[[442392]]

Spring Security最難的地方就是HttpSecurity的頂層設(shè)計(jì)。不信你看看HttpSecurity的定義。

public final class HttpSecurity extends AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity> 
        implements SecurityBuilder<DefaultSecurityFilterChain>, HttpSecurityBuilder<HttpSecurity> { 
    // 省略 
} 

感覺(jué)不到的話，再給你看看UML圖：

為什么要這么復(fù)雜?我第一次看到HttpSecurity的結(jié)構(gòu)時(shí)我懷疑我自己是不是Java開發(fā)。多年以后，當(dāng)我深入學(xué)習(xí)了之后才理解了這種設(shè)計(jì)。作為一個(gè)框架，尤其是安全框架，配置必須足夠靈活才能適用于更多的業(yè)務(wù)場(chǎng)景。Spring Security采取了配置與構(gòu)建分離的架構(gòu)設(shè)計(jì)來(lái)保證這一點(diǎn)。

配置與構(gòu)建分離

配置只需要去收集配置項(xiàng)，構(gòu)建只需要把所有的配置構(gòu)建成目標(biāo)對(duì)象。各干各的，分離職責(zé)，這種做法能夠提高代碼的可維護(hù)性和可讀寫性。Spring Security利用接口隔離把配置和構(gòu)建進(jìn)行高度抽象，提高靈活度，降低復(fù)雜度。不過(guò)這個(gè)體系依然非常龐大。為了降低學(xué)習(xí)難度需要把大問(wèn)題拆解成小問(wèn)題，各個(gè)擊破，這種學(xué)習(xí)方法在學(xué)習(xí)一些復(fù)雜的抽象理論時(shí)很湊效。

SecurityBuilder

SecurityBuilder就是對(duì)構(gòu)建的抽象。你看上面的類圖過(guò)于復(fù)雜，而看SecurityBuilder就非常的簡(jiǎn)單了。

public interface SecurityBuilder<O> { 
    // 構(gòu)建 
 O build() throws Exception; 
} 

就一個(gè)動(dòng)作，構(gòu)建泛化的目標(biāo)對(duì)象O。通過(guò)下面這一組抽象和具體的定義我想你應(yīng)該明白SecurityBuilder了吧。

// 抽象 
SecurityBuilder -> O 
// 具體 
HttpSecurity->DefaultSecurityFilterChain 

一句話，構(gòu)建的活都是我來(lái)干。

public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> { 
 
 private AtomicBoolean building = new AtomicBoolean(); 
 
 private O object; 
 
 @Override 
 public final O build() throws Exception { 
  if (this.building.compareAndSet(false, true)) { 
      //構(gòu)建的核心邏輯由鉤子方法提供 
   this.object = doBuild(); 
   return this.object; 
  } 
  throw new AlreadyBuiltException("This object has already been built"); 
 } 
     // 獲取構(gòu)建目標(biāo)對(duì)象 
 public final O getObject() { 
  if (!this.building.get()) { 
   throw new IllegalStateException("This object has not been built"); 
  } 
  return this.object; 
 } 
 
 /** 
  *  鉤子方法 
  */ 
 protected abstract O doBuild() throws Exception; 
 
} 

它通過(guò)原子類AtomicBoolean對(duì)構(gòu)建方法build()進(jìn)行了調(diào)用限制：每個(gè)目標(biāo)對(duì)象只能被構(gòu)建一次，避免安全策略發(fā)生不一致的情況。構(gòu)建方法還加了final關(guān)鍵字，不可覆寫!構(gòu)建的核心邏輯通過(guò)預(yù)留的鉤子方法doBuild()來(lái)擴(kuò)展，鉤子方法是很常見的一種繼承策略。另外AbstractSecurityBuilder還提供了獲取已構(gòu)建目標(biāo)對(duì)象的方法getObject。

一句話，構(gòu)建的活我只干一次。

HttpSecurityBuilder

public interface HttpSecurityBuilder<H extends HttpSecurityBuilder<H>> 
  extends SecurityBuilder<DefaultSecurityFilterChain> { 
 
     // 根據(jù)類名獲取配置   
 <C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C getConfigurer(Class<C> clazz); 
    // 根據(jù)類名移除配置  
 <C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C removeConfigurer(Class<C> clazz); 
    // 把某個(gè)對(duì)象設(shè)置為共享，以便于在多個(gè)SecurityConfigurer中使用 
 <C> void setSharedObject(Class<C> sharedType, C object); 
    // 獲取某個(gè)共享對(duì)象 
 <C> C getSharedObject(Class<C> sharedType); 
    //  添加額外的 AuthenticationProvider 
 H authenticationProvider(AuthenticationProvider authenticationProvider); 
    //  添加額外的 UserDetailsService 
 H userDetailsService(UserDetailsService userDetailsService) throws Exception; 
    // 在過(guò)濾器鏈已有的afterFilter類后面注冊(cè)一個(gè)過(guò)濾器 
 H addFilterAfter(Filter filter, Class<? extends Filter> afterFilter); 
    // 在過(guò)濾器鏈已有的beforeFilter類前面注冊(cè)一個(gè)過(guò)濾器 
 H addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter); 
    // 在過(guò)濾器鏈注冊(cè)一個(gè)過(guò)濾器，該過(guò)濾器必須在內(nèi)置注冊(cè)表 FilterOrderRegistration 中 
 H addFilter(Filter filter); 
 
} 

HttpSecurityBuilder對(duì)DefaultSecurityFilterChain的構(gòu)建進(jìn)行了增強(qiáng)，為其構(gòu)建器增加了一些額外的獲取配置或管理配置的入口，參見上面的注釋。補(bǔ)充一點(diǎn)這個(gè)接口最大的功能就是打通了構(gòu)建和配置的關(guān)系，可以操作下面要講的SecurityConfigurer。

一句話，我只構(gòu)建DefaultSecurityFilterChain。

SecurityConfigurer

SecurityConfigurer是對(duì)配置的抽象。配置只是手段，構(gòu)建才是目的。因此配置是對(duì)構(gòu)建的配置。

public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> { 
   // 構(gòu)建器初始化需要注入的配置，用來(lái)后續(xù)的信息共享 
 void init(B builder) throws Exception; 
   // 其它的一些必要配置   
 void configure(B builder) throws Exception; 
} 

SecurityConfigurer有兩個(gè)方法，都非常重要。一個(gè)是init方法，這個(gè)方法你可以認(rèn)為是SecurityBuilder構(gòu)造函數(shù)的邏輯。如果你想在SecurityBuilder初始化的時(shí)候執(zhí)行一些邏輯或者在后續(xù)配置中共享一些變量的話就可以在init方法中去實(shí)現(xiàn);第二個(gè)方法是configure，為SecurityBuilder配置一些必要的屬性。到這里還沒(méi)完?這兩個(gè)方法有著明確的先后執(zhí)行順序。在一次構(gòu)建內(nèi)可能有多個(gè)SecurityConfigurer，只有全部的init逐個(gè)執(zhí)行完畢后才會(huì)逐個(gè)執(zhí)行configure方法。相關(guān)的源碼在AbstractConfiguredSecurityBuilder中的標(biāo)記部分：

 @Override 
protected final O doBuild() throws Exception { 
 synchronized (this.configurers) { 
  this.buildState = BuildState.INITIALIZING; 
  beforeInit(); 
           // ① 執(zhí)行所有的初始化方法 
  init(); 
  this.buildState = BuildState.CONFIGURING; 
  beforeConfigure(); 
           // ② 執(zhí)行所有的configure方法 
  configure(); 
  this.buildState = BuildState.BUILDING; 
  O result = performBuild(); 
  this.buildState = BuildState.BUILT; 
  return result; 
 } 
} 

一句話，配置SecurityBuilder的事都是我來(lái)干。

SecurityConfigurerAdapter

SecurityConfigurer在某些場(chǎng)景下是有局限性的，它不能獲取正在配置的SecurityBuilder，因此你無(wú)法進(jìn)一步操作SecurityBuilder，配置的擴(kuò)展性將大打折扣。因此引入了SecurityConfigurerAdapter來(lái)擴(kuò)展SecurityConfigurer。

public abstract class SecurityConfigurerAdapter<O, B extends SecurityBuilder<O>> implements SecurityConfigurer<O, B> { 
 
    private B securityBuilder; 
 
    private CompositeObjectPostProcessor objectPostProcessor = new CompositeObjectPostProcessor(); 
 
    @Override 
    public void init(B builder) throws Exception { 
    } 
 
    @Override 
    public void configure(B builder) throws Exception { 
    } 
   // 獲取正在配置的構(gòu)建器，以暴露構(gòu)建器的api 
    public B and() { 
        return getBuilder(); 
    } 
  
    protected final B getBuilder() { 
        Assert.state(this.securityBuilder != null, "securityBuilder cannot be null"); 
        return this.securityBuilder; 
    } 
     
    //  用復(fù)合對(duì)象后置處理器去處理對(duì)象，以改變一些對(duì)象的特性 
    @SuppressWarnings("unchecked") 
    protected <T> T postProcess(T object) { 
        return (T) this.objectPostProcessor.postProcess(object); 
    } 
    // 添加一個(gè)ObjectPostProcessor到符合構(gòu)建器 
    public void addObjectPostProcessor(ObjectPostProcessor<?> objectPostProcessor) { 
        this.objectPostProcessor.addObjectPostProcessor(objectPostProcessor); 
    } 
    // 設(shè)置 需要配置的構(gòu)建器，這樣可以讓多個(gè)SecurityConfigurerAdapter去配置一個(gè)SecurityBuilder 
    public void setBuilder(B builder) { 
        this.securityBuilder = builder; 
    } 
    // 其它省略 
} 

這樣可以指定SecurityBuilder，而且可以把SecurityBuilder暴露出來(lái)，隨時(shí)隨地去調(diào)整SecurityBuilder，靈活性大大提高。

具體說(shuō)的話，你可以通過(guò)and()方法獲取SecurityBuilder并對(duì)SecurityBuilder的其它配置項(xiàng)進(jìn)行操作，比如上圖中SecurityConfigurerAdapter之間的切換。除此之外還引入了ObjectPostProcessor來(lái)后置操作一些并不開放的內(nèi)置對(duì)象。關(guān)于ObjectPostProcessor會(huì)找個(gè)合適的場(chǎng)景去講解它。

一句話，配置SecurityBuilder不算什么，靈活適配才是花活。

AbstractHttpConfigurer

不是所有的配置都是有用的，有些配置我們希望有個(gè)關(guān)閉的入口功能。比如csrf功能，控制著csrf的配置的是CsrfConfigurer，如果CsrfConfigurer有一個(gè)關(guān)閉功能就好了。因此從SecurityConfigurerAdapter衍生出AbstractHttpConfigurer來(lái)滿足這個(gè)需求。

  public abstract class AbstractHttpConfigurer<T extends AbstractHttpConfigurer<T, B>, B extends HttpSecurityBuilder<B>> 
        extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, B> { 
    // 關(guān)閉當(dāng)前配置 
    @SuppressWarnings("unchecked") 
    public B disable() { 
        getBuilder().removeConfigurer(getClass()); 
        return getBuilder(); 
    } 
    //  增強(qiáng)了父類的新增ObjectPostProcessor方法  
    @SuppressWarnings("unchecked") 
    public T withObjectPostProcessor(ObjectPostProcessor<?> objectPostProcessor) { 
        addObjectPostProcessor(objectPostProcessor); 
        return (T) this; 
    } 
 
} 

AbstractHttpConfigurer的實(shí)現(xiàn)類非常多，日常的配置項(xiàng)大都由AbstractHttpConfigurer的實(shí)現(xiàn)類來(lái)控制。

這個(gè)類是做定制化配置的一個(gè)重要入口之一，如果你想精通Spring Security，這個(gè)類一定要掌握。

一句話，我能“殺”我自己。

AbstractConfiguredSecurityBuilder

我們希望有多個(gè)SecurityConfigurer配置SecurityBuilder，表單登錄的、會(huì)話管理、csrf等等。用到什么配置什么，讓配置基于策略。因此引入了AbstractConfiguredSecurityBuilder。

public <C extends SecurityConfigurerAdapter<O, B>> C apply(C configurer) throws Exception { 
       // 把 objectPostProcessor注入到configurer 
 configurer.addObjectPostProcessor(this.objectPostProcessor); 
       // 為 SecurityConfigurerAdapter 設(shè)置Builder 以便于能夠get到    
       // 注意區(qū)別于其它SecurityConfigurer 
 configurer.setBuilder((B) this); 
 add(configurer); 
 return configurer; 
} 
 
public <C extends SecurityConfigurer<O, B>> C apply(C configurer) throws Exception { 
 add(configurer); 
 return configurer; 
} 

通過(guò)上面兩個(gè)apply方法就可以把所有的SecurityConfigurer適配進(jìn)來(lái)，然后通過(guò)doBuilder進(jìn)行精細(xì)化構(gòu)建生命周期。你可以在各個(gè)生命周期階段進(jìn)行一些必要的操作。

一句話，所有的配置都由我來(lái)進(jìn)行適配。

總結(jié)

我們把Spring Security整個(gè)配置構(gòu)建體系拆分了來(lái)看會(huì)簡(jiǎn)單的多一些。即使這樣想理解這個(gè)體系也絕非靠一篇兩篇文章也是不現(xiàn)實(shí)的。不過(guò)從中也可以看得出一個(gè)道理，如果你的代碼想高度靈活，就必須把各個(gè)生命周期分層地高度抽象才行。

本文轉(zhuǎn)載自微信公眾號(hào)「碼農(nóng)小胖哥」，可以通過(guò)以下二維碼關(guān)注。轉(zhuǎn)載本文請(qǐng)聯(lián)系碼農(nóng)小胖哥公眾號(hào)。