Spring源代码解析（十）：Spring Acegi框架授权的实现

我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的：

Java代码

//这里是******拦截HTTP请求的入口 　　 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 　　　　 throws IOException, ServletException { 　　　　 FilterInvocation fi = new FilterInvocation(request, response, chain); 　　　　 invoke(fi); 　　 } //这是具体的拦截调用 　　 public void invoke(FilterInvocation fi) throws IOException, ServletException { 　　　　 if ((fi.getRequest() != null) && (fi.getRequest ().getAttribute(FILTER_APPLIED) != null) 　　　　　　 && observeOncePerRequest) { 　　　　　 //在第一次进行过安全检查之后就不会再做了 　　　　　　 fi.getChain().doFilter(fi.getRequest(), fi.getResponse()); 　　　　 } else { 　　　　　　 //这是第一次收到相应的请求，需要做安全检测，同时把标志为设置好 -　FILTER_APPLIED，下次就再有请求就不会作相同的安全检查了 　　　　　　 if (fi.getRequest() != null) { 　　　　　　　　 fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE); 　　　　　　 } 　　　　　　 //这里是做安全检查的地方 　　　　　　 InterceptorStatusToken token = super.beforeInvocation(fi); 　　　　　　 //接着向拦截器链执行 　　　　　　 try { 　　　　　　　　 fi.getChain().doFilter(fi.getRequest(), fi.getResponse ()); 　　　　　　 } finally { 　　　　　　　　 super.afterInvocation(token, null); 　　　　　　 } 　　　　 } 　　 }

我们看看在AbstractSecurityInterceptor是怎样对HTTP请求作安全检测的：

Java代码

protected InterceptorStatusToken beforeInvocation(Object object) { 　　　　 Assert.notNull(object, "Object was null"); 　　　　 if (!getSecureObjectClass().isAssignableFrom(object.getClass())) { 　　　　　　 throw new IllegalArgumentException("Security invocation attempted for object " 　　　　　　　　 + object.getClass().getName() 　　　　　　　　 + " but AbstractSecurityInterceptor only configured to support secure objects of type: " 　　　　　　　　 + getSecureObjectClass()); 　　　　 } 　　　　 //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性 ，这些属性配置了资源的安全设置 　　　　 ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource ().getAttributes(object); 　　　　 if (attr == null) { 　　　　　　 if(rejectPublicInvocations) { 　　　　　　　　 throw new IllegalArgumentException( 　　　　　　　　　　　 "No public invocations are allowed via this AbstractSecurityInterceptor. " 　　　　　　　　　　 + "This indicates a configuration error because the " 　　　　　　　　　　 + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to ''true''"); 　　　　　　 } 　　　　　　 if (logger.isDebugEnabled()) { 　　　　　　　　 logger.debug("Public object - authentication not attempted"); 　　　　　　 } 　　　　　　 publishEvent(new PublicInvocationEvent(object)); 　　　　　　 return null; // no further work post-invoc

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!