`
Dead_knight
  • 浏览: 1202271 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
博客专栏
752c8642-b795-3fe6-946e-a4e845bffdec
Spring Securi...
浏览量:240609
33caa84e-18a6-3036-a82b-6e2106a4de63
clojure专题
浏览量:49056
E17ca077-44df-3816-a3fe-471c43f6e1e5
WebLogic11g
浏览量:237060
社区版块
存档分类
最新评论

Spring Security3源码分析-http标签解析

阅读更多
在FilterChainProxy初始化的过程中,大概描述了标签解析的一些步骤,但不够详细
  <http auto-config="true">
    <remember-me key="workweb" token-validity-seconds="3600" data-source-ref="dataSource"/>
    <form-login login-page="/login.jsp"/>
    <logout logout-success-url="/login.jsp"/>
    <intercept-url pattern="/*" access="ROLE_USER"/>
  </http>

http标签的解析过程由类org.springframework.security.config.http.HttpSecurityBeanDefinitionParser解析。
public BeanDefinition parse(Element element, ParserContext pc) {
        CompositeComponentDefinition compositeDef =
            new CompositeComponentDefinition(element.getTagName(), pc.extractSource(element));
        pc.pushContainingComponent(compositeDef);
        final Object source = pc.extractSource(element);
        //portMapperName、matcher主要提供给SSL相关类使用
        final String portMapperName = createPortMapper(element, pc);
        final UrlMatcher matcher = createUrlMatcher(element);
        //http标签构造器,该构造函数中对intercept-url、create-session子标签
         //进行了预处理,并将所有的intercept-url信息放到List中。
        HttpConfigurationBuilder httpBldr = new HttpConfigurationBuilder(element, pc, matcher, portMapperName);
        //处理List中的intercept-url信息(如pattern、filters),并将结果放到
         //Map集合filterChainMap中
        httpBldr.parseInterceptUrlsForEmptyFilterChains();
        //创建过滤器SecurityContextPersistenceFilter
        httpBldr.createSecurityContextPersistenceFilter();
        //创建过滤器SessionManagementFilter
        httpBldr.createSessionManagementFilters();
        //新建一个空的provider集合
        ManagedList<BeanReference> authenticationProviders = new ManagedList<BeanReference>();
        //通过空的provider集合产生一个ProviderManager的bean定义
        BeanReference authenticationManager = createAuthenticationManager(element, pc, authenticationProviders, null);
        //创建过滤器SecurityContextHolderAwareRequestFilter
        httpBldr.createServletApiFilter();
        //判断intercept-url标签是否有requires-channel属性,如果有,则创建过滤器
         //ChannelProcessingFilter
        httpBldr.createChannelProcessingFilter();
        //创建过滤器FilterSecurityInterceptor
        //这个创建过程比较复杂,分别为:
         //1.需要判断是否使用表达式use-expressions
        //2.解析intercept-url中的access等属性
         //3.RoleVoter、AffirmativeBased的定义…………
        httpBldr.createFilterSecurityInterceptor(authenticationManager);
        //下面是与认证有关的过滤器,HttpConfigurationBuilder,
         //AuthenticationConfigBuilder将解析的职责进行了分离
        AuthenticationConfigBuilder authBldr = new AuthenticationConfigBuilder(element, pc,
                httpBldr.isAllowSessionCreation(), portMapperName);
        //创建过滤器AnonymousAuthenticationFilter,并且构造了provider:
         //AnonymousAuthenticationProvider,供ProviderManager使用
        authBldr.createAnonymousFilter();
        //判断是否有remember-me标签,如果有,则创建过滤器
         //RememberMeAuthenticationFilter,并且构造了provider:
         //RememberMeAuthenticationProvider供ProviderManager使用
        authBldr.createRememberMeFilter(authenticationManager);
        //判断是否有request-cache标签,如果有,则构造ref指明的bean定义
         //如果没有,则构造HttpSessionRequestCache缓存
        authBldr.createRequestCache();
        //创建过滤器BasicAuthenticationFilter
        authBldr.createBasicFilter(authenticationManager);
        //创建LoginUrlAuthenticationEntryPoint,以及创建过滤器
         //UsernamePasswordAuthenticationFilter
        authBldr.createFormLoginFilter(httpBldr.getSessionStrategy(), authenticationManager);
        //判断是否使用了openid-login,如果有,则构造openId客户端
         //org.springframework.security.openid.OpenID4JavaConsumer
        authBldr.createOpenIDLoginFilter(httpBldr.getSessionStrategy(), authenticationManager);
        //判断是否使用了x509,如果有,则创建过滤器
         //X509AuthenticationFilter
        authBldr.createX509Filter(authenticationManager);
        //判断是否配置了logout,如果有,则创建过滤器LogoutFilter
        authBldr.createLogoutFilter();
        //判断是否配置login-page属性,如果没有,则创建过滤器
         //DefaultLoginPageGeneratingFilter,生成默认登录页面
        authBldr.createLoginPageFilterIfNeeded();
        //创建UserDetailsServiceInjectionBeanPostProcessor
        //动态向x509、openID、rememberme服务注入UserDetailsService
         //主要使用了spring的BeanPostProcessor接口功能
        authBldr.createUserServiceInjector();
        //创建过滤器ExceptionTranslationFilter
        authBldr.createExceptionTranslationFilter();

        List<OrderDecorator> unorderedFilterChain = new ArrayList<OrderDecorator>();
        //向FilterChain链中添加filters
        unorderedFilterChain.addAll(httpBldr.getFilters());
        unorderedFilterChain.addAll(authBldr.getFilters());
        //向ProviderManager中添加provider
        authenticationProviders.addAll(authBldr.getProviders());

        BeanDefinition requestCacheAwareFilter = new RootBeanDefinition(RequestCacheAwareFilter.class);
        requestCacheAwareFilter.getPropertyValues().addPropertyValue("requestCache", authBldr.getRequestCache());
        unorderedFilterChain.add(new OrderDecorator(requestCacheAwareFilter, REQUEST_CACHE_FILTER));
        //添加自定义的Filter,也就是custom-filter标签定义的Filter
        unorderedFilterChain.addAll(buildCustomFilterList(element, pc));
        //对FilterChian链中的Filter进行排序,排序规则参见SecurityFilters枚举类
        Collections.sort(unorderedFilterChain, new OrderComparator());
        checkFilterChainOrder(unorderedFilterChain, pc, source);

        List<BeanMetadataElement> filterChain = new ManagedList<BeanMetadataElement>();

        for (OrderDecorator od : unorderedFilterChain) {
            filterChain.add(od.bean);
        }

        ManagedMap<BeanDefinition, List<BeanMetadataElement>> filterChainMap = httpBldr.getFilterChainMap();
        BeanDefinition universalMatch = new RootBeanDefinition(String.class);
        universalMatch.getConstructorArgumentValues().addGenericArgumentValue(matcher.getUniversalMatchPattern());
        filterChainMap.put(universalMatch, filterChain);
        //构造FilterChainProxy的Bean
        registerFilterChainProxy(pc, filterChainMap, matcher, source);

        pc.popAndRegisterContainingComponent();
        return null;
    }

至此,大概http标签的解析已经差不多了,虽然每个Filter的BeanDefinition创建过程还没有一一细说,但基本步骤如下:

1.通过Filter的类路径获取BeanDefinitionBuilder对象,如
BeanDefinitionBuilder filterBuilder = BeanDefinitionBuilder.rootBeanDefinition(filterClassName);

2.解析xml标签属性,再通过BeanDefinitionBuilder的addPropertyValue、addPropertyReference等方法设置Filter对应BeanDefinition的属性值、依赖bean

3.注册BeanDefinition。通过
ParserContext.registerBeanComponent(
new BeanComponentDefinition(BeanDefinition,beanId));
完成bean的注册。还可以通过ParserContext.getRegistry().registerAlias
方法注册bean的别名

实际上,标签解析就是构造BeanDefinition,然后注册到bean factory中。而BeanDefinition就是Spring中定义bean的数据结构。
分享到:
评论
3 楼 xsd_旧 2015-11-08  
 
2 楼 Cappuccino12 2015-01-12  
有用~可是能不能 在解析下http标签里的属性都是什么意思?
1 楼 李永 2014-03-19  
 

相关推荐

    spring-security-oauth2源码

    Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect...通过阅读和分析`spring-security-oauth-master`中的源码,可以更深入地了解其实现细节,有助于在实际项目中灵活运用和定制。

    Spring_Security3_源码分析

    总结,Spring Security 3的源码分析是一个深度学习的过程,涵盖了安全领域的多个方面。通过理解其内部工作机制,开发者可以更好地利用这一强大的框架,为应用程序提供安全的保障。同时,源码分析也能帮助开发者解决...

    spring security源码分析.pdf

    ### Spring Security 源码分析知识...以上内容涵盖了 Spring Security 3 的源码分析中几个关键点的具体内容。通过对这些内容的深入学习和理解,可以更好地掌握 Spring Security 的工作原理及其在实际项目中的应用技巧。

    SpringSecurity学习总结源代码

    SpringSecurity是Java开发中用于构建安全Web应用的框架,它提供了强大的身份验证、...在学习过程中,分析提供的源代码和示例将有助于深入理解SpringSecurity的工作原理,并能帮助你在实际项目中有效地应用这些知识。

    SpringSecurity源码

    在学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...

    spring源码分析(1-10)

    Spring 源代码分析系列涵盖了多个关键模块,包括事务处理、IoC容器、JDBC、MVC、AOP以及与Hibernate和Acegi安全框架的集成。以下是对这些知识点的详细阐述: 1. **Spring 事务处理**:Spring 提供了声明式事务管理...

    spring-security-samples-contacts-3.1.3 源码实例

    《Spring Security 3.1.3 源码实例解析》 Spring Security 是一个功能强大的安全框架,广泛应用于Java EE应用程序的安全控制。本实例聚焦于Spring Security 3.1.3版本,为初学者提供了宝贵的参考资料,帮助开发者...

    spring-security-web-3 source code

    《深入剖析Spring Security Web 3源码...总结,通过对`spring-security-web-3`源码的分析,开发者不仅可以掌握Spring Security的内在工作原理,还能提升解决实际安全问题的能力,为构建更安全的Web应用提供坚实的基础。

    spring security 源码

    本篇文章将深入探讨Spring Security的核心概念和源码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...

    Spring学习笔记+学习源码.zip

    实践是检验真理的唯一标准,通过分析和运行源码,你将能更好地掌握Spring框架的精髓。 总之,这份资料对于Spring初学者或希望深入理解Spring的开发者来说是一份宝贵的资源。通过系统学习并结合实践,你将能够熟练地...

    2021-01-26-SpringSecurity-OAUTH2-密码模式获取token-源码包hrm-itsource.rar

    《深入理解Spring Security OAuth2密码模式获取Token的源码解析》 在当今的Web应用程序开发中,安全性和授权是至关重要的部分。Spring Security作为一个强大的安全框架,为Java开发者提供了丰富的功能来保护应用。...

    3.springSecurity源码分析1

    在深入分析SpringSecurity源码之前,我们先了解一些基础概念。 1. DelegatingFilterProxy:这是一个Spring框架提供的过滤器,它作为代理来调用实际的Filter。在web.xml中,filter-name设置为...

    官方源码 spring-framework-5.3.4.zip

    《Spring Framework 5.3.4 源码解析与深度探索》 Spring Framework作为Java领域最广泛应用的开源框架之一,其稳定性和灵活性备受开发者喜爱。本次我们关注的是它的5.3.4版本,官方源码的发布为开发者提供了一个深入...

    Spring-Security安全权限管理手册(有源码).rar

    6. **源码分析**:"Spring-Security安全权限管理手册.pdf"可能包含了对Spring Security框架的深入解析,包括其架构设计、核心类的使用方法以及最佳实践等。而"springsecurity-sample.rar"则可能是包含示例代码的...

    Android代码-logback

    Spring Security源码分析六:Spring Social 社交登录源码解析 Spring Security源码分析七:Spring Security 记住我 Spring Security源码分析八:Spring Security 退出 Spring Security源码分析九:Spring Security ...

    Spring Security 3用户登录实现之十 用户切换

    5. **源码解析**:深入理解Spring Security的源码可以帮助我们更好地定制和优化功能。例如,研究`AuthenticationManager`是如何处理认证请求,以及`SecurityContext`如何存储和恢复`Authentication`对象。 总的来说...

    官方原版源码 spring-framework-5.1.15.RELEASE.zip

    3. 强化了安全特性,包括对Spring Security的升级和集成,增强了对OAuth2、JWT等身份验证和授权机制的支持。 4. 优化了测试框架,如Spring Test和Spring Boot Test,提供了更强大的测试工具和API,简化了单元测试和...

    spring security从零学起

    本文将从零开始,逐步解析Spring Security的核心概念、配置和实际应用。 一、Spring Security简介 Spring Security是Spring生态体系中的一个核心组件,它为Java应用程序提供了灵活且可扩展的安全管理框架。Spring ...

    spring security 源文件

    本篇文章将深入探讨Spring Security的核心概念、架构及其源码分析。 1. **核心组件** - **Filter Chain**: Spring Security 的核心是过滤器链,它处理HTTP请求,执行安全相关的操作,如认证和授权。 - **...

Global site tag (gtag.js) - Google Analytics