盘点 Spring Security 框架中的八大经典设计模式

上次有小伙伴建议，源码分析太枯燥了，要是能够结合设计模式一起来，这样更有助于大家理解 Spring Security 源码，同时还能复习一波设计模式。,因此松哥今天就试着整一篇，和大家来聊一聊 Spring Security 中涉及到的设计模式，不过 Spring Security 中涉及到的设计模式还是非常多的，松哥这里讲几个，剩下的欢迎小伙伴们留言补充。,Template Pattern(模板方法模式)是一个抽象类公开定义了执行它的方法的模板。它的子类可以按需要重写方法实现，但调用将以抽象类中定义的方式进行，这是一种行为型模式。,模板方法方式优点如下：,缺点如下：,介绍完模板方法模式，大家可能大概猜到了 Spring Security 中哪些地方用到模板方法模式了。,我举几个简单的例子。,第一个例子是 AbstractUserDetailsAuthenticationProvider 类的设计。大家都知道这个类是用来做验证的，认证的逻辑在这个方法中都定义好了，但是该类却定义了两个抽象方法：,这两个抽象方法是在 DaoAuthenticationProvider 中实现的。DaoAuthenticationProvider 的实现就是从数据库中加载用户，默认检验登录凭证也都是验证密码。,如果你的数据源来自其他地方，或者登录凭证不是密码，那么自定义类继承自 AbstractUserDetailsAuthenticationProvider 并重写它里边的这两个方法即可。,Chain of Responsibility Pattern(责任链模式) ，在这种模式中，通常每个接收者都包含对另一个接收者的引用，如果一个对象不能处理该请求，那么它会把相同的请求传给下一个接收者，依此类推。在这个过程中，客户只需要将请求发送到责任链上即可，无须关心请求的处理细节和请求的传递过程，所以责任链将请求的发送者和请求的处理者解耦了。,责任链模式优点如下：,缺点如下：,很明显，Spring Security 中的过滤器链就是一种责任链模式。一个请求到达后，被过滤器链中的过滤器逐个进行处理，过滤器链中的过滤器每个都具有不同的职能并且互不相扰，我们还可以通过 HttpSecurity 来动态配置过滤器链中的过滤器（即添加/删除过滤器链中的过滤器）。,具体的代码在 FilterChainProxy$VirtualFilterChain 中，如下：,那么接下来我们就来看看 VirtualFilterChain：,关于 FilterChainProxy 的介绍，参见：深入理解 FilterChainProxy【源码篇】,Strategy Pattern(策略模式)，它定义了一系列算法，将每一个算法封装起来，并让它们可以相互替换。策略模式让算法独立于使用它的客户而变化，也称为政策模式(Policy)。,策略模式的优点：,策略模式的缺点：,Spring Security 中使用策略模式的地方也有好几个。,第一个就是用户登录信息存储。,在 SecurityContextHolder 中定义登录用户信息存储的方法，就定义了三种不同的策略：,用户可以自行选择使用哪一种策略！具体参见：在 Spring Security 中，我就想从子线程获取用户登录信息，怎么办？,还有一个就是 session 并发管理。,在 AbstractAuthenticationProcessingFilter#doFilter 方法中，有如下代码：,这就是一种策略模式。,Session 并发管理可以参考：,当然，这样的例子还有很多，我就不一一列举了。,Proxy Pattern(代理模式) ：给某一个对象提供一个代理，并由代理对象控制对原对象的引用，它是一种对象结构型模式。,代理模式的优点：,缺点：,代理模式在 Spring Security 中最重要的应用就是 Spring Security 过滤器链接入 Web Filter 的过程，使用了 Spring 提供的 DelegatingFilterProxy，这就是一个典型的代理模式：,当然还有其他很多地方也用到代理模式，我就不一一列举了，欢迎小伙伴们留言补充。,适配器模式的优点：,缺点：,Spring Security 中的适配器模式也是非常多的，例如我们最为常见的 WebSecurityConfigurerAdapter，该类让两个原本不相关的 WebSecurity 和 HttpSecurity 能够在一起工作。,具体参见：深入理解 WebSecurityConfigurerAdapter【源码篇】,Builder Pattern(建造者模式)是将一个复杂对象的构建与它的表示分离，使得同样的构建过程可以创建不同的对象出来，用户只需要指定复杂对象的类型和内容就可以构建对象，而不需要知道内部的具体构建细节。,建造者模式优点：,缺点：,Spring Security 中对于建造者模式的使用也是非常多，例如典型的 AuthenticationManagerBuilder，它想要建造的对象是 AuthenticationManager，对应的建造方法则是 build。一般建造者模式中建造者类命名以 builder 结尾，而建造方法命名为 build()。,关于 AuthenticationManagerBuilder，参见：深入理解 AuthenticationManagerBuilder 【源码篇】 一文。,Observer(观察者模式)指多个对象间存在一对多的依赖关系，当一个对象的状态发生改变时，所有依赖于它的对象都得到通知并自动更新，观察者模式也称为发布-订阅模式、模型-视图模式，它是对象行为型模式。,观察者模式优点：,缺点：,在 Spring 框架中，观察者模式用于实现 ApplicationContext 的事件处理功能。Spring 为我们提供了 ApplicationEvent 类和 ApplicationListener 接口来启用事件处理。Spring 应用程序中的任何 Bean 实现 ApplicationListener 接口，都会接收到 ApplicationEvent 作为事件发布者推送的消息。在这里，事件发布者是主题(Subject) 和实现 ApplicationListener 的 Bean 的观察者(Observer)。,具体到 Spring Security 中，如登录成功事件发布，session 销毁事件等等，都算是观察者模式。,例如 AbstractAuthenticationProcessingFilter#successfulAuthentication 方法：,类似还有很多，如 session 销毁事件等（参见Spring Security 自动踢掉前一个登录用户，一个配置搞定！），我这里就不一一列举了。,Decorator(装饰模式)是指在不改变现有对象结构的情况下，动态地给该对象增加一些额外功能的模式。,装饰模式的优点：,缺点：,Spring Security 中对于装饰模式也有许多应用。最典型的就是一个请求在通过过滤器链的时候会不停的变，会不停的调整它的功能，通过装饰模式设计出了请求的许多类，例如：,等等，类似的很多，我就不一一赘述了。