Shiro 3 filter

最新推荐文章于 2021-11-17 16:13:18 发布
最新推荐文章于 2021-11-17 16:13:18 发布
阅读量630 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013038630/article/details/51773468
版权

首先Shiro提供的过滤器继承关系

过滤器的过滤方法是dofilter,最终可以找到AdviceFilter中的doFilterInternal

这个类中还有一个preHandle方法 返回true or false决定是否通过过滤器,这个方法供子类继承重写,实现不同过滤器业务


比如LogoutFilter中的

 @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        String redirectUrl = getRedirectUrl(request, response, subject);
        //try/catch added for SHIRO-298:
        try {
            subject.logout();
        } catch (SessionException ise) {
            log.debug("Encountered session exception during logout.  This can generally safely be ignored.", ise);
        }
        issueRedirect(request, response, redirectUrl);
        return false;
    }

subject注销,重定向到 redirectUrl,返回false


PathMatchingFilter继承了AdviceFilter,在重写的preHandle中加入了对于url配置的其他权限的验证,最后提供了一个方法供重写,其中第三个参数类型为

String[] s = {"role1","role2"}  等

  protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return true;
    }

所以匿名过滤器AnonymousFilter继承PathMatchingFilter,它的onPreHandle直接返回true,可以通过 

    @Override
    protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) {
        // Always return true since we allow access to anyone
        return true;
    }

AccessControlFilter extends PathMatchingFilter 

  public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
    }
这两个方法都是有子类实现,这个类还提供了一个方法saveRequestAndRedirectToLogin,不和条件的情况会调用此方法转到登录页


剩下的都是功能业务的过滤器了,只需要分析它们对于上面方法的实现

比如RolesAuthorizationFilter检测subject是否有这些role

 @SuppressWarnings({"unchecked"})
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }

        Set<String> roles = CollectionUtils.asSet(rolesArray);
        return subject.hasAllRoles(roles);
    }

比如PermissionsAuthorizationFilter检测subject是否有这些permission 

 public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] perms = (String[]) mappedValue;

        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
            if (perms.length == 1) {
                if (!subject.isPermitted(perms[0])) {
                    isPermitted = false;
                }
            } else {
                if (!subject.isPermittedAll(perms)) {
                    isPermitted = false;
                }
            }
        }

        return isPermitted;
    }

认证过滤器FormAuthenticationFilter extends AuthenticatingFilter extends AuthenticationFilter extends AccessControlFilter

检测是否登录

AuthenticationFilter

 protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
    }

FormAuthenticationFilter 

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                //allow them to see the login page ;)
                return true;
            }
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }

            saveRequestAndRedirectToLogin(request, response);
            return false;
        }
    }

Shiro提供的这些过滤器的封装还是比较清晰的,由这条继承线,我们可以根据业务需要继承它的过滤器很方便的实现自己需要的业务。



ry_______
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro学习filter
11-20
//已经登录过 //继续过滤器链 //no //保存当前地址并重定向到登录界面
Shiro过滤器源码
张晨光老师的播客
02-16 915
过滤器 Shiro还提供了过滤器,可以配置我们的过滤规则,过滤规则对顺序是有要求的,短路优先原则,也就是前面的适配成功之后,就不会再适配后面的规则了。 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,直接查看DefaultFilter类。 路径如下:org.apache.shiro.web.filter.mgt public enum Defaul...
shiro实现登录登出_关于Shiro登陆退出遇到的一些问题
weixin_30868873的博客
12-23 913
写在开始最近项目中出现一些问题,以前可能不大关注,但是问题是实实在在存在的。问题一系统重启用户登陆或者退出报错:Disk Write of 407a1347-c2c6-434e-89e3-365aa277497c failed这个问题,并不是经常出现,看详细错误信息,应该是数据 list或者map序列化的问题。看了一下实体类都实现了序列化。解决方案突然想起,以前是没有这个问题的,自从升级了Ehca...
shiro 结合spring Aop记录用户注销的日志分享
喜羊羊love红太狼
09-29 338
需求:在不影响原来项目的基础上开发一个日志记录插件记录用户操作日志 场景:原项目中使用shiro对用户进行认证和管理,在不影响原来项目的基础上开发一个日志记录插件使用aop记录用户操作日志时,原来项目没有注销的接口(即没有退出的controller)而是通过shiro默认的过滤器实现的退出。 遇到的问题:如何记录用户退出日志 方法:重写shiro的登出过滤器中LogoutFilter中preHandle方法 具体实现: package com.gisq...
spring boot shiro 采坑指南
Alf的专栏
05-03 2527
遇到的一个问题:ShiroFilterFactoryBean 配置完成后,该filter不起作用。原因:在项目中还定义了一个别的DotDOFilter(该Filter的作用是把Url中xxx.do结尾Url修改成xxx),          在这个DotDOFilter中使用了request.getRequestDispatcher(uri).forward(request, response);...
关于Shiro登陆退出遇到的一些问题
weixin_34417635的博客
04-24 1877
写在开始 最近项目中出现一些问题,以前可能不大关注,但是问题是实实在在存在的。 问题一 系统重启用户登陆或者退出报错:Disk Write of 407a1347-c2c6-434e-89e3-365aa277497c failed 这个问题,并不是经常出现,看详细错误信息,应该是数据 list或者map序列化的问题。看了一下实体类都实现了序列化。 ...
cas shiro 前后端分离 登录_Shiro+Cas微服务化及前后端完全分离
weixin_39830323的博客
12-19 249
本文实例为大家分享了Shiro Cas微服务化及前后端完全分离,供大家参考,具体内容如下shiro+cas微服务化笔记1.Spring Boot 配置有如下两个配置文件:ShiroBaseConfig.javaimport lombok.extern.log4j.Log4j;import org.apache.shiro.cache.CacheManager;import org.apache.s...
java web shiro_Java Web框架入门(6):shiro
weixin_32257101的博客
02-16 112
实现一:封装并实现注解处理器上文的设计思路:基于拦截器实现的 shiro权限注解处理对 shiro提供的五种权限注解 RequiresPermissions、RequiresRoles、RequiresUser、RequiresGuest、RequiresAuthentication进行拦截,自定义处理方法即 authzHandler类项目启动时,在 shiroPlugin中遍历所有 Action...
Spring---apache.shiro--过滤器Filter---AdviceFilter抽象类
IT艺术家-rookie的博客
11-17 479
A Servlet Filter that enables AOP-style "around" advice for a ServletRequest via {@link #preHandle(javax.servlet.ServletRequest, javax.servlet.ServletResponse) preHandle}, {@link #postHandle(javax.servlet.ServletRequest, javax.servlet.ServletResponse) pos.
shiro学习18-shiro提供的filter类-AdviceFilter
iteye_14612的博客
02-20 1636
这个类和之前的AbstractShiroFilter是平级的,都是OnecPerRequestFilter的子类,我们从他的名字Advice中就能联想到他的用意——AOP,在spring中有很多的advice,也就是通知,比如前置通知,后置通知,最终通知等,这个类允许通过很多方法实现filter中的aop的特点,比如preHandle(前置通知),postHandle(后置通知,但是在抛异常的...
shiroFilter权限验证
09-24
首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将...
shiro入门学习demo源码
03-01
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> /checkLogin.json = anon /** = authc </bean> <!-- 用户授权信息Cache --> ...
简单配置 shiro + spring +springMVC+hibernate简单框架
02-20
<filter-name>shiroFilter</filter-name> <filter-class> org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> ...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Shiro 4 sessionManager
ry的专栏
06-30 4068
sessionManager接口 public interface SessionManager { Session start(SessionContext context);  Session getSession(SessionKey key) throws SessionException; } 实现继承 AbstractSessionManager定义了sessi
Shiro 2 Subject的创建
ry的专栏
06-24 2506
SecurityUtils中 public static Subject getSubject() { Subject subject = ThreadContext.getSubject(); if (subject == null) { subject = (new Subject.Builder()).buildSubject();
Shiro 3 shiroFilter
ry的专栏
06-24 1391
ShiroFilterFactoryBean中getObject()方法   public Object getObject() throws Exception {         if (instance == null) {             instance = createInstance();         }         return instance;   
Shiro 1 , 登录过程
ry的专栏
06-22 540
UsernamePasswordToken token = new UsernamePasswordToken(username, password); token.setRememberMe(true); Subject subject = SecurityUtils.getSubject(); try { subject.logi
springboot shirofilter怎么关联relam的
最新发布
05-24
ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); Map, Filter> filters = new LinkedHashMap(); // 将自定义的 Filter 注入到 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值