shiro过滤器源码分析

最新推荐文章于 2024-01-12 16:22:50 发布
最新推荐文章于 2024-01-12 16:22:50 发布
阅读量460 收藏
点赞数
分类专栏: Shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengqiuming/article/details/106407554
版权

一 配置

<!-- Shiro的Web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- 注入安全管理器-->
    <property name="securityManager" ref="securityManager"/>
    <!-- 设置登录URL-->
    <property name="loginUrl" value="/login"/>
    <property name="filters">
        <util:map>
            <!-- 注册authc和sysUser-->
            <entry key="authc" value-ref="formAuthenticationFilter"/>
            <entry key="sysUser" value-ref="sysUserFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /login = authc
            /logout = logout
            /authenticated = authc
            /** = user,sysUser
        </value>
    </property>
</bean>

二 filterChainDefinitions这个节点被注入的地方

ShiroFilterFactoryBean的setFilterChainDefinitions方法,会将过滤器链定义注入,代码如下:

public void setFilterChainDefinitions(String definitions) {
    Ini ini = new Ini();
    ini.load(definitions);
    Section section = ini.getSection("urls");
    if (CollectionUtils.isEmpty(section)) {
        section = ini.getSection("");
    }
    this.setFilterChainDefinitionMap(section);
}

当执行完上面这段代码后,section的值如下:

section = {Ini$Section@5444}  size = 4
"/login" -> "authc"
"/logout" -> "logout"
"/authenticated" -> "authc"
"/**" -> "user,sysUser"

同时,ShiroFilterFactoryBean的变量filterChainDefinitionMap变成下面的样子

filterChainDefinitionMap = {Ini$Section@5444}  size = 4
"/login" -> "authc"
"/logout" -> "logout"
"/authenticated" -> "authc"
"/**" -> "user,sysUser"

三 filters这个节点被注入的地方

public void setFilters(Map<String, Filter> filters) {
    this.filters = filters;
}

注入后的样子:

this = {ShiroFilterFactoryBean@5425}
securityManager = {DefaultWebSecurityManager@5428}
filters = {LinkedHashMap@5426}  size = 2
  "authc" -> {FormAuthenticationFilter@5436} "org.apache.shiro.web.filter.authc.FormAuthenticationFilter@3435b6d8"
  "sysUser" -> {SysUserFilter@5438} "com.github.cakin.shiro.chapter16.web.shiro.filter.SysUserFilter@13553828"

四 protected FilterChainManager createFilterChainManager()干完活后

manager = {DefaultFilterChainManager@5681}
filterConfig = null
filters = {LinkedHashMap@5682}  size = 12
  "anon" -> {AnonymousFilter@5698} "anon"
  "authc" -> {FormAuthenticationFilter@5751} "authc"
  "authcBasic" -> {BasicHttpAuthenticationFilter@5702} "authcBasic"
  "logout" -> {LogoutFilter@5704} "logout"
  "noSessionCreation" -> {NoSessionCreationFilter@5706} "noSessionCreation"
  "perms" -> {PermissionsAuthorizationFilter@5708} "perms"
  "port" -> {PortFilter@5710} "port"
  "rest" -> {HttpMethodPermissionFilter@5712} "rest"
  "roles" -> {RolesAuthorizationFilter@5714} "roles"
  "ssl" -> {SslFilter@5716} "ssl"
  "user" -> {UserFilter@5718} "user"
  "sysUser" -> {SysUserFilter@5862} "sysUser"
filterChains = {LinkedHashMap@5683}  size = 4
  "/login" -> {SimpleNamedFilterList@6101}  size = 1
  "/logout" -> {SimpleNamedFilterList@6103}  size = 1
  "/authenticated" -> {SimpleNamedFilterList@6105}  size = 1
  "/**" -> {SimpleNamedFilterList@6107}  size = 2

filters:默认过滤器加配置文件中注册的过滤器。

filterChains:在配置文件中的配置值。

五 AbstractShiroFilter分析

1 如果在executeChain这个函数中加断点,通过  http://localhost:8080/chapter16/ 进行访问,该方法跑完后,变量的情况如下:

chain = {ProxiedFilterChain@6960}
orig = {ServletHandler$CachedChain@6959} "spring"
filters = {SimpleNamedFilterList@6107}  size = 2
  0 = {UserFilter@5718} "user"
  1 = {SysUserFilter@5862} "sysUser"
index = 0

此时调用情况如下:

executeChain:449, AbstractShiroFilter (org.apache.shiro.web.servlet)
call:365, AbstractShiroFilter$1 (org.apache.shiro.web.servlet)
doCall:90, SubjectCallable (org.apache.shiro.subject.support)
call:83, SubjectCallable (org.apache.shiro.subject.support)
execute:383, DelegatingSubject (org.apache.shiro.subject.support)
doFilterInternal:362, AbstractShiroFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
invokeDelegate:344, DelegatingFilterProxy (org.springframework.web.filter)
doFilter:261, DelegatingFilterProxy (org.springframework.web.filter)

2 从上面分析来看,会走UserFilter过滤器和SysUserFilter过滤器

UserFilter会走下面函数

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    if (isLoginRequest(request, response)) {
        return true;
    } else {
        Subject subject = getSubject(request, response);
        // If principal is not null, then the user is known and should be allowed access.
        return subject.getPrincipal() != null;
    }
}

当走到isAccessAllowed这个函数时,它的调用栈如下:

isAccessAllowed:50, UserFilter (org.apache.shiro.web.filter.authc)
onPreHandle:162, AccessControlFilter (org.apache.shiro.web.filter)
isFilterChainContinued:203, PathMatchingFilter (org.apache.shiro.web.filter)
preHandle:178, PathMatchingFilter (org.apache.shiro.web.filter)
doFilterInternal:131, AdviceFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
doFilter:66, ProxiedFilterChain (org.apache.shiro.web.servlet)
executeChain:449, AbstractShiroFilter (org.apache.shiro.web.servlet)
call:365, AbstractShiroFilter$1 (org.apache.shiro.web.servlet)
doCall:90, SubjectCallable (org.apache.shiro.subject.support)
call:83, SubjectCallable (org.apache.shiro.subject.support)
execute:383, DelegatingSubject (org.apache.shiro.subject.support)
doFilterInternal:362, AbstractShiroFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
invokeDelegate:344, DelegatingFilterProxy (org.springframework.web.filter)
doFilter:261, DelegatingFilterProxy (org.springframework.web.filter)

SysUserFilter会走下面函数

protected boolean onPreHandle( ServletRequest request, ServletResponse response, Object mappedValue ) {
    // 获得用户信息
    String username = (String) SecurityUtils.getSubject().getPrincipal();
    // 设置用户信息到“user”属性中
    request.setAttribute(Constants.CURRENT_USER, userService.findByUsername(username));
    return true;
}

当走到onPreHandle这个函数时,它的调用栈如下:

onPreHandle:38, SysUserFilter (com.github.cakin.shiro.chapter16.web.shiro.filter)
isFilterChainContinued:203, PathMatchingFilter (org.apache.shiro.web.filter)
preHandle:178, PathMatchingFilter (org.apache.shiro.web.filter)
doFilterInternal:131, AdviceFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
doFilter:66, ProxiedFilterChain (org.apache.shiro.web.servlet)
executeChain:108, AdviceFilter (org.apache.shiro.web.servlet)
doFilterInternal:137, AdviceFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
doFilter:66, ProxiedFilterChain (org.apache.shiro.web.servlet)
executeChain:449, AbstractShiroFilter (org.apache.shiro.web.servlet)
call:365, AbstractShiroFilter$1 (org.apache.shiro.web.servlet)
doCall:90, SubjectCallable (org.apache.shiro.subject.support)
call:83, SubjectCallable (org.apache.shiro.subject.support)
execute:383, DelegatingSubject (org.apache.shiro.subject.support)
doFilterInternal:362, AbstractShiroFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
invokeDelegate:344, DelegatingFilterProxy (org.springframework.web.filter)
doFilter:261, DelegatingFilterProxy (org.springframework.web.filter)

我们从调用栈可以分析出运行时刻的调用情况。

chengqiuming
关注
专栏目录
Shiro之FormAuthenticationFilter 源码分析
Zllvincent的博客
09-22 9022
一、简介 ssm application.xml 中配置相关认证过滤器后就会拦截web 请求并自动完成认证功能: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" value="/login" /> ...
shiro源码分析之-shiro-web核心过滤器源码分析
chys-mm的博客
05-21 395
一、SpringShiroFilter 1.继承关系 SpringShiroFilter就是shiro-web框架的核心过滤器,继承关系如下: 类实体(一个内部类): private static final class SpringShiroFilter extends AbstractShiroFilter { protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resol
Java权限框架Shiro过滤连源码解读
weixin_34240657的博客
08-22 117
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro过滤器源码
张晨光老师的播客
02-16 940
过滤器 Shiro还提供了过滤器,可以配置我们的过滤规则,过滤规则对顺序是有要求的,短路优先原则,也就是前面的适配成功之后,就不会再适配后面的规则了。 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,直接查看DefaultFilter类。 路径如下:org.apache.shiro.web.filter.mgt public enum Defaul...
Shiro系列教程ShiroFilter源码分析
大新博客
04-28 2111
Shiro系列教程ShiroFilter源码分析 DefaultFilter //一个枚举类定义了shiro全部的默认拦截器 public enum DefaultFilter { anon(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authcBasic(BasicHttp
Shiro框架:Shiro内置过滤器源码解析
最新发布
博客园
01-12 1255
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
Shiro1.2.2_源码(压缩包)
05-29
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
shirodemo:SpringBoot集成Shiro博客源码-源码
03-24
2. **安全配置**:创建一个`ShiroConfig`类,用来配置Shiro的相关设置,如 Realm(认证和授权信息的来源)、过滤器链定义、缓存管理等。 3. **自定义Realm**:根据实际需求实现`AuthorizingRealm`,重写`...
SpringBoot-Shiro整合权限管理源码
04-24
- **过滤器链**:配置了各种Shiro过滤器,如`FormAuthenticationFilter`(表单登录)和`PermissionsAuthorizationFilter`(权限控制)。 - **控制器**:`UserController.java`等展示了如何在Controller层调用Shiro的...
shiro学习源码与资料
02-24
2. **Filter配置**:Shiro通过Filter链进行Web安全控制,你可以看到如何配置和使用如`AuthcFilter`(认证过滤器)、`RolesAuthorizationFilter`(角色授权过滤器)等。 3. ** Realm实现**:Realm是Shiro与应用中...
shiro源码-创建过滤链
caiqianzhigai0859的博客
09-27 414
接上篇,上篇说到AbstractShiroFilter中的doFilterInternal主要做了创建subject和过滤链,上篇已经说了创建subject的过程,这篇说说创建过滤链的过程。 主要是executeChain这个方法了,看名字是执行链,实际上是执行servlet的过滤链来生成shiro的过滤链,来看一下它的具体实现。进到具体的实现里可以发现,只有两行代码,得到过滤链,执行过滤链...
Shiro学习】ShiroFilter源码分析
fxkcsdn的博客
10-14 290
通过上篇对FilterChainManager的学习,可以知道,FilterChainManager是ShiroFilter的基础,包括维护filter列表、请求路径到过滤器链的映射和代理原过滤器链,从而让shiro过滤器先执行。 ShiroFilter使用FilterChainManager代理原过滤器ShiroFiltershiro的入口点,当请求路径到达ShiroFilter...
shiro的拦截器执行过程
csdn_life18的博客
11-24 505
找到当前的request对应的过滤器链 AbstractShiroFilter.executeChain AbstractShiroFilter.getExecutionChain DefaultFilterChainManager.proxy NamedFilterList.proxy SimpleNamedFilterList.proxy ProxiedFilterChain.doFilter AbstractShiroFilter.getExecutionChain AbstractShiroFilt
shiro setFilterChainDefinitionMap 多个路径不生效问题
woaiqianzhige的博客
11-30 1万+
shiro setFilterChainDefinitionMap 多个路径不生效问题 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put("/cms/admin/**", "perms[admin]"); map.put("/cms/appeal/**", "perms[appeal]");
Shiro:中的filterChainDefinitions详解。
孤芳不自赏
07-30 3722
shiro 中的filterChainDefinitions详解
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1949
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
FilterChainDefinitionMap_参数说明
热门推荐
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
springboot2+Shiro+Oltu+JSP全注解搭建基于OAuth2授权码模式授权平台示例
sJzao的博客
02-20 4881
OAuth2简单介绍 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;OAuth 2 是一个授权框架,它通过一些协议约定,可以使第三方应用程序对服务器的资源、用户信息有一定的访问权限。OAuth 2 通过将用户身份验证委派给用户帐户的服务方以及通过服务方提供方授权给客户端,从而客户端可以访问用户帐户信息。具体的介绍参考OAuth2官网,协议规范可参考http://tools.ietf.org/ht...
shiro过滤器如何拦截url
04-22
Shiro过滤器可以通过配置拦截指定的URL路径,当请求的URL与配置的路径匹配时,Shiro会调用相应的过滤器进行处理。常用的过滤器包括:anon(匿名访问)、authc(身份认证)、roles(角色授权)和perms(许可授权)。在Shiro中,可以通过编写自定义的过滤器来扩展Shiro的功能。 具体来说,可以通过如下配置在Shiro的ini文件中设置需要拦截的URL路径及相关的过滤器: [urls] # 匿名访问的URL /login.jsp = anon # 需要身份认证的URL /admin/** = authc # 需要特定角色授权的URL /users/** = roles[user] # 需要特定许可授权的URL /orders/** = perms[order:read] 在上述配置中,/login.jsp是不需要身份认证即可访问的匿名URL,/admin/**是需要身份认证才可以访问的URL,/users/**是需要具有user角色才能访问的URL,/orders/**是需要具有order:read许可才能访问的URL。 通过这样的配置,Shiro可以自动拦截相应的URL路径,并根据配置的过滤器进行处理,从而实现对URL的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值