Apache Shiro源码 拦截器过程

最新推荐文章于 2024-06-24 15:09:02 发布
置顶 最新推荐文章于 2024-06-24 15:09:02 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: Apache Shiro 文章标签: shiro shiro源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MakeContral/article/details/77387026
版权

Apache Shiro是Java的一个安全框架,使用的人也越来越多,但很多人只是停留在了会使用的的阶段,可能配置文件也只是网上demo的复制修改,却不知道真正的含义是什么。

今天我用shiro的拦截器为入口,简单的过一点shiro的源码 ,有错误的地方希望大家能给指出。

首先我们看一下配置文件中拦截器的拦截规则,这里有两个拦截器,一个是formAuthenticationFilter 这个是shiro 包自带的一个拦截器,roleOrFilter是自定义的一个拦截器。对于/api/user/login 这个接口不做拦截。对/api/user/check 需要过两个拦截器。

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.html"/>
    <property name="unauthorizedUrl" value="/error.html"/>
    <property name="filters">

    <util:map>
        <entry key="authc" value-ref="formAuthenticationFilter"/>
        <entry key="roleOrFilter" value-ref="roleOrFilter"/>
    </util:map>
    </property>

    <property name="filterChainDefinitions">
        <value>
            /api/user/login = anon
            /api/user/check = authc, roleOrFilter["管理员"]
        </value>
    </property>
</bean>

当我在URL地址栏输入 http://127.0.0.1:8080/api/user/check,并点击回车的时候,拦截器就开始工作了。首先是到了authc这个拦截器。这个拦截器继承了 AuthenticatingFilter

程序在运行一定的时候会进入到onPrehandle,这个方法结果的返回会决定我们的请求是否被允许

//只要isAccessAllowed或者onAccessDenied有一个为真,就返回true,继续执行
public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

先看isAccessAllowed这个方法

/**如果满足(1).当前的subject是被认证过的。(2).用户请求的不是登录页面,但是在定义该过滤器时,使用了PERMISSIVE=”permissive”参数。只要满足两个条件的一个即可允许操作**/
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return super.isAccessAllowed(request, response, mappedValue) ||(!isLoginRequest(request, response) && isPermissive(mappedValue));
    }


//其实就是判断当前的subject是不是被认证过的
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
    }

//判断当前的请求是不是登陆请求
protected boolean isLoginRequest(ServletRequest request, ServletResponse response) {
        return pathsMatch(getLoginUrl(), request);
    }

//判断当前的拦截器是不是配置了PERMISSIVE=”permissive”参数,如果配置了就可以通过
protected boolean isPermissive(Object mappedValue) {
        if(mappedValue != null) {
            String[] values = (String[]) mappedValue;
            return Arrays.binarySearch(values, PERMISSIVE) >= 0;
        }
        return false;
    }

因为我们没有登陆,即没有对当前的subject认证过,isAccessAllowed返回false。

再看onAccessDenied

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    if (isLoginRequest(request, response)) {
        if (isLoginSubmission(request, response)) {
            if (log.isTraceEnabled()) {
                log.trace("Login submission detected.  Attempting to execute login.");
            }
            return executeLogin(request, response);
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Login page view.");
            }
            //allow them to see the login page ;)
            return true;
        }
    } else {
        if (log.isTraceEnabled()) {
            log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                    "Authentication url [" + getLoginUrl() + "]");
        }

        saveRequestAndRedirectToLogin(request, response);
        return false;
    }
}


//判断当前的其实是不是一个HTTP的POST请求
protected boolean isLoginSubmission(ServletRequest request, ServletResponse response) {
        return (request instanceof HttpServletRequest) && WebUtils.toHttp(request).getMethod().equalsIgnoreCase(POST_METHOD);
    }

//经过前面的判断是不是POST请求后,程序就为我们创建一个token,但是我们并没有传入userName和password在创建的时候就会抛出异常了
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            Subject subject = getSubject(request, response);
            subject.login(token);
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            return onLoginFailure(token, e, request, response);
        }
    }


/**saveRequest就是把一个request保存在session中,redirectToLogin这里就是返回到设置的登录页面,在开头自定义的过滤器中就是重载了这个函数,在实际项目中,一般都会重载这个函数,比方说返回到指定的页面*/
protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        redirectToLogin(request, response);
    }

就这样在第一个authc拦截器请求就会被拒绝了。就不会走我们的第二个roleOrFilter拦截器了。

那如果我在配置文件上不写上authc,而是让程序直接走我们的自定义的拦截器那会是什么过程呢。

public class RoleOrFilter extends AuthorizationFilter {
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        Subject subject = getSubject(servletRequest, servletResponse);
        String[] rolesArray = (String[]) o;
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        for (int i = 0; i < rolesArray.length; i++) {
            if (subject.hasRole(rolesArray[i])) {
                return true;
            }
        }
        return false;
    }
}

其实在走到hasRole的时候,hasRole内部实现代码机制就会有检测当前的subject是不是被认证的操作,所以你没有登陆就直接调用一个接口,就算没有写authc直接到第二个拦截器也会被拦下。

CallMeJiaGu
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache shiro 1.13.0
01-17
通过研究 Shiro 1.13.0 的码,你可以了解到这些组件的实现细节,例如 Realm 如何连接数据库进行身份验证,Filter 如何拦截请求进行权限检查,以及会话管理如何处理分布式环境下的会话一致性问题。这对于深入理解 ...
shiro 登录流程
jtf19901223的博客
11-08 340
登录过滤 AuthenticatingFilter protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception { // 从request参数中创建token, AuthenticationToken token = createToken(request, response); if (token == null) {
shiro 不管登录成功还是失败都出现这个bug
m0_67391907的博客
04-22 681
28 回复 package com.coracle.fast.service.impl.shiro; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.LockedAccountExcept
如何通过isAccessAllowed方法实现访问控制
最新发布
GP的空间
06-24 908
在开始详细解析代码之前,先简单介绍一下相关的框架和类。:一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。本文中的方法就是Shiro框架的一部分。Subject类:Shiro中的核心类,代表当前运行的用户。通过这个类可以获取用户的身份信息、权限信息等。Principal:表示当前用户的身份信息,例如用户名或用户对象。Class
shiro学习笔记 过滤 shiro 表单 验证码 登录
永无止境
01-09 2800
自己自定义实现了一个验证码表单过滤,基于FormAuthenticationFilter 代码如下: package cn.ddsxy.ddlx.shiro; import cn.ddsxy.ddlx.util.CaptchaUtil; import org.apache.shiro.authc.AuthenticationException; import org.apache.shir
理解这9大内置过滤,才算是精通Shiro
MarkerHub的博客
05-12 317
小Hub领读:权限框架一般都是一堆过滤拦截的组合运用,在shiro中,有多少个内置的过滤你知道吗?在哪些场景用那些过滤,这篇文章希望你能对shiro有个新的认识!别忘了,点个 ...
Apache Shiro 集成-spring
04-21
3. Shiro与Spring MVC的整合:配置ShiroFilter,使其作为Spring MVC的拦截运行。 4. 安全注解:利用@RequiresAuthentication、@RequiresRoles、@RequiresPermissions等注解进行权限控制。 5. 会话管理:可以配置...
我的shiro码.zip
10-09
在这个"我的shiro码.zip"压缩包中,包含的是一个整合了Spring(SSM框架的一部分)、Spring MVC和Mybatis的Shiro代码示例。这个示例项目对于学习如何在实际开发中应用Shiro非常有帮助,因为代码中有详细的注解...
基于Shiro 拦截URL,实现权限控制
08-02
在实现URL权限控制时,Shiro通过定义一系列的拦截(Interceptors)来过滤请求。这些拦截可以基于URL路径或特定的HTTP方法(如GET、POST等)来决定是否允许用户访问。Shiro的Web模块提供了一个名为`...
Apache Shiro 使用分享
04-22
- **Web 应用安全**:Shiro 可以轻松集成到 Web 应用中,提供过滤进行安全拦截,如 LoginFilter、AuthcFilter 等。 - **内存中会话管理**:在非容环境下,Shiro 可以处理会话生命周期,如创建、更新、销毁等。...
shiro
sinat_34814635的博客
12-11 717
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro登录中遇到了问题
weixin_30391339的博客
07-04 757
Shiro登录中遇到了问题 记录二次开发中遇到的问题, 如果系统学习Shiro, 推荐跟我学Shrio. 问题 项目是要将验证从本地改为LDAP验证, 但是因为jeecms的验证和授权中, 用户和角色以及权限的信息都来自本地, 大量的改造不适合. 域名的拦截, 因为IP被重置 HTTP 302 HTTP302Found重定向状态码表明请求的资被暂时的移动到了由Loca...
shiro概述(三)拦截
w_t_y_y的博客
12-14 1444
也就是说一次请求只会走一次拦截链;另外提供enabled属性,表示是否开启该拦截实例,默认enabled=true表示开启,如果不想让某个拦截工作,可以设置为false即可。当我们组装拦截链时会根据这个名字找到相应的拦截实例;4、AdviceFilter:提供了AOP风格的支持,类似于SpringMVC中的Interceptor。3、ShiroFilter:是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。一、介绍:shiro使用了与servlet一样的Filter进行接口扩展。
Shiro快速入门 —— 2.拦截
weixin_34124939的博客
05-09 440
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro 自定义拦截
qq_38930240的博客
01-29 4530
1.拓展 OncePerRequestFilter  用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截链;另外提供 enabled 属性,表示是否开启该拦截实例,默认 enabled=true 表示开启,如果不想让某个拦截工作,可以设置为 false 即可。 保证一次请求只调用一次 doFilterInternal,即如内部的 forward 不会再多执行一次 doFi...
SpringBoot整合Shiro环境搭建与配置拦截
qq_43880100的博客
10-19 2596
SpringBoot整合Shiro环境搭建与配置拦截
shiro Filter--拦截
weixin_30530523的博客
11-22 752
shiro自带的filter:下面主要叙述顺序是 NameableFilter-》OncePerRequestFilter-》AdviceFilter-》PathMatchingFilter-》AuthenticationFilter(AuthenticatingFilter)-》FromAuthenticationFilter ①NameableFilter有一个name属性,定...
shiro入门
hq091117的博客
10-19 394
shiro学习,动态加权限,session共享,单点登录。
shiro登录拦截
08-23
这个拦截类需要继承Shiro提供的`org.apache.shiro.web.filter.authc.FormAuthenticationFilter`类,并重写其中的方法,以实现自定义的登录逻辑。 具体来说,你可以在自定义拦截中重写`onAccessDenied`方法,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值