ObjectPostProcessor在WebSecurityConfig中的应用

最新推荐文章于 2022-09-12 00:21:02 发布
最新推荐文章于 2022-09-12 00:21:02 发布
阅读量521 收藏
点赞数
分类专栏: Spring Security Spring Spring/Spring MVC 文章标签: java spring
原文链接:https://blog.csdn.net/liuyanglglg/article/details/104761761/
版权

ObjectPostProcessor
介绍
笔者在学习Spring Security,调试HeaderWriterFilter源码时,遇到了一个比较困惑的问题,HeaderWriterFilter在往请求头写入信息时,通过shouldWriteHeadersEagerly这个变量来控制,在调用过滤器之前写入还是调用doFilter()之后将信息写入到请求头当中,默认是过滤链执行后写入。笔者以为可以在ResourceServerConfig#configure()方法中,调用HttpSecurity.headers()进行配置,但并没有找到配置方法。笔者把Spring Security源码给下到了本地,在官方的测试用例中找到了答案,而且与这篇文章要介绍的 ObjectPostProcessor有关,代码如下:

@Override
protected void doFilterInternal(HttpServletRequest request,
        HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {

    if (this.shouldWriteHeadersEagerly) {
        doHeadersBefore(request, response, filterChain);
    } else {
        doHeadersAfter(request, response, filterChain);
    }
}

@EnableWebSecurity
public static class HeadersAtTheBeginningOfRequestConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //@ formatter:off
        http
            .headers()
                .addObjectPostProcessor(new ObjectPostProcessor<HeaderWriterFilter>() {
                    @Override
                    public HeaderWriterFilter postProcess(HeaderWriterFilter filter) {
                        filter.setShouldWriteHeadersEagerly(true);
                        return filter;
                    }
                });
        //@ formatter:on
    }
}

我们在学习Spring Security Filter源码的时候,会发现,相关的Filter都是以new的形式创建的,作为Java服务端开发,我们知道,new出来的对象是不受Spring Bean生命周期管控的。为了使这些Filter实例能够被Spring Bean容器管理,Spring Security定义了一个接口ObjectPostProcessor,AutowireBeanFactoryObjectPostProcessor实现了这个接口,通过postProcess方法手把Bean注入到spring容器进行管理。

代码分析
步骤1:AutowireBeanFactoryObjectPostProcessor
AutowireBeanFactoryObjectPostProcessor注册到Spring Bean容器,是通过@EnableWebSecurity注解一步步@Import实现的,代码如下:

// @EnableWebSecurity 注解代码片段,可以看到该注解隐含使用了@EnableGlobalMethodSecurity
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {

    /**
     * Controls debugging support for Spring Security. Default is false.
     * @return if true, enables debug support with Spring Security
     */
    boolean debug() default false;
}

// @EnableGlobalAuthentication 注解代码片段,可以看到它导入了类 AuthenticationConfiguration
@Import(AuthenticationConfiguration.class)
@Configuration
public @interface EnableGlobalAuthentication {
}

@Configuration
@Import(ObjectPostProcessorConfiguration.class) // 导入了类 ObjectPostProcessorConfiguration
public class AuthenticationConfiguration {
    // 省略无关代码实现
}

@Configuration
public class ObjectPostProcessorConfiguration {

    // 这里的参数beanFactory会被自动注入成当前Spring bean容器
    @Bean
    public ObjectPostProcessor<Object> objectPostProcessor(
            AutowireCapableBeanFactory beanFactory) {
        return new AutowireBeanFactoryObjectPostProcessor(beanFactory);
    }
}

AutowireBeanFactoryObjectPostProcessor的代码分析笔者对代码的关键位置做了比较详细的注释,如下:

package org.springframework.security.config.annotation.configuration;

import java.util.ArrayList;
import java.util.List;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

import org.springframework.beans.factory.Aware;
import org.springframework.beans.factory.DisposableBean;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.SmartInitializingSingleton;
import org.springframework.beans.factory.config.AutowireCapableBeanFactory;
import org.springframework.security.config.annotation.ObjectPostProcessor;
import org.springframework.util.Assert;

final class AutowireBeanFactoryObjectPostProcessor
        implements ObjectPostProcessor<Object>, DisposableBean, SmartInitializingSingleton {
    private final Log logger = LogFactory.getLog(getClass());
    private final AutowireCapableBeanFactory autowireBeanFactory;
    private final List<DisposableBean> disposableBeans = new ArrayList<>();
    private final List<SmartInitializingSingleton> smartSingletons = new ArrayList<>();

    // 使用指定的 autowireBeanFactory 构造对象
    // autowireBeanFactory 通常是 Spring bean 容器
    public AutowireBeanFactoryObjectPostProcessor(
            AutowireCapableBeanFactory autowireBeanFactory) {
        Assert.notNull(autowireBeanFactory, "autowireBeanFactory cannot be null");
        this.autowireBeanFactory = autowireBeanFactory;
    }

    
    // 对某个刚刚创建的对象 object 执行这里所谓的 post-process 流程 :
    // 1. 使用指定的 autowireBeanFactory 对该对象 object 执行初始化过程;
    // 2. 使用指定的 autowireBeanFactory 对该对象 object 执行依赖注入过程;
    // 3. 如果该对象 object 是一个 DisposableBean , 则将它记录下来,在当前对象的destroy()
    //    被调用时,它们的 destroy() 方法也都会被调用;
    // 4. 如果该对象 object 是一个 SmartInitializingSingleton , 则将它记录下来,
    //    在当前对象的 afterSingletonsInstantiated () 被调用时,它们的 afterSingletonsInstantiated() 
    //    方法也都会被调用;
    @SuppressWarnings("unchecked")
    public <T> T postProcess(T object) {
        if (object == null) {
            return null;
        }
        T result = null;
        try {
            // 使用容器autowireBeanFactory标准初始化方法initializeBean()初始化对象 object
            result = (T) this.autowireBeanFactory.initializeBean(object,
                    object.toString());
        }
        catch (RuntimeException e) {
            Class<?> type = object.getClass();
            throw new RuntimeException(
                    "Could not postProcess " + object + " of type " + type, e);
        }
        // 使用容器autowireBeanFactory标准依赖注入方法autowireBean()处理 object对象的依赖注入
        this.autowireBeanFactory.autowireBean(object);
        
        if (result instanceof DisposableBean) {
            // 记录一个 DisposableBean 对象
            this.disposableBeans.add((DisposableBean) result);
        }
        if (result instanceof SmartInitializingSingleton) {
            // 记录一个 SmartInitializingSingleton 对象
            this.smartSingletons.add((SmartInitializingSingleton) result);
        }
        return result;
    }
    
    // SmartInitializingSingleton 接口定义的生命周期方法,在被调用时也回调用被记录的实现了
    // SmartInitializingSingleton 接口的那些对象的方法 afterSingletonsInstantiated()
    @Override
    public void afterSingletonsInstantiated() {
        for (SmartInitializingSingleton singleton : smartSingletons) {
            singleton.afterSingletonsInstantiated();
        }
    }

    // DisposableBean 接口定义的生命周期方法,在被调用时也回调用被记录的实现了
    // DisposableBean 接口的那些对象的方法 destroy()
    public void destroy() throws Exception {
        for (DisposableBean disposable : this.disposableBeans) {
            try {
                disposable.destroy();
            }
            catch (Exception error) {
                this.logger.error(error);
            }
        }
    }

}

步骤2:ObjectPostProcessor
ObjectPostProcessor在Spring Security中广泛应用,我们这里就以HeaderWriterFilter为例, 像文章开始说的那样,笔者要修改shouldWriteHeadersEagerly的值,可以进行如下配置:

@Override
public void configure(HttpSecurity http) throws Exception {
    http.headers()
        .addObjectPostProcessor(new ObjectPostProcessor<HeaderWriterFilter>() {
            @Override
            public HeaderWriterFilter postProcess(HeaderWriterFilter filter) {
                filter.setShouldWriteHeadersEagerly(true);
                return filter;
            }
        });
}

在HeaderConfigurer这个类中,HeaderWriterFilter确实是new出来的,接着调用了postProcess()方法,进行后置处理。objectPostProcessor是一个复合的对象后置处理器,内部维护一个ObjectPostProcessor List, 调用postProcess()时,遍历ObjectPostProcessor List逐一处理传入的对象。这个List是在默认情况下,只包含一个ObjectPostProcessor,实现就是AutowireBeanFactoryObjectPostProcessor,但是我们自己配置了http.headers().addObjectPostProcessor(…),因此还有一个匿名ObjectPostProcessor,前者是将对象注入到Spring Bean容器,或者是显式调用容器中bean的方法改变对象的属性。CompositeObjectPostProcessor关键代码如下:

private CompositeObjectPostProcessor objectPostProcessor = new CompositeObjectPostProcessor();

private HeaderWriterFilter createHeaderWriterFilter() {
    List<HeaderWriter> writers = getHeaderWriters();
    if (writers.isEmpty()) {
        throw new IllegalStateException(
                "Headers security is enabled, but no headers will be added. Either add headers or disable headers security");
    }
    HeaderWriterFilter headersFilter = new HeaderWriterFilter(writers);
    headersFilter = postProcess(headersFilter);
    return headersFilter;
}

protected <T> T postProcess(T object) {
    return (T) this.objectPostProcessor.postProcess(object);
}

private List<ObjectPostProcessor<?>> postProcessors = new ArrayList<>();

@SuppressWarnings({ "rawtypes", "unchecked" })
public Object postProcess(Object object) {
    for (ObjectPostProcessor opp : postProcessors) {
        Class<?> oppClass = opp.getClass();
        Class<?> oppType = GenericTypeResolver.resolveTypeArgument(oppClass,
                ObjectPostProcessor.class);
        if (oppType == null || oppType.isAssignableFrom(object.getClass())) {
            object = opp.postProcess(object);
        }
    }
    return object;
}
 

项目启动后看,我们发起一个请求,发现shouldWriteHeadersEagerly已经为true了,截图如下:


参考文献
Spring Security Config : 工具类 AutowireBeanFactoryObjectPostProcessor

ywb201314
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ObjectPostProcessor
既无风雨也无晴
03-09 3万+
ObjectPostProcessor 介绍 笔者在学习Spring Security,调试HeaderWriterFilter源码时,遇到了一个比较困惑的问题,HeaderWriterFilter在往请求头写入信息时,通过shouldWriteHeadersEagerly这个变量来控制,在调用过滤器之前写入还是调用doFilter()之后写入,默认是后者。但是既然有这个分支,就能够控制。笔者以...
SpringSecurity------ObjectPostProcessor
豢龙先生
12-30 817
SpringSecurity------ObjectPostProcessor一级目录二级目录三级目录 一级目录 二级目录 三级目录
SpringSecurity 5.7.3使用withObjectPostProcessor遇到的配置无效问题
胡海龙
09-12 2609
使用Spring Security 5.7.3 的时候在配置withObjectProcessor时遇到配置无效的问题,主要原因是authorizeHttpRequest的原因,改为authorizeRequest后配置生效,authorizeHttpRequest为Spring Security 官方后续推荐的配置方式,它有新的替代配置方式。
SpringFramework#ObjectPostProcessor
来啊 快活啊
06-13 1167
待填坑。
springObjectPostProcessor
汪小哥
12-14 7859
一、背景 在学习spring security的时候,有了解过一下官方的文档,Post Processing Configured Objects 这个玩意,主要的意思。Spring SecurityJava 配置不会公开其配置的每个对象的每个属性。这简化了大多数用户的配置。毕竟,如果每个属性都公开,用户可以使用标准 bean 配置。虽然有充分的理由不直接公开每个属性,但用户可能仍然需要...
第四章示例代码__IObjectPostProcessor
03-06
Spring框架,`IObjectPostProcessor`是一个关键接口,它在对象实例化后但在依赖注入之前执行一些自定义逻辑。这个接口允许开发者对Spring管理的bean进行额外的处理,进一步扩展和定制bean的行为。本章示例代码将...
全面解析Spring Security 内置 Filter
08-18
Spring Security ,Filter 的执行顺序是由 FilterComparator 来维护的。FilterComparator 通过比较 Filter 的优先级来确定其执行顺序。这种机制可以确保 Filter 的执行顺序是正确的,从而确保安全逻辑的正确...
SpringPython使用介绍指南.doc
11-23
- 任何实现了`ObjectPostProcessor`接口且定义了`post_process_after_initialization`方法的对象,在实例创建后,`ApplicationContext`会调用该方法进行后处理。 - 实现了`DisposableObject`接口并定义了`destroy`或...
第四章 Spring.Net 如何管理您的类___IObjectPostProcessor接口
weixin_30642869的博客
03-06 105
  官方取名叫 对象后处理器 (object post-processor) , 听起来很高级的样子啊!实际上就是所有实现了这个接口的类,增加了两个方法。   Spring.Objects.Factory.Config.IObjectPostProcessor 接口,该接口包括两个方法:   //在每个对象的初始化方法被调用之前调用   object PostProcessBefore...
ObjectPostProcessor使用与多种用户定义方式(9)
weixin_43831002的博客
08-09 2087
在前面的章节,我们定义用户主要是两种方式:(1)第一种方式是使用的重写configure(AuthenticationManagerBuilder)方法的方式。(2)第二种方式是定义多个数据源时,我们直接向Spring容器注入了 UserDetailsService 对象。那么这两种用户定义方式有什么区别?...
BeanPostProcessor机制
熊诗言的博客
05-06 448
BeanPostProcessor机制
SpringSecurity源码学习之SpringSecurity相关配置类的读取
clyu的博客
09-12 410
SpringSecurity 初始化流程源码 本篇主要讲解 SpringSecurity初始化流程的源码部分,包括核心的 springSecurityFilterChain 是如何创建的,以及在介绍哪里可以扩展个性化的配置,SpringSecurity源码其实是蛮难得 各种Builder Configure 看得真的头疼 ...
spring security配置构建分析
a807719447的专栏
11-20 507
先看一张大图 从官网给的图我们可以知道启动是通过封装一个FilterChainProxy 到servlet的filter体系,来完成安全配置的全套操作。记住这个点,先放着,接着我们来了解spring security 配置模块几个顶层接口 org.springframework.security.config.annotation.SecurityBuilder org.springframework.security.config.annotation.SecurityConfigurer or
java post filter_解决spring设置filter过滤器结合rest风格获取post请求body参数输入流问题...
weixin_35078410的博客
02-12 755
由于最近在使用spring+jersey开发要设置基于servlet的filter。当在filter通过request.getReader或者getInputStream读取body的json参数处理时,由于rest风格的jersey框架底层亦是基于同样原理读取post请求body参数。因为request自身的原则:getReader或者getInputStream只能调用其一个且只有一次...
Spring Security Filter详解
热门推荐
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
9.Spring security漏洞保护
EdSheeran的博客
03-21 8231
文章目录*漏洞保护**9.1CSRF攻击与防御**9.1.1CSRF简介**9.1.2CSRF攻击演示**9.1.3CSRF防御**令牌同步模式**`SameSite`**需要注意的问题**9.1.4源码分析**`CsrfToken`**`CsrfTokenRepository`**`CsrfFilter`**`CsrfAuthenticationStrategy`**9.2HTTP响应头处理**9.2.1缓存控制**`Cache-Control`**`Pragma`**`Expires`**9.2.2`X
SpringBoot实战》读书笔记
山河已无恙
02-26 1144
我来不及认真地年轻,待明白过来时,只能选择认真地老去。——三毛
SpringSecurity------引入方式和配置(一)
豢龙先生
12-07 1628
SpringSecurity的引入方式和配置方式
Spring Security 过滤器链基础组件
Littlemotor
08-09 2020
Spring Security的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器链。
type 'org.springframework.security.config.annotation.ObjectPostProcessor' that could not be found.
最新发布
03-31
However, the error message suggests that the required class, `ObjectPostProcessor`, belonging to the `org.springframework.security.config.annotation` package, is missing or not imported properly in ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值