2. 程式人生 > >Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

阿新 發佈:2018-12-12

概述

DefaultWebSecurityExpressionHandlerSpring Security Web用於Web安全表示式處理器(handler)。它會基於一組預設配置,和當時的環境,對指定的Web安全表示式求值。

DefaultWebSecurityExpressionHandler對給定的認證token和請求上下文FilterInvocation建立一個評估上下文EvaluationContext。然後供SPEL求值使用。比如在WebExpressionVoter中它被這麼應用 :

public class WebExpressionVoter implements
 
 AccessDecisionVoter<FilterInvocation> {
	// expressionHandler 預設使用 DefaultWebSecurityExpressionHandler
	private SecurityExpressionHandler<FilterInvocation> expressionHandler = 
		new DefaultWebSecurityExpressionHandler();

	public int vote(Authentication authentication, FilterInvocation fi,
 

			Collection<ConfigAttribute> attributes) {
		assert authentication != null;
		assert fi != null;
		assert attributes != null;

		// 獲取Web安全表示式配置屬性
		WebExpressionConfigAttribute weca = findConfigAttribute(attributes);

		if (weca == null) {
			// 如果沒有相應配置,返回 ACCESS_ABSTAIN:0 表示棄權
			return ACCESS_ABSTAIN;
 

		}
		// 預設使用 DefaultWebSecurityExpressionHandler 建立 EvaluationContext
		EvaluationContext ctx = expressionHandler.createEvaluationContext(authentication,
				fi);
		ctx = weca.postProcess(ctx, fi);

		// 獲取Web安全表示式配置屬性weca中的表示式,和上面所建立的表示式求值上下文ctx,
		// 對其進行求值,結果按 boolean 型別處理
		// 如果求值結果為 true, 返回 ACCESS_GRANTED:1, 否則返回 ACCESS_DENIED:-1
		return ExpressionUtils.evaluateAsBoolean(weca.getAuthorizeExpression(), ctx) ? ACCESS_GRANTED
				: ACCESS_DENIED;
	}

原始碼解析

package org.springframework.security.web.access.expression;

import org.springframework.security.access.expression.AbstractSecurityExpressionHandler;
import org.springframework.security.access.expression.SecurityExpressionHandler;
import org.springframework.security.access.expression.SecurityExpressionOperations;
import org.springframework.security.authentication.AuthenticationTrustResolver;
import org.springframework.security.authentication.AuthenticationTrustResolverImpl;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.FilterInvocation;
import org.springframework.util.Assert;


public class DefaultWebSecurityExpressionHandler extends
		AbstractSecurityExpressionHandler<FilterInvocation> implements
		SecurityExpressionHandler<FilterInvocation> {

	// 用於識別一個Authentication物件是否 anonymous, rememberMe
	// 預設使用AuthenticationTrustResolverImpl
	private AuthenticationTrustResolver trustResolver = new AuthenticationTrustResolverImpl();

	// 預設使用的角色字首
	private String defaultRolePrefix = "ROLE_";

	// 對給定的認證token authentication 和給定的請求上下文 fi 構建 SecurityExpressionOperations,
	// 此 SecurityExpressionOperations 用於進一步構建 EvaluationContext 物件
	@Override
	protected SecurityExpressionOperations createSecurityExpressionRoot(
			Authentication authentication, FilterInvocation fi) {	
		WebSecurityExpressionRoot root = new WebSecurityExpressionRoot(authentication, fi);
		root.setPermissionEvaluator(getPermissionEvaluator());
		root.setTrustResolver(trustResolver);
		root.setRoleHierarchy(getRoleHierarchy());
		root.setDefaultRolePrefix(this.defaultRolePrefix);
		return root;
	}

	/**
	 * Sets the  AuthenticationTrustResolver to be used. The default is
	 * AuthenticationTrustResolverImpl.
	 *
	 * @param trustResolver the AuthenticationTrustResolver to use. Cannot be
	 * null.
	 */
	public void setTrustResolver(AuthenticationTrustResolver trustResolver) {
		Assert.notNull(trustResolver, "trustResolver cannot be null");
		this.trustResolver = trustResolver;
	}

	/**
	 * 
	 * Sets the default prefix to be added to 
	 * org.springframework.security.access.expression.SecurityExpressionRoot#hasAnyRole(String...) 
	 * or org.springframework.security.access.expression.SecurityExpressionRoot#hasRole(String). 
	 * For example, if hasRole("ADMIN") or hasRole("ROLE_ADMIN")
	 * is passed in, then the role ROLE_ADMIN will be used when the defaultRolePrefix is
	 * "ROLE_" (default).
	 * 
	 * 設定表示式hasAnyRole(String...)或者hasRole(String)使用的角色字首。不呼叫該方法,則使用預設值
	 * "ROLE_"。
	 * 
	 * If null or empty, then no default role prefix is used.
	 * 如果呼叫了該方法,設定引數為 null 或者 "", 表明不使用角色字首。
	 *
	 * @param defaultRolePrefix the default prefix to add to roles. Default "ROLE_".
	 */
	public void setDefaultRolePrefix(String defaultRolePrefix) {
		this.defaultRolePrefix = defaultRolePrefix;
	}
}

DefaultWebSecurityExpressionHandler繼承自AbstractSecurityExpressionHandler,真正建立EvaluationContext的方法也是現在該類中:

package org.springframework.security.access.expression;

import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.context.expression.BeanFactoryResolver;
import org.springframework.expression.BeanResolver;
import org.springframework.expression.EvaluationContext;
import org.springframework.expression.ExpressionParser;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.expression.spel.support.StandardEvaluationContext;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.access.hierarchicalroles.RoleHierarchy;
import org.springframework.security.core.Authentication;
import org.springframework.util.Assert;

/**
 * Base implementation of the facade which isolates Spring Security's requirements for
 * evaluating security expressions from the implementation of the underlying expression
 * objects.
 * Spring Security安全表示式求值實現的通用邏輯基類,同具體某種底層安全表示式實現,比如Web安全,隔離開來。
 * 
 * @author Luke Taylor
 * @since 3.1
 */
public abstract class AbstractSecurityExpressionHandler<T> implements
		SecurityExpressionHandler<T>, ApplicationContextAware {
	// 預設使用 spel parser	
	private ExpressionParser expressionParser = new SpelExpressionParser();
	private BeanResolver br;
	private RoleHierarchy roleHierarchy;
	// 預設使用 denyAll 評估器
	private PermissionEvaluator permissionEvaluator = new DenyAllPermissionEvaluator();

	public final ExpressionParser getExpressionParser() {
		return expressionParser;
	}

	public final void setExpressionParser(ExpressionParser expressionParser) {
		Assert.notNull(expressionParser, "expressionParser cannot be null");
		this.expressionParser = expressionParser;
	}

	/**
	 * Invokes the internal template methods to create  StandardEvaluationContext
	 * and SecurityExpressionRoot objects.
	 *
	 * @param authentication the current authentication object
	 * @param invocation the invocation (filter, method, channel)
	 * @return the context object for use in evaluating the expression, populated with a
	 * suitable root object.
	 */
	public final EvaluationContext createEvaluationContext(Authentication authentication,
			T invocation) {
		// createEvaluationContext 由子類提供具體實現,根據自己所服務的安全環境建立相應的
		// SecurityExpressionOperations 物件
		SecurityExpressionOperations root = createSecurityExpressionRoot(authentication,
				invocation);
		// 建立	EvaluationContext, 實現類使用標準實現 	StandardEvaluationContext
		StandardEvaluationContext ctx = createEvaluationContextInternal(authentication,
				invocation);
		// 表示式求值可能需要用到bean,這裡指定bean解析器,通常指向整個Spring bean容器		
		ctx.setBeanResolver(br);
		// 設定 EvaluationContext 的根物件為上面建立的 SecurityExpressionOperations root
		ctx.setRootObject(root);

		return ctx;
	}

	/**
	 * Override to create a custom instance of StandardEvaluationContext.
	 * 一個StandardEvaluationContext或者其子類,
	 * 預設是一個StandardEvaluationContext , 子類可以覆蓋該方法提供一個自定義的
	 * StandardEvaluationContext子類例項
	 * 
	 * The returned object will have a SecurityExpressionRootPropertyAccessor
	 * added, allowing beans in the ApplicationContext to be accessed via
	 * expression properties.
	 *
	 * @param authentication the current authentication object
	 * @param invocation the invocation (filter, method, channel)
	 * @return A StandardEvaluationContext or potentially a custom subclass if
	 * overridden.
	 */
	protected StandardEvaluationContext createEvaluationContextInternal(
			Authentication authentication, T invocation) {
		return new StandardEvaluationContext();
	}

	/**
	 * Implement in order to create a root object of the correct type for the supported
	 * invocation type.
	 *
	 * @param authentication the current authentication object
	 * @param invocation the invocation (filter, method, channel)
	 * @return the object wh
	 */
	protected abstract SecurityExpressionOperations createSecurityExpressionRoot(
			Authentication authentication, T invocation);

	protected RoleHierarchy getRoleHierarchy() {
		return roleHierarchy;
	}

	public void setRoleHierarchy(RoleHierarchy roleHierarchy) {
		this.roleHierarchy = roleHierarchy;
	}

	protected PermissionEvaluator getPermissionEvaluator() {
		return permissionEvaluator;
	}

	public void setPermissionEvaluator(PermissionEvaluator permissionEvaluator) {
		this.permissionEvaluator = permissionEvaluator;
	}

	public void setApplicationContext(ApplicationContext applicationContext) {
		br = new BeanFactoryResolver(applicationContext);
	}
}

相關推薦

Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

概述 DefaultWebSecurityExpressionHandler是Spring Security Web用於Web安全表示式處理器(handler)。它會基於一組預設配置,和當時的環境,對指定的Web安全表示式求值。 DefaultWebSecurityExpress

Spring Security Config 5.1.2 原始碼解析 -- 工具類 AutowireBeanFactoryObjectPostProcessor

概述 Spring Security的配置機制會使用到很多物件,比如WebSecurity,ProviderManager,各個安全Filter等。這些物件的建立並不是通過bean定義的形式被容器發現和註冊進入容器的。而是由Spring Security配置機制使用Java new操

Spring Security Core 5.1.2 原始碼解析 -- PasswordEncoderFactories

概述 PasswordEncoderFactories是Spring Security建立DelegatingPasswordEncoder物件的工廠類。該工廠所建立的DelegatingPasswordEncoder預設使用bcrypt用於加密,並且能夠用於匹配以下幾種密碼型別 :

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionSecurityContextRepository

Spring Security Web提供的類HttpSessionSecurityContextRepository是一個SecurityContextRepository介面的實現,用於在HttpSession中儲存安全上下文(security context),這樣屬於同一個Htt

Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

名稱 簡介 WebAsyncManagerIntegrationFilter TODO SecurityContextPersistenceFilter

Spring Security Web 5.1.2 原始碼解析 -- SessionManagementFilter

概述 該過濾器會檢測從當前請求處理開始到目前為止的過程中是否發生了使用者登入認證行為(比如這是一個使用者名稱/密碼錶單提交的請求處理過程),如果檢測到這一情況,執行相應的session認證策略(一個SessionAuthenticationStrategy),然後繼續繼續請求的處理。

Spring Security Web 5.1.2 原始碼解析 -- AnonymousAuthenticationFilter

概述 此過濾器過濾請求,檢測SecurityContextHolder中是否存在Authentication物件,如果不存在,說明使用者尚未登入,此時為其提供一個匿名Authentication物件:AnonymousAuthentication。 注意:在整個請求處理的

Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

概述 Spring Security Web對請求提供了快取機制,如果某個請求被快取,它的提取和使用是交給RequestCacheAwareFilter完成的。 系統在啟動時,Spring Security Web會首先嚐試從容器中獲取一個RequestCache bean,獲取

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

概述 Spring Security Web認證機制(通常指表單登入)中登入成功後頁面需要跳轉到原來客戶請求的URL。該過程中首先需要將原來的客戶請求快取下來,然後登入成功後將快取的請求從快取中提取出來。 針對該需求,Spring Security Web 提供了在http se

Spring Security Web 5.1.2 原始碼解析 -- RememberMeAuthenticationFilter

概述 預設情況下,如果安全配置開啟了Remember Me機制,使用者在登入介面上會看到Remember Me選擇框,如果使用者選擇了該選擇框,會導致生成一個名為remember-me,屬性httpOnly為true的cookie,其值是一個RememberMe token。

Spring Security Web 5.1.2 原始碼解析 -- DefaultLogoutPageGeneratingFilter

概述 DefaultLogoutPageGeneratingFilter用於生成一個預設的使用者退出登入頁面,預設情況下,當用戶請求為GET /logout時,該過濾器會起作用,生成並展示相應的使用者退出登入表單頁面。使用者點選其中的表單提交按鈕會提交使用者退出登入請求到POST /

Spring Security Web 5.1.2 原始碼解析 -- DefaultLoginPageGeneratingFilter

概述 當開發人員在安全配置中沒有配置登入頁面時,Spring Security Web會自動構造一個登入頁面給使用者。完成這一任務是通過一個過濾器來完成的,該過濾器就是DefaultLoginPageGeneratingFilter。 該過濾器支援兩種登入情景: 使用

Spring Security Web 5.1.2 原始碼解析 -- UsernamePasswordAuthenticationFilter

概述 該過濾器會攔截使用者請求,看它是否是一個來自使用者名稱/密碼錶單登入頁面提交的使用者登入認證請求,預設使用的匹配模式是:POST /login。預設情況下,如果是使用者登入認證請求,該請求就不會在整個filter chain中繼續傳遞了,而是會被當前過濾器處理並進入響應使用者階

Spring Security Web 5.1.2 原始碼解析 -- ExceptionTranslationFilter

概述 該過濾器的作用是處理過濾器鏈中發生的 AccessDeniedException 和 AuthenticationException 異常,將它們轉換成相應的HTTP響應。 當檢測到 AuthenticationException 異常時,該過濾器會啟動 authentic

Spring Security Web 5.1.2 原始碼解析 -- BasicAuthenticationFilter

概述 處理HTTP請求中的BASIC authorization頭部,把認證結果寫入SecurityContextHolder。 當一個HTTP請求中包含一個名字為Authorization的頭部,並且其值格式是Basic xxx時,該Filter會認為這是一個BASIC aut

Kibana 5.1.2 原始碼啟動錯誤解決辦法

對Kibana 5.1.2 原始碼進行分析時,發現按照Kibana提供的命令無法啟動,錯誤如下: # 啟動kibana原始碼 npm run start # 結果提示如下錯誤 bad option: --no-warnings 分析問題可能處在n

【Android7.1.2原始碼解析系列】實戰分析init.rc檔案

實戰分析init.rc檔案 前言:經過上一篇的/system/core/init/readme.txt檔案的翻譯,對於init.rc的語法也有了一定的瞭解,這一篇就對/system/core/rootdir/init.rc檔案進行一個分析,希望能夠藉此對android的開

【Android7.1.2原始碼解析系列】android init目錄下的Android.mk編譯檔案分析

上一篇文章對於原始碼中的安卓編譯系統文件進行了翻譯,本文就以android當中的init模組作為例子,對其中的Android.mk檔案進行分析,讀者可以在閱讀本文的同時檢視我的譯文:http://blog.csdn.net/class_brick/article/detai

spring 5.1.2 mvc HanderMapping原始碼呼叫handler過程

https://my.oschina.net/zhangxufeng/blog/2177464 AbstractHandlerMapping /** * Look up a handler for the given request, falling back to the def

Spring Transaction 5.1.3 原始碼分析 : AnnotationTransactionAttributeSource 解析註解式事務屬性

概述 Spring支援使用註解指定服務方法的事務屬性。這些事務註解可以用在類上,也可以用在方法上,如下例子所示 。 Spring事務註解例子–應用在類級別 將事務註解標記到服務元件類級別,相當於為該服務元件的每個服務方法都應用了這個註解。 import org.sprin