shiro中的过滤器
参考https://blog.csdn.net/zkcJava/article/details/120292476
一、类继承结构
当我们需要使用 spring 中的过滤器时,通常通过继承 filter 接口或者使用@Webfilter注解实现。shiro中过滤器实现也是通过实现filter接口实现的,shiro中整个filter类结构如下图所示,最顶层的AbstractFilter 实现了filter接口。
二、过滤器分类
在DefaultFilter 枚举类中列出了shiro中常用的filter
三、shiro过滤器分析
1.OncePerRequestFilter
这个类重写了dofilter方法,用来保证每个请求只会被一个filter过滤一次,不会重复过滤
public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
String alreadyFilteredAttributeName = this.getAlreadyFilteredAttributeName();
if (request.getAttribute(alreadyFilteredAttributeName) != null) {
log.trace("Filter '{}' already executed. Proceeding without invoking this filter.", this.getName());
filterChain.doFilter(request, response);
} else if (this.isEnabled(request, response) && !this.shouldNotFilter(request)) {
log.trace("Filter '{}' not yet executed. Executing now.", this.getName());
request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);
try {
this.doFilterInternal(request, response, filterChain);
} finally {
request.removeAttribute(alreadyFilteredAttributeName);
}
} else {
log.debug("Filter '{}' is not enabled for the current request. Proceeding without invoking this filter.", this.getName());
filterChain.doFilter(request, response);
}
}
如果当前filter没有执行过过滤,默认会进入第二个if(那两个条件默认是成立的)
(1)为request设置一个已经执行过滤器的属性名称在request中,默认为TRUE;
(2)调用doFilterInternal方法,执行真正的过滤器处理逻辑
(3)这个过滤器处理完后,将过滤器的属性名称从request中移出。这样如果程序执行到第2步,过滤又被调用了,它将会走到第一个if中,直接略过这个过滤器的处理,这样就保证了,每个过滤器在处理一个请求的时候只会被执行一次
总结:OncePerRequestFilter提供了一个实际处理过滤业务的方法doFilterInternal,并且保证每个请求只会被该过滤器过滤一次。
2.AdviceFilter
public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
Exception exception = null;
try {
boolean continueChain = this.preHandle(request, response);
if (log.isTraceEnabled()) {
log.trace("Invoked preHandle method. Continuing chain?: [" + continueChain + "]");
}
if (continueChain) {
this.executeChain(request, response, chain);
}
this.postHandle(request, response);
if (log.isTraceEnabled()) {
log.trace("Successfully invoked postHandle method");
}
} catch (Exception var9) {
exception = var9;
} finally {
this.cleanup(request, response, exception);
}
}
相当于aop的环绕通知,重写doFilterInternal
方法,添加preHandle和postHandle方法,可以进行前置处理和后置处理
3.PathMatchingFilter
PathMatchingFilter对配置了url请求拦截的地址进行过滤器过滤,对没有配置拦截的url请求直接放行,不进行拦截。如果请求需要过滤,则处理过滤的逻辑由子类实现onPreHandle完成
这个类重写了父类的prehandle方法,用来对特定的url进行过滤,如果用户的请求与配置中拦截的请求匹配,则会调用isFilterChainContinued方法进行下一步处理。如果拦截器是开启的,则调用方法onPreHandle进行拦截处理.
onPreHandle方法默认返回true,也不对请求进行拦截处理,所以如果需要有自定义处理拦截的逻辑,需要由子类覆盖这个方法来完成
4.AccessControlFilter
AccessControlFilter中的onPreHandle处理真正的拦截逻辑,isAccessAllowed方法验证用户是否登录,onAccessDenied处理用户没登录后的逻辑,isAccessAllowed和onAccessDenied方法的实现在子类。如果用户已登录,那么过滤器将直接放行,如果用户没有登录,那么再由其子类中的onAccessDenied方法处理后续逻辑
5.AuthenticationFilter
AuthenticationFilter实现了isAccessAllowed方法,如果用户已登录,那么过滤器将直接放行,如果用户没有登录,那么再由其子类中的onAccessDenied方法处理后续逻辑
6.AuthenticatingFilter
AuthenticatingFilter提供了一些如登录,和重定向跳转的方法,并没有onAccessDenied方法的实现,那么这个实现就只能在最后一个子类FormAuthenticationFilter中完成了
7.FormAuthenticationFilter
该类实现了onAccessDenied方法,用来处理没有登录的逻辑,首先判断是否为登录请求,如果为登录请求,通过isLoginSubmission判断请求方式,如果是get说明用户直接通过浏览器访问登录页面,返回false,直接放行;如果用户是一个http的post请求,那么就执行executeLogin(request, response)方法做登录操作。
总结
首先过滤器会调用doFilter(在OncePerRequestFilter中)方法,然后再调用doFilterInternal方法(在AdviceFilter中),然后再调用preHandle、executeChain、postHandle(在AdviceFilter中)这3个方法,实际拦截业务在preHandle方法中,然后再调用onPreHandle(在AccessControlFilter中)方法,然后再调用isAccessAllowed(在AuthenticationFilter中)方法和onAccessDenied(在FormAuthenticationFilter中)方法。