前言

最近在做一个spring secutiry的项目，是想通过role来控制访问。但是在调试的过程中一直没有进入权限控制代码，所以进行了一个debug。发现控制器逻辑先进入了validate的代码，个人觉得validate应在在权限校验之后处理。遂开始了这次初探体验。

旅程

1. 刚开始，我认为这个validate是配置在filter或interscepor中的，进行了一层debug，最后发现实际是在解析参数的时候的一个默认操作，具体是在org.springframework.web.method.support.HandlerMethodArgumentResolverComposite#resolveArgumentz中的resolver.resolveArgument(parameter, mavContainer, webRequest, binderFactory); 中处理的。具体如图：
   
   validere代码入口
   
   这里在缓存中寻找resolver来处理后续的操作。

P.S. 扩展一下，具体的resolver可以看org.springframework.web.method.support.HandlerMethodArgumentResolver#supportsParameter

2. 这里使用org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor来继续下面的说明。
   进入方法以后，熟悉的converter也出现了，Object arg = readWithMessageConverters(webRequest, parameter, parameter.getNestedGenericParameterType());这个将parameter转换成具体的object。
   后面就是最关键的获取WebDataBinder，然后进行校验了validateIfApplicable(binder, parameter);
   
   校验

最后回从binder中的result中获取error来抛出异常，给springmvc的异常处理器来处理。

3. 到这里开始校验的初判断，注意看，这里可以支持Valid开头的注解（包括JSR303种的 @javax.validation.Valid）、org.springframework.validation.annotation.Validated
   

   image.png
   
   如果满足上述的注解要求，那么就开始进行校验了。

4. 具体的binder是org.springframework.web.servlet.mvc.method.annotation.ExtendedServletRequestDataBinder，委托给Validator来做校验，这里使用了一个适配器，预先将javax.validation.Validator或SpringValidatorAdapter包装成ValidatorAdapter，扩展了org.springframework.validation.Validator的一些功能，支持传递一些中间数据。当然本次运行时使用的是SpringValidatorAdapter。
   

   获取具体Validator进行校验

5. 再往下探究，我们熟悉的hibernate validator就出现了。原来依然被包装在了SpringValidatorAdapter中，其中的一个属性targetValidator就是org.hibernate.validator.internal.engine.ValidatorImpl，他实现了javax.validation.Validator。
   

   出现了！hibernate validator！！

6. 接下来就是hibernate的逻辑了，便不在继续探究，spring会将校验器中返回的Set<ConstraintViolation>进行解析，并将错误封装在第四步中的创建的bindingResult中。

衍生

通过研究学习整个流程，逆向校验委托流程为
ValidatorAdapter->SpringValidatorAdapter->ValidatorImpl
继而在正向验证一下探究了一下Validator的加载流程：

1. org.springframework.boot.autoconfigure.web.servlet.WebMvcAutoConfiguration.EnableWebMvcConfiguration#mvcValidator 通过springmvc自动加载校验器
2. org.springframework.boot.autoconfigure.validation.ValidatorAdapter#get通过ValidatorAdapter从上下文中获取数据对象或直接从配置中获取对象
3. org.springframework.boot.autoconfigure.validation.ValidatorAdapter#getExistingOrCreate配置中没有对象，就开始从上下文中获取或创建一个新的，然后就从上下文中获取了javax.validation.Validator的子类org.springframework.validation.beanvalidation.LocalValidatorFactoryBean 。
4. org.springframework.boot.autoconfigure.validation.ValidatorAdapter#wrap对获取到的对象进行包装使用。

不再探究第三步中org.springframework.validation.beanvalidation.LocalValidatorFactoryBean 的加载过程了，交给读者探究吧。

总结

从解析的过程来看，校验参数发生在解析参数的时间，而不是通过过滤器来处理的，是直接框架集成的功能。所以，可能需要换种方式，考虑如何将鉴权前置，而不是想办法将校验参数后置。好的，这个坑看看什么时候填。😂😂😂