shiro过滤器源码分析

最新推荐文章于 2024-01-12 16:22:50 发布
最新推荐文章于 2024-01-12 16:22:50 发布
阅读量458 收藏
点赞数
分类专栏: Shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengqiuming/article/details/106407554
版权

一 配置

<!-- Shiro的Web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- 注入安全管理器-->
    <property name="securityManager" ref="securityManager"/>
    <!-- 设置登录URL-->
    <property name="loginUrl" value="/login"/>
    <property name="filters">
        <util:map>
            <!-- 注册authc和sysUser-->
            <entry key="authc" value-ref="formAuthenticationFilter"/>
            <entry key="sysUser" value-ref="sysUserFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /login = authc
            /logout = logout
            /authenticated = authc
            /** = user,sysUser
        </value>
    </property>
</bean>

二 filterChainDefinitions这个节点被注入的地方

ShiroFilterFactoryBean的setFilterChainDefinitions方法,会将过滤器链定义注入,代码如下:

public void setFilterChainDefinitions(String definitions) {
    Ini ini = new Ini();
    ini.load(definitions);
    Section section = ini.getSection("urls");
    if (CollectionUtils.isEmpty(section)) {
        section = ini.getSection("");
    }
    this.setFilterChainDefinitionMap(section);
}

当执行完上面这段代码后,section的值如下:

section = {Ini$Section@5444}  size = 4
"/login" -> "authc"
"/logout" -> "logout"
"/authenticated" -> "authc"
"/**" -> "user,sysUser"

同时,ShiroFilterFactoryBean的变量filterChainDefinitionMap变成下面的样子

filterChainDefinitionMap = {Ini$Section@5444}  size = 4
"/login" -> "authc"
"/logout" -> "logout"
"/authenticated" -> "authc"
"/**" -> "user,sysUser"

三 filters这个节点被注入的地方

public void setFilters(Map<String, Filter> filters) {
    this.filters = filters;
}

注入后的样子:

this = {ShiroFilterFactoryBean@5425}
securityManager = {DefaultWebSecurityManager@5428}
filters = {LinkedHashMap@5426}  size = 2
  "authc" -> {FormAuthenticationFilter@5436} "org.apache.shiro.web.filter.authc.FormAuthenticationFilter@3435b6d8"
  "sysUser" -> {SysUserFilter@5438} "com.github.cakin.shiro.chapter16.web.shiro.filter.SysUserFilter@13553828"

四 protected FilterChainManager createFilterChainManager()干完活后

manager = {DefaultFilterChainManager@5681}
filterConfig = null
filters = {LinkedHashMap@5682}  size = 12
  "anon" -> {AnonymousFilter@5698} "anon"
  "authc" -> {FormAuthenticationFilter@5751} "authc"
  "authcBasic" -> {BasicHttpAuthenticationFilter@5702} "authcBasic"
  "logout" -> {LogoutFilter@5704} "logout"
  "noSessionCreation" -> {NoSessionCreationFilter@5706} "noSessionCreation"
  "perms" -> {PermissionsAuthorizationFilter@5708} "perms"
  "port" -> {PortFilter@5710} "port"
  "rest" -> {HttpMethodPermissionFilter@5712} "rest"
  "roles" -> {RolesAuthorizationFilter@5714} "roles"
  "ssl" -> {SslFilter@5716} "ssl"
  "user" -> {UserFilter@5718} "user"
  "sysUser" -> {SysUserFilter@5862} "sysUser"
filterChains = {LinkedHashMap@5683}  size = 4
  "/login" -> {SimpleNamedFilterList@6101}  size = 1
  "/logout" -> {SimpleNamedFilterList@6103}  size = 1
  "/authenticated" -> {SimpleNamedFilterList@6105}  size = 1
  "/**" -> {SimpleNamedFilterList@6107}  size = 2

filters:默认过滤器加配置文件中注册的过滤器。

filterChains:在配置文件中的配置值。

五 AbstractShiroFilter分析

1 如果在executeChain这个函数中加断点,通过  http://localhost:8080/chapter16/ 进行访问,该方法跑完后,变量的情况如下:

chain = {ProxiedFilterChain@6960}
orig = {ServletHandler$CachedChain@6959} "spring"
filters = {SimpleNamedFilterList@6107}  size = 2
  0 = {UserFilter@5718} "user"
  1 = {SysUserFilter@5862} "sysUser"
index = 0

此时调用情况如下:

executeChain:449, AbstractShiroFilter (org.apache.shiro.web.servlet)
call:365, AbstractShiroFilter$1 (org.apache.shiro.web.servlet)
doCall:90, SubjectCallable (org.apache.shiro.subject.support)
call:83, SubjectCallable (org.apache.shiro.subject.support)
execute:383, DelegatingSubject (org.apache.shiro.subject.support)
doFilterInternal:362, AbstractShiroFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
invokeDelegate:344, DelegatingFilterProxy (org.springframework.web.filter)
doFilter:261, DelegatingFilterProxy (org.springframework.web.filter)

2 从上面分析来看,会走UserFilter过滤器和SysUserFilter过滤器

UserFilter会走下面函数

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    if (isLoginRequest(request, response)) {
        return true;
    } else {
        Subject subject = getSubject(request, response);
        // If principal is not null, then the user is known and should be allowed access.
        return subject.getPrincipal() != null;
    }
}

当走到isAccessAllowed这个函数时,它的调用栈如下:

isAccessAllowed:50, UserFilter (org.apache.shiro.web.filter.authc)
onPreHandle:162, AccessControlFilter (org.apache.shiro.web.filter)
isFilterChainContinued:203, PathMatchingFilter (org.apache.shiro.web.filter)
preHandle:178, PathMatchingFilter (org.apache.shiro.web.filter)
doFilterInternal:131, AdviceFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
doFilter:66, ProxiedFilterChain (org.apache.shiro.web.servlet)
executeChain:449, AbstractShiroFilter (org.apache.shiro.web.servlet)
call:365, AbstractShiroFilter$1 (org.apache.shiro.web.servlet)
doCall:90, SubjectCallable (org.apache.shiro.subject.support)
call:83, SubjectCallable (org.apache.shiro.subject.support)
execute:383, DelegatingSubject (org.apache.shiro.subject.support)
doFilterInternal:362, AbstractShiroFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
invokeDelegate:344, DelegatingFilterProxy (org.springframework.web.filter)
doFilter:261, DelegatingFilterProxy (org.springframework.web.filter)

SysUserFilter会走下面函数

protected boolean onPreHandle( ServletRequest request, ServletResponse response, Object mappedValue ) {
    // 获得用户信息
    String username = (String) SecurityUtils.getSubject().getPrincipal();
    // 设置用户信息到“user”属性中
    request.setAttribute(Constants.CURRENT_USER, userService.findByUsername(username));
    return true;
}

当走到onPreHandle这个函数时,它的调用栈如下:

onPreHandle:38, SysUserFilter (com.github.cakin.shiro.chapter16.web.shiro.filter)
isFilterChainContinued:203, PathMatchingFilter (org.apache.shiro.web.filter)
preHandle:178, PathMatchingFilter (org.apache.shiro.web.filter)
doFilterInternal:131, AdviceFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
doFilter:66, ProxiedFilterChain (org.apache.shiro.web.servlet)
executeChain:108, AdviceFilter (org.apache.shiro.web.servlet)
doFilterInternal:137, AdviceFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
doFilter:66, ProxiedFilterChain (org.apache.shiro.web.servlet)
executeChain:449, AbstractShiroFilter (org.apache.shiro.web.servlet)
call:365, AbstractShiroFilter$1 (org.apache.shiro.web.servlet)
doCall:90, SubjectCallable (org.apache.shiro.subject.support)
call:83, SubjectCallable (org.apache.shiro.subject.support)
execute:383, DelegatingSubject (org.apache.shiro.subject.support)
doFilterInternal:362, AbstractShiroFilter (org.apache.shiro.web.servlet)
doFilter:125, OncePerRequestFilter (org.apache.shiro.web.servlet)
invokeDelegate:344, DelegatingFilterProxy (org.springframework.web.filter)
doFilter:261, DelegatingFilterProxy (org.springframework.web.filter)

我们从调用栈可以分析出运行时刻的调用情况。

chengqiuming
关注
专栏目录
Shiro之FormAuthenticationFilter 源码分析
Zllvincent的博客
09-22 9021
一、简介 ssm application.xml 中配置相关认证过滤器后就会拦截web 请求并自动完成认证功能: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" value="/login" /> ...
Shiro1.2.2_源码(压缩包)
05-29
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
shiro源码分析之-shiro-web核心过滤器源码分析
chys-mm的博客
05-21 395
一、SpringShiroFilter 1.继承关系 SpringShiroFilter就是shiro-web框架的核心过滤器,继承关系如下: 类实体(一个内部类): private static final class SpringShiroFilter extends AbstractShiroFilter { protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resol
Java权限框架Shiro过滤连源码解读
weixin_34240657的博客
08-22 116
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro过滤器源码
张晨光老师的播客
02-16 940
过滤器 Shiro还提供了过滤器,可以配置我们的过滤规则,过滤规则对顺序是有要求的,短路优先原则,也就是前面的适配成功之后,就不会再适配后面的规则了。 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,直接查看DefaultFilter类。 路径如下:org.apache.shiro.web.filter.mgt public enum Defaul...
Shiro系列教程ShiroFilter源码分析
大新博客
04-28 2111
Shiro系列教程ShiroFilter源码分析 DefaultFilter //一个枚举类定义了shiro全部的默认拦截器 public enum DefaultFilter { anon(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authcBasic(BasicHttp
Shiro框架:Shiro内置过滤器源码解析
最新发布
博客园
01-12 1250
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
shirodemo:SpringBoot集成Shiro博客源码-源码
03-24
2. **安全配置**:创建一个`ShiroConfig`类,用来配置Shiro的相关设置,如 Realm(认证和授权信息的来源)、过滤器链定义、缓存管理等。 3. **自定义Realm**:根据实际需求实现`AuthorizingRealm`,重写`...
SpringBoot-Shiro整合权限管理源码
04-24
- **过滤器链**:配置了各种Shiro过滤器,如`FormAuthenticationFilter`(表单登录)和`PermissionsAuthorizationFilter`(权限控制)。 - **控制器**:`UserController.java`等展示了如何在Controller层调用Shiro的...
shiro学习源码与资料
02-24
2. **Filter配置**:Shiro通过Filter链进行Web安全控制,你可以看到如何配置和使用如`AuthcFilter`(认证过滤器)、`RolesAuthorizationFilter`(角色授权过滤器)等。 3. ** Realm实现**:Realm是Shiro与应用中...
shiro源码-创建过滤链
caiqianzhigai0859的博客
09-27 414
接上篇,上篇说到AbstractShiroFilter中的doFilterInternal主要做了创建subject和过滤链,上篇已经说了创建subject的过程,这篇说说创建过滤链的过程。 主要是executeChain这个方法了,看名字是执行链,实际上是执行servlet的过滤链来生成shiro的过滤链,来看一下它的具体实现。进到具体的实现里可以发现,只有两行代码,得到过滤链,执行过滤链...
Shiro学习】ShiroFilter源码分析
fxkcsdn的博客
10-14 290
通过上篇对FilterChainManager的学习,可以知道,FilterChainManager是ShiroFilter的基础,包括维护filter列表、请求路径到过滤器链的映射和代理原过滤器链,从而让shiro过滤器先执行。 ShiroFilter使用FilterChainManager代理原过滤器ShiroFiltershiro的入口点,当请求路径到达ShiroFilter...
shiro的拦截器执行过程
csdn_life18的博客
11-24 505
找到当前的request对应的过滤器链 AbstractShiroFilter.executeChain AbstractShiroFilter.getExecutionChain DefaultFilterChainManager.proxy NamedFilterList.proxy SimpleNamedFilterList.proxy ProxiedFilterChain.doFilter AbstractShiroFilter.getExecutionChain AbstractShiroFilt
shiro setFilterChainDefinitionMap 多个路径不生效问题
热门推荐
woaiqianzhige的博客
11-30 1万+
shiro setFilterChainDefinitionMap 多个路径不生效问题 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put("/cms/admin/**", "perms[admin]"); map.put("/cms/appeal/**", "perms[appeal]");
Shiro:中的filterChainDefinitions详解。
孤芳不自赏
07-30 3713
shiro 中的filterChainDefinitions详解
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1948
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
shiro源码阅读记录
yaoct的博客
04-21 187
1.创建org.apache.shiro.session.Sesseion shiro默认调用原生HttpSession来记录登录信息。在将HttpSession封装为org.apache.shiro.session.Sesseion。 调用链为: 可见在创建Subject之前先得到HttpSession并封装为org.apache.shiro.session.Sesseion。 ...
Spring + Shiro 项目 + HttpSessionListener 【调用springService问题】&【Session失效问题】...
weixin_34320159的博客
06-01 468
功能描述: 当用户退出(主动)或者关闭浏览器(session超时)的时候,利用本次登录Ip更新上次登录IP。有人可能要问,你在用户登录的时候记录不就行了。可是我有两个字段,一个为本次登录IP,另外一个为上次登录IP。当用户退出的时候,本次登录IP也就成了上次登录IP。 首先解决的问题是:在Listener里面访问Service。 因为是基于注解开发,将Listener扫描和将Servi...
shiro过滤器如何拦截url
04-22
Shiro过滤器可以通过配置拦截指定的URL路径,当请求的URL与配置的路径匹配时,Shiro会调用相应的过滤器进行处理。常用的过滤器包括:anon(匿名访问)、authc(身份认证)、roles(角色授权)和perms(许可授权)。在Shiro中,可以通过编写自定义的过滤器来扩展Shiro的功能。 具体来说,可以通过如下配置在Shiro的ini文件中设置需要拦截的URL路径及相关的过滤器: [urls] # 匿名访问的URL /login.jsp = anon # 需要身份认证的URL /admin/** = authc # 需要特定角色授权的URL /users/** = roles[user] # 需要特定许可授权的URL /orders/** = perms[order:read] 在上述配置中,/login.jsp是不需要身份认证即可访问的匿名URL,/admin/**是需要身份认证才可以访问的URL,/users/**是需要具有user角色才能访问的URL,/orders/**是需要具有order:read许可才能访问的URL。 通过这样的配置,Shiro可以自动拦截相应的URL路径,并根据配置的过滤器进行处理,从而实现对URL的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值