[SpringSecurity5.6.2源码分析三]:SpringWebMvcImportSelector

于 2023-09-06 17:08:19 发布
阅读量44 收藏
点赞数
分类专栏: SpringSecurity5.6.2源码分析 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41662584/article/details/132719463
版权

theme: channing-cyan
highlight: atom-one-dark-reasonable

1、SpringWebMvcImportSelector

  • SpringSecurity支持在SpringMVC进行参数解析的时候填充参数,支持以下的对象
    • 通过@AuthenticationPrincipal,获取UserDetails
    • 通过@CurrentSecurityContext,获取SecurityContext
    • 通过参数类型为CsrfToken获取CsrfToken
  • 究其原因是因为SpringSecurity为这些参数类型注册了对应的参数解析器
  • SpringWebMvcImportSelector源码如下:
class SpringWebMvcImportSelector implements ImportSelector {

   public String[] selectImports(AnnotationMetadata importingClassMetadata) {
      boolean webmvcPresent = ClassUtils.isPresent(
            "org.springframework.web.servlet.DispatcherServlet",
            getClass().getClassLoader());
      return webmvcPresent
            ? new String[] {
                  "org.springframework.security.config.annotation.web.configuration.WebMvcSecurityConfiguration" }
            : new String[] {};
   }
}
  • 分析可以看出当可以加载SpringMVC的DispatcherServlet的时候注册一个WebMvcSecurityConfiguration类

2、WebMvcSecurityConfiguration

  • 此类作用如下:
    • 注册四个参数解析器
      • AuthenticationPrincipalArgumentResolver:针对@AuthenticationPrincipal,注意这里是两个名称相同并且支持的注解名称也一模一样的
      • CurrentSecurityContextArgumentResolver:针对@CurrentSecurityContext
      • CsrfTokenArgumentResolver:针对CsrfToken
    • 注册CsrfRequestDataValueProcessor:当开启了Csrf的情况下,此类负责将Csrf添加到具有隐藏域的表单中
class WebMvcSecurityConfiguration implements WebMvcConfigurer, ApplicationContextAware {

   private BeanResolver beanResolver;

   @Override
   @SuppressWarnings("deprecation")
   public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
      AuthenticationPrincipalArgumentResolver authenticationPrincipalResolver = new AuthenticationPrincipalArgumentResolver();
      authenticationPrincipalResolver.setBeanResolver(this.beanResolver);
      argumentResolvers.add(authenticationPrincipalResolver);
      argumentResolvers
            .add(new org.springframework.security.web.bind.support.AuthenticationPrincipalArgumentResolver());
      CurrentSecurityContextArgumentResolver currentSecurityContextArgumentResolver = new CurrentSecurityContextArgumentResolver();
      currentSecurityContextArgumentResolver.setBeanResolver(this.beanResolver);
      argumentResolvers.add(currentSecurityContextArgumentResolver);
      // 注册 CsrfToken 的参数解析器
      argumentResolvers.add(new CsrfTokenArgumentResolver());
   }

   @Bean
   RequestDataValueProcessor requestDataValueProcessor() {
      return new CsrfRequestDataValueProcessor();
   }

   @Override
   public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
      this.beanResolver = new BeanFactoryResolver(applicationContext.getAutowireCapableBeanFactory());
   }

}

2.1 AuthenticationPrincipalArgumentResolver

  • 这里仅介绍org.springframework.security.web.bind.support.AuthenticationPrincipalArgumentResolver,另外一个多了SpEL的解析方式
  • 可以看出当方法入参中有携带@AuthenticationPrincipal的时候,会从线程级别的安全上下文中获取认证对象
@Deprecated
public final class AuthenticationPrincipalArgumentResolver implements HandlerMethodArgumentResolver {

   @Override
   public boolean supportsParameter(MethodParameter parameter) {
      return findMethodAnnotation(AuthenticationPrincipal.class, parameter) != null;
   }

   @Override
   public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
         NativeWebRequest webRequest, WebDataBinderFactory binderFactory) {
      // 通过线程级别的安全上下文获得认证对象
      Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
      if (authentication == null) {
         return null;
      }
      // 获得用户对象
      Object principal = authentication.getPrincipal();
      // 如果两者类型不匹配是否抛出异常
      if (principal != null && !parameter.getParameterType().isAssignableFrom(principal.getClass())) {
         AuthenticationPrincipal authPrincipal = findMethodAnnotation(AuthenticationPrincipal.class, parameter);
         if (authPrincipal.errorOnInvalidType()) {
            throw new ClassCastException(principal + " is not assignable to " + parameter.getParameterType());
         }
         return null;
      }
      return principal;
   }

   /**
    * 获得指定注解
    */
   private <T extends Annotation> T findMethodAnnotation(Class<T> annotationClass, MethodParameter parameter) {
      T annotation = parameter.getParameterAnnotation(annotationClass);
      if (annotation != null) {
         return annotation;
      }
      Annotation[] annotationsToSearch = parameter.getParameterAnnotations();
      for (Annotation toSearch : annotationsToSearch) {
         annotation = AnnotationUtils.findAnnotation(toSearch.annotationType(), annotationClass);
         if (annotation != null) {
            return annotation;
         }
      }
      return null;
   }

}
  • 这里的认证对象指的是Authentication,部分实现如下:
    • UsernamePasswordAuthenticationToken:通过用户名和密码生成的认证对象
    • RememberMeAuthenticationToken:通过记住我令牌生成的认证对象

2.2 CurrentSecurityContextArgumentResolver

  • 支持解析标注了@CurrentSecurityContext注解的参数、
    • 支持Controller方法中的入参中有标注了@CurrentSecurityContext放在SecurityContext参数上
    • 支持 Spring SpEl表达式从SecurityContext中获取值
      • eg:@CurrentSecurityContext(expression=“authentication”) Authentication authentication
public final class CurrentSecurityContextArgumentResolver implements HandlerMethodArgumentResolver {

   private ExpressionParser parser = new SpelExpressionParser();

   private BeanResolver beanResolver;

   /**
    * 此参数解析器只能支持带有 {@code CurrentSecurityContext} 注解的参数
    * @param parameter
    * @return
    */
   @Override
   public boolean supportsParameter(MethodParameter parameter) {
      return findMethodAnnotation(CurrentSecurityContext.class, parameter) != null;
   }

   @Override
   public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
         NativeWebRequest webRequest, WebDataBinderFactory binderFactory) {
      // 从线程级别的策略中拿到安全上下文
      SecurityContext securityContext = SecurityContextHolder.getContext();
      if (securityContext == null) {
         return null;
      }
      Object securityContextResult = securityContext;
      // 从参数上拿到指定的 CurrentSecurityContext 注解信息
      CurrentSecurityContext annotation = findMethodAnnotation(CurrentSecurityContext.class, parameter);
      String expressionToParse = annotation.expression();
      // 是否以 SpEL 进行解析
      // SpEL 不懂
      if (StringUtils.hasLength(expressionToParse)) {
         StandardEvaluationContext context = new StandardEvaluationContext();
         context.setRootObject(securityContext);
         context.setVariable("this", securityContext);
         context.setBeanResolver(this.beanResolver);
         Expression expression = this.parser.parseExpression(expressionToParse);
         securityContextResult = expression.getValue(context);
      }
      // 如果有安全上下文,但是参数类型不对
      if (securityContextResult != null
            && !parameter.getParameterType().isAssignableFrom(securityContextResult.getClass())) {
         // 是否抛出异常,还是返回空
         if (annotation.errorOnInvalidType()) {
            throw new ClassCastException(
                  securityContextResult + " is not assignable to " + parameter.getParameterType());
         }
         return null;
      }
      return securityContextResult;
   }

   /**
    * Set the {@link BeanResolver} to be used on the expressions
    * @param beanResolver the {@link BeanResolver} to use
    */
   public void setBeanResolver(BeanResolver beanResolver) {
      Assert.notNull(beanResolver, "beanResolver cannot be null");
      this.beanResolver = beanResolver;
   }

   /**
    * 在指定的方法参数上,获得指定的注解
    * @param annotationClass the class of the {@link Annotation} to find on the
    * {@link MethodParameter}
    * @param parameter the {@link MethodParameter} to search for an {@link Annotation}
    * @return the {@link Annotation} that was found or null.
    */
   private <T extends Annotation> T findMethodAnnotation(Class<T> annotationClass, MethodParameter parameter) {
      // 拿到参数上的指定注解
      T annotation = parameter.getParameterAnnotation(annotationClass);
      if (annotation != null) {
         return annotation;
      }
      Annotation[] annotationsToSearch = parameter.getParameterAnnotations();
      for (Annotation toSearch : annotationsToSearch) {
         annotation = AnnotationUtils.findAnnotation(toSearch.annotationType(), annotationClass);
         if (annotation != null) {
            return annotation;
         }
      }
      return null;
   }

}

2.3 CsrfTokenArgumentResolver

  • 源码很简单就是直接从请求域中获得CsrfToken
public final class CsrfTokenArgumentResolver implements HandlerMethodArgumentResolver {

   /**
    * 此参数解析器仅支持 {@code CsrfToken}
    * @param parameter
    * @return
    */
   @Override
   public boolean supportsParameter(MethodParameter parameter) {
      return CsrfToken.class.equals(parameter.getParameterType());
   }

   @Override
   public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
         NativeWebRequest webRequest, WebDataBinderFactory binderFactory) {
      // 从请求域中获得CsrfToken, 此属性值是由CsrfFilter负责放入的
      CsrfToken token = (CsrfToken) webRequest.getAttribute(CsrfToken.class.getName(),
            RequestAttributes.SCOPE_REQUEST);
      return token;
   }

}
  • 至于为什么在请求域中有CsrfToken,下面的代码能看出是在SpringSecurity的CsrfFilter中负责将CsrfToken放到请求域中的
public final class CsrfFilter extends OncePerRequestFilter {
  ......
  @Override
  protected void doFilterInternal(HttpServletRequest request,
        HttpServletResponse response, FilterChain filterChain)
              throws ServletException, IOException {
     .......
     request.setAttribute(CsrfToken.class.getName(), csrfToken);
     ......
  }
.......
}
  • 又衍生出一个问题,到底是setAttribute还是getAttribute先执行呢
  • 下图能够看出应用程序中一共有五个过滤器,前三个是SpringMVC提供的,第四个就是FilterChainProxy也就是SpringSecurity的过滤器链,CsrfFilter就是在这里面执行的,而参数解析器是在DispatcherServlet中负责执行的,而DispatcherServlet最终是这里的第五个过滤器中负责调用的
  • 所以说一定是先是setAttribute还再getAttribute
    在这里插入图片描述
qq_41662584
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring-ImportSelector接口功能介绍
weixin_37862824的博客
09-20 596
ImportSelector接口是至spring中导入内部类或者外部类的核心接口,只需要其定义的方法内返回需要创建bean的class字符串就好了,比如:当我们引入一个外部share包,我们拿到里面的Class返回出去,就能得到这个bean,是多么神奇的事情,前提是这个类不是接口哦。ImportSelector往往结合@Import注解一起使用,可以参考我的这篇文章。
Spring Security 升级到 5.5.7、5.6.4 及以上启动报错出现版本不兼容解决思路
Master_Shifu_的博客
10-09 8186
修复spring-security-web:5.2.1.RELEASE版本启动报错spring版本不兼容
Spring Security 源码解析 -- 安全认证动态权限之基于内存模式
weixin_39231786的博客
02-07 242
Spring Security 源码解析 -- 安全认证动态权限之基于内存模式Spring Security 入门相关概念项目依赖包EnableWebSecurityWebSecurityConfiguration功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowch
SpringSecurity源码学习之SpringSecurity相关配置类的读取
clyu的博客
09-12 406
SpringSecurity 初始化流程源码 本篇主要讲解 SpringSecurity初始化流程的源码部分,包括核心的 springSecurityFilterChain 是如何创建的,以及在介绍哪里可以扩展个性化的配置,SpringSecurity源码其实是蛮难得 各种Builder Configure 看得真的头疼 ...
SpringSecurity学习笔记(一)
weixin_38530160的博客
11-15 4290
SpringSecurity学习笔记一、SpringSecurity是什么二、安装SpringSecurity、核心组件 参考的详细教程,点击这里,感谢作者及翻译! 对于任何一门技术都无耻的保持着得过且过的心态,多年后发现,基础根基不牢,只会在错误的道路上渐行渐远。。。 幡然醒悟,一定痛改前非,自我救赎就从这篇SpringSecurity开始! 感谢互联网时代,让每一门技术在网上都有教程可循! 感谢技术大佬们的无私分享! 废话不多说,希望自己能坚持写下去!如有不周之处,还请多多包涵! 一、SpringSe
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Concrete5 CMS网站源码 v5.6.2
04-02
把鼠标放在顶部的 Dashboard(控制台)上面,不要点进去,会显示一个窗口,下面有这个选项: News – Learn about your site and concrete5. (新闻 – 了解您的网站和concrete5。) System & Settings – Secure ...
实验 5.6.2:RIP 配置练习
06-04
、实验拓扑图及地址表 * 设备接口 IP 地址子网掩码默认网关 * BRANCH Fa0/0 10.10.2.1 255.255.254.0 不适用 * S0/0/0 192.168.1.6 255.255.255.192 不适用 * 92HQ Fa0/0 192.168.1.65 255.255.255.192 不适用 * ...
qt-everywhere-(qqqq)opensource-src-5.6.2.zip
07-05
linux下qt5.6.2源码编译。
FastReport 5.6.2
10-03
不多说了,最好的报表控件,支持64位系统,无需任何DLL,最重要的我解决了在win10上打印预览窗口按钮显示的问题(有一条竖线)。懂的人自己拿去吧。
Spring Security入门】17-核心配置解读
通往神秘的道路的专栏
02-17 313
上一篇文章《Spring Security(二)—Guides》,通过Spring Security的配置项了解了Spring Security是如何保护我们的应用的,本篇文章对上一次的配置做一个分析。 [TOC] 3 核心配置解读 3.1 功能介绍 这是Spring Security入门指南中的配置项: @Configuration @EnableWebSecurity public...
spring security 自动配置的拦截器是怎么初试化的?
关注眼前,享受当下
01-24 2246
springboot中使用 spring security 通常会 创建一个 SecurityConfig类 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(Authentica
spring注解@ImportImportSelectorImportBeanDefinitionRegistrar向IOC容器中导入组建
qq_36722039的博客
08-11 2092
* 在容器中注册组建 * 1:包扫描:带用注解的组建(@Controller、@Service、@Repotitory...) * 2:bean注解导入组建【导入第方包里的组建】 * 3:@Import快速向容器中导入组建 * 1.@Import(需要导入的组建);容器中会自动注册组建,默认id是全类名 * 2.I...
ImportSelector与DeferredImportSelector的区别(spring4)
程序员欣宸的博客
09-09 1万+
在使用@Import注解来注册bean的时候,Import注解的值可以是ImportSelector或者DeferredImportSelector的实现类,spring容器会实例化这个实现类,并执行其selectImports方法,那么问题来了:ImportSelector和DeferredImportSelector的区别在哪里,我们自定义Imort逻辑的时候该选择哪个呢?本文通过分析相关的s...
深入理解SpringImportSelector接口
Java知音
04-22 561
作者:聂晨cnblogs.com/niechen/p/9262452.htmlImportSelector接口是至spring中导入外部配置的核心接口,在SpringBoot的自动化配置...
Spring注解驱动开发】在@Import注解中使用ImportSelector接口导入bean
冰河的专栏
06-12 1752
写在前面 在上一篇关于Spring的@Import注解的文章《【Spring注解驱动开发】使用@Import注解给容器中快速导入一个组件》中,我们简单介绍了如何使用@Import注解给容器中快速导入一个组件,而我们知道,@Import注解总共包含种使用方法,分别为:直接填class数组方式;ImportSelector方法(重点);ImportBeanDefinitionRegistrar方式。那么,今天,我们就一起来学习关于@Import注解非常重要的第二种方式:ImportSelector方式。
Spring(32)——ImportSelector介绍
热门推荐
Elim的博客
03-04 1万+
ImportSelector介绍 在@Configuration标注的Class上可以使用@Import引入其它的配置类,其实它还可以引入org.springframework.context.annotation.ImportSelector实现类。ImportSelector接口只定义了一个selectImports(),用于指定需要注册为bean的Class名称。当在@Configurati...
SpringImportSelector接口浅析
OceanSky的专栏
08-06 3249
@Import注解是将指定的Bean加入到IOC容器之中进行管理,ImportSelector接口只有一个selectImports方法,该方法将返回一个数组,也就是类实例名称,@Import 注解将会把返回的Bean加入到IOC容器中进行管理; 1.看下ImportSelector接口的源码 package org.springframework.context.annotation; imp...
详解SpringImportSelector接口
moxiaolin的博客
09-20 300
详解SpringImportSelector接口(2) - 简书写在最前 上篇文章 - 详解SpringImportSelector接口(1) http://www.jianshu.com/p/aa99a303bc37中,我们最后留下了...https://www.jianshu.com/p/23d4e853b15b
ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none)
最新发布
08-02
问题:ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none) 回答: 当出现"ERROR: Could not find a version that satisfies the requirement"的错误时,这意味着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值