51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

自己 new 出来的对象一样也可以被 Spring 容器管理!

作者: 江南一点雨
存储 存储软件
按理说自己 new 出来的对象和容器是没有关系的,但是在 Spring Security 框架中也 new 了很多对象出来,一样也可以被容器管理,那么它是怎么做到的?

按理说自己 new 出来的对象和容器是没有关系的,但是在 Spring Security 框架中也 new 了很多对象出来,一样也可以被容器管理,那么它是怎么做到的?

[[330985]]

今天来和大家聊一个略微冷门的话题,Spring Security 中的 ObjectPostProcessor 到底是干嘛用的?

如果大家研究过松哥的微人事项目,就会发现里边的动态权限配置有这样一行代码:

  1. @Configuration 
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter { 
  3.  
  4.     @Override 
  5.     protected void configure(HttpSecurity http) throws Exception { 
  6.         http.authorizeRequests() 
  7.                 .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { 
  8.                     @Override 
  9.                     public <O extends FilterSecurityInterceptor> O postProcess(O object) { 
  10.                         object.setAccessDecisionManager(customUrlDecisionManager); 
  11.                         object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource); 
  12.                         return object; 
  13.                     } 
  14.                 }) 
  15.                 .and() 
  16.                 ... 
  17.     } 

这里的 withObjectPostProcessor 到底该如何理解?

今天松哥就来和大家揭开谜题。

1.ObjectPostProcessor 的作用

我们先来看下 ObjectPostProcessor 到底有啥作用,先来看一下这个接口的定义:

  1. package org.springframework.security.config.annotation; 
  2. public interface ObjectPostProcessor<T> { 
  3.  <O extends T> O postProcess(O object); 

接口中就只有一个 postProcess 方法。

我们再来看看 ObjectPostProcessor 的继承关系:

两个比较重要的实现类,其中 AutowireBeanFactoryObjectPostProcessor 值得一说,来看下 AutowireBeanFactoryObjectPostProcessor 的定义:

  1. final class AutowireBeanFactoryObjectPostProcessor 
  2.   implements ObjectPostProcessor<Object>, DisposableBean, SmartInitializingSingleton { 
  3.  AutowireBeanFactoryObjectPostProcessor( 
  4.    AutowireCapableBeanFactory autowireBeanFactory) { 
  5.   this.autowireBeanFactory = autowireBeanFactory; 
  6.  } 
  7.  @SuppressWarnings("unchecked"
  8.  public <T> T postProcess(T object) { 
  9.   if (object == null) { 
  10.    return null
  11.   } 
  12.   T result = null
  13.   try { 
  14.    result = (T) this.autowireBeanFactory.initializeBean(object, 
  15.      object.toString()); 
  16.   } 
  17.   catch (RuntimeException e) { 
  18.    Class<?> type = object.getClass(); 
  19.    throw new RuntimeException( 
  20.      "Could not postProcess " + object + " of type " + type, e); 
  21.   } 
  22.   this.autowireBeanFactory.autowireBean(object); 
  23.   if (result instanceof DisposableBean) { 
  24.    this.disposableBeans.add((DisposableBean) result); 
  25.   } 
  26.   if (result instanceof SmartInitializingSingleton) { 
  27.    this.smartSingletons.add((SmartInitializingSingleton) result); 
  28.   } 
  29.   return result; 
  30.  } 

AutowireBeanFactoryObjectPostProcessor 的源码很好理解:

  1. 首先在构建 AutowireBeanFactoryObjectPostProcessor 对象时,传入了一个 AutowireCapableBeanFactory 对象,看过 Spring 源码的小伙伴就知道,AutowireCapableBeanFactory 可以帮助我们手动的将一个实例注册到 Spring 容器中。
  2. 在 postProcess 方法中,就是具体的注册逻辑了,都很简单,我就不再赘述。

由此可见,ObjectPostProcessor 的主要作用就是手动注册实例到 Spring 容器中去(并且让实例走一遍 Bean 的生命周期)。

正常来说,我们项目中的 Bean 都是通过自动扫描注入到 Spring 容器中去的,然而在 Spring Security 框架中,有大量的代码不是通过自动扫描注入到 Spring 容器中去的,而是直接 new 出来的,这样做的本意是为了简化项目配置。

这些直接 new 出来的代码,如果想被 Spring 容器管理该怎么办呢?那就得 ObjectPostProcessor 出场了。

2.框架举例

接下来我随便举几个框架中对象 new 的例子,大家看一下 ObjectPostProcessor 的作用:

HttpSecurity 初始化代码(WebSecurityConfigurerAdapter#getHttp):

  1. protected final HttpSecurity getHttp() throws Exception { 
  2.  if (http != null) { 
  3.   return http; 
  4.  } 
  5.     ... 
  6.     ... 
  7.  http = new HttpSecurity(objectPostProcessor, authenticationBuilder, 
  8.    sharedObjects); 
  9.  ... 
  10.     ... 

WebSecurity 初始化代码(WebSecurityConfiguration#setFilterChainProxySecurityConfigurer):

  1. public void setFilterChainProxySecurityConfigurer( 
  2.   ObjectPostProcessor<Object> objectPostProcessor, 
  3.   @Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers) 
  4.   throws Exception { 
  5.  webSecurity = objectPostProcessor 
  6.    .postProcess(new WebSecurity(objectPostProcessor)); 
  7.     ... 
  8.     ... 

Spring Security 框架源码中,随处可见手动装配。Spring Security 中,过滤器链中的所有过滤器都是通过对应的 xxxConfigure 来进行配置的,而所有的 xxxConfigure 都是继承自 SecurityConfigurerAdapter,如下:

而在这些 xxxConfigure 的 configure 方法中,无一例外的都会让他们各自配置的管理器去 Spring 容器中走一圈,例如 AbstractAuthenticationFilterConfigurer#configure 方法:

  1. public void configure(B http) throws Exception { 
  2.  ... 
  3.     ... 
  4.  F filter = postProcess(authFilter); 
  5.  http.addFilter(filter); 

其他的 xxxConfigurer#configure 方法也都有类似的实现,小伙伴们可以自行查看,我就不再赘述了。

3.为什么这样

直接将 Bean 通过自动扫描注册到 Spring 容器不好吗?为什么要搞成这个样子?

在 Spring Security 中,由于框架本身大量采用了 Java 配置,并且没有将对象的各个属性都暴露出来,这样做的本意是为了简化配置。然而这样带来的一个问题就是需要我们手动将 Bean 注册到 Spring 容器中去,ObjectPostProcessor 就是为了解决该问题。

一旦将 Bean 注册到 Spring 容器中了,我们就有办法去增强一个 Bean 的功能,或者需修改一个 Bean 的属性。

例如一开始提到的动态权限配置代码:

  1. @Configuration 
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter { 
  3.  
  4.     @Override 
  5.     protected void configure(HttpSecurity http) throws Exception { 
  6.         http.authorizeRequests() 
  7.                 .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { 
  8.                     @Override 
  9.                     public <O extends FilterSecurityInterceptor> O postProcess(O object) { 
  10.                         object.setAccessDecisionManager(customUrlDecisionManager); 
  11.                         object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource); 
  12.                         return object; 
  13.                     } 
  14.                 }) 
  15.                 .and() 
  16.                 ... 
  17.     } 

权限管理本身是由 FilterSecurityInterceptor 控制的,系统默认的 FilterSecurityInterceptor 已经创建好了,而且我也没办法修改它的属性,那么怎么办呢?我们可以利用 withObjectPostProcessor 方法,去修改 FilterSecurityInterceptor 中的相关属性。

上面这个配置生效的原因之一是因为 FilterSecurityInterceptor 在创建成功后,会重走一遍 postProcess 方法,这里通过重写 postProcess 方法就能实现属性修改,我们可以看下配置 FilterSecurityInterceptor 的方法(AbstractInterceptUrlConfigurer#configure):

  1. abstract class AbstractInterceptUrlConfigurer<C extends AbstractInterceptUrlConfigurer<C, H>, H extends HttpSecurityBuilder<H>> 
  2.   extends AbstractHttpConfigurer<C, H> { 
  3.  @Override 
  4.  public void configure(H http) throws Exception { 
  5.   FilterInvocationSecurityMetadataSource metadataSource = createMetadataSource(http); 
  6.   if (metadataSource == null) { 
  7.    return
  8.   } 
  9.   FilterSecurityInterceptor securityInterceptor = createFilterSecurityInterceptor( 
  10.     http, metadataSource, http.getSharedObject(AuthenticationManager.class)); 
  11.   if (filterSecurityInterceptorOncePerRequest != null) { 
  12.    securityInterceptor 
  13.      .setObserveOncePerRequest(filterSecurityInterceptorOncePerRequest); 
  14.   } 
  15.   securityInterceptor = postProcess(securityInterceptor); 
  16.   http.addFilter(securityInterceptor); 
  17.   http.setSharedObject(FilterSecurityInterceptor.class, securityInterceptor); 
  18.  } 

可以看到,securityInterceptor 对象创建成功后,还是会去 postProcess 方法中走一遭。

看懂了上面的代码,接下来我再举一个例子小伙伴们应该一下就能明白:

  1. @Configuration 
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter { 
  3.  
  4.     @Override 
  5.     protected void configure(HttpSecurity http) throws Exception { 
  6.         http.authorizeRequests() 
  7.                 .antMatchers("/admin/**").hasRole("admin"
  8.                 ... 
  9.                 .and() 
  10.                 .formLogin() 
  11.                 .withObjectPostProcessor(new ObjectPostProcessor<UsernamePasswordAuthenticationFilter>() { 
  12.                     @Override 
  13.                     public <O extends UsernamePasswordAuthenticationFilter> O postProcess(O object) { 
  14.                         object.setUsernameParameter("name"); 
  15.                         return object; 
  16.                     } 
  17.                 }) 
  18.                 ... 
  19.     } 

在这里,我把配置好的 UsernamePasswordAuthenticationFilter 过滤器再拎出来,修改一下用户名的 key(正常来说,修改用户名的 key 不用这么麻烦,这里主要是给大家演示 ObjectPostProcessor 的效果),修改完成后,以后用户登录时,用户名就不是 username 而是 name 了。

4.小结

好了,只要小伙伴们掌握了上面的用法,以后在 Spring Security 中,如果想修改某一个对象的属性,但是却不知道从哪里下手,那么不妨试试 withObjectPostProcessor!

本文转载自微信公众号「江南一点雨」,可以通过以下二维码关注。转载本文请联系江南一点雨公众号。

 

责任编辑:武晓燕 来源: 江南一点雨
Spring容器权限
相关推荐
VSCode 开发 Go 程序可以和 GoLand一样强大
好的编程语言搭配好的开发工具,那必定是如虎添翼。Gopher们应该都知晓GoLand,这是IDEA专门为Go语言开发的集成开发环境(IDE)。此前IDEA对Go的支持是通过插件的,后来开发独立的IDE,可见IDEA看到了Go的发展和前景。

2020-09-10 13:55:53

VScodego开发工具
WAF和WAF一样
PCIDSS法规本身给WAF产品陆续的发展产生了持续、强大的驱动力,而Web应用本身的蓬勃发展也让安全主战场逐渐向Web应用层过渡,于是,各个安全厂商纷纷推出WAF产品,以便尽快抢占市场份额。

2011-03-14 16:51:24

机器人自己自己,像搭积木一样轻松
这种机器人除了能克隆自己外,还能分层搭建出更大的机器人。按此思路,以后造大型建筑或大型机械设备时,或许可以让小模块像搭积木似的一步步构造,不用再在旁边弄个巨型机床之类的了。

2022-11-29 12:53:36

机器人物理MIT
ObjectMapper,别再像个傻子一样New了!
由于ObjectMapper有很多的特性需要配置,你可能会为不同的应用场景分配一个单独使用的ObjectMapper。总之,它的数量不需要太多,因为它是线程安全的。

2022-04-14 19:39:39

Java线程安全
可以像 Docker 一样方便使用 Containerd 吗?
nerdctl是一个与dockercli风格兼容的containerd客户端工具,而且直接兼容dockercompose的语法的,这就大大提高了直接将containerd作为本地开发、测试或者单机容器部署使用的效率。

2021-08-27 06:41:34

Docker ContainerdRun&Exec
ASP.NET像WinForm程序一样运行
我们今天要谈到的是让ASP.NET的程序也像WinForm一样的运行,这样就不需要安装IIS或者VisualStudio这样的特定环境了。

2011-10-27 09:42:19

ASP.NET
一样CAP理论应用在何方?
对于开发或设计分布式系统的架构师工程师来说,CAP是必须要掌握的理论。

2019-09-05 09:29:00

CAP理论分布式系统
Spring aop聊点不一样东西
关于springaop的文章网上一搜一大堆,但我想写点不一样的东西,尝试一种全新的写作风格,希望您会喜欢。

2021-02-01 06:10:02

springaop机制开发
一样VPN但不一样安全防护
VPN技术出现,让每一个机构在互联网上通过VPN隧道安全、便捷、低成本的实现信息共享成为了可能。

2009-06-12 15:26:02

一样品牌 不一样戴尔咨询
品牌是一种企业价值的高度体现,是经过基业积淀传承下来的一种形象实力,帮助目标客户识别产品,服务或企业。但对于某些转型中或合并中的企业来说,势必面临品牌更迭的挑战。

2012-03-07 17:24:10

戴尔咨询
一样Windows 8不一样概念图
随着Windows8开发工作的不断深入,很多第三方开发人员也对其给予了很大的关注,一款操作系统与我们最直接的感官接触就是用户界面,因此很多人心中对Windows8界面都有一定的构想。

2011-02-28 10:38:13

Windows 8
一样"人" 不一样IT运维
“人”在IT运维管理中的作用是无比强大的,同时,人又是串起工具与流程的纽带。随着企业IT系统的不断扩大,不同职责的人在这条价值链中的视角也会出现不同的聚焦。

2012-12-20 10:17:32

IT运维
总编感悟:一样拉斯维加斯,不一样CES
CES的第二天已经结束,组委会的新闻稿里多次提到了&ldquo;破纪录&rdquo;这个词,展区面积、参展厂商数等等都在破纪录,超过3250参展商,190万平方英尺的展区,打破了去年创造的最新记录,74家公司在星期天晚上的CES预展中展示了他们的最新技术和产品,媒体日里有30家展商发布了他们最新的产品,其中不乏三星、索尼这样的国际一流厂商。天极网的报道团队也奔波在各个...

2013-01-11 18:10:56

软件
解读全球云产业:一样“云”,不一样“推手”
云计算服务正日益演变为新型的信息基础设施。各国高度重视云计算的发展,近年来制定国家战略和行动计划,通过政府的先导示范,培育和拉动国内市场。

2015-08-25 09:52:36

云计算云计算产业云计算政策
CSS能像组件状态一样响应式更新?
层叠样式表(英文全称:CascadingStyleSheets)是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机语言。

2021-08-12 06:08:15

CSS 技巧组件状态
multiprocessing库:Python像线程一样管理
multiprocessing库是基于threadingAPI,它可以把工作划分为多个进程。有些情况下,multiprocessing可以作为临时替换取代threading来利用多个CPU内核,相应地避免Python全局解释器锁所带来的计算瓶颈。

2021-05-20 08:37:32

multiprocesPython线程
Java微服务可以和Go一样快吗?
业界普遍认为Java是"老的","慢的"和"无聊的"。Go是"快速","新"和"酷"。但是我们想知道这些特性是否得到实际性能数据的保证或支持。

2020-11-12 08:30:38

Java微服务Go
人工智能可以像人类一样学习吗?
1956年的夏天,一场在美国达特茅斯(Dartmouth)大学召开的学术会议,“人工智能”(artificialintelligence)第一次被提出,多年以后该会议也被认定为全球人工智能研究的起点。2016年的春天,一场AlphaGo与世界优秀围棋高手李世石的人机世纪对战,人工智能新浪潮来临。

2020-01-09 17:03:29

人工智能技术算法
@PostConstruct注解是Spring提供?今天讲点不一样
JSR250主要围绕着“资源”的使用预定义了一些注解(Annotation),这里的“资源”可以理解为一个Class类的实例、一个JavaBean、或者一个Spring中的Bean。

2021-06-01 05:50:03

Spring@PostConstrLifecycle
Spring Native与WebFlux一样注定昙花现?
现如今,多少新的概念或产品昙花一现都不足为奇。我们对于一个未知的事物都会感到好奇以及充满期待,就像你突然得知自己要当父亲了,对孩子的降临充满期待一样,也没有哪个父母不希望自己的孩子优秀。

2021-06-13 08:55:25

Spring NatiWebFluxJVM
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服