楔子
我们讲过了SpringSecurity
的认证流程,相信大家认真读过了之后一定会对SpringSecurity
的认证流程已经明白个七八分了,本期是我们如约而至的动态鉴权篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从中撷取自己需要的部分。
祝有好收获。
1. 📖SpringSecurity的鉴权原理
我们讲认证的时候曾经放了一个图,就是下图:
整个认证的过程其实一直在围绕图中过滤链的绿色部分,而我们今天要说的动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor
。
1. FilterSecurityInterceptor
想知道怎么动态鉴权首先我们要搞明白SpringSecurity的鉴权逻辑,从上图中我们也可以看出:FilterSecurityInterceptor
是这个过滤链的最后一环,而认证之后就是鉴权,所以我们的FilterSecurityInterceptor
主要是负责鉴权这部分。
一个请求完成了认证,且没有抛出异常之后就会到达FilterSecurityInterceptor
所负责的鉴权部分,也就是说鉴权的入口就在FilterSecurityInterceptor
。
我们先来看看FilterSecurityInterceptor
的定义和主要方法:
public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements
Filter {
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
FilterInvocation fi = new FilterInvocation(request, response, chain);
invoke(fi);
}
}
复制代码
上文代码可以看出FilterSecurityInterceptor
是实现了抽象类AbstractSecurityInterceptor
的一个实现类,这个AbstractSecurityInterceptor
中预先写好了一段很重要的代码(后面会说到)。
FilterSecurityInterceptor
的主要方法是doFilter
方法,过滤器的特性大家应该都知道,请求过来之后会执行这个doFilter
方法,FilterSecurityInterceptor
的doFilter
方法出奇的简单,总共只有两行:
第一行是创建了一个FilterInvocation
对象,这个FilterInvocation
对象你可以当作它封装了request,它的主要工作就是拿请求里面的信息,比如请求的URI。
第二行就调用了自身的invoke
方法,并将FilterInvocation
对象传入。
所以我们主要逻辑肯定是在这个invoke
方法里面了,我们来打开看看:
public void invoke(FilterInvocation fi) throws IOException, ServletException {
if ((fi.getRequest() != null)
&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
&& observeOncePerRequest) {
// filter already applied to this request and user wants us to observe
// once-per-request handling, so don't re-do security checking
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
}
else {
// first time this request being called, so perform security checking
if (fi.getRequest() != null && observeOncePerRequest) {
fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
}
// 进入鉴权
InterceptorStatusToken token = super.beforeInvocation(fi);
try {
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
}
finally {
super.finallyInvocation(token);
}
super.afterInvocation(token, null);
}
}
复制代码
invoke
方法中只有一个if-else,一般都是不满足if中的那三个条件的,然后执行逻辑会来到else。