前言
最近在做一个spring secutiry的项目,是想通过role来控制访问。但是在调试的过程中一直没有进入权限控制代码,所以进行了一个debug。发现控制器逻辑先进入了validate的代码,个人觉得validate应在在权限校验之后处理。遂开始了这次初探体验。
旅程
- 刚开始,我认为这个validate是配置在filter或interscepor中的,进行了一层debug,最后发现实际是在解析参数的时候的一个默认操作,具体是在
org.springframework.web.method.support.HandlerMethodArgumentResolverComposite#resolveArgumentz中的resolver.resolveArgument(parameter, mavContainer, webRequest, binderFactory);中处理的。具体如图:
validere代码入口
这里在缓存中寻找resolver来处理后续的操作。
P.S. 扩展一下,具体的resolver可以看org.springframework.web.method.support.HandlerMethodArgumentResolver#supportsParameter
- 这里使用
org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor来继续下面的说明。
进入方法以后,熟悉的converter也出现了,Object arg = readWithMessageConverters(webRequest, parameter, parameter.getNestedGenericParameterType());这个将parameter转换成具体的object。
后面就是最关键的获取WebDataBinder,然后进行校验了validateIfApplicable(binder, parameter);
校验
最后回从binder中的result中获取error来抛出异常,给springmvc的异常处理器来处理。
-
到这里开始校验的初判断,注意看,这里可以支持Valid开头的注解(包括JSR303种的
@javax.validation.Valid)、org.springframework.validation.annotation.Validated
image.png
如果满足上述的注解要求,那么就开始进行校验了。 -
具体的binder是
org.springframework.web.servlet.mvc.method.annotation.ExtendedServletRequestDataBinder,委托给Validator来做校验,这里使用了一个适配器,预先将javax.validation.Validator或SpringValidatorAdapter包装成ValidatorAdapter,扩展了org.springframework.validation.Validator的一些功能,支持传递一些中间数据。当然本次运行时使用的是SpringValidatorAdapter。
获取具体Validator进行校验
-
再往下探究,我们熟悉的hibernate validator就出现了。原来依然被包装在了
SpringValidatorAdapter中,其中的一个属性targetValidator就是org.hibernate.validator.internal.engine.ValidatorImpl,他实现了javax.validation.Validator。
出现了!hibernate validator!!
-
接下来就是hibernate的逻辑了,便不在继续探究,spring会将校验器中返回的
Set<ConstraintViolation>进行解析,并将错误封装在第四步中的创建的bindingResult中。
衍生
通过研究学习整个流程,逆向校验委托流程为
ValidatorAdapter->SpringValidatorAdapter->ValidatorImpl
继而在正向验证一下探究了一下Validator的加载流程:
-
org.springframework.boot.autoconfigure.web.servlet.WebMvcAutoConfiguration.EnableWebMvcConfiguration#mvcValidator通过springmvc自动加载校验器 -
org.springframework.boot.autoconfigure.validation.ValidatorAdapter#get通过ValidatorAdapter从上下文中获取数据对象或直接从配置中获取对象 -
org.springframework.boot.autoconfigure.validation.ValidatorAdapter#getExistingOrCreate配置中没有对象,就开始从上下文中获取或创建一个新的,然后就从上下文中获取了javax.validation.Validator的子类org.springframework.validation.beanvalidation.LocalValidatorFactoryBean。 -
org.springframework.boot.autoconfigure.validation.ValidatorAdapter#wrap对获取到的对象进行包装使用。
不再探究第三步中org.springframework.validation.beanvalidation.LocalValidatorFactoryBean 的加载过程了,交给读者探究吧。
总结
从解析的过程来看,校验参数发生在解析参数的时间,而不是通过过滤器来处理的,是直接框架集成的功能。所以,可能需要换种方式,考虑如何将鉴权前置,而不是想办法将校验参数后置。好的,这个坑看看什么时候填。😂😂😂
网友评论