Java权限框架Shiro过滤连源码解读

最新推荐文章于 2023-08-08 18:35:05 发布
最新推荐文章于 2023-08-08 18:35:05 发布
阅读量2.1k 收藏
点赞数
分类专栏: java 文章标签: java shiro 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010475041/article/details/52278089
版权

由于公司要求我对我司的框架的权限模块进行整理,所以最近看了Shiro这个框架的源码,里面有一些思想还是非常值得学习的,记录一下

入口

官网提供了很多种权限的demo,提供web、spring支持、AspectJ、Guice等,由于笔者技术有限,那么我先从手洗的Spring开始说

Spring

先送上官网的配置demo

spring shiro xml

<!-- Define the realm you want to use to connect to your back-end security datasource: -->
<bean id="myRealm" class="...">
...
</bean>

<bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager">
    <!-- Single realm app.  If you have multiple realms, use the 'realms' property instead. -->
    <property name="realm" ref="myRealm"/>
</bean>

首先说一下realm,他是获取一个用户的信息,其中里面包括权限,角色等信息,securityManager为管理整个权限的对象

web.xml

<!-- The filter-name matches name of a 'shiroFilter' bean inside applicationContext.xml -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

...

<!-- Make sure any request you want accessible to Shiro is filtered. /* catches all -->
<!-- requests.  Usually this filter mapping is defined first (before all others) to -->
<!-- ensure that Shiro works in subsequent filters in the filter chain:             -->
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

DelegatingFilterProxy为提供的filter类,所以它肯定会找一个代理的实际对象,在这里能,他会找filter-name的bean id进行代理

applicationContext.xml

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="filters">
        <util:map>
            <entry key="anAlias" value-ref="someFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            # some example chain definitions:
            /admin/** = authc, roles[admin]
            /docs/** = authc, perms[document:read]
            /** = authc
            # more URL-to-FilterChain definitions here
        </value>
    </property>
</bean>

shiroFilter代理的就是这个filter,那么我们来分析一下,了解过shiro的就不说简单的了,就特别说一下filters和filterChainDefinitions

  • filters
    shiro已经提供了默认的filter的了,所以你很多时候都可以看到一些例如,authc、rols、perms、anon等等这样的配置前缀,那么这些都说shiro自己默认提供的
    当然你可以通过自己实现Filter接口然后配置到filters中,key就是那个前缀

  • filterChainDefinitions
    这个过滤连比较重要了,首先说明一下,以匹配优先,也就是说,自上而下,如果上面的路径匹配上了,后面的就不会执行的了。
    那么“=”号左边的是请求链,当然这个匹配器可以改的,这些shiro都为我们想得很周到,匹配了会采用filters下配的key对应的filter进行处理,但是呢,shiro只处理两种,这两种分别是,要么没有中括号,要么有一个中括号,下面就是解析结果

    foo
returned[0] == foo returned[1] == null

foo[bar, baz]
returned[0] == foo returned[1] == bar, baz

    那么我们现在知道怎么用了,接下来解读一下源码:

解读源码

ShiroFilterFactoryBean

图片标题
由于ShiroFilterFactoryBean是现在Spring中的FactoryBean那么最后肯定会调用getObject方法,那么他最终还是采用SecurityManager来创建一个Filter,创建Filter之前,有一个FilterChainManager,过滤连的一个管理者,那么这个东西里面默认是shiro的提供的Filter,除了默认的filter,他会添加我们在xml配置的filter,并且在会在filterChainDefinitions的时候进行解析,并且添加到FilterChainManager中进行管理

FilterChainManager

图片标题
图片标题
到目前为止,已经成功创建了一个SpringShiroFilter

SpringShiroFilter

由于SpringShiroFilter继承了AbstractShiroFilter,那么最终会执行doFilterInternal方法,那么这个方法里面也执行了executeChain,这里就是执行这个过滤的入口图片标题
他里面采用了代理的关系,怎么说呢?
FilterChainResolver就是做这个事情的,在创建Security的时候已经产生了,这个类就是产生FilterChain的,那么再给回去调用FilterChain.doFilter

那么我们下面说一下他是怎么获取FilterChain的,首先他是依赖FilterChainManager的
图片标题
那么来到这里就已经很明显了,由于FilterChainManager都把Filter准备好了,很明显,在它在Filter的时候已经添加了一个包装了一下,把解析的那些都放在里面了,那么匹配上了,直接获取出来,最后看下包装后是怎么执行的
图片标题
那么整个过程大概就是这样子

分析的不好勿喷,只是做一个学习的记录

悟空_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
悟空机器人框架以及安装教程
01-07
文章目录框架安装mac 用户构建snowboypython3.5升级 框架 python3.5 pyyaml>=4.2b1 requests==2.21.0 baidu-aip==2.0.0.1 pydub==0.23.1 python-dateutil==2.7.5 watchdog==0.9.0 pytz==2018.9 fire==0.1.3 tornado==5.1.1 markdown==3.0.1 semver==2.8.1 websocket==0.2.1 websocket-client==0.56.0 pypinyin jieba pyaudio # python==3.
javashiro过滤器设置接口过滤权限
m0_54850467的博客
08-17 666
今天遇到一个需求,要求后台接口不验证权限也能请求成功,由于我们的后台框架是nacos微服务,所以想到直接去改nacos中该微服务的shiro配置,我们打开shiro-common.yml文件,内容如下。我们在filterChainDefinitionMap里面增加一条记录/getSysinfoConfig:anon,修改后如下。然后重启该接口所在的微服务,这样请求该接口就不会被拦截了。anon是匿名访问anonymous的简称。修改后,我们发布配置。...
java ip 白名单_Shiro的白名单用户IP
weixin_39924179的博客
02-24 999
你可能必须建立Shrio的org.apache.shiro.web.filter.authc.AuthenticatingFilter微创的自定义实现,你将不得不通过扩展,并添加逻辑跳过BasicHttpAuthenticationFilter如果请求是从白名单中的IP地址来定制BasicHttpAuthenticationFilter 。package com.acme.web.filter.a...
Shiro中常见过滤
qq_63219690的博客
11-25 720
Shiro过滤
shiro中的过滤
boker123的博客
08-08 915
当我们需要使用 spring 中的过滤器时,通常通过继承 filter 接口或者使用@Webfilter注解实现。shiro过滤器实现也是通过实现filter接口实现的,shiro中整个filter类结构如下图所示,最顶层的AbstractFilter 实现了filter接口。在DefaultFilter 枚举类中列出了shiro中常用的filter这个类重写了dofilter方法,用来保证每个请求只会被一个filter过滤一次,不会重复过滤 如果当前filter没有执行过过滤,默认会进入第二个if(那两
Shiro学习之过滤器详解
zkcJava的博客
09-14 3608
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
shiro
weixin_50204197的博客
03-26 855
shiro,认证
基于Extjs4和ShiroJava权限管理框架设计源码
04-04
本设计源码提供了一个基于Extjs4和ShiroJava权限管理框架。项目包含2062个文件,主要使用JavaScript、Java和CSS编程语言。文件类型包括1598个GIF图片文件、281个PNG图片文件、50个JavaScript脚本文件、44个Java源...
基于JavaShiro权限管理系统设计源码
最新发布
04-18
本项目是基于JavaShiro权限管理系统设计源码,包含1343个文件,其中主要包含462个js脚本,267个html页面,148个java文件,129个css样式表等。系统后端采用jboot框架,前端使用layui进行界面设计,集成了Shiro来...
基于Java的maven-ssm-shiro权限管理系统设计源码
04-09
本项目是基于Java的maven-ssm-shiro权限管理系统设计源码,包含2118个文件,其中975个JavaScript文件,472个PNG文件,247个CSS文件,83个HTML文件,63个Java文件,54个SVG文件,34个GIF文件,24个JSP文件和23个JPG...
Shiro权限框架完整源码
06-30
这个源码很详细 可以配合之前我上传的shiro框架技术的pdf文档结合起来参考学习
Apache Shiro权限框架实战+项目案例视频课程
06-09
课程分为两个部分:1、shiro实战部分;shiro的原理及实战应用,详细情况请看目录。2、shiro项目案例;讲解实际项目的应用。
Spring注解解释(@Primary、@Qualifier)
热门推荐
悟空、的博客园
08-28 2万+
@Primary/@Qualifier 当你一个接口的实现类有多个的时候,你通过@Component来注册你的实现类有多个,但是在注入的时候使用@Autowired 这样问题就来了,Spring就不知道你注入哪个,那现在就可以通过下面两个办法解决: @Primary 优先考虑,优先考虑被注解的对象注入 @Qualifier 名字声明,声明后对名字进行使用 @Qualifier 看看官网怎么用<?
Mybatis 自动生成主键
悟空、的博客园
08-26 1万+
介绍像MySql、Sql Server有自动生成主键(递增),Oracle只能用序列生成,或者UUID 那么在MyBatis怎么处理呢,有两个处理方式,那么我们接下来看看怎么处理编码useGeneratedKeys<insert id="insertAuthor"> insert into Author (id,username,password,email,bio) values (#{
Spring 注解事件Event
悟空、的博客园
08-28 1万+
String event 从Spring的4.2版本后,开始支持注解来进行事件广播接收,这使得我们常方便 当然了Spring也支持JMS消息中间件,这个就可以做多个系统集成了,感觉有点偏题了,先看看事件怎么通过注解来开发 基础支持先来看看支持哪些默认事件 Event 描述 ContextRefreshedEvent 当ApplicationContext或者叫spring被
Spring 数据库处理Clob/Blob大对象
悟空、的博客园
09-10 6594
概述使用Spring的时候需求上难免说需要存储一下几种类型: 文本 图片 二进制 处理对象Spring 支持通过LobCreator/LobHandler进行处理大对象 BLOB byte[] — getBlobAsBytes and setBlobAsBytes InputStream — getBlobAsBinaryStream and setBlobAsBinaryStream CLOB
Shiro方法/注解使用
悟空、的博客园
08-29 3298
目的 最近对shiro的学习,有个习惯就是学习了就记录下来,以便以后翻出来看看,分享一下,如果说得不对,也有网友帮忙指正 那么这次是对注解这块进行学习 看这章之前必须学会shiro的基础配置,shiro的配置也很简单,我找时间把配置的也写一篇出来 Shiro方法大全Role-Based Authorization(角色验证) 注解 描述 hasRole(String rol
Jersey采用模板Freemarker输出
悟空、的博客园
08-25 2420
简介首先来说一下什么是jersey,他是实现了restful风格的其中一个框架,当然除了jersey还有其他的,例如 apache axis2 apache CXF spring mvc 也算上一个,但不是标准的 不过在平时在开发web下,目前流行的还是以spring mvc为主,但现在也有一些后起之秀,就例如 JFinal Spring boot 以笔者了解呢目前jersey用得还是蛮多的,最主要
java安全框架shiro的优点
04-13
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。以下是Shiro框架的几个优点: 1. 简单易用:Shiro的设计目标之一是简化安全操作,提供了简单易用的API和配置方式,使得开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值