【Shiro】小读Shiro Filter

最新推荐文章于 2021-09-18 14:05:50 发布
最新推荐文章于 2021-09-18 14:05:50 发布
阅读量246 收藏
点赞数
原文链接:http://www.cnblogs.com/nick-huang/p/9509004.html
版权

类继承结构图

看不明白此图不要紧,后面慢慢提到此图的类:
463931-20180823002339819-868305686.png

AbstractFilter,抽象过滤器

它实现Filter、继承ServletContextSupport。
它主要实现了init(FilterConfig filterConfig)方法,此方法主要设置了本类的FilterConfig filterConfigServletContextSupportServletContext servletContext

ServletContextSupport,ServletContext的基础支持类

此类主要提供设置参数、获取ServletContext、操作Attribute等方法。
463931-20180820232721510-1881180728.png

NameableFilter,命名过滤器

此类主要用于给Fitler命名,如果没有设置命名,则用FilterName。

OncePerRequestFilter,单次请求过滤器

设置Filter是否生效

此类有一个属性boolean enabled = true,还暴露了方法访问、操作此属性,此属性用于控制此Filter是否生效:
463931-20180820233506604-1369809755.png

一个请求只执行一次此Filter

我们看doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)方法。
此方法的alreadyFilteredAttributeName变量根据Filter名称组成,可唯一标识一个Filter,可见getAlreadyFilteredAttributeName方法。
通过Attribute标识此请求是否已执行,通过request.getAttribute方法判断是否存在该属性,最后在处理完过滤器后,finally块通过request.removeAttribute方法删除该属性。
向后暴露doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)抽象方法。

AbstractShiroFilter,抽象Shiro过滤器

此类的入口为doFilterInternal方法。

ShiroHttpServletRequest,Shiro的包装请求类

doFilterInternal方法,可以看到prepareServletRequestprepareServletResponse方法,一路跟踪进去可见ShiroHttpServletRequest,它继承HttpServletRequestWrapper,这是典型的装饰器模式。

ShiroFilter,Shiro过滤器

此类只有一个方法,就是init方法。
此方法的调用关系如下:
463931-20180823002736556-773110658.png

另一个类继承结构图

463931-20180823002935269-1092421935.png

AdviceFilter,类似切面的过滤器

看此类,会发现与AOP切面的风格很相似,相当于执行过滤器链的切面。主要逻辑体现在doFilterInternal方法中。

  • preHandle,前置处理,如果返回true,说明执行过滤器链,否则不执行,中断执行链。从此变量命名就可知:boolean continueChain = preHandle(request, response);
  • postHandle,后置处理。执行过滤器链后,会执行此方法
  • afterCompletion,完成时处理。在执行完过滤器后,无论正常返回或抛出异常,都会执行此方法,主要用于资源回收。(注:此方法的调用在cleanup方法中)

PathMatchingFilter

属性pathMatcher,是Ant风格的路径匹配器:PatternMatcher pathMatcher = new AntPathMatcher(),比如?表示一个字符,*表示0个或多个字符,**表示0个或多个目录。
方法pathsMatch,会获取请求的URI,然后使用路径匹配器去判断是否匹配。
方法preHandle是前置处理的方法,会先判断appliedPaths是否有配置的路径通配符,如果没有,则通过;然后遍历appliedPaths调用pathsMatch匹配当前请求路径。如果匹配,调用isFilterChainContinued方法。
方法isFilterChainContinued,如果此Filter有效的,则调onPreHandle决定是否继续Filter链;如此Filter无效,返回true,继续Filter链。
方法onPreHandle,默认返回true,即继续Filter链。

AccessControlFilter,访问控制过滤器

方法onPreHandle,调用isAccessAllowed方法和onAccessDenied方法确定是否继续执行。返回true则继续执行filter链,返回false则不执行。
方法isAccessAllowed,是否允许访问
方法onAccessDenied,当被方法isAccessAllowed拒绝访问时,调用此方法,此方法为处理措施,处理完毕,返回true则继续执行filter链,返回false则不执行。处理措施,比如尝试登陆。

AuthenticationFilter,认证过滤器

方法isAccessAllowed,判断是否已认证
跳转到成功页面或拦截前想前往的页面

AuthenticatingFilter,验证过滤器

方法isAccessAllowed,用AuthenticationFilter的认证判断,如果未认证,判断此请求是否登录请求、允许的请求

BasicHttpAuthenticationFilter,基础认证过滤器

方法isAccessAllowed,首先判断请求URL的请求方法是否需要认证,然后再调用父类的isAccessAllowed判断是否认证

FormAuthenticationFilter,表单认证过滤器

方法onAccessDenied,首先判断是否登录请求,如果为否,则保存请求并跳到登录页。如有为是,则判断是否POST HTTP请求,如果是则执行登录

转载于:https://www.cnblogs.com/nick-huang/p/9509004.html

dongjizheng9270
关注
Shiro和SpringMVC整合时候出现没有找到ShiroFilter
y736456的博客
04-21 806
先检查SpringMVC.xml中的Filter和Spring-shiro.xml文件中的id是否一样. 出现没有找到这个bean,是因为在初始化web.xml文件的时候Filter的加载优先于Servlet.所以没有找到 可以再web.xml中配置以下,初始化的时候就一起加载了 <param-name>contextConfigLocation</param-name> <param-value>classpath:spring-shiro.xml,classp.
shiro框架解读
点滴空迹的博客
07-17 344
shiro框架解读 最近看了一下shiro源码,觉得shiro做有关权限系统挺方便的,很多的东西它都是默认了的,根据实际情况重写一些方法,便可应用到实际开发中。扩展性非常强,灵活性高,是一个不错的优秀开源框架,通过阅读源码,运用到一些设计模式,还是挺值得去学习的。 shiro框架图 Subject 主体:可以是当前的用户,可以是第三方服务。 Security Manager 安全管理器:负责协调各个组件的。 Authenticator:登录认证器,登录时用到。 Authorizer: ...
shrio安全框架 “shrio”怎么读
qq_42339350的博客
09-18 2073
Apache - Shiro 安全框架。 shrio意为日语堡垒。 お城 おしろ(假名注音)o shi ro(罗马注音)哦 西 佬 读作“西老”
一篇文章让你读懂什么是shiro框架
yuemmm的博客
03-02 1292
文章目录一篇文章让你读懂什么是shiro框架1、什么是权限管理2、什么是身份认证3、用户名和密码身份认证的流程4、关键对象5、授权流程是什么6、基本的权限模型7、通用的权限模型7.1、表里面到底都有哪些字段8、目前市场上通用的权限管理框架9、shiro是什么10、shiro能干什么11、shiro的整体架构是什么11.1、shiro中常见的名词解释12、shiro的第一个helloworld程序1...
20分钟读懂shiro
qq_614617158的博客
07-05 267
  
Shiro 框架 BasicHttpAuthenticationFilter 认证流程
saienenen的博客
12-11 6440
BasicHttpAuthenticationFilter 继承关系 从继承关系可以看到 BasicHttpAuthenticationFilter 继承自抽象类 OncePerRequestFilter。 OncePerRequestFilter 的字面意思是:Once Per Request,即每个请求只执行一次。 分析 1,OncePerRequestFilter OncePerRequestFilter 部分源码: public final void doFilter(ServletRe
shiro小案例
12-18
在这个"shiro小案例"中,我们将探讨如何结合Spring(SSM中的S)、Spring MVC和MyBatis(SSM中的M)来实现一个用户登录验证系统。 首先,我们需要理解Shiro的核心概念: 1. **认证**:确认用户身份的过程,通常涉及...
shiroFilter权限验证
09-24
首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将...
SSM和Shiro小项目
01-11
- **Filter机制**:Shiro通过Filter链实现对Web请求的拦截,进行认证和授权检查,确保只有合法用户才能访问受保护的资源。 在项目中,开发者可以通过阅读文档和源代码,了解SSM和Shiro的集成过程,学习如何配置它们...
shiro1.7.1.zip
04-12
2. **shiro-web-1.7.1.jar**:这个模块是针对Web环境设计的,提供了Web相关的安全控制,如Filter配置、HTTP请求的拦截处理等,方便在Web应用中集成Shiro。 3. **shiro-lang-1.7.1.jar**:Shiro的语言支持模块,可能...
shiro框架基础--shiro框架概念及原理
方圆几里的博客
06-27 1万+
shiro的简介shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。二 shiro的架构图 authenticator:认证器,主体进行认证最终通过authenticator进行authorizer:授权器,主体进行授权最终通过authorizer进行sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供了一套...
Apache Shiro 授权
iteye_9972的博客
04-18 126
Apache Shiro 授权 授权,亦即访问控制,是管理资源访问的过程,换言之,也就是控制在一个程序中“谁”有权利访问“什么”。 授权的例子有:是否允许这个用户查看这个页面,编辑数据,看到按钮,或者从这台打印机打印?这些决定是一个用户可以访问什么的决断。 授权组件 授权有三个核心组件,在Shiro中我们经常要用到它们:权限(permissions)、角色(roles)和用户(...
apache-shiro的简单使用
GitChat
10-30 390
Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。...
利用shiro的路经过滤PathMatchingFilter实现记录日志
u010916464的博客
09-11 2754
  •1、自定义SysLogFilter继承shiro的路径过滤器PathMatchingFilter       重写里面的方法onPreHandle(),实现自己的业务逻辑。   •2、在spring-shiro.xml的配置文件中添加        &lt;entry key="syslog" value-ref="syslogFilter" /&gt;        ...
过滤器 (Filter) 和 拦截器 (Interceptor)
qq_33449307的博客
04-28 5160
1.过滤器 (Filter) 过滤器的配置比较简单,直接实现Filter 接口即可,也可以通过@WebFilter注解实现对特定URL拦截,看到Filter 接口中定义了三个方法。 init() :该方法在容器启动初始化过滤器时被调用,它在 Filter 的整个生命周期只会被调用一次。注意:这个方法必须执行成功,否则过滤器会不起作用。 doFilter() :容器中的每一次请求都会调用该方法, FilterChain 用来调用下一个过滤器 Filter。 destroy(): 当容器销毁 过滤器实例时调用
shiro过滤器详解分析
qq_34377273的博客
04-17 915
目录1,目标2、继承关系及结构3、Filter过滤器简介4、shiro过滤器分析1、AbstractFilter![在这里插入图片描述](https://img-blog.csdnimg.cn/20200417172901106.png)2、NameableFilter3、OncePerRequestFilter4、AdviceFilter shiro最核心的2个操作,一个是登录的实现,一就是过滤...
shiro 权限认证的原理,个人的理解
热门推荐
baicp3的专栏
05-22 2万+
1.对有没有访问权限的理解。 我们看shiro的配置文件,所以的请求都是需要用户登录的 因而用户 在登录成功时候,shiro已经把该用户是否有访问某一url的权限已经判断好了。 看下面简单的代码    @Override     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pri
shiro学习20-shiro提供的filter-PathMatchingFilter
iteye_14612的博客
02-20 2717
这个类也是AdviceFilter的实现类,我们先看看他的preHandle方法 protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception { if (this.appliedPaths == null || this.appliedPaths...
Shiro系列之Shiro+Mysql实现用户认证(Authentication)
Chris Mao的专栏
10-17 345
网上大多数介绍Apache Shiro的资料都是使用ini文件的简单配置为例,很少用讲到如何配合数据库来实现用户认证的。我也是刚刚开始接触Shiro,在这里介绍一个入门级别的Shiro+Mysql的配置方法,这个方法仅仅是个开始,并没有和Web,Spring,Mybatis等框架进行整合,后续我还会继续和大家分享我的学习过程及心得。   now we can start the thing...
shiroFilter
最新发布
07-13
ShiroFilter的工作原理是通过定义一组过滤链(FilterChain),每个过滤器对应特定的安全策略。当请求到达时,Shiro会按照预先配置的顺序执行这些过滤器。如果某个过滤器返回的是`DENY`,则请求会被拒绝;如果是`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值