当前位置：首页 > news >正文

springboot解析

news 来源：原创 2025/5/9 8:47:22

1. 如何确定某个类如何被加载的

org.springframework.beans.factory.support.DefaultListableBeanFactory#registerBeanDefinition

在该方法打断点，断点条件 beanName.equalsIgnoreCase("oauth2ClientFilterRegistration")

2. tomcat相关的类

tomcat容器：engine 》 host 》 context 》 wrapper，主要是context，表示一个应用

tomcat服务器创建：org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext#createWebServer

context添加initializer：org.apache.catalina.core.StandardContext#addServletContainerInitializer

context添加filter：org.apache.catalina.core.ApplicationContext#addFilter(java.lang.String, java.lang.String, javax.servlet.Filter)

初始注册的filter：

"webMvcMetricsFilter" -> {ApplicationFilterRegistration@7490}
"requestContextFilter" -> {ApplicationFilterRegistration@7492}
"Tomcat WebSocket (JSR356) Filter" -> {ApplicationFilterRegistration@7494}
"characterEncodingFilter" -> {ApplicationFilterRegistration@7495}
"OAuth2ClientContextFilter" -> {ApplicationFilterRegistration@7497}
"springSecurityFilterChain" -> {ApplicationFilterRegistration@7499}
"formContentFilter" -> {ApplicationFilterRegistration@7501}

其中springSecurityFilterChain实际上是在org.springframework.security.web.FilterChainProxy#doFilterInternal中调用自己的过滤器链，其中很多过滤器是在org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#getHttp中添加的，如csrf、WebAsyncManagerIntegrationFilter、exceptionHandling、headers、sessionManagement等

3. oauth2

未认证的请求进来后FilterSecurityInterceptor代理过滤器会抛出AccessDeniedException，然后ExceptionTranslationFilter捕获到异常并重定向到/login（可以通过security.oauth2.sso.login-path配置），判断一个请求是否认证的方式是判断SecurityContextHolder获取到的Authentication是否为AnonymousAuthenticationToken，如果是的话说明为认证，抛出AccessDeniedException（通过WebExpressionVoter判断，详情如下：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/admin/**").access("hasRole('ADMIN')")
.antMatchers("/user/**").access("hasRole('USER')")
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic()
.and()
.expressionHandler(customWebSecurityExpressionHandler());
}

@Bean
public WebSecurityExpressionHandler customWebSecurityExpressionHandler() {
DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
handler.setRoleHierarchy(roleHierarchy());
return handler;
}

@Bean
public RoleHierarchy roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
return roleHierarchy;
}
}

voter会根据配置的规则：

antMatchers("/admin/**").access("hasRole('ADMIN')")
.antMatchers("/user/**").access("hasRole('USER')")
.anyRequest().authenticated()

如access("hasRole('ADMIN')")或 authenticated()其实是access("authenticated")，将字符串作为表达式进行解析，解析的上下文是EvaluationContext，上下文中含有用于解析表达式的具体方法，如对于"authenticated"，上下文中有isAuthenticated()方法，即上面讲到的判断Authentication是否为AnonymousAuthenticationToken，对于"hasRole('ADMIN')"，上下文也有hasRole方法。

）

在 Spring Boot 中，可以通过 Spring Security 提供的注解来为方法设置访问权限。这些注解允许你在方法级别进行细粒度的访问控制，确保只有具有相应权限的用户才能调用特定的方法。以下是常用的注解及其使用方法：

### 常用注解
1. **`@PreAuthorize`**
在方法执行之前进行权限检查。如果表达式计算结果为 `true`，则允许执行方法；否则，抛出 `AccessDeniedException`。

2. **`@PostAuthorize`**
在方法执行之后进行权限检查。如果表达式计算结果为 `true`，则返回方法的结果；否则，抛出 `AccessDeniedException`。

3. **`@Secured`**
基于角色的访问控制。可以指定一个或多个角色，只有具有这些角色的用户才能调用该方法。

4. **`@RolesAllowed`**
与 `@Secured` 类似，但更简洁，直接指定允许访问的角色。

5. **`@PreFilter` 和 `@PostFilter`**
用于对集合或数组进行过滤。`@PreFilter` 在方法执行之前过滤输入数据，`@PostFilter` 在方法执行之后过滤输出数据。

### 示例
假设你有一个服务类 `UserService`，其中包含一些需要权限控制的方法：

```java
@Service
public class UserService {

@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long userId) {
// 删除用户逻辑
}

@PostAuthorize("returnObject.username == authentication.name")
public User getUser(Long userId) {
// 获取用户逻辑
return new User(userId, "username");
}

@Secured("ROLE_USER")
public void updateUser(User user) {
// 更新用户逻辑
}

@RolesAllowed({"ROLE_USER", "ROLE_ADMIN"})
public List<User> getAllUsers() {
// 获取所有用户逻辑
return Collections.emptyList();
}

@PreFilter("filterObject.username.startsWith('a')")
public List<User> filterUsers(List<User> users) {
// 返回过滤后的用户列表
return users;
}

@PostFilter("filterObject.username.startsWith('a')")
public List<User> getAllUsersWithFilter() {
// 返回所有用户，但只返回用户名以 'a' 开头的用户
return Collections.emptyList();
}
}
```

### 配置方法
为了使这些注解生效，你需要在 Spring Security 的配置中启用方法级安全控制。这可以通过在配置类上添加 `@EnableMethodSecurity` 注解来实现：

```java
@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasRole("USER")
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
}
}
```

### 表达式语言
Spring Security 支持使用 SpEL（Spring Expression Language）来编写复杂的访问控制逻辑。例如：
- **`hasRole('ROLE')`**：检查用户是否具有指定角色。
- **`hasAuthority('AUTHORITY')`**：检查用户是否具有指定权限。
- **`authentication.principal.username`**：获取当前用户的用户名。
- **`#userId == authentication.principal.id`**：检查方法参数 `userId` 是否与当前用户的 ID 匹配。

### 注意事项
1. **启用方法级安全控制**：确保在配置类上添加了 `@EnableMethodSecurity` 注解。
2. **表达式语法**：确保 SpEL 表达式的语法正确，否则可能会导致运行时错误。
3. **性能影响**：方法级安全控制可能会对性能产生一定影响，特别是在高并发场景下。合理使用缓存等技术可以缓解这一问题。

通过这些注解，Spring Boot 提供了灵活且强大的方法级访问控制机制，帮助你实现细粒度的安全策略。

OAuth2ClientAuthenticationProcessingFilter：对请求进行认证，使用ResourceServerTokenServices获取用户信息，并将用户信息设置到SecurityContextHolder，其注册最终可追溯到OAuth2SsoDefaultConfiguration和@EnableOAuth2Sso

OAuth2ClientContextFilter：将请求重定向到sso认证页面

ExceptionTranslationFilter：捕获到AccessDeniedException时，使用AuthenticationEntryPoint将请求重定向到/login（DelegatingAuthenticationEntryPoint，使用@EnableOAuth2Sso时由SsoSecurityConfigurer配置）或者返回401（OAuth2AuthenticationEntryPoint，使用@EnableResourceServer时由ResourceServerSecurityConfigurer配置）

OAuth2AuthenticationProcessingFilter：@EnableResourceServer时的过滤器，提前请求头Authorization或者参数access_token的token获取用户信息

UserInfoRestTemplateCustomizer：可以通过实现该接口来自定义OAuth2RestTemplate的OAuth2RequestAuthenticator来处理用户信息请求。