深入理解 HttpSecurity【源码篇】_abstractsecuritybuilder getobject-CSDN博客

本文链接：https://blog.csdn.net/2401_84048006/article/details/137473292

文章详细介绍了SpringSecurity中HttpSecurityBuilder、SecurityBuilder和DefaultSecurityFilterChain的作用，以及它们在构建过滤器链过程中的角色，包括如何配置、添加过滤器和管理对象。

摘要由CSDN通过智能技术生成

public RequestMatcher getRequestMatcher() {

return requestMatcher;

}

public List getFilters() {

return filters;

}

public boolean matches(HttpServletRequest request) {

return requestMatcher.matches(request);

}

@Override

public String toString() {

return "[ " + requestMatcher + ", " + filters + “]”;

}

DefaultSecurityFilterChain 只是对 SecurityFilterChain 中的方法进行了实现，并没有特别值得说的地方，松哥也就不啰嗦了。

那么从上面的介绍中，大家可以看到，DefaultSecurityFilterChain 其实就相当于是 Spring Security 中的过滤器链，一个 DefaultSecurityFilterChain 代表一个过滤器链，如果系统中存在多个过滤器链，则会存在多个 DefaultSecurityFilterChain 对象。

接下来我们把 HttpSecurity 的这几个父类捋一捋。

1.2 SecurityBuilder

public interface SecurityBuilder {

O build() throws Exception;

}

SecurityBuilder 就是用来构建过滤器链的，在 HttpSecurity 实现 SecurityBuilder 时，传入的泛型就是 DefaultSecurityFilterChain，所以 SecurityBuilder#build 方法的功能很明确，就是用来构建一个过滤器链出来。

1.3 HttpSecurityBuilder

HttpSecurityBuilder 看名字就是用来构建 HttpSecurity 的。不过它也只是一个接口，具体的实现在 HttpSecurity 中，接口定义如下：

public interface HttpSecurityBuilder<H extends HttpSecurityBuilder> extends

SecurityBuilder {

<C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C getConfigurer(

Class clazz);

<C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C removeConfigurer(

Class clazz);

void setSharedObject(Class sharedType, C object);

C getSharedObject(Class sharedType);

H authenticationProvider(AuthenticationProvider authenticationProvider);

H userDetailsService(UserDetailsService userDetailsService) throws Exception;

H addFilterAfter(Filter filter, Class<? extends Filter> afterFilter);

H addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter);

H addFilter(Filter filter);

}

这里的方法比较简单：

getConfigurer 获取一个配置对象。Spring Security 过滤器链中的所有过滤器对象都是由 xxxConfigure 来进行配置的，这里就是获取这个 xxxConfigure 对象。
removeConfigurer 移除一个配置对象。
setSharedObject/getSharedObject 配置/获取由多个 SecurityConfigurer 共享的对象。
authenticationProvider 方法表示配置验证器。
userDetailsService 配置数据源接口。
addFilterAfter 在某一个过滤器之前添加过滤器。
addFilterBefore 在某一个过滤器之后添加过滤器。
addFilter 添加一个过滤器，该过滤器必须是现有过滤器链中某一个过滤器或者其扩展。

这便是 HttpSecurityBuilder 中的功能，这些接口在 HttpSecurity 中都将得到实现。

1.4 AbstractSecurityBuilder

AbstractSecurityBuilder 类实现了 SecurityBuilder 接口，该类中主要做了一件事，就是确保整个构建只被构建一次。

public abstract class AbstractSecurityBuilder implements SecurityBuilder {

private AtomicBoolean building = new AtomicBoolean();

private O object;

public final O build() throws Exception {

if (this.building.compareAndSet(false, true)) {

this.object = doBuild();

return this.object;

}

throw new AlreadyBuiltException(“This object has already been built”);

}

public final O getObject() {

if (!this.building.get()) {

throw new IllegalStateException(“This object has not been built”);

}

return this.object;

}

protected abstract O doBuild() throws Exception;

}

可以看到，这里重新定义了 build 方法，并设置 build 方法为 final 类型，无法被重写，在 build 方法中，通过 AtomicBoolean 实现该方法只被调用一次。具体的构建逻辑则定义了新的抽象方法 doBuild，将来在实现类中通过 doBuild 方法定义构建逻辑。

1.5 AbstractConfiguredSecurityBuilder

AbstractSecurityBuilder 方法的实现类就是 AbstractConfiguredSecurityBuilder。

AbstractConfiguredSecurityBuilder 中所做的事情就比较多了，我们分别来看。

首先 AbstractConfiguredSecurityBuilder 中定义了一个枚举类，将整个构建过程分为 5 种状态，也可以理解为构建过程生命周期的五个阶段，如下：

private enum BuildState {

UNBUILT(0),

INITIALIZING(1),

CONFIGURING(2),

BUILDING(3),

BUILT(4);

private final int order;

BuildState(int order) {

this.order = order;

}

public boolean isInitializing() {

return INITIALIZING.order == order;

}

public boolean isConfigured() {

return order >= CONFIGURING.order;

}

五种状态分别是 UNBUILT、INITIALIZING、CONFIGURING、BUILDING 以及 BUILT。另外还提供了两个判断方法，isInitializing 判断是否正在初始化，isConfigured 表示是否已经配置完毕。

AbstractConfiguredSecurityBuilder 中的方法比较多，松哥在这里列出来两个关键的方法和大家分析：

private <C extends SecurityConfigurer<O, B>> void add(C configurer) {

Assert.notNull(configurer, “configurer cannot be null”);

Class<? extends SecurityConfigurer<O, B>> clazz = (Class<? extends SecurityConfigurer<O, B>>) configurer

.getClass();

synchronized (configurers) {

if (buildState.isConfigured()) {

throw new IllegalStateException("Cannot apply " + configurer

" to already built object");

}

List<SecurityConfigurer<O, B>> configs = allowConfigurersOfSameType ? this.configurers

.get(clazz) : null;

if (configs == null) {

configs = new ArrayList<>(1);

}

configs.add(configurer);

this.configurers.put(clazz, configs);

if (buildState.isInitializing()) {

this.configurersAddedInInitializing.add(configurer);

}

private Collection<SecurityConfigurer<O, B>> getConfigurers() {

List<SecurityConfigurer<O, B>> result = new ArrayList<>();

for (List<SecurityConfigurer<O, B>> configs : this.configurers.values()) {

result.addAll(configs);

}

return result;

}

第一个就是这个 add 方法，这相当于是在收集所有的配置类。将所有的 xxxConfigure 收集起来存储到 configurers 中，将来再统一初始化并配置，configurers 本身是一个 LinkedHashMap ，key 是配置类的 class，value 是一个集合，集合里边放着 xxxConfigure 配置类。当需要对这些配置类进行集中配置的时候，会通过 getConfigurers 方法获取配置类，这个获取过程就是把 LinkedHashMap 中的 value 拿出来，放到一个集合中返回。

另一个方法就是 doBuild 方法。

@Override

protected final O doBuild() throws Exception {

synchronized (configurers) {

buildState = BuildState.INITIALIZING;

beforeInit();

init();

buildState = BuildState.CONFIGURING;

beforeConfigure();

configure();

buildState = BuildState.BUILDING;

O result = performBuild();