons.add((SmartInitializingSingleton) result);
		}
		return result;
	}
	
	// SmartInitializingSingleton 介面定義的生命週期方法,在被呼叫時也回撥用被記錄的實現了
	// SmartInitializingSingleton 介面的那些物件的方法 afterSingletonsInstantiated()
	@Override
	public void afterSingletonsInstantiated() {
		for (SmartInitializingSingleton singleton : smartSingletons) {
			singleton.afterSingletonsInstantiated();
		}
	}

	// DisposableBean 介面定義的生命週期方法,在被呼叫時也回撥用被記錄的實現了
	// DisposableBean 介面的那些物件的方法 destroy()
	public void destroy() throws Exception {
		for (DisposableBean disposable : this.disposableBeans) {
			try {
				disposable.destroy();
			}
			catch (Exception error) {
				this.logger.error(error);
			}
		}
	}

}

相關推薦

Spring Security Config 5.1.2 原始碼解析 -- 工具 AutowireBeanFactoryObjectPostProcessor

概述 Spring Security的配置機制會使用到很多物件,比如WebSecurity,ProviderManager,各個安全Filter等。這些物件的建立並不是通過bean定義的形式被容器發現和註冊進入容器的。而是由Spring Security配置機制使用Java new操

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionSecurityContextRepository

Spring Security Web提供的類HttpSessionSecurityContextRepository是一個SecurityContextRepository介面的實現,用於在HttpSession中儲存安全上下文(security context),這樣屬於同一個Htt

Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

名稱 簡介 WebAsyncManagerIntegrationFilter TODO SecurityContextPersistenceFilter

Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

概述 DefaultWebSecurityExpressionHandler是Spring Security Web用於Web安全表示式處理器(handler)。它會基於一組預設配置,和當時的環境,對指定的Web安全表示式求值。 DefaultWebSecurityExpress

Spring Security Web 5.1.2 原始碼解析 -- SessionManagementFilter

概述 該過濾器會檢測從當前請求處理開始到目前為止的過程中是否發生了使用者登入認證行為(比如這是一個使用者名稱/密碼錶單提交的請求處理過程),如果檢測到這一情況,執行相應的session認證策略(一個SessionAuthenticationStrategy),然後繼續繼續請求的處理。

Spring Security Web 5.1.2 原始碼解析 -- AnonymousAuthenticationFilter

概述 此過濾器過濾請求,檢測SecurityContextHolder中是否存在Authentication物件,如果不存在,說明使用者尚未登入,此時為其提供一個匿名Authentication物件:AnonymousAuthentication。 注意:在整個請求處理的

Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

概述 Spring Security Web對請求提供了快取機制,如果某個請求被快取,它的提取和使用是交給RequestCacheAwareFilter完成的。 系統在啟動時,Spring Security Web會首先嚐試從容器中獲取一個RequestCache bean,獲取

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

概述 Spring Security Web認證機制(通常指表單登入)中登入成功後頁面需要跳轉到原來客戶請求的URL。該過程中首先需要將原來的客戶請求快取下來,然後登入成功後將快取的請求從快取中提取出來。 針對該需求,Spring Security Web 提供了在http se

Spring Security Core 5.1.2 原始碼解析 -- PasswordEncoderFactories

概述 PasswordEncoderFactories是Spring Security建立DelegatingPasswordEncoder物件的工廠類。該工廠所建立的DelegatingPasswordEncoder預設使用bcrypt用於加密,並且能夠用於匹配以下幾種密碼型別 :

Spring Security Web 5.1.2 原始碼解析 -- RememberMeAuthenticationFilter

概述 預設情況下,如果安全配置開啟了Remember Me機制,使用者在登入介面上會看到Remember Me選擇框,如果使用者選擇了該選擇框,會導致生成一個名為remember-me,屬性httpOnly為true的cookie,其值是一個RememberMe token。

Spring Security Web 5.1.2 原始碼解析 -- DefaultLogoutPageGeneratingFilter

概述 DefaultLogoutPageGeneratingFilter用於生成一個預設的使用者退出登入頁面,預設情況下,當用戶請求為GET /logout時,該過濾器會起作用,生成並展示相應的使用者退出登入表單頁面。使用者點選其中的表單提交按鈕會提交使用者退出登入請求到POST /

Spring Security Web 5.1.2 原始碼解析 -- DefaultLoginPageGeneratingFilter

概述 當開發人員在安全配置中沒有配置登入頁面時,Spring Security Web會自動構造一個登入頁面給使用者。完成這一任務是通過一個過濾器來完成的,該過濾器就是DefaultLoginPageGeneratingFilter。 該過濾器支援兩種登入情景: 使用

Spring Security Web 5.1.2 原始碼解析 -- UsernamePasswordAuthenticationFilter

概述 該過濾器會攔截使用者請求,看它是否是一個來自使用者名稱/密碼錶單登入頁面提交的使用者登入認證請求,預設使用的匹配模式是:POST /login。預設情況下,如果是使用者登入認證請求,該請求就不會在整個filter chain中繼續傳遞了,而是會被當前過濾器處理並進入響應使用者階

Spring Security Web 5.1.2 原始碼解析 -- ExceptionTranslationFilter

概述 該過濾器的作用是處理過濾器鏈中發生的 AccessDeniedException 和 AuthenticationException 異常,將它們轉換成相應的HTTP響應。 當檢測到 AuthenticationException 異常時,該過濾器會啟動 authentic

Spring Security Web 5.1.2 原始碼解析 -- BasicAuthenticationFilter

概述 處理HTTP請求中的BASIC authorization頭部,把認證結果寫入SecurityContextHolder。 當一個HTTP請求中包含一個名字為Authorization的頭部,並且其值格式是Basic xxx時,該Filter會認為這是一個BASIC aut

Kibana 5.1.2 原始碼啟動錯誤解決辦法

對Kibana 5.1.2 原始碼進行分析時,發現按照Kibana提供的命令無法啟動,錯誤如下: # 啟動kibana原始碼 npm run start # 結果提示如下錯誤 bad option: --no-warnings 分析問題可能處在n

【Android7.1.2原始碼解析系列】實戰分析init.rc檔案

實戰分析init.rc檔案 前言:經過上一篇的/system/core/init/readme.txt檔案的翻譯,對於init.rc的語法也有了一定的瞭解,這一篇就對/system/core/rootdir/init.rc檔案進行一個分析,希望能夠藉此對android的開

【Android7.1.2原始碼解析系列】android init目錄下的Android.mk編譯檔案分析

上一篇文章對於原始碼中的安卓編譯系統文件進行了翻譯,本文就以android當中的init模組作為例子,對其中的Android.mk檔案進行分析,讀者可以在閱讀本文的同時檢視我的譯文:http://blog.csdn.net/class_brick/article/detai

spring 5.1.2 mvc HanderMapping原始碼呼叫handler過程

https://my.oschina.net/zhangxufeng/blog/2177464 AbstractHandlerMapping /** * Look up a handler for the given request, falling back to the def

Spring Transaction 5.1.3 原始碼分析 : AnnotationTransactionAttributeSource 解析註解式事務屬性

概述 Spring支援使用註解指定服務方法的事務屬性。這些事務註解可以用在類上,也可以用在方法上,如下例子所示 。 Spring事務註解例子–應用在類級別 將事務註解標記到服務元件類級別,相當於為該服務元件的每個服務方法都應用了這個註解。 import org.sprin