Spring源代码解析(十)：Spring Acegi框架授权的实现

我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的：

Java代码

1. //这里是拦截器拦截HTTP请求的入口   
2.      public   void  doFilter(ServletRequest request, ServletResponse response, FilterChain chain)   
3.          throws  IOException, ServletException {   
4.         FilterInvocation fi =  new  FilterInvocation(request, response, chain);   
5.         invoke(fi);   
6.     }   
7. //这是具体的拦截调用   
8.      public   void  invoke(FilterInvocation fi)  throws  IOException, ServletException {   
9.          if  ((fi.getRequest() !=  null ) && (fi.getRequest().getAttribute(FILTER_APPLIED) !=  null )   
10.             && observeOncePerRequest) {   
11.             //在第一次进行过安全检查之后就不会再做了   
12.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());   
13.         }  else  {   
14.              //这是第一次收到相应的请求，需要做安全检 测，同时把标志为设置好 -  FILTER_APPLIED，下次就再有请求就不会作相同的安全检查了   
15.              if  (fi.getRequest() !=  null ) {   
16.                 fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);   
17.             }   
18.              //这里是做安全检查的地方   
19.             InterceptorStatusToken token =  super .beforeInvocation(fi);   
20.              //接着向拦截器链执行   
21.              try  {   
22.                 fi.getChain().doFilter(fi.getRequest(), fi.getResponse());   
23.             }  finally  {   
24.                  super .afterInvocation(token,  null );   
25.             }   
26.         }   
27.     }  

//这里是拦截器拦截HTTP请求的入口
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }
//这是具体的拦截调用
    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
            && observeOncePerRequest) {
           //在第一次进行过安全检查之后就不会再做了
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } else {
            //这是第一次收到相应的请求，需要做安全检测，同时把标志为设置好 -  FILTER_APPLIED，下次就再有请求就不会作相同的安全检查了
            if (fi.getRequest() != null) {
                fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
            }
            //这里是做安全检查的地方
            InterceptorStatusToken token = super.beforeInvocation(fi);
            //接着向拦截器链执行
            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            } finally {
                super.afterInvocation(token, null);
            }
        }
    }

我们看看在AbstractSecurityInterceptor是怎样对HTTP请求作安全检测的：

Java代码

1. protected  InterceptorStatusToken beforeInvocation(Object object) {   
2.     Assert.notNull(object,  "Object was null" );   
3.   
4.      if  (!getSecureObjectClass().isAssignableFrom(object.getClass())) {   
5.          throw   new  IllegalArgumentException( "Security invocation attempted for object "   
6.             + object.getClass().getName()   
7.             +  " but AbstractSecurityInterceptor only configured to support secure objects of type: "   
8.             + getSecureObjectClass());   
9.     }   
10.      //这里读取配置 FilterSecurityInterceptor的ObjectDefinitionSource属性，这些属性配置了资源的安全设置   
11.     ConfigAttributeDefinition attr =  this .obtainObjectDefinitionSource().getAttributes(object);   
12.   
13.      if  (attr ==  null ) {   
14.          if (rejectPublicInvocations) {   
15.              throw   new  IllegalArgumentException(   
16.                    "No public invocations are allowed via this AbstractSecurityInterceptor. "   
17.                 +  "This indicates a configuration error because the "   
18.                 +  "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'" );   
19.         }   
20.   
21.          if  (logger.isDebugEnabled()) {   
22.             logger.debug( "Public object - authentication not attempted" );   
23.         }   
24.   
25.         publishEvent( new  PublicInvocationEvent(object));   
26.   
27.          return   null ;  // no further work post-invocation   
28.     }   
29.   
30.   
31.      if  (logger.isDebugEnabled()) {   
32.         logger.debug( "Secure object: "  + object.toString() +  "; ConfigAttributes: "  + attr.toString());   
33.     }   
34.      //这里从SecurityContextHolder中去取 Authentication对象，一般在登录时会放到SecurityContextHolder中去   
35.      if  (SecurityContextHolder.getContext().getAuthentication() ==  null ) {   
36.         credentialsNotFound(messages.getMessage( "AbstractSecurityInterceptor.authenticationNotFound" ,   
37.                  "An Authentication object was not found in the SecurityContext" ), object, attr);   
38.     }   
39.   
40.      // 如果前面没有处理鉴权，这里需要对鉴权进行处理   
41.     Authentication authenticated;   
42.   
43.      if  (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {   
44.          try  { //调用配置好的AuthenticationManager处理鉴权，如果鉴权不成功，抛出异常结束处理   
45.             authenticated =  this .authenticationManager.authenticate(SecurityContextHolder.getContext()   
46.                                                                                          .getAuthentication());   
47.         }  catch  (AuthenticationException authenticationException) {   
48.              throw  authenticationException;   
49.         }   
50.   
51.          // We don't authenticated.setAuthentication(true), because each provider should do that   
52.          if  (logger.isDebugEnabled()) {   
53.             logger.debug( "Successfully Authenticated: "  + authenticated.toString());   
54.         }   
55.          //这里把鉴权成功后得到的 Authentication保存到SecurityContextHolder中供下次使用   
56.         SecurityContextHolder.getContext().setAuthentication(authenticated);   
57.     }  else  { //这里处理前面已经通过鉴权的请求，先从SecurityContextHolder中去取得 Authentication   
58.         authenticated = SecurityContextHolder.getContext().getAuthentication();   
59.   
60.          if  (logger.isDebugEnabled()) {   
61.             logger.debug( "Previously Authenticated: "  + authenticated.toString());   
62.         }   
63.     }   
64.   
65.      // 这是处理授权的过程   
66.      try  {   
67.          //调用配置好的 AccessDecisionManager来进行授权   
68.          this .accessDecisionManager.decide(authenticated, object, attr);   
69.     }  catch  (AccessDeniedException accessDeniedException) {   
70.          //授权不成功向外发布事件   
71.         AuthorizationFailureEvent event =  new  AuthorizationFailureEvent(object, attr, authenticated,   
72.                 accessDeniedException);   
73.         publishEvent(event);   
74.   
75.          throw  accessDeniedException;   
76.     }   
77.   
78.      if  (logger.isDebugEnabled()) {   
79.         logger.debug( "Authorization successful" );   
80.     }   
81.   
82.     AuthorizedEvent event =  new  AuthorizedEvent(object, attr, authenticated);   
83.     publishEvent(event);   
84.   
85.      // 这里构建一个RunAsManager来替代当前的 Authentication对象，默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的 Authentication对象清空   
86.     Authentication runAs =  this .runAsManager.buildRunAs(authenticated, object, attr);   
87.   
88.      if  (runAs ==  null ) {   
89.          if  (logger.isDebugEnabled()) {   
90.             logger.debug( "RunAsManager did not change Authentication object" );   
91.         }   
92.   
93.          // no further work post-invocation   
94.          return   new  InterceptorStatusToken(authenticated,  false , attr, object);   
95.     }  else  {   
96.          if  (logger.isDebugEnabled()) {   
97.             logger.debug( "Switching to RunAs Authentication: "  + runAs.toString());   
98.         }   
99.   
100.         SecurityContextHolder.getContext().setAuthentication(runAs);   
101.   
102.          // revert to token.Authenticated post-invocation   
103.          return   new  InterceptorStatusToken(authenticated,  true , attr, object);   
104.     }   
105. }  

    protected InterceptorStatusToken beforeInvocation(Object object) {
        Assert.notNull(object, "Object was null");

        if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
            throw new IllegalArgumentException("Security invocation attempted for object "
                + object.getClass().getName()
                + " but AbstractSecurityInterceptor only configured to support secure objects of type: "
                + getSecureObjectClass());
        }
        //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性，这些属性配置了资源的安全设置
        ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);

        if (attr == null) {
            if(rejectPublicInvocations) {
                throw new IllegalArgumentException(
                      "No public invocations are allowed via this AbstractSecurityInterceptor. "
                    + "This indicates a configuration error because the "
                    + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");
            }

            if (logger.isDebugEnabled()) {
                logger.debug("Public object - authentication not attempted");
            }

            publishEvent(new PublicInvocationEvent(object));

            return null; // no further work post-invocation
        }


        if (logger.isDebugEnabled()) {
            logger.debug("Secure object: " + object.toString() + "; ConfigAttributes: " + attr.toString());
        }
        //这里从SecurityContextHolder中去取Authentication对象，一般在登录时会放到SecurityContextHolder中去
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",
                    "An Authentication object was not found in the SecurityContext"), object, attr);
        }

        // 如果前面没有处理鉴权，这里需要对鉴权进行处理
        Authentication authenticated;

        if (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {
            try {//调用配置好的AuthenticationManager处理鉴权，如果鉴权不成功，抛出异常结束处理
                authenticated = this.authenticationManager.authenticate(SecurityContextHolder.getContext()
                                                                                             .getAuthentication());
            } catch (AuthenticationException authenticationException) {
                throw authenticationException;
            }

            // We don't authenticated.setAuthentication(true), because each provider should do that
            if (logger.isDebugEnabled()) {
                logger.debug("Successfully Authenticated: " + authenticated.toString());
            }
            //这里把鉴权成功后得到的Authentication保存到SecurityContextHolder中供下次使用
            SecurityContextHolder.getContext().setAuthentication(authenticated);
        } else {//这里处理前面已经通过鉴权的请求，先从SecurityContextHolder中去取得Authentication
            authenticated = SecurityContextHolder.getContext().getAuthentication();

            if (logger.isDebugEnabled()) {
                logger.debug("Previously Authenticated: " + authenticated.toString());
            }
        }

        // 这是处理授权的过程
        try {
            //调用配置好的AccessDecisionManager来进行授权
            this.accessDecisionManager.decide(authenticated, object, attr);
        } catch (AccessDeniedException accessDeniedException) {
            //授权不成功向外发布事件
            AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,
                    accessDeniedException);
            publishEvent(event);

            throw accessDeniedException;
        }

        if (logger.isDebugEnabled()) {
            logger.debug("Authorization successful");
        }

        AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);
        publishEvent(event);

        // 这里构建一个RunAsManager来替代当前的Authentication对象，默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的Authentication对象清空
        Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);

        if (runAs == null) {
            if (logger.isDebugEnabled()) {
                logger.debug("RunAsManager did not change Authentication object");
            }

            // no further work post-invocation
            return new InterceptorStatusToken(authenticated, false, attr, object);
        } else {
            if (logger.isDebugEnabled()) {
                logger.debug("Switching to RunAs Authentication: " + runAs.toString());
            }

            SecurityContextHolder.getContext().setAuthentication(runAs);

            // revert to token.Authenticated post-invocation
            return new InterceptorStatusToken(authenticated, true, attr, object);
        }
    }

到这里我们假设配置AffirmativeBased作为AccessDecisionManager：

Java代码

1. //这里定义了决策机制，需要全票才能通过   
2.      public   void  decide(Authentication authentication, Object object, ConfigAttributeDefinition config)   
3.          throws  AccessDeniedException {   
4.          //这里取得配置好的迭代器集合   
5.         Iterator iter =  this .getDecisionVoters().iterator();   
6.          int  deny =  0 ;   
7.          //依次使用各个投票器进行投票，并对投票结果进行计 票   
8.          while  (iter.hasNext()) {   
9.             AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();   
10.              int  result = voter.vote(authentication, object, config);   
11.              //这是对投票结果进行处理，如果遇到其中一 票通过，那就授权通过，如果是弃权或者反对，那就继续投票   
12.              switch  (result) {   
13.              case  AccessDecisionVoter.ACCESS_GRANTED:   
14.                  return ;   
15.   
16.              case  AccessDecisionVoter.ACCESS_DENIED:   
17.              //这里对反对票进行计数   
18.                 deny++;   
19.   
20.                  break ;   
21.   
22.              default :   
23.                  break ;   
24.             }   
25.         }   
26.          //如果有反对票，抛出异常，整个授权不通过   
27.          if  (deny >  0 ) {   
28.              throw   new  AccessDeniedException(messages.getMessage( "AbstractAccessDecisionManager.accessDenied" ,   
29.                      "Access is denied" ));   
30.         }   
31.   
32.          // 这里对弃权票进行处理，看看是全是弃权票的决定 情况，默认是不通过，由allowIfAllAbstainDecisions变量控制   
33.         checkAllowIfAllAbstainDecisions();   
34.     }   
35. 具体的投票由投票器进行，我们这里配置了RoleVoter来进行投票：   
36.      public   int  vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {   
37.          int  result = ACCESS_ABSTAIN;   
38.          //这里取得资源的安全配置   
39.         Iterator iter = config.getConfigAttributes();   
40.   
41.          while  (iter.hasNext()) {   
42.             ConfigAttribute attribute = (ConfigAttribute) iter.next();   
43.                
44.              if  ( this .supports(attribute)) {   
45.                 result = ACCESS_DENIED;   
46.   
47.                  // 这里对资源配置的安全授权级别 进行判断，也就是匹配ROLE为前缀的角色配置   
48.                  // 遍历每个配置属性，如果其中一 个匹配该主体持有的GrantedAuthority,则访问被允许。   
49.                  for  ( int  i =  0 ; i < authentication.getAuthorities().length; i++) {   
50.                      if  (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {   
51.                          return  ACCESS_GRANTED;   
52.                     }   
53.                 }   
54.             }   
55.         }   
56.   
57.          return  result;   
58.     }  

//这里定义了决策机制，需要全票才能通过
    public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)
        throws AccessDeniedException {
        //这里取得配置好的迭代器集合
        Iterator iter = this.getDecisionVoters().iterator();
        int deny = 0;
        //依次使用各个投票器进行投票，并对投票结果进行计票
        while (iter.hasNext()) {
            AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();
            int result = voter.vote(authentication, object, config);
            //这是对投票结果进行处理，如果遇到其中一票通过，那就授权通过，如果是弃权或者反对，那就继续投票
            switch (result) {
            case AccessDecisionVoter.ACCESS_GRANTED:
                return;

            case AccessDecisionVoter.ACCESS_DENIED:
            //这里对反对票进行计数
                deny++;

                break;

            default:
                break;
            }
        }
        //如果有反对票，抛出异常，整个授权不通过
        if (deny > 0) {
            throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",
                    "Access is denied"));
        }

        // 这里对弃权票进行处理，看看是全是弃权票的决定情况，默认是不通过，由allowIfAllAbstainDecisions变量控制
        checkAllowIfAllAbstainDecisions();
    }
具体的投票由投票器进行，我们这里配置了RoleVoter来进行投票：
    public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {
        int result = ACCESS_ABSTAIN;
        //这里取得资源的安全配置
        Iterator iter = config.getConfigAttributes();

        while (iter.hasNext()) {
            ConfigAttribute attribute = (ConfigAttribute) iter.next();
            
            if (this.supports(attribute)) {
                result = ACCESS_DENIED;

                // 这里对资源配置的安全授权级别进行判断，也就是匹配ROLE为前缀的角色配置
                // 遍历每个配置属性，如果其中一个匹配该主体持有的GrantedAuthority,则访问被允许。
                for (int i = 0; i < authentication.getAuthorities().length; i++) {
                    if (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }

        return result;
    }

上面就是对整个授权过程的一个分析，从FilterSecurityInterceptor拦截Http请求入手，然后读取对资源的安全配 置以后，把这些信息交由AccessDecisionManager来进行决策，Spring为我们提供了若干决策器来使用，在决策器中我们可以配置投票 器来完成投票，我们在上面具体分析了角色投票器的使用过程。