shiro源码分析之-shiro-web核心过滤器源码分析

最新推荐文章于 2024-04-21 23:14:09 发布
最新推荐文章于 2024-04-21 23:14:09 发布
阅读量386 收藏 1
点赞数 1
文章标签: java shiro spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccgg55/article/details/106254935
版权

一、SpringShiroFilter

1.继承关系

SpringShiroFilter就是shiro-web框架的核心过滤器,继承关系如下:

SpringShiroFilter

类实体(一个内部类):

private static final class SpringShiroFilter extends AbstractShiroFilter {
    protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
        if (webSecurityManager == null) {
            throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
        } else {
            this.setSecurityManager(webSecurityManager);
            if (resolver != null) {
                this.setFilterChainResolver(resolver);
            }

        }
    }
}

二、核心过滤器实例化过程源码分析

1.配置类中配置ShiroFilterFactoryBean的@Bean对象

@Bean(name = "shiroFilter")
   public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
      ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();  
      shiroFilterFactoryBean.setSecurityManager(securityManager);  

      shiroFilterFactoryBean.setLoginUrl("/pub/need_login");          
      shiroFilterFactoryBean.setUnauthorizedUrl("/pub/no_permission");   

      Map<String, Filter> filterMap = new LinkedHashMap<>();
      filterMap.put("authc", new JWTFilter());
      shiroFilterFactoryBean.setFilters(filterMap);

      Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

      // 这里配置路径是不带server.servlet.context-path: /admin的
      filterChainDefinitionMap.put("/auth/pub/**", "anon");
      filterChainDefinitionMap.put("/swagger-ui.html", "anon");
      filterChainDefinitionMap.put("/webjars/**", "anon");
      filterChainDefinitionMap.put("/v2/**", "anon");
      filterChainDefinitionMap.put("/swagger-resources/**", "anon");
      filterChainDefinitionMap.put("/**", "authc");              // 最后添加防止漏配
      shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
      return shiroFilterFactoryBean;
   }

这是实例化核心过滤器的入口,ShiroFilterFactoryBean是一个实现了FactoryBean接口的类,可以看出会通过getObject()方法获取核心过滤器的对象。

2.ShiroFilterFactoryBean源码分析

可以看到ShiroFilterFactoryBean实现了FactoryBean和BeanPostProcessor接口,是一个生产bean的类。

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor {
    private static final transient Logger log = LoggerFactory.getLogger(ShiroFilterFactoryBean.class);
    // 重要的安全管理器,服务shiro的整个生命周期
    private SecurityManager securityManager;
    // 保存自定义的Filter
    private Map<String, Filter> filters = new LinkedHashMap();
    // 保存配置的路径和处理filter之间的关系,注意是有序的
    private Map<String, String> filterChainDefinitionMap = new LinkedHashMap();
    // 登录接口路径
    private String loginUrl;
    // 登录成功后跳转到的路径
    private String successUrl;
    // 无权限跳转的路径
    private String unauthorizedUrl;
    // shiro核心过滤器实例引用
    private AbstractShiroFilter instance;

    public ShiroFilterFactoryBean() {
    }
    
    // ......
    // 获取shiro核心过滤器对象,被springIOC调用
    public Object getObject() throws Exception {
        if (this.instance == null) {
            this.instance = this.createInstance();
        }

        return this.instance;
    }

    // FactoryBean返回的实例类型
    public Class getObjectType() {
        return ShiroFilterFactoryBean.SpringShiroFilter.class;
    }

    // FactoryBean返回的实例是否单例,单例
    public boolean isSingleton() {
        return true;
    }
    // ......
    // 
    public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {
        if (bean instanceof Filter) {
            log.debug("Found filter chain candidate filter '{}'", beanName);
            Filter filter = (Filter)bean;
            this.applyGlobalPropertiesIfNecessary(filter);
            this.getFilters().put(beanName, filter);
        } else {
            log.trace("Ignoring non-Filter bean '{}'", beanName);
        }

        return bean;
    }

    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
        return bean;
    }
    // ......
}

既然是一个FactoryBean就从getObject()方法下手一步步的分析吧

public Object getObject() throws Exception {
    if (this.instance == null) {
        this.instance = this.createInstance();// 向下继续
    }

    return this.instance;
}



protected AbstractShiroFilter createInstance() throws Exception {
    log.debug("Creating Shiro Filter instance.");
    // 获取配置的核心SecurityManager
    SecurityManager securityManager = this.getSecurityManager();
    String msg;
    if (securityManager == null) {
        msg = "SecurityManager property must be set.";
        throw new BeanInitializationException(msg);
    } else if (!(securityManager instanceof WebSecurityManager)) {
        msg = "The security manager does not implement the WebSecurityManager interface.";
        throw new BeanInitializationException(msg);
    } else {
        // 【2.1】创建过滤器链管理器
        FilterChainManager manager = this.createFilterChainManager();
        // 【2.2】创建一个默认的路径匹配过滤器链解析器
        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
        // 这里就是简单替换默认构造创建的FilterChainManager,使用【2.1】加工好的
        chainResolver.setFilterChainManager(manager);
        // 【2.3】使用过滤器链管理器、解析器创建shiro核心过滤器对象返回
        return new ShiroFilterFactoryBean.SpringShiroFilter((WebSecurityManager)securityManager, chainResolver);
    }
}
2.1.创建过滤器链管理器
protected FilterChainManager createFilterChainManager() {
    // 【2.1.1】创建默认的过滤器链管理器对象,这里添加了一些默认的过滤器
    DefaultFilterChainManager manager = new DefaultFilterChainManager();
    Map<String, Filter> defaultFilters = manager.getFilters();
    Iterator var3 = defaultFilters.values().iterator();

    // 【2.1.2】遍历默认的过滤器进行需要性的全局那三个路径的配置
    while(var3.hasNext()) {
        Filter filter = (Filter)var3.next();
        this.applyGlobalPropertiesIfNecessary(filter);
    }

    // 遍历自定义过滤器进行需要性的全局那三个路径的配置,配置过滤器别名,
    // 并覆盖性的添加到默认的过滤器链管理器中
    Map<String, Filter> filters = this.getFilters();
    String name;
    Filter filter;
    if (!CollectionUtils.isEmpty(filters)) {
        for(Iterator var10 = filters.entrySet().iterator(); var10.hasNext(); manager.addFilter(name, filter, false)) {
            Entry<String, Filter> entry = (Entry)var10.next();
            name = (String)entry.getKey();
            filter = (Filter)entry.getValue();
            this.applyGlobalPropertiesIfNecessary(filter);
            if (filter instanceof Nameable) {
                ((Nameable)filter).setName(name);
            }
        }
    }

    // 【2.1.3】根据配置的路径和处理filter之间的关系map进行路径与filter之间的关联处理
    Map<String, String> chains = this.getFilterChainDefinitionMap();
    if (!CollectionUtils.isEmpty(chains)) {
        Iterator var12 = chains.entrySet().iterator();

        while(var12.hasNext()) {
            Entry<String, String> entry = (Entry)var12.next();
            String url = (String)entry.getKey();
            String chainDefinition = (String)entry.getValue();
            // 配置filter负责处理的路径,重点,重点,重点......
            manager.createChain(url, chainDefinition);
        }
    }

    return manager;
}
2.1.1.添加默认的过滤器(12个)
public DefaultFilterChainManager() {
    this.addDefaultFilters(false);
}

protected void addDefaultFilters(boolean init) {
    // DefaultFilter是一个枚举类,里面就保存了那12个过滤器,进去看一下
    DefaultFilter[] var2 = DefaultFilter.values();
    int var3 = var2.length;

    // 循环遍历将12个过滤器添加到默认的过滤器链管理器中
    for(int var4 = 0; var4 < var3; ++var4) {
        DefaultFilter defaultFilter = var2[var4];
        this.addFilter(defaultFilter.name(), defaultFilter.newInstance(), init, false);
    }

}

public enum DefaultFilter {
    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    authcBearer(BearerHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);
2.1.2 默认过滤器全局需要性配置三路径
private void applyGlobalPropertiesIfNecessary(Filter filter) {
    // 如果需要配置登录路径
    this.applyLoginUrlIfNecessary(filter);
    // 如果需要配置登录成功跳转路径
    this.applySuccessUrlIfNecessary(filter);
    // 如果需要配置无访问权限跳转的路径
    this.applyUnauthorizedUrlIfNecessary(filter);
}

// 如果需要配置登录路径
private void applyLoginUrlIfNecessary(Filter filter) {
    String loginUrl = this.getLoginUrl();
    // 如果是AccessControlFilter过滤器
    if (StringUtils.hasText(loginUrl) && filter instanceof AccessControlFilter) {
        AccessControlFilter acFilter = (AccessControlFilter)filter;
        String existingLoginUrl = acFilter.getLoginUrl();
        // 如果过滤器没有自定义配置这个路径就配置全局路径
        if ("/login.jsp".equals(existingLoginUrl)) {
            acFilter.setLoginUrl(loginUrl);
        }
    }

}

// 如果需要配置登录成功跳转路径
private void applySuccessUrlIfNecessary(Filter filter) {
    String successUrl = this.getSuccessUrl();
    // 如果是AuthenticationFilter过滤器
    if (StringUtils.hasText(successUrl) && filter instanceof AuthenticationFilter) {
        AuthenticationFilter authcFilter = (AuthenticationFilter)filter;
        String existingSuccessUrl = authcFilter.getSuccessUrl();
        // 如果过滤器没有自定义配置这个路径就配置全局路径
        if ("/".equals(existingSuccessUrl)) {
            authcFilter.setSuccessUrl(successUrl);
        }
    }

}

// 如果需要配置无访问权限跳转的路径
private void applyUnauthorizedUrlIfNecessary(Filter filter) {
    String unauthorizedUrl = this.getUnauthorizedUrl();
    // 如果是AuthenticationFilter过滤器
    if (StringUtils.hasText(unauthorizedUrl) && filter instanceof AuthorizationFilter) {
        AuthorizationFilter authzFilter = (AuthorizationFilter)filter;
        String existingUnauthorizedUrl = authzFilter.getUnauthorizedUrl();
        // 如果过滤器没有自定义配置这个路径就配置全局路径
        if (existingUnauthorizedUrl == null) {
            authzFilter.setUnauthorizedUrl(unauthorizedUrl);
        }
    }

}
2.1.3 路径和处理filter之间关系处理

先说结论,路径和 filter配置中,一个路径可以配置多个filter,配置方式如下:

filterChainDefinitionMap.put("/auth/pub/**", "authc,perms[amdin,guest],roles[amdin]");

—————————————————————分割线——————————————————

// chainName就是配置的url
// chainDefinition就是filter名和规则,map的值
public void createChain(String chainName, String chainDefinition) {
    if (!StringUtils.hasText(chainName)) {
        throw new NullPointerException("chainName cannot be null or empty.");
    } else if (!StringUtils.hasText(chainDefinition)) {
        throw new NullPointerException("chainDefinition cannot be null or empty.");
    } else {
        if (log.isDebugEnabled()) {
            log.debug("Creating chain [" + chainName + "] from String definition [" + chainDefinition + "]");
        }
		
        // 处理map的值,比如chainDefinition=“perms[admin,role],kk[dd,ee],auth”
        // 处理完后为["perms[admin,role]","kk[dd,ee]",auth]
        String[] filterTokens = this.splitChainDefinition(chainDefinition);
        String[] var4 = filterTokens;
        int var5 = filterTokens.length;

        // 循环遍历处理过的map值的数组
        for(int var6 = 0; var6 < var5; ++var6) {
            String token = var4[var6];
            // 比如token=“perms[dd,ee,ff]”,处理完后为["perms","dd,ee,ff"]
            String[] nameConfigPair = this.toNameConfigPair(token);
            // 建立关系
            this.addToChain(chainName, nameConfigPair[0], nameConfigPair[1]);
        }

    }
}

// chainName就是url
// filterName就是过滤器名
// chainSpecificFilterConfig就是规则
public void addToChain(String chainName, String filterName, String chainSpecificFilterConfig) {
    if (!StringUtils.hasText(chainName)) {
        throw new IllegalArgumentException("chainName cannot be null or empty.");
    } else {
        Filter filter = this.getFilter(filterName);
        if (filter == null) {
            throw new IllegalArgumentException("There is no filter with name '" + filterName + "' to apply to chain [" + chainName + "] in the pool of available Filters.  Ensure a filter with that name/path has first been registered with the addFilter method(s).");
        } else {
            // 重点,重点,重点----这里就配置此filter负责处理的路径和处理规则
            this.applyChainConfig(chainName, filter, chainSpecificFilterConfig);
            // 这里可以看出一个路径可以配置多个filter
            NamedFilterList chain = this.ensureChain(chainName);
            chain.add(filter);
        }
    }
}
2.2. 创建一个默认的路径匹配过滤器链解析器
public PathMatchingFilterChainResolver() {
    this.filterChainManager = new DefaultFilterChainManager();
}

跟【2.1.1.添加默认的过滤器(12个)】逻辑一样了

public DefaultFilterChainManager() {
    this.addDefaultFilters(false);
}
2.3. 使用过滤器链管理器、解析器创建shiro核心过滤器对象返回

有了SecurityManager和FilterChainResolver,shiro的核心过滤器就可以在web中逍遥称霸了

private static final class SpringShiroFilter extends AbstractShiroFilter {
    protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
        if (webSecurityManager == null) {
            throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
        } else {
            // 设置SecurityManager
            this.setSecurityManager(webSecurityManager);
            if (resolver != null) {
                // 设置FilterChainResolver
                this.setFilterChainResolver(resolver);
            }

        }
    }
}

三、shiro核心过滤器调用过程分析

SpringShiroFilter是shiro的核心过滤器,继承了AbstractShiroFilter并简单的设置了两个属性的值**(WebSecurityManager,FilterChainResolver),所以直接看AbstractShiroFilterdoFilterInternal**方法

/*AbstractShiroFilter*/

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain) throws ServletException, IOException {
    Throwable t = null;

    try {
        // 将HttpServletRequest包装成shiro的HttpServletRequest
        final ServletRequest request = this.prepareServletRequest(servletRequest, servletResponse, chain);
        // 将HttpServletResponse包装成shiro的HttpServletResponse
        final ServletResponse response = this.prepareServletResponse(request, servletResponse, chain);
        // 【1】重点,重点,重点------创建用户主体Subject
        Subject subject = this.createSubject(request, response);
        // 异步执行shiro维护的过滤器链
        subject.execute(new Callable() {
            public Object call() throws Exception {
                // 【2】更新session最后访问时间
                AbstractShiroFilter.this.updateSessionLastAccessTime(request, response);
                // 【3】执行shiro过滤器链
                AbstractShiroFilter.this.executeChain(request, response, chain);
                return null;
            }
        });
    } catch (ExecutionException var8) {
        t = var8.getCause();
    } catch (Throwable var9) {
        t = var9;
    }

    // 执行shiro维护的过滤器链之前异常检验
    if (t != null) {
        if (t instanceof ServletException) {
            throw (ServletException)t;
        } else if (t instanceof IOException) {
            throw (IOException)t;
        } else {
            String msg = "Filtered request failed.";
            throw new ServletException(msg, t);
        }
    }
}

1.创建用户主体Subject

这是一个重点

protected WebSubject createSubject(ServletRequest request, ServletResponse response) {
    // 根据传入的SecurityManager和request、response创建一个WebSubject
    return (new Builder(this.getSecurityManager(), request, response)).buildWebSubject();
}

/**WebSubject**/

public Builder(SecurityManager securityManager, ServletRequest request, ServletResponse response) {
    // 【1.1】调用父构造器,创建SubjectContext
    super(securityManager);
    if (request == null) {
        throw new IllegalArgumentException("ServletRequest argument cannot be null.");
    } else if (response == null) {
        throw new IllegalArgumentException("ServletResponse argument cannot be null.");
    } else {
        this.setRequest(request);
        this.setResponse(response);
    }
}
1.1.在Builder中创建SubjectContext
/** org.apache.shiro.subject.Builder **/

public Builder(SecurityManager securityManager) {
    if (securityManager == null) {
        throw new NullPointerException("SecurityManager method argument cannot be null.");
    } else {
        this.securityManager = securityManager;
        // 创建SubjectContext,这里需要重点注意一下,是调用WebSubject中的方法,不是Subject中的方法
        this.subjectContext = this.newSubjectContextInstance();
        if (this.subjectContext == null) {
            throw new IllegalStateException("Subject instance returned from 'newSubjectContextInstance' cannot be null.");
        } else {
            this.subjectContext.setSecurityManager(securityManager);
        }
    }
}

这里需要重点注意一下,是调用WebSubject中的方法,不是Subject中的方法

/*org.apache.shiro.web.subject.WebSubject*/

protected SubjectContext newSubjectContextInstance() {
    return new DefaultWebSubjectContext();
}

看一看DefaultWebSubjectContext是个啥,就是定义了一堆静态属性,它的父类还定义了一堆静态属性

public class DefaultWebSubjectContext extends DefaultSubjectContext implements WebSubjectContext {
    private static final long serialVersionUID = 8188555355305827739L;
    private static final String SERVLET_REQUEST = DefaultWebSubjectContext.class.getName() + ".SERVLET_REQUEST";
    private static final String SERVLET_RESPONSE = DefaultWebSubjectContext.class.getName() + ".SERVLET_RESPONSE";

    public DefaultWebSubjectContext() {
    }
    
    // ......
    
}


public class DefaultSubjectContext extends MapContext implements SubjectContext {
    private static final String SECURITY_MANAGER = DefaultSubjectContext.class.getName() + ".SECURITY_MANAGER";
    private static final String SESSION_ID = DefaultSubjectContext.class.getName() + ".SESSION_ID";
    private static final String AUTHENTICATION_TOKEN = DefaultSubjectContext.class.getName() + ".AUTHENTICATION_TOKEN";
    private static final String AUTHENTICATION_INFO = DefaultSubjectContext.class.getName() + ".AUTHENTICATION_INFO";
    private static final String SUBJECT = DefaultSubjectContext.class.getName() + ".SUBJECT";
    private static final String PRINCIPALS = DefaultSubjectContext.class.getName() + ".PRINCIPALS";
    private static final String SESSION = DefaultSubjectContext.class.getName() + ".SESSION";
    private static final String AUTHENTICATED = DefaultSubjectContext.class.getName() + ".AUTHENTICATED";
    private static final String HOST = DefaultSubjectContext.class.getName() + ".HOST";
    public static final String SESSION_CREATION_ENABLED = DefaultSubjectContext.class.getName() + ".SESSION_CREATION_ENABLED";
    public static final String PRINCIPALS_SESSION_KEY = DefaultSubjectContext.class.getName() + "_PRINCIPALS_SESSION_KEY";
    public static final String AUTHENTICATED_SESSION_KEY = DefaultSubjectContext.class.getName() + "_AUTHENTICATED_SESSION_KEY";
    private static final transient Logger log = LoggerFactory.getLogger(DefaultSubjectContext.class);

    public DefaultSubjectContext() {
    }
    
    // ......
    
}
1.2.通过Builder创建WebSubject
public WebSubject buildWebSubject() {
    // 调用父类的构建方法,看下面
    Subject subject = super.buildSubject();
    if (!(subject instanceof WebSubject)) {
        String msg = "Subject implementation returned from the SecurityManager was not a " + WebSubject.class.getName() + " implementation.  Please ensure a Web-enabled SecurityManager has been configured and made available to this builder.";
        throw new IllegalStateException(msg);
    } else {
        return (WebSubject)subject;
    }
}

public Subject buildSubject() {
    // 可以看出使用我们传入的SecurityManager实例创建的Subject
    return this.securityManager.createSubject(this.subjectContext);
}

这样就要看DefaultWebSecurityManager的createSubject方法啦,但是它没有这个方法,那就去看它的父类DefaultSecurityManager

public Subject createSubject(SubjectContext subjectContext) {
    // 这里注意是调用DefaultWebSecurityManager中的copy方法返回的是一个DefaultWebSubjectContext
    SubjectContext context = this.copy(subjectContext);
    context = this.ensureSecurityManager(context);
    context = this.resolveSession(context);
    context = this.resolvePrincipals(context);
    // 使用SubjectFactory创建Subject,DefaultSubjectFactory是默认的实现类,可以配合别的实现类
    Subject subject = this.doCreateSubject(context);
    // 将Subject保存到SubjectDAO中,DefaultSubjectDAO是默认的实现类,可以配合别的实现类
    this.save(subject);
    return subject;
}
1.2.1. 使用工厂创建Subject
protected Subject doCreateSubject(SubjectContext context) {
    return this.getSubjectFactory().createSubject(context);
}

这里需要注意,上面获取的SubjectFactory的真实对象其实是在new DefaultWebSecurityManager时创建的默认***DefaultWebSubjectFactory***,返回的Subject是一个WebDelegatingSubject

/* org.apache.shiro.mgt.DefaultWebSubjectFactory */

 public Subject createSubject(SubjectContext context) {
        boolean isNotBasedOnWebSubject = context.getSubject() != null && !(context.getSubject() instanceof WebSubject);
     	// 校验是否为web环境
        if (context instanceof WebSubjectContext && !isNotBasedOnWebSubject) {
            WebSubjectContext wsc = (WebSubjectContext)context;
            SecurityManager securityManager = wsc.resolveSecurityManager();
            // 解析session
            Session session = wsc.resolveSession();
            boolean sessionEnabled = wsc.isSessionCreationEnabled();
            PrincipalCollection principals = wsc.resolvePrincipals();
            boolean authenticated = wsc.resolveAuthenticated();
            String host = wsc.resolveHost();
            ServletRequest request = wsc.resolveServletRequest();
            ServletResponse response = wsc.resolveServletResponse();
            return new WebDelegatingSubject(principals, authenticated, host, session, sessionEnabled, request, response, securityManager);
        } else {
            return super.createSubject(context);
        }
    }

2.更新session最后访问时间

session的生成去看本文件所在目录下的相关文章

protected void updateSessionLastAccessTime(ServletRequest request, ServletResponse response) {
    // 判断是不是web容器的HttpSession,因为shiro框架定义了自己的session,为了解耦web容器
    if (!this.isHttpSessions()) {
        Subject subject = SecurityUtils.getSubject();
        if (subject != null) {
            // 从用户主体中获取session()
            Session session = subject.getSession(false);
            if (session != null) {
                try {
                    // 如果session不为null,就在这里更新时间
                    session.touch();
                } catch (Throwable var6) {
                    log.error("session.touch() method invocation has failed.  Unable to update the corresponding session's last access time based on the incoming request.", var6);
                }
            }
        }
    }

}

3.执行shiro过滤器链

/*AbstractShiroFilter*/

protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain) throws IOException, ServletException {
    	// 【3.1】根据请求的路径获取过滤器链
        FilterChain chain = this.getExecutionChain(request, response, origChain);
    	// 【3.2】执行已经处理好的shiro维护的过滤器链
        chain.doFilter(request, response);
    }
3.1根据请求的路径获取过滤器链
/*AbstractShiroFilter*/

protected FilterChain getExecutionChain(ServletRequest request, ServletResponse response, FilterChain origChain) {
    FilterChain chain = origChain;
    // 这里获取到的FilterChainResolver为PathMatchingFilterChainResolver实例
    FilterChainResolver resolver = this.getFilterChainResolver();
    if (resolver == null) {
        log.debug("No FilterChainResolver configured.  Returning original FilterChain.");
        return origChain;
    } else {
        // 【3.1.1】走这路,FilterChainResolver根据请求路径获取过滤器链
        FilterChain resolved = resolver.getChain(request, response, origChain);
        if (resolved != null) {
            log.trace("Resolved a configured FilterChain for the current request.");
            chain = resolved;
        } else {
            log.trace("No FilterChain configured for the current request.  Using the default.");
        }

        return chain;
    }
}
3.1.1.FilterChainResolver根据请求路径获取过滤器链
/*PathMatchingFilterChainResolver*/

public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
    // 获取解析器维护的FilterChainManager,这里是【2.1】步创建的DefaultFilterChainManager实例
    FilterChainManager filterChainManager = this.getFilterChainManager();
    if (!filterChainManager.hasChains()) {
        return null;
    } else {
        // 获取请求url(已经去除了contextPath部分),代码很简单,这里不深入
        String requestURI = this.getPathWithinApplication(request);
        if (requestURI != null && !"/".equals(requestURI) && requestURI.endsWith("/")) {
            requestURI = requestURI.substring(0, requestURI.length() - 1);
        }
		// 获取所有的ChainName(就是配置的那些ANT路径)
        Iterator var6 = filterChainManager.getChainNames().iterator();

        String pathPattern;
        // 循环遍历直到找到第一个匹配的结果
        do {
            if (!var6.hasNext()) {
                return null;
            }

            pathPattern = (String)var6.next();
            if (pathPattern != null && !"/".equals(pathPattern) && pathPattern.endsWith("/")) {
                pathPattern = pathPattern.substring(0, pathPattern.length() - 1);
            }
            // 使用AntPathMatcher进行请求url与配置的url进行匹配
        } while(!this.pathMatches(pathPattern, requestURI));

        if (log.isTraceEnabled()) {
            log.trace("Matched path pattern [" + pathPattern + "] for requestURI [" + Encode.forHtml(requestURI) + "].  Utilizing corresponding filter chain...");
        }
		// 重点,重点,重点,看下面------从FilterChainManager中获取过滤器链
        return filterChainManager.proxy(originalChain, pathPattern);
    }
}

/*DefaultFilterChainManager*/

public FilterChain proxy(FilterChain original, String chainName) {
    // 获取url对应的过滤器集合,这个集合是在核心过滤器初始化时处理好的
    NamedFilterList configured = this.getChain(chainName);
    if (configured == null) {
        String msg = "There is no configured chain under the name/key [" + chainName + "].";
        throw new IllegalArgumentException(msg);
    } else {
        // 获取最终的过滤器链,看下面
        return configured.proxy(original);
    }
}

/*SimpleNamedFilterList*/
public FilterChain proxy(FilterChain orig) {
    	// 返回的过滤器链,里面还维护了一个原始链(就是顶级web容器过滤器链),这样shiro内部过滤器处理完后
    	// 还能够交由web过滤器链处理
        return new ProxiedFilterChain(orig, this);
    }
3.2.执行已经处理好的shiro维护的过滤器链

ProxiedFilterChain是我们最终返回的处理指定url的过滤器链

/*ProxiedFilterChain*/

public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
    // 如果过滤器不为null且没有全部执行完
    if (this.filters != null && this.filters.size() != this.index) {
        if (log.isTraceEnabled()) {
            log.trace("Invoking wrapped filter at index [" + this.index + "]");
        }
		// 类似递归的过滤链调用
        ((Filter)this.filters.get(this.index++)).doFilter(request, response, this);
    } else {
        if (log.isTraceEnabled()) {
            log.trace("Invoking original filter chain.");
        }

        // shiro过滤器链都调用完没有return或者shiro过滤器链为null则会继续调用web容器顶级的过滤器链
        this.orig.doFilter(request, response);
    }

}

到此shiro核心过滤器的调用过程就结束了。
如果错误之处欢迎指正!!!

chys-mm
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro源码解析-doFilter
咸鱼老罗的博客
01-12 1289
shiro应该算的上java中最流行的权限框架了,使用的多了,便想着研究一下源码,看它究竟怎么运行的。 doFilter是shiro对于每个请求都会走的一个效验过程。它的流程如下 从DelegatingFilterProxy开始,执行dofilter(),这里是一个代理模式,执行的是WebApplicationContext中的filter执行的dofilter方法,这个filter就是shiro...
SSM整合Shiro使用详解
web13116256725的博客
08-25 254
MyRealm以上就是Shiro实际使用的案例,将的比较初略,但是关于Shiro核心东西都在里面了。大家可以去我的github上下载源码,只要按照我给的数据库就没有问题,项目跑起来之后试着改下里面的东西可以加深对Shiro的理解。。。
简单版 快速掌握实践 SpringBoot继承Shiro框架详解!
SYJ的博客
08-06 6636
ApacheShiro 是一个Java的安全(权限)框架。.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。.Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。
Shiro安全框架】核心概念、基本配置、整合Web项目
最新发布
m0_74187147的博客
04-21 1162
问题1:什么是shiro?它有什么用?​ 答:shiro是apache公司推出的一款安全框架,主要在项目中进行权限控制。 shiro中的几个核心概念: 1、SecurityManager:安全管理器 作用:用于执行认证(登录)、授权(获得用户的访问权限) 2、Subject:主体 作用:它代表当前用户 3、Realm:领域对象 作用:它用于封装认证、授权的方法
shiro-Realm解读
baidu_23241875的博客
05-04 291
realm作为shiro框架的三个核心之一,是一个安全数据源,用于获取用户的身份认证、授权等信息,shiro框架不了解用户的身份认证策略、权限管理方式等是如何实现的、存储在哪里,由用户自己去完成这个部分。 shiro-realm继承关系图 Realm 是一个接口,包含三个方法。总的来说,一个realm至少需要包含这个三个方法: String getName() 获取唯一的realm名称 boo...
ShiroWeb过滤器
berry sky
11-30 593
&lt;!-- ShiroWeb过滤器 --&gt; &lt;bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"&gt; &lt;property name="securityManager" ref="securityManager"/&gt; &am
Shiro【授权、整合Spirng、Shiro过滤器
qq_53058639的博客
01-13 326
一般地,我们的权限都是从数据库中查询的,并不是根据我们的配置文件来进行配对的。因此我们需要自定义reaml,让reaml去对比的是数据库查询出来的权限shiro-realm.ini配置文件:将自定义的reaml信息注入到安全管理器中[main]#自定义 realm#将realm设置到securityManager,相当 于spring中注入我们上次已经使用过了一个自定义reaml,当时候仅仅重写了doGetAuthenticationInfo()方法,
shiro过滤器和权限控制
weixin_44044929的博客
07-21 2547
shiro过滤器配置、权限控制
Shiro框架:ShiroFilterFactoryBean过滤器源码解析
博客园
01-08 1778
Shiro框架通过添加Servlet Filter的方式,提供了登录验证(Authentication)、访问控制(Authorization)以及Session管理等功能,极大的简化了Spring项目中登录鉴权模块的开发工作。下面通过ShiroFilterFactoryBean作为切入点,详细分析Shiro自定义拦截器SpringShiroFilter的处理流程;并通过源码解析,跟踪SpringShiroFilter是如何添加到Servlet Filter中的。
Shiro学习之过滤器详解
zkcJava的博客
09-14 4061
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
Shiro过滤器Filter的实战使用
a1498665771的博客
02-23 1426
Shiro过滤器Filter的实战使用
Web核心技术之Filter过滤器
helpluozhao123的博客
01-21 4538
1,Filter 1.1 Filter概述 Filter 表示过滤器,是 JavaWeb 三大组件(Servlet、Filter、Listener)之一。Servlet 我们之前都已经学习过了,Filter和Listener 我们今天都会进行学习。 过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。 如下图所示,浏览器可以访问服务器上的所有的资源(servlet、jsp、html等) 而在访问到这些资源之前可以使过滤器拦截来下,也就是说在访问资源之前会先经过 Filter,如下图 拦截器拦截到
shiro过滤器源码分析
实践求真知
05-28 450
一配置 <!-- ShiroWeb过滤器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 注入安全管理器--> <property name="securityManager" ref="securityManager"/> <!-- 设置登录URL--> <prope.
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1884
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
chainName cannot be null or empty.
罗罗的1024
10-10 1275
錯誤:Caused by: java.lang.NullPointerException: chainName cannot be null or empty. 解決方案:chainName为功能表中的每一个功能的url,shiro要求不能为空
Shiro源码-创建subject
caiqianzhigai0859的博客
09-26 1144
用了shiro很长时间了,但是一直也没有深入了解,最近再一次使用到的时候,决定深入了解一下它的源码。主要是网上的资料太乱了,每次查的东西都是乱七八糟的,还是要自己去了解,去解决问题。申明一下,这篇博文主要是为了自己作记录,不是为了让谁看懂,所以会比较乱。另外,我使用的场景是web,所以我了解到的是webSubject。 shiro本质上就是过滤器,所以要理解他的请求过程,按照过滤器的请求过程就行...
最新版Shiro-SpringBoot项目实战笔记
有空就记录一下
06-03 1129
shiro的配置文件是提供权限数据的,以.ini结尾。 shiro.int:
Shiro源码学习(三)常用Filter源码继承关系
finalcola的博客
03-29 1986
Filter类别Shiro为我们提供了默认的几种拦截器,并且也支持我们通过继承来编写我们自定义的拦截器。Shiro中默认的拦截器有:其含义如下:anon:例子/admins/**=anon 没有参数,表示可以匿名使用。 authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数 roles:例子/admins/user/**=roles[admin],参数可以...
Apache Shiro入门教程:过滤器详解与核心概念
ShiroWebSupport模块提供了适应Web环境的特性,如过滤器,它们可以方便地集成到Servlet容器中,以实现Web应用的安全控制。 扩展性是Shiro的一大特点,除了基本功能,Shiro还支持缓存(Caching),提高应用性能;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值