Apache Shiro源码 拦截器过程

最新推荐文章于 2024-05-14 09:43:40 发布
置顶 最新推荐文章于 2024-05-14 09:43:40 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: Apache Shiro 文章标签: shiro shiro源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MakeContral/article/details/77387026
版权

Apache Shiro是Java的一个安全框架,使用的人也越来越多,但很多人只是停留在了会使用的的阶段,可能配置文件也只是网上demo的复制修改,却不知道真正的含义是什么。

今天我用shiro的拦截器为入口,简单的过一点shiro的源码 ,有错误的地方希望大家能给指出。

首先我们看一下配置文件中拦截器的拦截规则,这里有两个拦截器,一个是formAuthenticationFilter 这个是shiro 包自带的一个拦截器,roleOrFilter是自定义的一个拦截器。对于/api/user/login 这个接口不做拦截。对/api/user/check 需要过两个拦截器。

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.html"/>
    <property name="unauthorizedUrl" value="/error.html"/>
    <property name="filters">

    <util:map>
        <entry key="authc" value-ref="formAuthenticationFilter"/>
        <entry key="roleOrFilter" value-ref="roleOrFilter"/>
    </util:map>
    </property>

    <property name="filterChainDefinitions">
        <value>
            /api/user/login = anon
            /api/user/check = authc, roleOrFilter["管理员"]
        </value>
    </property>
</bean>

当我在URL地址栏输入 http://127.0.0.1:8080/api/user/check,并点击回车的时候,拦截器就开始工作了。首先是到了authc这个拦截器。这个拦截器继承了 AuthenticatingFilter

程序在运行一定的时候会进入到onPrehandle,这个方法结果的返回会决定我们的请求是否被允许

//只要isAccessAllowed或者onAccessDenied有一个为真,就返回true,继续执行
public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

先看isAccessAllowed这个方法

/**如果满足(1).当前的subject是被认证过的。(2).用户请求的不是登录页面,但是在定义该过滤器时,使用了PERMISSIVE=”permissive”参数。只要满足两个条件的一个即可允许操作**/
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return super.isAccessAllowed(request, response, mappedValue) ||(!isLoginRequest(request, response) && isPermissive(mappedValue));
    }


//其实就是判断当前的subject是不是被认证过的
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
    }

//判断当前的请求是不是登陆请求
protected boolean isLoginRequest(ServletRequest request, ServletResponse response) {
        return pathsMatch(getLoginUrl(), request);
    }

//判断当前的拦截器是不是配置了PERMISSIVE=”permissive”参数,如果配置了就可以通过
protected boolean isPermissive(Object mappedValue) {
        if(mappedValue != null) {
            String[] values = (String[]) mappedValue;
            return Arrays.binarySearch(values, PERMISSIVE) >= 0;
        }
        return false;
    }

因为我们没有登陆,即没有对当前的subject认证过,isAccessAllowed返回false。

再看onAccessDenied

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    if (isLoginRequest(request, response)) {
        if (isLoginSubmission(request, response)) {
            if (log.isTraceEnabled()) {
                log.trace("Login submission detected.  Attempting to execute login.");
            }
            return executeLogin(request, response);
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Login page view.");
            }
            //allow them to see the login page ;)
            return true;
        }
    } else {
        if (log.isTraceEnabled()) {
            log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                    "Authentication url [" + getLoginUrl() + "]");
        }

        saveRequestAndRedirectToLogin(request, response);
        return false;
    }
}


//判断当前的其实是不是一个HTTP的POST请求
protected boolean isLoginSubmission(ServletRequest request, ServletResponse response) {
        return (request instanceof HttpServletRequest) && WebUtils.toHttp(request).getMethod().equalsIgnoreCase(POST_METHOD);
    }

//经过前面的判断是不是POST请求后,程序就为我们创建一个token,但是我们并没有传入userName和password在创建的时候就会抛出异常了
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            Subject subject = getSubject(request, response);
            subject.login(token);
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            return onLoginFailure(token, e, request, response);
        }
    }


/**saveRequest就是把一个request保存在session中,redirectToLogin这里就是返回到设置的登录页面,在开头自定义的过滤器中就是重载了这个函数,在实际项目中,一般都会重载这个函数,比方说返回到指定的页面*/
protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        redirectToLogin(request, response);
    }

就这样在第一个authc拦截器请求就会被拒绝了。就不会走我们的第二个roleOrFilter拦截器了。

那如果我在配置文件上不写上authc,而是让程序直接走我们的自定义的拦截器那会是什么过程呢。

public class RoleOrFilter extends AuthorizationFilter {
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        Subject subject = getSubject(servletRequest, servletResponse);
        String[] rolesArray = (String[]) o;
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        for (int i = 0; i < rolesArray.length; i++) {
            if (subject.hasRole(rolesArray[i])) {
                return true;
            }
        }
        return false;
    }
}

其实在走到hasRole的时候,hasRole内部实现代码机制就会有检测当前的subject是不是被认证的操作,所以你没有登陆就直接调用一个接口,就算没有写authc直接到第二个拦截器也会被拦下。

CallMeJiaGu
关注
专栏目录
java项目权限控制的理解和示例(基于shiro和传统拦截器filter两种方式)
小黄鸡kimhuhg
08-16 4369
shiro spring filter 权限控制 java项目 maven
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 381
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
Shiro第八章一-拦截器机制
测试
04-30 539
拦截器 NameableFilter: 给Filter起了名字,如果没有设置默认就是FilterName;之前的authc就是,当我们组装拦截器链时会根据这个名...
shiro拦截器执行过程
csdn_life18的博客
11-24 515
找到当前的request对应的过滤器链 AbstractShiroFilter.executeChain AbstractShiroFilter.getExecutionChain DefaultFilterChainManager.proxy NamedFilterList.proxy SimpleNamedFilterList.proxy ProxiedFilterChain.doFilter AbstractShiroFilter.getExecutionChain AbstractShiroFilt
shiro filter的入口
zn0315的专栏
12-21 657
/**      * Execute login by creating {@link #createToken(javax.servlet.ServletRequest, javax.servlet.ServletResponse) token} and logging subject      * with this token.      *       * @param reque
Apache shiro 1.13.0源码
01-17
通过研究 Shiro 1.13.0 的源码,你可以了解到这些组件的实现细节,例如 Realm 如何连接数据库进行身份验证,Filter 如何拦截请求进行权限检查,以及会话管理如何处理分布式环境下的会话一致性问题。这对于深入理解 ...
Apache Shiro 集成-spring
04-21
3. Shiro与Spring MVC的整合:配置ShiroFilter,使其作为Spring MVC的拦截器运行。 4. 安全注解:利用@RequiresAuthentication、@RequiresRoles、@RequiresPermissions等注解进行权限控制。 5. 会话管理:可以配置...
Spring MVC+Mybatis+Ehcache+Apache Shiro+Bootstrap整合开发java仓库管理系统源码
07-27
- 配置Spring MVC的DispatcherServlet,设置拦截器和视图解析器。 - 集成Mybatis,配置数据源、事务管理器以及Mapper扫描器,编写Mapper接口和XML配置文件。 - 配置Ehcache,定义缓存策略和生命周期,与Spring集成...
我的shiro源码.zip
10-09
在这个"我的shiro源码.zip"压缩包中,包含的是一个整合了Spring(SSM框架的一部分)、Spring MVC和Mybatis的Shiro源代码示例。这个示例项目对于学习如何在实际开发中应用Shiro非常有帮助,因为源代码中有详细的注解...
shiro概述(三)拦截器
w_t_y_y的博客
12-14 1628
也就是说一次请求只会走一次拦截器链;另外提供enabled属性,表示是否开启该拦截器实例,默认enabled=true表示开启,如果不想让某个拦截器工作,可以设置为false即可。当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;4、AdviceFilter:提供了AOP风格的支持,类似于SpringMVC中的Interceptor。3、ShiroFilter:是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。一、介绍:shiro使用了与servlet一样的Filter进行接口扩展。
Apache Flume 拦截器
qq_45798620的博客
12-03 282
Apache Flume 拦截器拦截器Flume自定义拦截器 案例场景 A、B两台日志服务机器实时生产日志主要类型为access.log、nginx.log、web.log 现在要求: 把A、B 机器中的access.log、nginx.log、web.log 采集汇总到C机器上然后统一收集到hdfs中。 但是在hdfs中要求的目录为: /source/logs/access/20200101/** /source/logs/nginx/20200101/** /source/logs/web/202001
Shiro过滤器源码
张晨光老师的播客
02-16 956
过滤器 Shiro还提供了过滤器,可以配置我们的过滤规则,过滤规则对顺序是有要求的,短路优先原则,也就是前面的适配成功之后,就不会再适配后面的规则了。 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,直接查看DefaultFilter类。 路径如下:org.apache.shiro.web.filter.mgt public enum Defaul...
Shiro 学习【一】概述、访问拦截实现
StarLight_LiuXT的博客
07-27 664
一、什么是 Shiro Shiro 是一个功能强大和易于使用的Java安全框架,为开发提供一个直观全面的解决方案 的 认证,授权,加密,会话管理等 二、Shiro 功能 · Shiro 主要功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源,一般授权会有角色授权和权限授权; SessionManager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都
shiro 拦截器
weixin_33752045的博客
12-28 93
参考 转载于:https://www.cnblogs.com/znsongshu/p/10189654.html
Shiro默认拦截器
RainSun
11-15 540
默认拦截器拦截器类 说明(括号里的表示默认值) 身份验证相关的 authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter 基于表单的拦截器;如 “/**=authc”,如果没有登录会跳到相应的登录页面登录;主要属性:usernameParam:表单提交的用户名参数名( username); pas...
SpringBoot+Shiro实现登陆拦截功能
热门推荐
u011972171的博客
04-21 3万+
      上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。      首先介绍下ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架:Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主...
在JAVA微服务项目中使用shiro全局拦截_shiro在微服务架构中如何使用
最新发布
2401_84968582的博客
05-14 514
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Java安全框架Apache Shiro基础教程
Shiro拦截器机制类似于Servlet的Filter,它们组成拦截器链,可以自定义拦截器以实现特定的安全需求。Shiro提供了一些默认的拦截器,如 anon(匿名访问)、authc(认证拦截)等。 **第九章 JSP标签** Shiro提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值