Spring Shiro处理过程

最新推荐文章于 2024-08-04 22:07:39 发布
最新推荐文章于 2024-08-04 22:07:39 发布
阅读量848 收藏
点赞数
文章标签: spring filter shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr0o0rM/article/details/53540705
版权

Shiro中的Filters定义

下图为Shiro中所有的Filter定义
Shiro中的Filter定义
可以看出,基本上分为两大类的Filter,一个是PathMatchingFilter,另一个就是LogoutFilterLogoutFilter作为登出Filter,暂不介绍。
所有的filter,全部是OncePerRequestFilter的子类,OncePerRequestFilter作为Filter中doFilter实现的主要类,主要内容在其子类的doFilterInternal中实现。
首先,需要知道Shiro的启动过程和加载顺序,当前以Spring+Shiro+CAS进行配置。

1. web.xml配置

    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

使用spring进行托管Shiro Filter

2 Shiro配置

    <!-- 配置CAS Filter,用于CAS校验用户是否登录与用户权限 -->
    <bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
        <property name="failureUrl" value="/shiro/error"/>
    </bean>

    <!-- Shiro Filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl"
                  value="https://cas_server_url/cas/login?service=http://localhost:8080/cas"/>
        <property name="filters">
            <map>
                <entry key="casFilter" value-ref="casFilter"/>
                <entry key="role" value-ref="roleFilter"/>
            </map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                <!-- 用于控制用户登录验证 -->
                /cas = casFilter
                <!-- 用于控制用户权限验证 -->
                /** = role
            </value>
        </property>
    </bean>

    <bean id="roleRealm" class="org.ihsxin.test.shiro.core.realm.RoleRealm">
        <property name="casServerUrlPrefix" value="https://cas_server_url/cas/"/>
        <property name="casService" value="http://localhost:8080/cas"/>
        <property name="roleManager">
            <bean class="org.ihsxin.test.shiro.core.role.impl.RoleManagerImpl">
                <property name="userRoleMapper" ref="userRoleMapper"/>
            </bean>
        </property>
    </bean>

    <bean id="memoryConstrainedCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/>
    <bean id="memorySessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"/>

    <bean id="defaultSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="cacheManager" ref="memoryConstrainedCacheManager"/>
        <property name="sessionDAO" ref="memorySessionDAO"/>
    </bean>

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="roleRealm"/>
        <property name="subjectFactory" ref="casSubjectFactory"/>
        <property name="cacheManager" ref="memoryConstrainedCacheManager"/>
        <property name="sessionManager" ref="defaultSessionManager"/>
    </bean>

    <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory"/>

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

首先,需要明白Shiro框架的几大概念:
1.1 SecurityManager

1.2 Subject

1.3 Realm

现在,以执行顺序方式,追踪记录一层请求的代码路由顺序。

1. Spring Shiro

PathMatchingFilter作为大的父类,主要的一个功能,就是匹配操作符及操作路径,如果符合这个路径,才执行自身方法。

    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
// 如果当前的适用的Path没有,默认允许,直接返回true
        if (this.appliedPaths == null || this.appliedPaths.isEmpty()) {
            if (log.isTraceEnabled()) {
                log.trace("appliedPaths property is null or empty.  This Filter will passthrough immediately.");
            }
            return true;
        }
        // 遍历自身的Apply path,如果匹配,则通过执行isFilterChainContinued方法
        for (String path : this.appliedPaths.keySet()) {
            // If the path does match, then pass on to the subclass implementation for specific checks
            //(first match 'wins'):
            if (pathsMatch(path, request)) {
                log.trace("Current requestURI matches pattern '{}'.  Determining filter chain execution...", path);
                Object config = this.appliedPaths.get(path);
                return isFilterChainContinued(request, response, path, config);
            }
        }

        //no path matched, allow the request to go through:
        return true;
    }
 /**
     * Simple method to abstract out logic from the preHandle implementation - it was getting a bit unruly.
     *
     * @since 1.2
     */
    @SuppressWarnings({"JavaDoc"})
    private boolean isFilterChainContinued(ServletRequest request, ServletResponse response,
                                           String path, Object pathConfig) throws Exception {

        if (isEnabled(request, response, path, pathConfig)) { //isEnabled check added in 1.2
            if (log.isTraceEnabled()) {
                log.trace("Filter '{}' is enabled for the current request under path '{}' with config [{}].  " +
                        "Delegating to subclass implementation for 'onPreHandle' check.",
                        new Object[]{getName(), path, pathConfig});
            }
            //The filter is enabled for this specific request, so delegate to subclass implementations
            //so they can decide if the request should continue through the chain or not:
            // 做一些子类的操作
            return onPreHandle(request, response, pathConfig);
        }

        if (log.isTraceEnabled()) {
            log.trace("Filter '{}' is disabled for the current request under path '{}' with config [{}].  " +
                    "The next element in the FilterChain will be called immediately.",
                    new Object[]{getName(), path, pathConfig});
        }
        //This filter is disabled for this specific request,
        //return 'true' immediately to indicate that the filter will not process the request
        //and let the request/response to continue through the filter chain:
        return true;
    }
ihsxin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring shiro整合
11-10
- Filter配置,将Shiro的过滤器链加入到Spring MVC的Filter链中,实现请求的拦截和处理。 通过学习和实践"spring-shiro整合",开发者不仅可以掌握Web安全框架的使用,还能深入理解Spring MVC和MyBatis的集成,提升...
spring shiro整合入门
08-03
Spring Shiro 整合入门教程 在Web应用开发中,安全是至关重要的一个环节。Spring框架作为Java领域最流行的框架之一,提供了丰富的功能,而Apache Shiro则是一款强大的安全管理框架,专注于身份验证、授权和会话管理...
Spring Shiro流程简析 登录请求处理
我家有猫已长成的博客
02-01 1058
Spring Shiro流程简析 登录请求处理 简介。
Spring Shiro基础组件 PrincipalCollection
我家有猫已长成的博客
02-03 1404
Spring Shiro基础组件 PrincipalCollection 简介。
Spring-Shiro介绍及其使用
FD_YOLO的博客
06-29 1065
Spring-Shiro介绍及其使用 What is Apache Shiro? Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是Shiro却不是这样子的。一个好的安全框架应该屏蔽复杂性,向外暴露简单、直观的API,来简化开发人员实现应用程序安全所花费的时间和精力。 Shiro能做什么呢? 验证用户身份 用户访问权限控制,比如:1、判断用户
Spring Shiro基础组件 MethodInterceptor
我家有猫已长成的博客
02-03 285
Spring Shiro基础组件 MethodInterceptor 简介。
源码分析之Spring Security 和 Shiro 请求处理流程
zollty的专栏
08-30 361
一、Spring Security登录执行流程 1、首先用ServletFilter拦截器(AbstractAuthenticationProcessingFilter) 对应UsernamePasswordAuthenticationFilter: 拦截到登录的请求(通常是form Login,比如 /login + POST ) 解析出登录信息principal和credentials(对应username和password),封装成Authenticat...
Spring Shiro基础组件 Permission
我家有猫已长成的博客
02-03 309
Spring Shiro基础组件 Permission 简介。
Spring Shiro基础组件 AuthenticationInfo
我家有猫已长成的博客
02-04 934
Spring Shiro基础组件 AuthenticationInfo 简介。
spring集成shiro详解
u010752885的博客
06-24 6772
shiro说明 springboot集成shiro 前后端分离项目集成shiro shiro集成其他认证方式
ShiroSpring Security对比
justlpf的专栏
11-19 5680
原文地址:https://blog.csdn.net/liyuejin/article/details/77838868
spring整合shiro
07-14
SpringShiro 是两个在Java Web开发中常用的框架Spring 是一个全面的后端开发框架,而 Apache Shiro 是一个安全认证框架Spring 整合 Shiro 主要是为了实现更高效、灵活的安全管理,包括身份验证...
spring shiro项目
01-02
Spring Shiro项目中,Shiro负责处理用户的身份验证过程。这包括了用户名和密码的校验,以及登录失败后的处理逻辑。Shiro提供了RememberMe服务,可以实现用户下次访问时的自动登录功能。 3. **授权(权限控制)**...
spring shiro cas
12-06
4. **Spring Shiro CAS集成**:在Spring Shiro CAS集成中,Spring作为整体应用架构的基石,Shiro处理应用内部的用户权限,而CAS则提供统一的登录验证。开发者通常会在Spring配置中引入Shiro的依赖,并配置Shiro ...
springboot中实现微信登录功能
zxxcccc11的博客
07-24 692
Controller层。
从根儿上学习spring 九 之run方法启动第四段(3)
最新发布
baidu_19338587的博客
08-04 548
一般情况下调用doGetBean方法获取的bean实例都是为了真实使用的,像我们上面举得A,B对象的例子获取的A,B对象当然都是为了真实使用的,但有种场景就只是为了做类型检查,比如有时候为了判断FactoryBean里的对象的类型就要先获取FactoryBean再通过getObject方法获取里面的真实对象来判断其类型,这时获取的FactoryBean实例可能就只是为了类型检查并不是为了真实使用。二:当bean是多例时,会有不同的创建bean的逻辑,下面我们按照代码顺序先分析单例的情况。
从根儿上学习spring 四 之run方法启动第一段
baidu_19338587的博客
08-04 439
由上图可以看到在getSpringFactoriesInstances方法里先获取了类加载器,然后使用SpringFactoriesLoader.loadFactoryNames(type, classLoader)方法是获取所有META-INF/spring.factories资源文件里的数据,META-INF/spring.factories文件里的内容大概是xxx=yyyy的形式,而这里的xxx就是type.getname()的值,yyyy就是获取到的names集合里的每个string值。
免费【2024】springboot 导师选择管理系统的管理设计与实现
weixin_53646065的博客
08-04 943
伴随着我国社会的发展,人民生活质量日益提高。于是对导师选择管理进行规范而严格是十分有必要的,所以许许多多的信息管理系统应运而生。此时单靠人力应对这些事务就显得有些力不从心了。所以本论文将设计一套导师选择管理系统,帮助学校进行导师选择管理等繁琐又重复的工作,提高工作效率的同时,也减轻了管理者的压力。
Spring集成Shiro:入门配置与功能详解
SecurityManager是Shiro的中枢,负责初始化和协调各个模块,但在实际使用过程中,开发者通常只需要关注Subject,因为它封装了与安全相关的操作,降低了复杂性。 总结来说,这篇文档是SpringShiro集成的入门教程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值