51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Spring Security非常难的地方就是这个了

作者: 码农小胖哥
开发 架构
为什么要这么复杂?我第一次看到HttpSecurity的结构时我怀疑我自己是不是Java开发。多年以后,当我深入学习了之后才理解了这种设计。作为一个框架,尤其是安全框架,配置必须足够灵活才能适用于更多的业务场景。

[[442392]]

Spring Security最难的地方就是HttpSecurity的顶层设计。不信你看看HttpSecurity的定义。

  1. public final class HttpSecurity extends AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity> 
  2.         implements SecurityBuilder<DefaultSecurityFilterChain>, HttpSecurityBuilder<HttpSecurity> { 
  3.     // 省略 

感觉不到的话,再给你看看UML图:

为什么要这么复杂?我第一次看到HttpSecurity的结构时我怀疑我自己是不是Java开发。多年以后,当我深入学习了之后才理解了这种设计。作为一个框架,尤其是安全框架,配置必须足够灵活才能适用于更多的业务场景。Spring Security采取了配置与构建分离的架构设计来保证这一点。

配置与构建分离

配置只需要去收集配置项,构建只需要把所有的配置构建成目标对象。各干各的,分离职责,这种做法能够提高代码的可维护性和可读写性。Spring Security利用接口隔离把配置和构建进行高度抽象,提高灵活度,降低复杂度。不过这个体系依然非常庞大。为了降低学习难度需要把大问题拆解成小问题,各个击破,这种学习方法在学习一些复杂的抽象理论时很凑效。

SecurityBuilder

SecurityBuilder就是对构建的抽象。你看上面的类图过于复杂,而看SecurityBuilder就非常的简单了。

  1. public interface SecurityBuilder<O> { 
  2.     // 构建 
  3.  O build() throws Exception; 

就一个动作,构建泛化的目标对象O。通过下面这一组抽象和具体的定义我想你应该明白SecurityBuilder了吧。

  1. // 抽象 
  2. SecurityBuilder -> O 
  3. // 具体 
  4. HttpSecurity->DefaultSecurityFilterChain 

一句话,构建的活都是我来干。

  1. public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> { 
  2.  
  3.  private AtomicBoolean building = new AtomicBoolean(); 
  4.  
  5.  private O object; 
  6.  
  7.  @Override 
  8.  public final O build() throws Exception { 
  9.   if (this.building.compareAndSet(falsetrue)) { 
  10.       //构建的核心逻辑由钩子方法提供 
  11.    this.object = doBuild(); 
  12.    return this.object; 
  13.   } 
  14.   throw new AlreadyBuiltException("This object has already been built"); 
  15.  } 
  16.      // 获取构建目标对象 
  17.  public final O getObject() { 
  18.   if (!this.building.get()) { 
  19.    throw new IllegalStateException("This object has not been built"); 
  20.   } 
  21.   return this.object; 
  22.  } 
  23.  
  24.  /** 
  25.   *  钩子方法 
  26.   */ 
  27.  protected abstract O doBuild() throws Exception; 
  28.  

它通过原子类AtomicBoolean对构建方法build()进行了调用限制:每个目标对象只能被构建一次,避免安全策略发生不一致的情况。构建方法还加了final关键字,不可覆写!构建的核心逻辑通过预留的钩子方法doBuild()来扩展,钩子方法是很常见的一种继承策略。另外AbstractSecurityBuilder还提供了获取已构建目标对象的方法getObject。

一句话,构建的活我只干一次。

HttpSecurityBuilder

  1. public interface HttpSecurityBuilder<H extends HttpSecurityBuilder<H>> 
  2.   extends SecurityBuilder<DefaultSecurityFilterChain> { 
  3.  
  4.      // 根据类名获取配置   
  5.  <C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C getConfigurer(Class<C> clazz); 
  6.     // 根据类名移除配置  
  7.  <C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C removeConfigurer(Class<C> clazz); 
  8.     // 把某个对象设置为共享,以便于在多个SecurityConfigurer中使用 
  9.  <C> void setSharedObject(Class<C> sharedType, C object); 
  10.     // 获取某个共享对象 
  11.  <C> C getSharedObject(Class<C> sharedType); 
  12.     //  添加额外的 AuthenticationProvider 
  13.  H authenticationProvider(AuthenticationProvider authenticationProvider); 
  14.     //  添加额外的 UserDetailsService 
  15.  H userDetailsService(UserDetailsService userDetailsService) throws Exception; 
  16.     // 在过滤器链已有的afterFilter类后面注册一个过滤器 
  17.  H addFilterAfter(Filter filter, Class<? extends Filter> afterFilter); 
  18.     // 在过滤器链已有的beforeFilter类前面注册一个过滤器 
  19.  H addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter); 
  20.     // 在过滤器链注册一个过滤器,该过滤器必须在内置注册表 FilterOrderRegistration 中 
  21.  H addFilter(Filter filter); 
  22.  

HttpSecurityBuilder对DefaultSecurityFilterChain的构建进行了增强,为其构建器增加了一些额外的获取配置或管理配置的入口,参见上面的注释。补充一点这个接口最大的功能就是打通了构建和配置的关系,可以操作下面要讲的SecurityConfigurer。

一句话,我只构建DefaultSecurityFilterChain。

SecurityConfigurer

SecurityConfigurer是对配置的抽象。配置只是手段,构建才是目的。因此配置是对构建的配置。

  1. public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> { 
  2.    // 构建器初始化需要注入的配置,用来后续的信息共享 
  3.  void init(B builder) throws Exception; 
  4.    // 其它的一些必要配置   
  5.  void configure(B builder) throws Exception; 

SecurityConfigurer有两个方法,都非常重要。一个是init方法,这个方法你可以认为是SecurityBuilder构造函数的逻辑。如果你想在SecurityBuilder初始化的时候执行一些逻辑或者在后续配置中共享一些变量的话就可以在init方法中去实现;第二个方法是configure,为SecurityBuilder配置一些必要的属性。到这里还没完?这两个方法有着明确的先后执行顺序。在一次构建内可能有多个SecurityConfigurer,只有全部的init逐个执行完毕后才会逐个执行configure方法。相关的源码在AbstractConfiguredSecurityBuilder中的标记部分:

  1.  @Override 
  2. protected final O doBuild() throws Exception { 
  3.  synchronized (this.configurers) { 
  4.   this.buildState = BuildState.INITIALIZING; 
  5.   beforeInit(); 
  6.            // ① 执行所有的初始化方法 
  7.   init(); 
  8.   this.buildState = BuildState.CONFIGURING; 
  9.   beforeConfigure(); 
  10.            // ② 执行所有的configure方法 
  11.   configure(); 
  12.   this.buildState = BuildState.BUILDING; 
  13.   O result = performBuild(); 
  14.   this.buildState = BuildState.BUILT; 
  15.   return result; 
  16.  } 

一句话,配置SecurityBuilder的事都是我来干。

SecurityConfigurerAdapter

SecurityConfigurer在某些场景下是有局限性的,它不能获取正在配置的SecurityBuilder,因此你无法进一步操作SecurityBuilder,配置的扩展性将大打折扣。因此引入了SecurityConfigurerAdapter来扩展SecurityConfigurer。

  1. public abstract class SecurityConfigurerAdapter<O, B extends SecurityBuilder<O>> implements SecurityConfigurer<O, B> { 
  2.  
  3.     private B securityBuilder; 
  4.  
  5.     private CompositeObjectPostProcessor objectPostProcessor = new CompositeObjectPostProcessor(); 
  6.  
  7.     @Override 
  8.     public void init(B builder) throws Exception { 
  9.     } 
  10.  
  11.     @Override 
  12.     public void configure(B builder) throws Exception { 
  13.     } 
  14.    // 获取正在配置的构建器,以暴露构建器的api 
  15.     public B and() { 
  16.         return getBuilder(); 
  17.     } 
  18.   
  19.     protected final B getBuilder() { 
  20.         Assert.state(this.securityBuilder != null"securityBuilder cannot be null"); 
  21.         return this.securityBuilder; 
  22.     } 
  23.      
  24.     //  用复合对象后置处理器去处理对象,以改变一些对象的特性 
  25.     @SuppressWarnings("unchecked"
  26.     protected <T> T postProcess(T object) { 
  27.         return (T) this.objectPostProcessor.postProcess(object); 
  28.     } 
  29.     // 添加一个ObjectPostProcessor到符合构建器 
  30.     public void addObjectPostProcessor(ObjectPostProcessor<?> objectPostProcessor) { 
  31.         this.objectPostProcessor.addObjectPostProcessor(objectPostProcessor); 
  32.     } 
  33.     // 设置 需要配置的构建器,这样可以让多个SecurityConfigurerAdapter去配置一个SecurityBuilder 
  34.     public void setBuilder(B builder) { 
  35.         this.securityBuilder = builder; 
  36.     } 
  37.     // 其它省略 

这样可以指定SecurityBuilder,而且可以把SecurityBuilder暴露出来,随时随地去调整SecurityBuilder,灵活性大大提高。

具体说的话,你可以通过and()方法获取SecurityBuilder并对SecurityBuilder的其它配置项进行操作,比如上图中SecurityConfigurerAdapter之间的切换。除此之外还引入了ObjectPostProcessor来后置操作一些并不开放的内置对象。关于ObjectPostProcessor会找个合适的场景去讲解它。

一句话,配置SecurityBuilder不算什么,灵活适配才是花活。

AbstractHttpConfigurer

不是所有的配置都是有用的,有些配置我们希望有个关闭的入口功能。比如csrf功能,控制着csrf的配置的是CsrfConfigurer,如果CsrfConfigurer有一个关闭功能就好了。因此从SecurityConfigurerAdapter衍生出AbstractHttpConfigurer来满足这个需求。

  1.   public abstract class AbstractHttpConfigurer<T extends AbstractHttpConfigurer<T, B>, B extends HttpSecurityBuilder<B>> 
  2.         extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, B> { 
  3.     // 关闭当前配置 
  4.     @SuppressWarnings("unchecked"
  5.     public B disable() { 
  6.         getBuilder().removeConfigurer(getClass()); 
  7.         return getBuilder(); 
  8.     } 
  9.     //  增强了父类的新增ObjectPostProcessor方法  
  10.     @SuppressWarnings("unchecked"
  11.     public T withObjectPostProcessor(ObjectPostProcessor<?> objectPostProcessor) { 
  12.         addObjectPostProcessor(objectPostProcessor); 
  13.         return (T) this; 
  14.     } 
  15.  

AbstractHttpConfigurer的实现类非常多,日常的配置项大都由AbstractHttpConfigurer的实现类来控制。

这个类是做定制化配置的一个重要入口之一,如果你想精通Spring Security,这个类一定要掌握。

一句话,我能“杀”我自己。

AbstractConfiguredSecurityBuilder

我们希望有多个SecurityConfigurer配置SecurityBuilder,表单登录的、会话管理、csrf等等。用到什么配置什么,让配置基于策略。因此引入了AbstractConfiguredSecurityBuilder。

  1. public <C extends SecurityConfigurerAdapter<O, B>> C apply(C configurer) throws Exception { 
  2.        // 把 objectPostProcessor注入到configurer 
  3.  configurer.addObjectPostProcessor(this.objectPostProcessor); 
  4.        // 为 SecurityConfigurerAdapter 设置Builder 以便于能够get到    
  5.        // 注意区别于其它SecurityConfigurer 
  6.  configurer.setBuilder((B) this); 
  7.  add(configurer); 
  8.  return configurer; 
  10.  
  11. public <C extends SecurityConfigurer<O, B>> C apply(C configurer) throws Exception { 
  12.  add(configurer); 
  13.  return configurer; 

通过上面两个apply方法就可以把所有的SecurityConfigurer适配进来,然后通过doBuilder进行精细化构建生命周期。你可以在各个生命周期阶段进行一些必要的操作。

一句话,所有的配置都由我来进行适配。

总结

我们把Spring Security整个配置构建体系拆分了来看会简单的多一些。即使这样想理解这个体系也绝非靠一篇两篇文章也是不现实的。不过从中也可以看得出一个道理,如果你的代码想高度灵活,就必须把各个生命周期分层地高度抽象才行。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
Spring设计配置
相关推荐
这个安全平台结合Spring Security逆天,我准备研究一下
经过一番调研选中了红帽开源的Keycloak,这是一款非常强大的统一认证授权管理平台。之所以选中了Keycloak是基于以下几个原因。

2021-07-06 07:21:16

Spring 安全平台
糟糕,CPU100%!该怎样解决这个非常头疼问题
今天特地把我和同事,之前遇到过的cpu使用率100%的问题,总结了一下,给有需要的朋友一个参数。

2024-02-26 08:21:51

CPUkafka死循环
Spring Security 实战干货:Spring Security单元测试
今天组里的新人迷茫的问我:哥,SpringSecurity弄的我单元测试跑不起来,总是401,你看看咋解决。没问题,有写单元测试的觉悟,写的代码质量肯定有保证,对代码质量重视的态度,这种忙一定要帮!

2021-04-23 07:33:10

SpringSecurity单元
新版 Spring Security 配置变化
在SpringSecurity时代,这个类可太重要了。过期的类当然可以继续使用,但是你要是决定别扭,只需要稍微看一下注释,基本上就明白该怎么玩了。

2023-04-10 11:41:15

再见,Spring Security OAuth!!
本次将《SpringAuthorizationServer》项目正式上线,去掉了之前的体验状态,此举恰逢0.2.0版本发布,这也是第一个正式支持的生产就绪版本。

2021-08-29 18:36:57

项目
4英寸iPhone界面就是这个样子?
iPhone4S没有变,今年的NewiPhone会不会变?纵观目前所有关于2012年款iPhone的传闻,更大的屏幕设计仍然占据着一席之地。

2012-04-11 11:22:33

iPhone
数据加密做?试试这个
如果您不是密码学专家或具备深入了解加密原理的知识,那么自己编写加密算法可能会面临一些挑战。然而,您可以选择使用经过广泛测试和认证的现有加密库。

2023-12-10 13:58:17

acegi到Spring security转换方式
本文主要介绍了如果把之前建立在acegi基础上的spring应用转换到springsecurity2.0上。

2009-06-18 14:18:23

Spring secu
聊聊 Spring Security 新接口 AuthorizationManager
SpringSecurity5.5增加了一个新的授权管理器接口AuthorizationManager,它让动态权限的控制接口化了,更加方便我们使用了,今天就来分享以下最新的研究成果,一键四连走起。

2022-01-26 00:05:00

接口Spring管理器
故障分析自动化在什么地方
2017年什么准备开发DSMART这个产品的时候,是受到“知识自动化”这个理念的启发,想通过运维知识图谱积累运维经验,再辅助以深度学习、人工智能的算法,实现复杂的数据库运维问题的自动化。

2022-02-08 15:29:27

故障运维服务器
非常哇塞 Spring Boot 性能优化长文
本文将详细讲解SpringBoot服务优化的一般思路。本文较长,最适合收藏之。

2022-10-11 14:58:00

性能优化Java
Spring非常实用技巧,你确定知道?
在Spring框架中,Nullable注解为我们提供了一种机制来处理可能为null的字段或参数。通过使用Nullable,我们可以明确告知Spring容器某字段或参数可能是null,从而避免因未注入而导致的运行时错误。

2023-12-27 14:04:00

Spring框架参数
Spring Security RememberMe 登录,so easy!
持久化令牌比前面的普通令牌安全系数提高了不少,但是依然存在风险。安全问题和用户的使用便捷性就像一个悖论,想要用户使用方便,不可避免地要牺牲一点安全性。对于开发者而言,要做的就是如何将系统存在的安全风险降到最低。

2022-11-26 00:00:02

Spring Security 是如何防御计时攻击
计时攻击是旁路攻击的一种,在密码学中,旁道攻击又称侧信道攻击、边信道攻击(Sidechannelattack)。

2022-05-19 11:29:14

计时攻击SpringSecurity
Spring Boot Security + JWT Token 简单应用
我们在SpringBoot示例中学到关于SpringSecurity和基于JWT令牌的身份验证的有趣知识。尽管我们写了很多代码,但我希望你能理解应用程序的整体架构,并轻松地将其应用到你的项目中。

2023-12-08 12:12:21

Spring Security权限控制系列(五)
本篇内容将会带详细了解如何基于数据库中的用户进行登录授权。

2022-08-30 08:50:07

Spring权限控制
微信教你摆地摊:这个分数就是招牌
仿佛一夜之间,摆地摊成了时尚,程序员、HR、资深自媒体甚至是老板,人人摆地摊的时代就这么突然到来了。摆地摊看起来没什么技术含量,但其实要求一点也不低,而且也是有很多技巧的,微信官方今天就特意撰文传授了一些“经验”。

2020-06-05 08:43:28

微信地摊微信支付分
Spring Security权限控制系列(一)
这里我们通过Postman访问默认的登录login接口先进行登录,登录完成后我们在访问这个post接口。

2022-08-15 08:42:46

权限控制Spring
Spring Security权限控制系列(二)
默认项目中引入SpringSecurity后会拦截所有的请求,这其中包括了静态资源,这肯定不是我们希望的,接下来我们看如何进行资源自定义的拦截。

2022-08-15 08:45:21

Spring权限控制
Spring Security权限控制系列(六)
SpringSecurity还提供了基于访问注解的方式细化接口权限的控制定义,接下来使用基于注解的方式控制Controller接口权限。

2022-08-30 08:55:49

Spring权限控制
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服