2. 程式人生 > 其它 >Spring-security原始碼-許可權之註解許可權原理(十八)

Spring-security原始碼-許可權之註解許可權原理(十八)

阿新 發佈:2021-11-13

使用方式參考:https://www.cnblogs.com/LQBlog/p/15505361.html#autoid-0-0-0

使用註解許可權需要通過以下方式啟用

@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)Import實現原理和使用方式可以參考https://www.cnblogs.com/LQBlog/p/15410425.html

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.TYPE)
@Documented
@Import({ GlobalMethodSecuritySelector.
 
class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableGlobalMethodSecurity {

   

}

GlobalMethodSecuritySelector

final class GlobalMethodSecuritySelector implements ImportSelector {

    @Override
    public String[] selectImports(AnnotationMetadata importingClassMetadata) {
        Class
 
<EnableGlobalMethodSecurity> annoType = EnableGlobalMethodSecurity.class;
        Map<String, Object> annotationAttributes = importingClassMetadata.getAnnotationAttributes(annoType.getName(),
                false);
        //獲得註解配置的元資料
        AnnotationAttributes attributes = AnnotationAttributes.fromMap(annotationAttributes);
        Class
 
<?> importingClass = ClassUtils.resolveClassName(importingClassMetadata.getClassName(),
                ClassUtils.getDefaultClassLoader());
        boolean skipMethodSecurityConfiguration = GlobalMethodSecurityConfiguration.class
                .isAssignableFrom(importingClass);
        AdviceMode mode = attributes.getEnum("mode");
        //proxy型別預設是PROXY
        boolean isProxy = AdviceMode.PROXY == mode;
        String autoProxyClassName = isProxy ? AutoProxyRegistrar.class.getName()
                : GlobalMethodSecurityAspectJAutoProxyRegistrar.class.getName();
        boolean jsr250Enabled = attributes.getBoolean("jsr250Enabled");
        List<String> classNames = new ArrayList<>(4);
        if (isProxy) {
            //<1>加入MethodSecurityMetadataSourceAdvisorRegistrar 主要是初始化AOPAdvisor
            classNames.add(MethodSecurityMetadataSourceAdvisorRegistrar.class.getName());
        }
        classNames.add(autoProxyClassName);
        if (!skipMethodSecurityConfiguration) {
            //<3>MethodInterceptor 初始化到容器 AOP
            classNames.add(GlobalMethodSecurityConfiguration.class.getName());
        }
        if (jsr250Enabled) {
            //jsr250支援的配置
            classNames.add(Jsr250MetadataSourceConfiguration.class.getName());
        }
        return classNames.toArray(new String[0]);
    }

}

<1>

MethodSecurityMetadataSourceAdvisor就是spring AOP切面 詳情可以閱讀https://www.cnblogs.com/LQBlog/p/13954302.html#autoid-13-1-0

/**
 * 採用ImportBeanDefinitionRegistrar 方式匯入類參考
 * https://www.cnblogs.com/LQBlog/p/15410425.html#autoid-3-1-0
 */
class MethodSecurityMetadataSourceAdvisorRegistrar implements ImportBeanDefinitionRegistrar {

    /**
     * Register, escalate, and configure the AspectJ auto proxy creator based on the value
     * of the @{@link EnableGlobalMethodSecurity#proxyTargetClass()} attribute on the
     * importing {@code @Configuration} class.
     */
    @Override
    public void registerBeanDefinitions(AnnotationMetadata importingClassMetadata, BeanDefinitionRegistry registry) {
        //建立MethodSecurityMetadataSourceAdvisor BeanDefinition的構造器
        BeanDefinitionBuilder advisor = BeanDefinitionBuilder
                .rootBeanDefinition(MethodSecurityMetadataSourceAdvisor.class);
        advisor.setRole(BeanDefinition.ROLE_INFRASTRUCTURE);
        /**
         * 呼叫三個引數的建構函式
         * addConstructorArgValue是靜態注入
         * addConstructorArgReference 從容器查詢注入
         */
        advisor.addConstructorArgValue("methodSecurityInterceptor");
        advisor.addConstructorArgReference("methodSecurityMetadataSource");
        advisor.addConstructorArgValue("methodSecurityMetadataSource");
        MultiValueMap<String, Object> attributes = importingClassMetadata
                .getAllAnnotationAttributes(EnableGlobalMethodSecurity.class.getName());
        Integer order = (Integer) attributes.getFirst("order");
        if (order != null) {
            advisor.addPropertyValue("order", order);
        }
        //交給容器初始化<2>
        registry.registerBeanDefinition("metaDataSourceAdvisor", advisor.getBeanDefinition());
    }

}

<2>

public class MethodSecurityMetadataSourceAdvisor extends AbstractPointcutAdvisor implements BeanFactoryAware {

    private transient MethodSecurityMetadataSource attributeSource;

    private transient MethodInterceptor interceptor;

    //織入點 內部類
    private final Pointcut pointcut = new MethodSecurityMetadataSourcePointcut();

    private BeanFactory beanFactory;

    private final String adviceBeanName;

    private final String metadataSourceBeanName;

    private transient volatile Object adviceMonitor = new Object();

    public MethodSecurityMetadataSourceAdvisor(String adviceBeanName, MethodSecurityMetadataSource attributeSource,
                                               String attributeSourceBeanName) {

        //切入點為methodSecurityInterceptor 由GlobalMethodSecurityConfiguration初始化
        this.adviceBeanName = adviceBeanName;
        //容器注入 methodSecurityMetadataSource由GlobalMethodSecurityConfiguration初始化
        this.attributeSource = attributeSource;
        //值為methodSecurityMetadataSource
        this.metadataSourceBeanName = attributeSourceBeanName;
    }

    @Override
    public Pointcut getPointcut() {
        return this.pointcut;
    }

    @Override
    public Advice getAdvice() {
        synchronized (this.adviceMonitor) {
            if (this.interceptor == null) {
                //容容器獲取interceptor methodSecurityInterceptor也就是我們切入的邏輯 由GlobalMethodSecurityConfiguration初始化
                this.interceptor = this.beanFactory.getBean(this.adviceBeanName, MethodInterceptor.class);
            }
            return this.interceptor;
        }
    }

    @Override
    public void setBeanFactory(BeanFactory beanFactory) throws BeansException {
        this.beanFactory = beanFactory;
    }

    private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ois.defaultReadObject();
        this.adviceMonitor = new Object();
        //methodSecurityMetadataSource的例項 由 GlobalMethodSecurityConfiguration初始化
        this.attributeSource = this.beanFactory.getBean(this.metadataSourceBeanName,
                MethodSecurityMetadataSource.class);
    }

    class MethodSecurityMetadataSourcePointcut extends StaticMethodMatcherPointcut implements Serializable {

        @Override
        public boolean matches(Method m, Class<?> targetClass) {
            MethodSecurityMetadataSource source =MethodSecurityMetadataSourceAdvisor.this.attributeSource;
            //匹配是否植入 可以理解為判斷方法是否了打了指定註解 如果打了就植入
            return !CollectionUtils.isEmpty(source.getAttributes(m, targetClass));
        }

    }

}

<3>

如果我們想自定義註解 就看以下類就行

org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration

@Bean
    public MethodInterceptor methodSecurityInterceptor(MethodSecurityMetadataSource methodSecurityMetadataSource) {
        this.methodSecurityInterceptor = isAspectJ() ? new AspectJMethodSecurityInterceptor()
                : new MethodSecurityInterceptor();
        this.methodSecurityInterceptor.setAccessDecisionManager(accessDecisionManager());
        this.methodSecurityInterceptor.setAfterInvocationManager(afterInvocationManager());
        this.methodSecurityInterceptor.setSecurityMetadataSource(methodSecurityMetadataSource);
        RunAsManager runAsManager = runAsManager();
        if (runAsManager != null) {
            this.methodSecurityInterceptor.setRunAsManager(runAsManager);
        }
        return this.methodSecurityInterceptor;
    }
@Bean
    public MethodSecurityMetadataSource methodSecurityMetadataSource() {
        List<MethodSecurityMetadataSource> sources = new ArrayList<>();
        ExpressionBasedAnnotationAttributeFactory attributeFactory = new ExpressionBasedAnnotationAttributeFactory(
                getExpressionHandler());
        MethodSecurityMetadataSource customMethodSecurityMetadataSource = customMethodSecurityMetadataSource();
        if (customMethodSecurityMetadataSource != null) {
            sources.add(customMethodSecurityMetadataSource);
        }
        boolean hasCustom = customMethodSecurityMetadataSource != null;
        boolean isPrePostEnabled = prePostEnabled();
        boolean isSecuredEnabled = securedEnabled();
        boolean isJsr250Enabled = jsr250Enabled();
        Assert.state(isPrePostEnabled || isSecuredEnabled || isJsr250Enabled || hasCustom,
                "In the composition of all global method configuration, "
                        + "no annotation support was actually activated");
        if (isPrePostEnabled) {
            sources.add(new PrePostAnnotationSecurityMetadataSource(attributeFactory));
        }
        if (isSecuredEnabled) {
            sources.add(new SecuredAnnotationSecurityMetadataSource());
        }
        if (isJsr250Enabled) {
            GrantedAuthorityDefaults grantedAuthorityDefaults = getSingleBeanOrNull(GrantedAuthorityDefaults.class);
            Jsr250MethodSecurityMetadataSource jsr250MethodSecurityMetadataSource = this.context
                    .getBean(Jsr250MethodSecurityMetadataSource.class);
            if (grantedAuthorityDefaults != null) {
                jsr250MethodSecurityMetadataSource.setDefaultRolePrefix(grantedAuthorityDefaults.getRolePrefix());
            }
            sources.add(jsr250MethodSecurityMetadataSource);
        }
        return new DelegatingMethodSecurityMetadataSource(sources);
    }

相關推薦

Spring-security原始碼-許可權註解許可權原理()

使用方式參考:https://www.cnblogs.com/LQBlog/p/15505361.html#autoid-0-0-0 使用註解許可權需要通過以下方式啟用

spring-security原始碼-過濾器WebAsyncManagerIntegrationFilter()

作用 我們獲取當前登入使用者資訊是根據SecurityContextHolder.getContext()獲取的,SecurityContextHolder.getContext()本質是ThreadLocal實現

Spring-security原始碼-FilterLogoutFilter(十三)

負責處理登出相關邏輯,預設url對映是/logout org.springframework.security.config.annotation.web.configurers.LogoutConfigurer 初始化

Spring-security原始碼-FilterFilterSecurityInterceptor()

FilterSecurityInterceptor最後一個過濾器,主要做認證和授權攔截,比如我們未登入訪問需要登入的頁面或者我們配置了授權的頁面

爆破專欄丨Spring Security系列教程Spring Security的四種許可權控制方式

前言 在前面的章節中,一一哥已經給大家介紹了Spring Security的很多功能,在這些眾多功能中,我們知道其核心功能其實就是認證+授權。

Spring IoC 原始碼分析 (基於註解)(三) Bean的解析與註冊

在上一篇文章Spring IoC 原始碼分析 (基於註解) 包掃描中,我們介紹了Spring基於註解掃描包獲取bean的過程。本文我們將一起探討spring對bean解析,並註冊到IOC容器的過程。

詳解Spring Security 中的四種許可權控制方式

Spring Security 中對於許可權控制預設已經提供了很多了,但是,一個優秀的框架必須具備良好的擴充套件性,恰好,Spring Security 的擴充套件性就非常棒,我們既可以使用 Spring Security 提供的方式做授權,也可以自

Spring IoC 原始碼分析 (基於註解) (二) 包掃描

技術標籤:框架javaspring 在上篇文章Spring IoC 原始碼分析 (基於註解) 一我們分析到,我們通過AnnotationConfigApplicationContext類傳入一個包路徑啟動Spring之後,會首先初始化包掃描的過濾規則。那我們今天

Spring Security實現基於RBAC的許可權表示式動態訪問控制

昨天有個粉絲加了我,問我如何實現類似shiro的資源許可權表示式的訪問控制。我以前有一個小框架用的就是shiro,許可權控制就用了資源許可權表示式,所以這個東西對我不陌生,但是在Spring Security中我並沒有使用過它

Spring Ioc原始碼分析 Bean的載入(三):各個 scope 的 Bean 建立

Spring中Bean有許多不同的作用域,例如:singleton、prototype、request等等,本篇文章就來分析一下各個scope的Bean是怎麼建立的

Spring Ioc原始碼分析 Bean的載入(六):迴圈依賴處理

在上篇文章中,我們詳細分析了doCreateBean()中的第2步:例項化bean,本文接著分析doCreateBean()的第4步“迴圈依賴處理”,也就是populateBean()方法。

Spring IoC 原始碼分析 (基於註解) 一

一、 IoC 理論 IoC 全稱為 Inversion of Control,翻譯為 “控制反轉”,它還有一個別名為 DI(Dependency Injection),即依賴注入。

Spring Ioc原始碼分析 Bean的載入(一)

前言 在之前的文章中,我們分析了Spring的Ioc的初始化過程,實際上就是把 beanName 和 BeanDefinition 註冊到DefaultListableBeanFactory的map中。

Spring Ioc原始碼分析 Bean的載入(二)

在上篇文章中Spring Ioc Bean的載入(一),我們分析了Spring Ioc中Bean的載入 doGetBean() 方法的2.2從快取中獲取單例bean和2.3獲取最終的bean例項物件兩個步驟,我們接著分析餘下幾個步驟。

Laravel框架原始碼解析入口檔案原理分析

本文例項講述了Laravel框架原始碼解析入口檔案原理。分享給大家供大家參考,具體如下:

Laravel框架原始碼解析模型Model原理與用法解析

本文例項講述了Laravel框架原始碼解析模型Model原理與用法。分享給大家供大家參考,具體如下:

Spring Security 實現“記住我”功能及原理解析

這章繼續擴充套件功能,來一個“記住我”的功能實現,就是說使用者在登入一次以後,系統會記住這個使用者一段時間,這段時間內使用者不需要重新登入就可以使用系統。

Spring進階案例註解和IoC案例

Spring進階案例註解和IoC案例 一、常見的註解分類及其作用 從此前的基於xml的IoC開發案例和依賴注入案例中,我們可以將xml配置歸納為:

Spring ioc 原始碼分析--beanFactory.registerResolvableDependency()方法

背景: 在spring ioc refresh()方法中,看到了如下邏輯: 要理解該邏輯的原理,先看場景:有個介面InterFaceA,它有2個實現類A1和A2 那麼,如果一個類C 依賴了InterFaceA,此時sprig不知道要注入哪個實現類:

這一次搞懂Spring自定義標籤以及註解解析原理說明

前言 在上一篇文章中分析了Spring是如何解析預設標籤的,並封裝為BeanDefinition註冊到快取中,這一篇就來看看對於像context這種自定義標籤是如何解析的。同時我們常用的註解如:@Service、@Component、@Controller標