【Shiro学习】FormAuthenticationFilter源码分析

最新推荐文章于 2021-08-24 11:05:47 发布
最新推荐文章于 2021-08-24 11:05:47 发布
阅读量665 收藏 4
点赞数 1
分类专栏: Shiro 文章标签: shiro FormAuthenticationFilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fxkcsdn/article/details/102521318
版权

 如何使用shiro进行登陆验证,这个比较熟悉,看下面的代码,是不是很熟悉呢?

@Bean
	public ShiroFilterFactoryBean shiroFilter2(final SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		Map<String, String> filterChainDefinitionMap = new HashMap<String, String>();
		filterChainDefinitionMap.put("/logout", "logout");
		// authc:所有url都必须认证通过才可以访问;
		// anon:所有url都都可以匿名访问,
		// 先配置anon再配置authc。
		filterChainDefinitionMap.put("/getUser", "authc");
		shiroFilterFactoryBean.setLoginUrl("/login.html");
		shiroFilterFactoryBean.setSuccessUrl("/success.html");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		return shiroFilterFactoryBean;
	}

那么“authc”,到底是如何进行登陆验证的呢?

原来shiro有一个默认的过滤器映射表DefaultFilter 

public enum DefaultFilter {

    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);
}

那么今天的主角就要登场了-----FormAuthenticationFilter

shiro框架已经为我们实现了许多复杂的过滤器功能,FormAuthenticationFilter也是在这基础之上而来的。

下面先来看一下FormAuthenticationFilter的继承类图

接下来逐一学习。

NameableFilter

     给filter起名字,如果没有设置默认就是FilterName

OncePerRequestFilter

     可以防止多次执行filter,每一次请求只会走一次过滤器链,并提供enabled属性,表示是否开启过滤器实例,默认是true,如果不想让该过滤器工作,可以设置为false.代码如下OncePerRequestFilter.doFilter

public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String alreadyFilteredAttributeName = getAlreadyFilteredAttributeName();
        // 每次请求只执行一次filter,执行过后就设置request的属性,属性名是FilterName
        if ( request.getAttribute(alreadyFilteredAttributeName) != null ) {
            filterChain.doFilter(request, response);
        } else //该过滤器如果不启用,直接跳过
            if (/* added in 1.2: */ !isEnabled(request, response) ||
                /* retain backwards compatibility: */ shouldNotFilter(request) ) {
                    getName());
            filterChain.doFilter(request, response);
        } else {
            // 每次请求只执行一次filter,执行过后就设置request的属性,属性名是FilterName
            request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);

            try {
                // 最终由子类实现
                doFilterInternal(request, response, filterChain);
            } finally {
                // Once the request has finished, we're done and we don't
                // need to mark as 'already filtered' any more.
                //一旦请求结束,就可以清除该属性。
                request.removeAttribute(alreadyFilteredAttributeName);
            }
        }
}

AdviceFilter

AdviceFilter提供了AOP风格的支持。

protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception

protected void postHandle(ServletRequest request, ServletResponse response) throws Exception

public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception)throws Exception

preHandle:前置处理,在过滤器执行之前执行,如果返回true则继续执行过滤器链,否则终止过滤器链的执行,可以用来预处理(身份验证,授权等)。

PostHandle:后处理,如果过滤器链抛出异常则跳过执行。

AfterCompletion:完成时处理,不管过滤器链是否抛出异常都会执行,可以用来释放资源。

源码如下:AdviceFilter.doFilterInternal

public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        Exception exception = null;

        try {
            // 前置预处理,例如登陆验证,权限验证等,由子类实现。
            boolean continueChain = preHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Invoked preHandle method.  Continuing chain?: [" + continueChain + "]");
            }
            // 前置预处理是否通过,通过则继续过滤器链,否则终止过滤器链,由子类实现。
            if (continueChain) {
                executeChain(request, response, chain);
            }
            //后处理,如果过滤器链抛出异常,则跳过执行
            postHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Successfully invoked postHandle method");
            }

        } catch (Exception e) {
            exception = e;
        } finally {
            // cleanUp会调用afterCompletion,用于释放资源,afterCompletion由子类实现
            cleanup(request, response, exception);
        }
}

PathMatchingFilter 

PathMathingFilter  implements  PathConfigProcessor{
    // 将请求的path和对应的config配置给filter,例如 “/deleteUser  roles[admin]”
    // 其中path="deleteUser"  roles对应filter,而config=admin
    public Filter processPathConfig(String path, String config) {
        String[] values = null;
        if (config != null) {
            values = split(config);
        }

        this.appliedPaths.put(path, values);
        return this;
    }
}

详细内容请见下一篇。 

AccessControlFilter

public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request,     response, mappedValue);
}

// 是否允许访问,如果允许请求访问返回true,否则需要通过onAccessDenied处理请求
abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception

// 调用重载函数onAccessDenied,当访问拒绝,来处理请求。
protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return onAccessDenied(request, response);
}

AuthenticationFilter

// 通过验证用户是否登陆,来判断是否允许访问。
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
}

AuthenticatingFilter

// 重写父类方法,验证登陆或者(登陆请求并且mappedvalue包含PERMISSIVE限定符)
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return super.isAccessAllowed(request, response, mappedValue) ||
                (!isLoginRequest(request, response) && isPermissive(mappedValue));
}

FormAuthenticationFilter

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        // 是否是登陆请求,通过和LoginUrl对比
        if (isLoginRequest(request, response)) {
            // 是否是post请求
            if (isLoginSubmission(request, response)) {
                // 执行登陆
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                //allow them to see the login page ;)
                return true;
            }
        } else {
            
            // 保存当前请求的url,并重定向到登陆页面,登陆成功后,会重新请求该url
            saveRequestAndRedirectToLogin(request, response);
            return false;
        }
}

如果是登陆请求,执行登陆

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        // 创建token
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            // 执行登陆
            Subject subject = getSubject(request, response);
            subject.login(token);
			// 登陆成功,跳转
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            // 登陆失败
            return onLoginFailure(token, e, request, response);
        }
}

如果登陆成功则重定向 这里分两种情况1.如果session中保存了request请求,说明在登陆之前已经有请求url,只不过被拦截了,所以需要重新请求该url.2.否则直接重定向到successUrl

protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,
                                     ServletRequest request, ServletResponse response) throws Exception {
        // 登陆成功重定向 这里分两种情况1.如果session中保存了request请求,说明在登陆之前已经有请 
        //求url,只不过被拦截了,所以需要重新请求该url.2.否则直接重定向到successUrl
        issueSuccessRedirect(request, response);
        //we handled the success redirect directly, prevent the chain from continuing:
        return false;
}

 

fxkcsdn
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro之深度解析FormAuthenticationFilter
波波烤鸭的博客
04-30 3万+
  shiro是我们在项目经常使用到的权限管理框架,本文我们就重点来分析FormAuthenticationFilter的验证过程。 FormAuthenticationFilter 1.继承结构   我们首先来看下FormAuthenticationFilter的继承结构,这样更加便于我们去分析 2.父类的作用   从上面的继承结构图里我们发现FormAuthenticationFilter的...
Shiro登录机制验证,自定义FormAuthenticationFilter
涛哥盛世
09-16 2万+
自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 问题描述 使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发 boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.execute
shiro试用记录-FormAuthenticationFilter
冲吧,不要停!
12-21 6838
前言 本篇文件主要是把最近试用的shiro的过程记录一下
shiro 自定义FormAuthenticationFilter,记住我
热门推荐
爱笑的博客
07-09 3万+
验证码 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuth
shiro框架码解析与改造(九)---FormAuthenticationFilter
ljz2016的博客
08-10 1289
FormAuthenticationFilter是登陆已经认证的关键过滤器。 父类是AuthenticationFilter 由onPreHandle方法为起点,先判断当前用户是否已经登陆,然后当前账号是否是当前用户最后登陆的,如果不是,则拒绝,onAccessDenied,重定向到登陆界面 auth认证, protected boolean onPreHandle(ServletRe...
shiro学习码与资料
02-24
这个压缩包包含的资是关于Shiro学习码和课件,适合对Java安全有兴趣或者正在学习Shiro的开发者。 首先,我们来深入理解Shiro的核心概念: 1. **身份认证(Authentication)**:这是验证用户身份的过程。...
Spring Boot学习Shiro
最新发布
01-27
Spring Boot学习Shiro码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习Shiro码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习Shiro码【学习狂神说,...
shiro分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro 学习pdf及
03-17
张开涛老师的Shiro学习资料是许多开发者入门和深入理解Shiro的宝贵资。下面将详细阐述Shiro的主要组件和功能,以及如何利用它来构建安全的Java应用。 1. **认证**:Shiro 的认证过程涉及用户身份的验证。它支持...
shiro 视频、码、课件
03-16
shiro 视频、码及课件。 shiro 视频、码及课件。 shiro 视频、码及课件。
登录不会走自定义的FormAuthenticationFilter及其onLoginSuccess原因
05-03
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405464
Maven+SSM+Shiro框架整合实现某权限用户登录,记住密码等功能。
12-20
Maven+SSM+Shiro框架整合实现某权限用户登录,记住密码等功能。
shiro.ini配置FormAuthenticationFilter验证、缓存、session、并发限制
liuyongchao7的博客
01-15 862
[main] #声明Realm nutz_realm=com.naxxm.shiro.realms.MyRealm #authc=org.nutz.integration.shiro.SimpleAuthenticationFilter #authc=org.apache.shiro.web.filter.authc.FormAuthenticationFilter #定义凭证匹配器 creden
shiro FormAuthenticationFilter 整合spirng 无效分析解决
hao01111的博客
07-04 346
   apache-shiro 的权限配置真心好用,简单易懂啊..... 但是小编最近遇上个问题,自定义的filtes -表单验证FormAuthenticationFilter新增验证码CaptAuthenticationFilter 调用无效,debug一直无法进入断点,登陆后画面一直停留在登陆首页,经过多方google(哎,.......),发现了问题所在:   原来extend...
ShiroFormAuthenticationFilter 分析
Zllvincent的博客
09-22 9013
一、简介 ssm application.xml 中配置相关认证过滤器后就会拦截web 请求并自动完成认证功能: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" value="/login" /> ...
五.shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
u014203449的博客
06-14 2万+
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, ...
shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
weixin_44593504的博客
08-24 762
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, String> filterChainDefinitionMap; <url,拦截器名>哪些路..
shiro表单认证(系统默认的form认证器)
爱雨轩
06-03 4781
原文地址:http://blog.csdn.net/zcl_love_wx 注意:此文是基于springMVC框架的,所以关于springMVC的配置这里不说,后面有时间专门写一个shiro整合spring的文章1.shiro表单认证流程2.shiro认证代码2.1 页面代码这里的method值必须为post,否则不会执行认证过程而直接执行在spring.xml里配置的loginUrl指定的路径
Shiro码入门与实战剖析
Shiro分析是一系列针对Apache Shiro安全框架的深入研究,适合希望学习和理解Shiro内部工作机制的开发者。本文档以入门级教程入手,结合实际编程示例,逐步剖析框架的工作流程和核心组件。 首先,Shiro框架的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值