Shiro源码(一)

最新推荐文章于 2022-07-16 13:46:55 发布
最新推荐文章于 2022-07-16 13:46:55 发布
阅读量286 收藏
点赞数
原文链接:https://my.oschina.net/u/3529605/blog/1514637
版权

首先推荐两篇与Shiro相关的源码分析文章:

Spring DelegatingFilterProxy 源码分析

Shiro源码分析之ShiroFilterFactoryBean

本文是对上述第两篇文章的补充:

首先是对第二篇文章中ShiroFilterFactoryBean#createFilterChainManager 分析的代码中引用方法applyGlobalPropertiesIfNecessary(filter)的代码补充:

private void applyGlobalPropertiesIfNecessary(Filter filter) {
        applyLoginUrlIfNecessary(filter);
        applySuccessUrlIfNecessary(filter);
        applyUnauthorizedUrlIfNecessary(filter);
}

该方法内调用了三个方法,但这三个方法只是针对不同对象做了类似的事情而已。以第一个applyLoginUrlIfNecessary(filter)方法为例进行分析:

//请结合下边的XML配置来理解该代码
private void applyLoginUrlIfNecessary(Filter filter) {
    //获取XML中shiroFilter对应的bean中配置的loginUrl属性的值(XML中配置的值为"/login.html")
    String loginUrl = getLoginUrl();
    //此处注意,filter需要为AccessControlFilter或其子类型(AccessControlFilter的继承机构见下方)
    if (StringUtils.hasText(loginUrl) && (filter instanceof AccessControlFilter)) {
        AccessControlFilter acFilter = (AccessControlFilter) filter;
        //only apply the login url if they haven't explicitly configured one already:
        //获取Filter中配置的loginUrl属性的值(下方XML中配置的值也为"/login.html")
        String existingLoginUrl = acFilter.getLoginUrl();
        //如果该Filter中配置的loginUrl是默认值(/login.jsp)的话,就将它设置为XML中配置的值(以配置为主)
        if (AccessControlFilter.DEFAULT_LOGIN_URL.equals(existingLoginUrl)) {
                acFilter.setLoginUrl(loginUrl);
        }
    }
}

与上边代码相关的XML配置:

<!-- 基于Form表单的身份验证过滤器 -->
    <bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
        <property name="usernameParam" value="username"/>
        <property name="passwordParam" value="password"/>
        <property name="loginUrl" value="/login.html"/>
        <property name="successUrl" value="/"/>
    </bean>

<!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.html"/>
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /assets/** = anon
                /css/** = anon
                /img/** = anon
                /js/** = anon
                /logout = anon
            </value>
        </property>
    </bean>

AccessControlFilter继承结构图如下,从图中可以看到FormAuthenticationFilter是AccessControlFilter的子类:

160730_n9YS_3529605.png

从上边的分析可知,其实我们在XML中对formAuthenticationFilter中loginUrl的配置是多余的,完全可以省略,ShiroFilterFactoryBean会为我们做设置。

applySuccessUrlIfNecessary(filter)与applyUnauthorizedUrlIfNecessary(filter)两个类似,只是针对的对象不同而已,具体内容自行查看代码:

applySuccessUrlIfNecessary(filter):为AuthenticationFilter或其子类设置successUrl(默认路径为"/");

applyUnauthorizedUrlIfNecessary(filter):为AuthorizationFilter或其子类设置unauthorizedUrl(无默认路径)。

 

其次是对开头提到的两篇文章中的第一篇文章的补充:

这篇文章中只提到了Filter生命周期(init() -- doFilter() -- destory())中的init()生命周期,没有提到后两个,这里对doFilter()进行简单的解析(请重点关注代码中的注释),这里会涉及到web.xml中配置的Filter(代码中称为origChain,是这些Filter构成的FilterChain)与Shiro中的Filter执行的先后顺序。

先看一下DelegatingFilterProxy#doFilter()代码:

    @Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		// Lazily initialize the delegate if necessary.
		Filter delegateToUse = this.delegate;
		if (delegateToUse == null) {
			synchronized (this.delegateMonitor) {
				if (this.delegate == null) {
					WebApplicationContext wac = findWebApplicationContext();
					if (wac == null) {
						throw new IllegalStateException("No WebApplicationContext found: " +
								"no ContextLoaderListener or DispatcherServlet registered?");
					}
					this.delegate = initDelegate(wac);
				}
				delegateToUse = this.delegate;
			}
		}

		// Let the delegate perform the actual doFilter operation.
		invokeDelegate(delegateToUse, request, response, filterChain);
	}

    protected void invokeDelegate(
			Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		delegate.doFilter(request, response, filterChain);
	}

此处delegate.doFilter()会调用OncePerRequestFilter#doFilter() => AbstractShiroFilter#doFilterInternal() => AbstractShiroFilter#executeChain()

    protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            throws ServletException, IOException {

        Throwable t = null;

        try {
            //prepareServletRequest()方法会将HttpServletRequest封装成ShiroHttpServletRequest对象
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            //prepareServletResponse()同样:HttpServletResponse => ShiroHttpServletResponse
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

            final Subject subject = createSubject(request, response);

            //noinspection unchecked
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    executeChain(request, response, chain);
                    return null;
                }
            });
        } catch (ExecutionException ex) {
            t = ex.getCause();
        } catch (Throwable throwable) {
            t = throwable;
        }

        if (t != null) {
            if (t instanceof ServletException) {
                throw (ServletException) t;
            }
            if (t instanceof IOException) {
                throw (IOException) t;
            }
            //otherwise it's not one of the two exceptions expected by the filter method signature - wrap it in one:
            String msg = "Filtered request failed.";
            throw new ServletException(msg, t);
        }
    }

    protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain)
            throws IOException, ServletException {
        //这里返回的是ProxiedFilterChain实例
        FilterChain chain = getExecutionChain(request, response, origChain);
        //执行ProxiedFilterChain#doFilter()方法
        chain.doFilter(request, response);
    }
 
    protected FilterChain getExecutionChain(ServletRequest request, ServletResponse response, FilterChain origChain) {
        FilterChain chain = origChain;

        FilterChainResolver resolver = getFilterChainResolver();
        if (resolver == null) {
            return origChain;
        }

        //getChain()方法会根据当前请求路径查找对应的Shiro Filter,如果没有的话会返回origChain对象
        //如果有的话将origChain和Shiro Filter封装成ProxiedFilterChain对象
        FilterChain resolved = resolver.getChain(request, response, origChain);
        if (resolved != null) {
            chain = resolved;
        } else {
        }

        return chain;
    }

 

PathMatchingFilterChainResolver#getChain()

    public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
        FilterChainManager filterChainManager = getFilterChainManager();
        if (!filterChainManager.hasChains()) {
            return null;
        }

        //获取请求路径
        String requestURI = getPathWithinApplication(request);

        //the 'chain names' in this implementation are actually path patterns defined by the user.  We just use them
        //as the chain name for the FilterChainManager's requirements
        for (String pathPattern : filterChainManager.getChainNames()) {

            // If the path does match, then pass on to the subclass implementation for specific checks:
            //如果请求路径与FilterChain对应的路径匹配的话执行proxy
            if (pathMatches(pathPattern, requestURI)) {
                return filterChainManager.proxy(originalChain, pathPattern);
            }
        }

        return null;
    }

 

DefaultFilterChainManager#proxy()

    public FilterChain proxy(FilterChain original, String chainName) {
        NamedFilterList configured = getChain(chainName);
        if (configured == null) {
            String msg = "There is no configured chain under the name/key [" + chainName + "].";
            throw new IllegalArgumentException(msg);
        }
        return configured.proxy(original);
    }

 

SimpleNamedFilterList#proxy()

    public FilterChain proxy(FilterChain orig) {
        return new ProxiedFilterChain(orig, this);
    }

 

ProxiedFilterChain.java

    /**
     * ProxiedFilterChain的构造方法
     * @Param orig 与web.xml中配置的Filter相对应
     * @Param filters 与Shiro中的Filter相对应
     */
    public ProxiedFilterChain(FilterChain orig, List<Filter> filters) {
        if (orig == null) {
            throw new NullPointerException("original FilterChain cannot be null.");
        }
        this.orig = orig;
        this.filters = filters;
        //index默认为0,表示Shiro的FilterChain还为执行,这个值会随着请求路径中对应的Shiro Filter的执行递增,直到所有的Shiro Filter执行完毕
        this.index = 0;
    }

    //执行Filter的doFilter()方法
    public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
        //如果当前请求路径中对应的Filter为空或都已经被执行完毕的话就执行web.xml中配置的Filter
        if (this.filters == null || this.filters.size() == this.index) {
            //we've reached the end of the wrapped chain, so invoke the original one:
            this.orig.doFilter(request, response);
        } else {
            //执行Shiro Filter。注意doFilter的第三个参数是this,即ProxiedFilterChain的当前对象
            //这样当filters中的某个Filter的doFilter方法执行完毕以后就可以再调用PorxiedFilterChain#doFilter()了
            this.filters.get(this.index++).doFilter(request, response, this);
        }
    }

从上边的分析可知,当web.xml中也配置了Filter的情况下,Shiro会先执行当前请求路径所对应的Shiro Filter,当这些Shiro Filter都已经执行完毕后才会执行web.xml中配置的Filter

转载于:https://my.oschina.net/u/3529605/blog/1514637

chongzhuo9443
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro源码(SubjectFactory)
快乐的小码农
04-23 251
SubjectFactory是抽象出一层用于创建Subject实例的工厂类,其实在DefaultSecurityManager中就用到SubjectFactory创建Subject。
Shiro权限框架完整源码
06-30
这个源码很详细 可以配合之前我上传的shiro框架技术的pdf文档结合起来参考学习
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1880
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
Shiro笔记(二)----shiro源码与默认提供的示例
fendo
07-09 1886
一、源码下载 Shiro官网地址为:http://shiro.apache.org/ 点击Download进行下载页面 往下滑选择源码进行下载 下载下来之后解压结构如下 二、默认示例 在Sample目录下提供了一些示例 打开Eclipse选择导入Ma
SpringBoot(39) —— Shiro实现登陆拦截
Jzandth的博客
10-04 694
1.实现登陆拦截 实现登陆拦截其实就是使用shiro拦截没有经过认证的用户的请求,当用户在没有认证的情况下就请求资源时,就将其重定向到登陆认证页面,这一点和spring security一样 要实现认证+授权,本质上还是在使用过滤器/拦截器,而spring security只是把这些都封装好了,我们直接调用封装之后的方法就可以使用;而Shiro对于过滤器/拦截器的封装没有spring security那么彻底,所以我们需要在刚刚创建的config中的ShiroFilterFactoryBean中配置
shiro源码
01-14
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。Shiro的设计简单直观,使得开发者能够...无论是为了工作需要还是个人兴趣,研究Shiro源码都是一次有价值的学习旅程。
SpringMVC shiro源码
03-20
而 Apache Shiro 是一个安全框架,专注于身份验证、授权(权限控制)、会话管理和加密等核心安全功能。 Apache Shiro 的核心概念主要包括 Subject(主体)、Realms(认证和授权数据源)、Cryptography(加密)以及 ...
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
我的shiro源码.zip
10-09
在这个"我的shiro源码.zip"压缩包中,包含的是一个整合了Spring(SSM框架的一部分)、Spring MVC和Mybatis的Shiro源代码示例。这个示例项目对于学习如何在实际开发中应用Shiro非常有帮助,因为源代码中有详细的注解...
Spring Boot学习之Shiro源码
01-27
Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,...
跟我学shiro源代码
04-11
Apache Shiro 是一个框架,可用于身份验证和授权,是一个简单易学的框架,跟我学shiro详细讲解了shiro的开发,这里是该书的全部源代码
IDEA提示“There is no configured/running web-servers found! ”错误有效解决!
Hcy_code的博客
10-08 8762
IDEA提示“There is no configured/running web-servers found! ”错误有效解决! 1,先找到tomcat配置; 2,点击Deployment选项卡,在点右边的 “+号” 3,选择第一个; 4,选择 xxxx war explode 再点击ok, 其中 xxx是你无法启动的web项目。 ...
Shiro使用和原理分析---2
conansonic的博客
11-02 4376
Shiro使用和原理分析—2为了方便,这里继续引用一下applicationContext.xml中的配置文件 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManag
解决IDEA提示There is no configured/running web-servers found问题
li0509_的博客
03-10 1万+
解决IDEA提示There is no configured/running web-servers found! 问题: 在页面点击任一浏览器提示如下: There is no configured/running web-servers found! 解决: 1、file->project Structure 2、添加Artifact 3、add web application exploded ->From Modules 4、弹出框点击ok即添加成功 5、重新启动tomcat ,
IDEA报错:There is no configured/running web-servers found! Please, run any web-configuration and hit
热门推荐
YouMing_Li的博客
05-21 6万+
文章目录问题出现:问题解决方案:1、点击run-->Edit Configurations或者点击右上角的Add Configurations2、 IDEA配置Tomcat环境,选择Templates-->Tomcat Server-->Local,然后点击Configure选择本地安装了的Tomcat路径3、再次进入Edit Configurations,这次点击+号,表示配置当前项目的运行按钮,选择Tomcat Server --> Local4、改端口号5、将项目部署到Tomc
Shiro源码分析---FilterChain创建过程
云原生之家
09-10 4753
Shiro中,无论是认证还是权限控制都是通过过滤器来实现的,在应用中可能会配置很多个过滤器,但对于不同的访问请求所需要经过的过滤器肯定是不一样的,那么当发起一个请求时,到底会应用上哪些过滤器,对于我们使用Shiro就显示得格外重要;下面就来讲讲一个请求到底会经过哪些过滤器。 在Shiro中,确证一个请求会经过哪些过滤器是通过org.apache.shiro.web.filter....
Shiro学习和代码实战
weixin_43821679的博客
08-27 486
Shiro学习和代码实战1.Shrio简介2.Shrio+SpringBoot+Thymeleaf+mybatis完成用户登录验证和角色权限管理3.用户登录整体流程 1.Shrio简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。附shrio官网:shrio 主要功能 : 三个核心组件:Subject, SecurityManager 和
IDEA报错:There is no configured/running web-servers found! Please, run any web-configuration and
啊哈嗯嗯的博客
04-18 4万+
在浏览器运行Web项目时, IDEA报错:There is no configured/running web-servers found! Please, run any web-configuration and hit the Refresh button! 解决方案(个人汉化版): 第一步: 第二步: 第三步: 第四步: 第五步: 确定: 最后应用 确定 查看能否运行 由...
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3393
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
shiro springboot 源码
最新发布
07-13
### 回答1: ...总的来说,Shiro Spring Boot源码提供了一个方便快捷地在Spring Boot应用中集成Shiro的方式。通过深入研究和理解源码,我们可以更好地掌握Shiro的工作原理,并根据自己的需求进行扩展和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值