spring aop(十)--spring security启用全局方法使用aop的分析

最新推荐文章于 2024-07-21 10:42:02 发布
最新推荐文章于 2024-07-21 10:42:02 发布
阅读量5.8k 收藏 4
点赞数 1
分类专栏: aop 文章标签: BeanPostProcessor aop spring spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiejx618/article/details/44026469
版权
使用以下配置就可启用spring security全局方法:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

}

它大致是怎样起作用的?

先从EnableGlobalMethodSecurity入手

@Retention(value=java.lang.annotation.RetentionPolicy.RUNTIME)
@Target(value={java.lang.annotation.ElementType.TYPE})
@Documented
@Import({GlobalMethodSecuritySelector.class,ObjectPostProcessorConfiguration.class})
@EnableGlobalAuthentication
public @interface EnableGlobalMethodSecurity {
    boolean prePostEnabled() default false;
    boolean securedEnabled() default false;
    boolean jsr250Enabled() default false;
    //设置是否使用CGLib创建代理
    boolean proxyTargetClass() default false;
    AdviceMode mode() default AdviceMode.PROXY;
    int order() default Ordered.LOWEST_PRECEDENCE;
}

@EnableGlobalAuthentication是与认证有关的配置,不做分析.ObjectPostProcessorConfiguration也不是分析关心的配置,重点看看GlobalMethodSecuritySelector.

final class GlobalMethodSecuritySelector implements ImportSelector {
    public final String[] selectImports(AnnotationMetadata importingClassMetadata) {
        Class<EnableGlobalMethodSecurity> annoType = EnableGlobalMethodSecurity.class;
        Map<String, Object> annotationAttributes = importingClassMetadata.getAnnotationAttributes(annoType.getName(), false);
        AnnotationAttributes attributes = AnnotationAttributes.fromMap(annotationAttributes);
        Assert.notNull(attributes, String.format(
                "@%s is not present on importing class '%s' as expected",
                annoType.getSimpleName(), importingClassMetadata.getClassName()));
        // TODO would be nice if could use BeanClassLoaderAware (does not work)
        Class<?> importingClass = ClassUtils.resolveClassName(importingClassMetadata.getClassName(), ClassUtils.getDefaultClassLoader());
	//因为MethodSecurityConfig继承了GlobalMethodSecurityConfiguration,所以为true
        boolean skipMethodSecurityConfiguration = GlobalMethodSecurityConfiguration.class.isAssignableFrom(importingClass);
        AdviceMode mode = attributes.getEnum("mode");
	//前面没有配置mode,所以autoProxyClassName为AutoProxyRegistrar.class.getName()
        String autoProxyClassName = AdviceMode.PROXY == mode ? AutoProxyRegistrar.class.getName()
                : GlobalMethodSecurityAspectJConfiguration.class.getName();
        if(skipMethodSecurityConfiguration) {
	//所以此方法最终返回只有"AutoProxyRegistrar"一个元素的字符串数组.
            return new String[] { autoProxyClassName };
        }
        return new String[] { autoProxyClassName,
                GlobalMethodSecurityConfiguration.class.getName()};
    }
}
紧跟着看AutoProxyRegistrar 
public class AutoProxyRegistrar implements ImportBeanDefinitionRegistrar {
	//前面省略
	@Override
	public void registerBeanDefinitions(AnnotationMetadata importingClassMetadata, BeanDefinitionRegistry registry) {
		boolean candidateFound = false;
		Set<String> annoTypes = importingClassMetadata.getAnnotationTypes();
		for (String annoType : annoTypes) {
			AnnotationAttributes candidate = AnnotationConfigUtils.attributesFor(importingClassMetadata, annoType);
			Object mode = candidate.get("mode");
			Object proxyTargetClass = candidate.get("proxyTargetClass");
			if (mode != null && proxyTargetClass != null && mode.getClass().equals(AdviceMode.class) &&
					proxyTargetClass.getClass().equals(Boolean.class)) {
				candidateFound = true;
				if (mode == AdviceMode.PROXY) {
					//关键点在这里
					AopConfigUtils.registerAutoProxyCreatorIfNecessary(registry);
					if ((Boolean) proxyTargetClass) {
						AopConfigUtils.forceAutoProxyCreatorToUseClassProxying(registry);
						return;
					}
				}
			}
		}
		//后面省略
	}
}
再看AopConfigUtils.registerAutoProxyCreatorIfNecessary(registry); 
public static BeanDefinition registerAutoProxyCreatorIfNecessary(BeanDefinitionRegistry registry) {
	return registerAutoProxyCreatorIfNecessary(registry, null);
}
public static BeanDefinition registerAutoProxyCreatorIfNecessary(BeanDefinitionRegistry registry, Object source) {
	return registerOrEscalateApcAsRequired(InfrastructureAdvisorAutoProxyCreator.class, registry, source);
}
这里就可以看出实际上,就注册了一个InfrastructureAdvisorAutoProxyCreator这样的BeanPostProcessor,创建代理就是要靠它了.只有自动代理创建器是无法创建代理的,必须要有Advice,或者Advisor.回头看GlobalMethodSecurityConfiguration,这个配置就包含一个MethodSecurityMetadataSourceAdvisor,创建这个Advisor又使用了MethodSecurityInterceptor和MethodSecurityMetadataSource.


有了这些配置,就大概差不多了!代理的创建和前面介绍差不多,这里就是InfrastructureAdvisorAutoProxyCreator这样的Bean后置处理器根据MethodSecurityMetadataSourceAdvisor来创建代理了.


有了代理,再看看调用时机.前文介绍到JDK创建的代理,入口在org.springframework.aop.framework.JdkDynamicAopProxy#invoke;如果使用CGLib创建的代理,入口在org.springframework.aop.framework.CglibAopProxy.DynamicAdvisedInterceptor#intercept.最后都会调用org.springframework.aop.framework.ReflectiveMethodInvocation#proceed,具体到前面配置的spring security,最终得到MethodSecurityInterceptor,并调用invoke方法,这前面的工作的主要功劳都要归于Spring AOP了.下面看看这个invoke方法:

public Object invoke(MethodInvocation mi) throws Throwable {
	//执行目标方法前调用,也就是验证权限就在这里了.
	InterceptorStatusToken token = super.beforeInvocation(mi);
	Object result;
	try {
		result = mi.proceed();
	} finally {
		super.finallyInvocation(token);
	}
	return super.afterInvocation(token, result);
}
再看org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation这个方法 
protected InterceptorStatusToken beforeInvocation(Object object) {
	//...略
	Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);
	//...略
	Authentication authenticated = authenticateIfRequired();
	// Attempt authorization
	try {
		//关键点在这里
		this.accessDecisionManager.decide(authenticated, object, attributes);
	}catch (AccessDeniedException accessDeniedException) {
		publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated, accessDeniedException));
		throw accessDeniedException;
	}
	//...略
}
其中authenticated就是用户的认证信息,object就是方法调用MethodInvocation实例,attributes就是从方法注解上获取的配置信息,根据这三个东东来作出决定用户是否有权限,继续执行这个目标方法.剩下的也不必多解析了.


xiejx618
关注
专栏目录
SpringSecurity全局方法安全性:预授权和后授权
冲出仁川,走出马德里,故事还会再继续
03-06 4711
SpringSecurity全局方法安全性:预授权和后授权1、非Web应用程序能否使用Spring Security实现授权?2、启用全局方法安全性2.1 理解调用授权2.1.1 使用预授权保护对方法的访问2.1.2 使用后授权保护对方法的调用2.2 在项目中启用全局方法安全性3、对权限和角色应用预授权3.1 UserDetailsService和Password的配置类3.2 服务类在方法上定义预授权规则3.3 实现端点并使用服务的控制器类3.4 测试3.5 定义测试端点的控制器类3.6 NameServ
Spring Boot入门(23):记录接口日志再也不难!用AOP和自定义注解给Spring Boot加上日志拦截器!
**My Coding Family**
09-01 3224
基于AOP实现自定义注解拦截接口日志并入库,一文教会你。
基于spring securityspring aop的权限控制
silyvin
06-15 3550
首先,获取spring security的当前用户: http://blog.csdn.net/tomcat_2014/article/details/50725723 .Java代码中使用 [java] view plain copy UserDetails userDetails = (UserDetails) Securit
新版SpringSecurity5.x使用与配置
最新发布
Alphamilk的博客
07-21 1793
了解SpringSecurity,并进行简单使用与配置
Spring AOP 执行顺序详细分析
牧凡的天空
12-04 3773
两个不同优先级aop是拦截登录方法,执行顺序。 package com.leusysm.mgr.interceptor; import org.aspectj.lang.JoinPoint; import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.After; import org.as...
Spring Security笔记
KDSWG的博客
10-01 360
springSecurity学习笔记
基于java config的springSecurity(四)--启用全局方法安全
热门推荐
xiejx618的专栏
01-15 2万+
参考资料:http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle 前面实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制. 1.使用@EnableGlobalMethodSecurity注解
Spring-Security-3应用的11个步骤.docx
09-04
2. **方法安全** - 使用AOP(面向切面编程)模式实现安全代理,可以对方法调用进行安全控制。Spring Security 还提供了一种表达式语言,允许在配置中定义访问规则,实现对Web和方法访问的灵活控制。 **配置Spring ...
spring-security 官方文档 中文版
10-12
- **最小 <http> 配置**:使用 `<http>` 元素可以快速启用 Spring Security 的基本功能。 - **auto-config 包含了什么?**:`<http auto-config="true">` 可以自动配置一些默认的安全措施,如开启 HTTP Basic 身份...
Spring实战》-第四章:保护方法Security)(1)-使用注解保护方法
Laiguanfu的博客
04-09 263
慢来比较快,虚心学技术 尽管Spring Security为我们提供了Web层的安全保护,我们依旧有可能会疏忽而导致用户通过正常访问路径访问到不应该访问的方法,所以除了在web层实施保护以外,我们还需要给底层的方法施加保护层。这样就能保证如果用户不具备权限的话,就无法执行相应的逻辑 Spring Security 提供了三种不同的安全注解: Spring Security 自带...
Spring Security工作原理和认证流程
yx444535180的专栏
08-25 1342
一、工作原理 Spring Security所解决的问题是安全访问控制,而安全访问控制功能就是对所有访问系统的请求进行拦截,校验每个请求是否能访问它所期望的资源。一般可以通过Filter和AOP来实现,Spring Security对web资源的保护是通过Filter来实现的,所以从Filter来入手学习Spring Security的原理。 当初始化Spring Security的时候,会创建SpringSecurityFilterChain的过滤器,类型为org.springframework.secu
SpringBoot 分析 @EnableGlobalMethodSecurity注解 GlobalMethodSecurityConfiguration源码
lkr_lkr的博客
07-09 1411
SpringBoot 分析 @EnableGlobalMethodSecurity注解 GlobalMethodSecurityConfiguration源码GlobalMethodSecurityConfigurationMethodSecurityInterceptorMethodSecurityExpressionHandlerDefaultMethodSecurityExpressionHandler总结 GlobalMethodSecurityConfiguration 实例字段 private
SpringBoot中SpringSecurity Method Security创建原理分析
凌晨12点,说出你的知心话
04-09 581
Method Security 如何使用 @EnableGlobalMethodSecurity(jsr250Enabled = true) @Configuration public class EunomiaSecurityConfig extends GlobalMethodSecurityConfiguration { } 注意这里需要添加注解 @EnableGlobalMethodS...
java如何全局方法,Spring:通过java配置在Controller层中启用全局方法安全性
weixin_33669473的博客
03-13 270
更新(更新后的问题)看来你遇到了SEC-2479.有几种方法可以解决这个问题.最简单的方法使用@Autowired的结果作为AuthenticationManager.为此,您必须扩展GlobalMethodSecurityConfiguration并覆盖authenticationManager方法.@Configuration@EnableGlobalMethodSecurity(prePo...
spring security 注解@EnableGlobalMethodSecurity的三种开启注解方式
weixin_43738058的博客
09-17 862
@EnableGlobalMethodSecurity三种注解方式 Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean。 一、JSR-250注解 @DenyAll 拒绝所有访问 @RolesAllowed({“USER”, “ADMIN”}) 该方法只要具有"USER", "ADMIN"任意一种
spring aop实现权限控制
model1235的专栏
10-22 743
这是用spring aop 实现的一个
Spring 使用 AopConfigUtils.registerAutoProxyCreatorIfNecessary(registry); 注册代理
youshang520i
12-21 542
原先有问题的代码 自定义注解 @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.TYPE) @Documented @Import(RateLimiterImportBeanDefinitionRegistrar.class) public @interface EnableRateLimiter { /** * 扫描路径 * @return */ boolean proxyTargetClass
spring-boot利用AOP实现全局日志与异常处理
本文将详细介绍如何在Spring Boot 1.4.1版本的环境中,结合Java 1.8,利用`spring-boot-starter-aop`依赖来集成AOP并创建自定义日志规则。首先,需要在`pom.xml`中添加`spring-boot-starter-aop`和`gson`库以支持AOP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值