Spring Security Config : AbstractConfiguredSecurityBuilder

最新推荐文章于 2024-04-23 16:26:38 发布
最新推荐文章于 2024-04-23 16:26:38 发布
阅读量208 收藏
点赞数
分类专栏: Spring Security Spring Spring/Spring MVC 文章标签: spring java spring boot
原文链接:https://blog.csdn.net/andy_zhang2007/article/details/89913949
版权

AbstractConfiguredSecurityBuilder是Spring Security Config对安全构建器SecurityBuilder的抽象基类实现。它继承自安全构建器SecurityBuilder的另外一个抽象基类实现AbstractSecurityBuilder。但不同的是,AbstractSecurityBuilder约定了SecurityBuilder构建的基本框架:最多被构建一次,而AbstractConfiguredSecurityBuilder在此基础上做了如下扩展:

允许将多个安全配置器SecurityConfigurer应用到该SecurityBuilder上;
定义了构建过程的生命周期(参考生命周期状态定义BuildState);
在生命周期基础之上实现并final了基类定义的抽象方法#doBuild,将构建划分为三个主要阶段#init,#configure,#performBuild;
对 #init/#configure阶段提供了实现;
对 #init/#configure阶段提供了前置回调#beforeInit/#beforeConfigure空方法供基类扩展;
#performBuild定义为抽象方法要求子类提供实现;
登记安全构建器工作过程中需要共享使用的一些对象。
继承关系


源代码
源代码版本 : Spring Security Config 5.1.4.RELEASE

package org.springframework.security.config.annotation;

import java.util.ArrayList;
import java.util.Collection;
import java.util.Collections;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.util.Assert;
import org.springframework.web.filter.DelegatingFilterProxy;

/**
 * 
 * A base SecurityBuilder that allows SecurityConfigurer to be applied to
 * it. This makes modifying the SecurityBuilder a strategy that can be customized
 * and broken up into a number of SecurityConfigurer objects that have more
 * specific goals than that of the SecurityBuilder.
 * 
 *
 *
 * For example, a SecurityBuilder may build an DelegatingFilterProxy, but
 * a SecurityConfigurer might populate the SecurityBuilder with the
 * filters necessary for session management, form based login, authorization, etc.
 *
 *
 * @see WebSecurity
 *
 * @author Rob Winch
 *
 * @param <O> The object that this builder returns
 * @param <B> The type of this builder (that is returned by the base class)
 */
public abstract class AbstractConfiguredSecurityBuilder<O, B extends SecurityBuilder<O>>
        extends AbstractSecurityBuilder<O> {
    private final Log logger = LogFactory.getLog(getClass());

    // 所要应用到当前 SecurityBuilder 上的所有的 SecurityConfigurer
    private final LinkedHashMap<Class<? extends SecurityConfigurer<O, B>>, 
                                List<SecurityConfigurer<O, B>>> configurers 
            = new LinkedHashMap<Class<? extends SecurityConfigurer<O, B>>, 
                                List<SecurityConfigurer<O, B>>>();
    //  用于记录在初始化期间添加进来的 SecurityConfigurer       
    private final List<SecurityConfigurer<O, B>> configurersAddedInInitializing = 
            new ArrayList<SecurityConfigurer<O, B>>();

    // 共享对象
    private final Map<Class<? extends Object>, Object> sharedObjects = 
            new HashMap<Class<? extends Object>, Object>();

    private final boolean allowConfigurersOfSameType;

    private BuildState buildState = BuildState.UNBUILT;

    // 对象后置处理器,一般用于对象的初始化或者确保对象的销毁方法能够被调用到
    private ObjectPostProcessor<Object> objectPostProcessor;

    /***
     * 构造函数
     * Creates a new instance with the provided ObjectPostProcessor. This post
     * processor must support Object since there are many types of objects that may be
     * post processed.
     *
     * @param objectPostProcessor the ObjectPostProcessor to use
     */
    protected AbstractConfiguredSecurityBuilder(
            ObjectPostProcessor<Object> objectPostProcessor) {
        this(objectPostProcessor, false);
    }

    /***
     *  构造函数
     * Creates a new instance with the provided ObjectPostProcessor. This post
     * processor must support Object since there are many types of objects that may be
     * post processed.
     *
     * @param objectPostProcessor the ObjectPostProcessor to use
     * @param allowConfigurersOfSameType if true, will not override other
     * SecurityConfigurer's when performing apply
     */
    protected AbstractConfiguredSecurityBuilder(
            ObjectPostProcessor<Object> objectPostProcessor,
            boolean allowConfigurersOfSameType) {
        Assert.notNull(objectPostProcessor, "objectPostProcessor cannot be null");
        this.objectPostProcessor = objectPostProcessor;
        this.allowConfigurersOfSameType = allowConfigurersOfSameType;
    }

    /**
     * Similar to #build() and #getObject() but checks the state to
     * determine if #build() needs to be called first.
     *
     * @return the result of #build() or #getObject(). If an error occurs
     * while building, returns null.
     */
    public O getOrBuild() {
        if (isUnbuilt()) {
            try {
                return build();
            }
            catch (Exception e) {
                logger.debug("Failed to perform build. Returning null", e);
                return null;
            }
        }
        else {
            return getObject();
        }
    }

    /**
     * Applies a SecurityConfigurerAdapter to this SecurityBuilder and
     * invokes SecurityConfigurerAdapter#setBuilder(SecurityBuilder).
     * 应用一个 SecurityConfigurerAdapter 到该 SecurityBuilder,
     * SecurityConfigurerAdapter 是 SecurityConfigurer 接口的适配器实现
     * @param configurer
     * @return the SecurityConfigurerAdapter for further customizations
     * @throws Exception
     */
    @SuppressWarnings("unchecked")
    public <C extends SecurityConfigurerAdapter<O, B>> C apply(C configurer)
            throws Exception {
        configurer.addObjectPostProcessor(objectPostProcessor);
        configurer.setBuilder((B) this);
        add(configurer);
        return configurer;
    }

    /**
     * Applies a SecurityConfigurer to this SecurityBuilder overriding any
     * SecurityConfigurer of the exact same class. Note that object hierarchies
     * are not considered.
     *
     * 应用一个 SecurityConfigurer 到该 SecurityBuilder 上
     * @param configurer
     * @return the SecurityConfigurerAdapter for further customizations
     * @throws Exception
     */
    public <C extends SecurityConfigurer<O, B>> C apply(C configurer) throws Exception {
        add(configurer);
        return configurer;
    }

    /**
     * Sets an object that is shared by multiple SecurityConfigurer.
     *
     * @param sharedType the Class to key the shared object by.
     * @param object the Object to store
     */
    @SuppressWarnings("unchecked")
    public <C> void setSharedObject(Class<C> sharedType, C object) {
        this.sharedObjects.put(sharedType, object);
    }

    /**
     * Gets a shared Object. Note that object heirarchies are not considered.
     *
     * @param sharedType the type of the shared Object
     * @return the shared Object or null if it is not found
     */
    @SuppressWarnings("unchecked")
    public <C> C getSharedObject(Class<C> sharedType) {
        return (C) this.sharedObjects.get(sharedType);
    }

    /**
     * Gets the shared objects
     * @return the shared Objects
     */
    public Map<Class<? extends Object>, Object> getSharedObjects() {
        return Collections.unmodifiableMap(this.sharedObjects);
    }

    /**
     * Adds SecurityConfigurer ensuring that it is allowed and invoking
     * SecurityConfigurer#init(SecurityBuilder) immediately if necessary.
     *
     * 添加 SecurityConfigurer 到当前 SecurityBuilder 上,添加过程做了同步处理
     * @param configurer the SecurityConfigurer to add
     * @throws Exception if an error occurs
     */
    @SuppressWarnings("unchecked")
    private <C extends SecurityConfigurer<O, B>> void add(C configurer) throws Exception {
        Assert.notNull(configurer, "configurer cannot be null");

        Class<? extends SecurityConfigurer<O, B>> clazz 
                = (Class<? extends SecurityConfigurer<O, B>>) configurer.getClass();
        synchronized (configurers) {
            if (buildState.isConfigured()) {
                throw new IllegalStateException("Cannot apply " + configurer
                        + " to already built object");
            }
            List<SecurityConfigurer<O, B>> configs = allowConfigurersOfSameType ? this.configurers
                    .get(clazz) : null;
            if (configs == null) {
                configs = new ArrayList<SecurityConfigurer<O, B>>(1);
            }
            configs.add(configurer);
            this.configurers.put(clazz, configs);
            if (buildState.isInitializing()) {
                this.configurersAddedInInitializing.add(configurer);
            }
        }
    }

    /**
     * Gets all the SecurityConfigurer instances by its class name or an empty
     * List if not found. Note that object hierarchies are not considered.
     *
     * @param clazz the SecurityConfigurer class to look for
     * @return a list of SecurityConfigurers for further customization
     */
    @SuppressWarnings("unchecked")
    public <C extends SecurityConfigurer<O, B>> List<C> getConfigurers(Class<C> clazz) {
        List<C> configs = (List<C>) this.configurers.get(clazz);
        if (configs == null) {
            return new ArrayList<>();
        }
        return new ArrayList<>(configs);
    }

    /**
     * Removes all the SecurityConfigurer instances by its class name or an empty
     * List if not found. Note that object hierarchies are not considered.
     *
     * @param clazz the SecurityConfigurer class to look for
     * @return a list of SecurityConfigurers for further customization
     */
    @SuppressWarnings("unchecked")
    public <C extends SecurityConfigurer<O, B>> List<C> removeConfigurers(Class<C> clazz) {
        List<C> configs = (List<C>) this.configurers.remove(clazz);
        if (configs == null) {
            return new ArrayList<>();
        }
        return new ArrayList<>(configs);
    }

    /**
     * Gets the SecurityConfigurer by its class name or null if not
     * found. Note that object hierarchies are not considered.
     *
     * @param clazz
     * @return the SecurityConfigurer for further customizations
     */
    @SuppressWarnings("unchecked")
    public <C extends SecurityConfigurer<O, B>> C getConfigurer(Class<C> clazz) {
        List<SecurityConfigurer<O, B>> configs = this.configurers.get(clazz);
        if (configs == null) {
            return null;
        }
        if (configs.size() != 1) {
            throw new IllegalStateException("Only one configurer expected for type "
                    + clazz + ", but got " + configs);
        }
        return (C) configs.get(0);
    }

    /**
     * Removes and returns the SecurityConfigurer by its class name or
     * null if not found. Note that object hierarchies are not considered.
     *
     * @param clazz
     * @return
     */
    @SuppressWarnings("unchecked")
    public <C extends SecurityConfigurer<O, B>> C removeConfigurer(Class<C> clazz) {
        List<SecurityConfigurer<O, B>> configs = this.configurers.remove(clazz);
        if (configs == null) {
            return null;
        }
        if (configs.size() != 1) {
            throw new IllegalStateException("Only one configurer expected for type "
                    + clazz + ", but got " + configs);
        }
        return (C) configs.get(0);
    }

    /**
     * Specifies the ObjectPostProcessor to use.
     * @param objectPostProcessor the ObjectPostProcessor to use. Cannot be null
     * @return the SecurityBuilder for further customizations
     */
    @SuppressWarnings("unchecked")
    public O objectPostProcessor(ObjectPostProcessor<Object> objectPostProcessor) {
        Assert.notNull(objectPostProcessor, "objectPostProcessor cannot be null");
        this.objectPostProcessor = objectPostProcessor;
        return (O) this;
    }

    /**
     * Performs post processing of an object. The default is to delegate to the
     * ObjectPostProcessor.
     *
     * @param object the Object to post process
     * @return the possibly modified Object to use
     */
    protected <P> P postProcess(P object) {
        return this.objectPostProcessor.postProcess(object);
    }

    /**
     *  对基类定义的 #doBuild 提供实现,并将其设置为 final, 该实现体现了
     * Spring Security Config 对 SecurityBuilder 构建过程生命周期的处理
     * Executes the build using the SecurityConfigurer's that have been applied
     * using the following steps:
     *
     * 
     * 1. Invokes #beforeInit() for any subclass to hook into
     * 2. Invokes SecurityConfigurer#init(SecurityBuilder) for any
     *  SecurityConfigurer that was applied to this builder.
     * 3. Invokes #beforeConfigure() for any subclass to hook into
     * 4.Invokes #performBuild() which actually builds the Object
     * 
     */
    @Override
    protected final O doBuild() throws Exception {
        synchronized (configurers) {
            buildState = BuildState.INITIALIZING;

            beforeInit();
            init();

            buildState = BuildState.CONFIGURING;

            beforeConfigure();
            configure();

            buildState = BuildState.BUILDING;

            O result = performBuild();

            buildState = BuildState.BUILT;

            return result;
        }
    }

    /**
     *  留给子类扩展的生命周期方法
     * Invoked prior to invoking each SecurityConfigurer#init(SecurityBuilder)
     * method. Subclasses may override this method to hook into the lifecycle without
     * using a SecurityConfigurer.
     */
    protected void beforeInit() throws Exception {
    }

    /**
     *  留给子类扩展的生命周期方法
     * Invoked prior to invoking each
     * SecurityConfigurer#configure(SecurityBuilder) method. Subclasses may
     * override this method to hook into the lifecycle without using a
     * SecurityConfigurer.
     */
    protected void beforeConfigure() throws Exception {
    }

    /**
     * 要求子类必须提供实现的构建过程方法
     * Subclasses must implement this method to build the object that is being returned.
     *
     * @return the Object to be buit or null if the implementation allows it
     */
    protected abstract O performBuild() throws Exception;

    // 构建过程初始化方法 : 调用所有 SecurityConfigurer 的 #init 初始化方法
    @SuppressWarnings("unchecked")
    private void init() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

        for (SecurityConfigurer<O, B> configurer : configurers) {
            configurer.init((B) this);
        }

        for (SecurityConfigurer<O, B> configurer : configurersAddedInInitializing) {
            configurer.init((B) this);
        }
    }

    // 构建过程配置方法 : 调用所有 SecurityConfigurer 的 #configure 配置方法
    @SuppressWarnings("unchecked")
    private void configure() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

        for (SecurityConfigurer<O, B> configurer : configurers) {
            configurer.configure((B) this);
        }
    }

    private Collection<SecurityConfigurer<O, B>> getConfigurers() {
        List<SecurityConfigurer<O, B>> result = new ArrayList<SecurityConfigurer<O, B>>();
        for (List<SecurityConfigurer<O, B>> configs : this.configurers.values()) {
            result.addAll(configs);
        }
        return result;
    }

    /**
     * Determines if the object is unbuilt.
     * @return true, if unbuilt else false
     */
    private boolean isUnbuilt() {
        synchronized (configurers) {
            return buildState == BuildState.UNBUILT;
        }
    }

    /**
     * The build state for the application
     * 构建器构建过程生命周期定义
     *
     * @author Rob Winch
     * @since 3.2
     */
    private static enum BuildState {
        /**
         * This is the state before the Builder#build() is invoked
         */
        UNBUILT(0),

        /**
         * The state from when Builder#build() is first invoked until all the
         * SecurityConfigurer#init(SecurityBuilder) methods have been invoked.
         */
        INITIALIZING(1),

        /**
         * The state from after all SecurityConfigurer#init(SecurityBuilder) have
         * been invoked until after all the
         * SecurityConfigurer#configure(SecurityBuilder) methods have been
         * invoked.
         */
        CONFIGURING(2),

        /**
         * From the point after all the
         * SecurityConfigurer#configure(SecurityBuilder) have completed to just
         * after AbstractConfiguredSecurityBuilder#performBuild().
         */
        BUILDING(3),

        /**
         * After the object has been completely built.
         */
        BUILT(4);

        private final int order;

        BuildState(int order) {
            this.order = order;
        }

        public boolean isInitializing() {
            return INITIALIZING.order == order;
        }

        /**
         * Determines if the state is CONFIGURING or later
         * @return
         */
        public boolean isConfigured() {
            return order >= CONFIGURING.order;
        }
    }
}
 

ywb201314
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
07Spring Cloud Config:外部集中化配置管理1
08-04
07Spring Cloud Config:外部集中化配置管理1
Spring-Security:安全攻击对策
05-13
Spring Security模块配置 模组名称 解释 Spring安全核心 由核心组件组成,以实现身份验证和授权功能 Spring安全网 包含实现Web应用程序安全功能的组件 弹簧安全配置 由组件组成,以支持每个模块提供的组件配置(支持...
深入理解 HttpSecurity【源码篇】
2401_84048006的博客
04-07 897
AbstractSecurityBuilder 类实现了 SecurityBuilder 接口,该类中主要做了一件事,就是确保整个构建只被构建一次。if (!可以看到,这里重新定义了 build 方法,并设置 build 方法为 final 类型,无法被重写,在 build 方法中,通过 AtomicBoolean 实现该方法只被调用一次。具体的构建逻辑则定义了新的抽象方法 doBuild,将来在实现类中通过 doBuild 方法定义构建逻辑。
Spring Security 配置原理
菜鸟的博客
07-17 281
Spring Security 配置原理 原理解析 前置知识 SecurityBuilder<O>【构建者】 Spring Security 用【构建者】来构建【目标对象】 package org.springframework.security.config.annotation; public interface SecurityBuilder<O> { O build() throws Exception; } AbstractConfiguredSecurity
Security配置生效源码分析
Xjzzon的博客
02-19 705
文章概述 本文主要解决几个问题: security配置生效的入口是哪里 我们平时写的security配置是如何被调用的 为什么我们写的配置需要继承WebSecurityConfigurerAdapter HttpSecurity和WebSecurity是干嘛用的 配置核心类 启动Security,需要在启动类上添加@EnableSecurity注解 @SpringBootApplication @EnableWebSecurity public class ThingsboardApp {
从源码角度拆解SpringSecurity之万能的SecurityBuilder
会飞的耗子
03-31 902
上一篇我们梳理了整个框架的核心流程,知道了SpringSecurity其实是基于Filter来实现的认证和权限管理,以及它是如何一步步被创建出来的。可是我们使用SpringSecurity框架时最特别的代码就是 **“http.xxx().xxx().and().xxx()...”** 了吧,这些语句其实就是我们定义的配置,那么这些配置又是如何被加载到框架中的呢,本章我们就一起来进行拆解吧。
史上最烂 spring security 原理分析
红衣女妖仙的博客
08-07 685
spring security 简介、核心组件、初始化流程、认证初始化、授权初始化、认证流程、授权流程  spring security 是一个。。。巴拉巴拉一大堆。其和 shiro 怎么怎么样。。。又巴拉巴拉一大堆。  spring security 核心组件主要由 SecurityBuilderSecurity Exception、Authenticate、Authorize、Authentication、SecurityContext、SecurityContextHolder、SecurityCo
Spring Security源码学习——建造者基础架构
clyu的博客
09-14 223
参考文章Spring Security源码(一):整体框架设计 前言 Spring Security整个框架的核心就是构建一个名字为 springSecurityFilterChain 的过滤器Bean,它的类型是 FilterChainProxy 它整个框架主要由 建造者 和 配置器 构成,在服务启动时就是 通过配置器对建造者进行配置 ,配置完成再由建造者创建出核心过滤。 本文主要讲的就是他的建造者 建造者的顶级接口是整体SecurityBuilder,而他的基本架构实现是AbstractConfigu
spring-security-config-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-config-5.5.2.jar; 赠送原API文档:spring-security-config-5.5.2-javadoc.jar; 赠送源代码:spring-security-config-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-config-5.6.1-API文档-中英对照版.zip
05-03
赠送jar包:spring-security-config-5.6.1.jar; 赠送原API文档:spring-security-config-5.6.1-javadoc.jar; 赠送源代码:spring-security-config-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-config-5.6.1-API文档-中文版.zip
05-09
赠送jar包:spring-security-config-5.6.1.jar; 赠送原API文档:spring-security-config-5.6.1-javadoc.jar; 赠送源代码:spring-security-config-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
SpringSecurity(十二)过滤器链分析(上)
陈橙橙
03-16 1908
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器链。因为Spring Security中的所有功能都是通过过滤器链来实现的,这些过滤器组成一个完整的过滤器链。那么这些过滤器链是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
Spring Security --SecurityConfig的详细配置
热门推荐
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security的配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
Spring Security Config : 概念模型接口 SecurityBuilder
Details Inside Spring
05-06 1143
源代码版本 : Spring Security Config 5.1.4.RELEASE SecurityBuilderSpring Security Config对安全构建器的概念建模接口,该接口约定了Spring Security Config的各种安全构建器实现类的统一行为: 执行构建调用 #build() 方法; 这是一个泛型接口,泛型参数O表示目标构建对象的类型(O可以理解成是...
从源码开始精通spring-security1
pingfanblog
03-05 130
从源码开始精通spring-security1
Spring Security最难的地方就是这个了
码农小胖哥
12-27 3594
本篇摘自胖哥最新的基于Spring Security 5.6.x的《Spring Security干货》教程。旧版的教程将在2022年1月1日下线,请需要的同学尽快通过本公众号回复“202...
Spring Security源码学习——用户配置器
clyu的博客
10-07 122
2.1 UserDetailsAwareConfigurer 这个配置类看名字大概就知道这是用来配置用户类的。 public abstract class UserDetailsAwareConfigurer<B extends ProviderManagerBuilder<B>, U extends UserDetailsService> extends SecurityConfigurerAdapter<AuthenticationManager, B> {
SpringBoot项目打包分离高阶操作
最新发布
Record Little
04-23 627
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
Cannot resolve org.springframework.security:spring-security-config:5.7.8
05-14
这个错误通常是由于你的项目的Maven或Gradle依赖项配置文件中缺少了Spring Security Config库的依赖项引起的。你需要确认你的pom.xml文件或build.gradle文件中是否添加了以下依赖项: 对于Maven: ```xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值