Spring Security 实战干货：分布式对象SharedObject

1. 前言

在上一篇我们对

AuthenticationManager

的初始化的细节进行了分析，其中里面有一段代码引起了不少同学的注意：

  ApplicationContext context = http.getSharedObject(ApplicationContext.class);
    CaptchaAuthenticationProvider captchaAuthenticationProvider = context.getBean("captchaAuthenticationProvider", CaptchaAuthenticationProvider.class);

上面直接从

HttpSecurity

对象中获取到Spring的应用上下文对象

ApplicationContext

，它是怎么做到的呢？SharedObject又是个什么概念？今天就来搞清楚这个问题。

2. SharedObject

❝

在Spring Security中SharedObject既不是对象也不是接口，而是某一类“可共享”的对象的统称。

顾名思义，SharedObject的意思是可共享的对象。它的作用是如果一些对象你希望在不同的作用域配置中共享它们就把这些对象变成SharedObject，有点分布式对象的感觉。为了更加便于你理解，下面是相关的体系结构：

配置类的组织架构

AbstractConfiguredSecurityBuilder

或者

HttpSecurityBuilder

的实现类才具有操作SharedObject的能力。一种是注册SharedObject，另一种是获取SharedObject。

SharedObject 的注册

SharedObject会以其

Class

类型为

Key

,实例为

Value

存储到一个

HashMap<Class<?>,Object>

中，具体可看

HttpSecurity

源码。它的注册分为两个部分，第一是

HttpSecurity

初始化的时候装配进去的。我们来看看：

注入AuthenticationManagerBuilder

我们熟知的AuthenticationManagerBuilder在这里被共享。

还有一部分是在所有的

HttpSecurityBuilder

对象初始化时注册的。它初始化和配置都是由

SecurityConfigurer

来完成的：

public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> {

   void init(B builder) throws Exception;

   void configure(B builder) throws Exception;
}

上面两个方法分别用来初始化和配置

HttpSecurityBuilder

。比如我们熟知的

WebSecurityConfigurerAdapter

就是用来配置

HttpSecurity

的，在其

init

方法中我们可以找到相关的代码：

private Map<Class<?>, Object> createSharedObjects() {
   Map<Class<?>, Object> sharedObjects = new HashMap<>();
   sharedObjects.putAll(localConfigureAuthenticationBldr.getSharedObjects());
   sharedObjects.put(UserDetailsService.class, userDetailsService());
   sharedObjects.put(ApplicationContext.class, context);
   sharedObjects.put(ContentNegotiationStrategy.class, contentNegotiationStrategy);
   sharedObjects.put(Authenticat
8000
ionTrustResolver.class, trustResolver);
   return sharedObjects;
}

这也是我在文章开头可以获取到

ApplicationContext

的根本原因。

SharedObject 的获取和使用

我们能获取到哪些被标记为SharedObject类呢？

SecurityConfigurer

有很多实现，这些实现都是用来配置一些特定的同认证授权相关的功能的。比如

OAuth2ClientConfigurer

用来配置 OAuth2 客户端的，它里面就将常用的一些对象设置为SharedObject：

public OAuth2ClientConfigurer<B> clientRegistrationRepository(ClientRegistrationRepository clientRegistrationRepository) {
   Assert.notNull(clientRegistrationRepository, "clientRegistrationRepository cannot be null");
   this.getBuilder().setSharedObject(ClientRegistrationRepository.class, clientRegistrationRepository);
   return this;
}

当你在

HttpSecurity

的配置中的其它地方需要用到

ClientRegistrationRepository

时，你可以直接通过

getSharedObject

获取，就像文章开头一样，而不用在去写一些获取方法了。

3. 总结

SharedObject是Spring Security提供的一个非常好用的功能，如果你在不同的地方需要对一个对象重复使用就可以将它注册为SharedObject，甚至直接注入Spring IoC像开头那样获取就可以了。这个特性能够简化配置，提高代码的可读性，也为Spring Security的DSL特性打下了基础。