【Shiro学习】ShiroFilter源码分析

最新推荐文章于 2024-01-12 16:22:50 发布
最新推荐文章于 2024-01-12 16:22:50 发布
阅读量282 收藏
点赞数
分类专栏: Shiro 文章标签: shiro ShiroFilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fxkcsdn/article/details/102542721
版权

通过上篇对FilterChainManager的学习,可以知道,FilterChainManager是ShiroFilter的基础,包括维护filter列表、请求路径到过滤器链的映射和代理原过滤器链,从而让shiro的过滤器先执行。

ShiroFilter使用FilterChainManager代理原过滤器链

ShiroFilter是shiro的入口点,当请求路径到达ShiroFilter,shiro根据请求的路径,使用FilterChainManager代理原过滤器链,让请求先经过shiro的过滤器链,再执行原过滤器链。

先来看一下shiroFilter的继承关系。

shiroFilter继承自AbstractShiroFilter,并继承了OncePerRequestFilter,该过滤器用来实现一次请求只经过一个过滤器链。

    private static final class SpringShiroFilter extends AbstractShiroFilter {
        // 将FilterChainResolver传递进去
        protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
            super();
            if (webSecurityManager == null) {
                throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
            }
            setSecurityManager(webSecurityManager);
            if (resolver != null) {
                setFilterChainResolver(resolver);
            }
        }
    }

FilterChainResolver本质上就是使用FilterChainManager来实现代理原过滤器链,可以看作是FilterChainManager的一层包装。

shiroFilter代码很少,主要继承了AbstractShiroFilter。OncePerRequestFilter过滤器主要实现一次请求只经过一个过滤器链,并调用doFilterInternal方法来具体实现过滤功能:

doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException   //该方法由子类实现

AbstractShiroFilter实现了doFilterInternal方法,代码如下:

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            throws ServletException, IOException {

        Throwable t = null;

        try {
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

            final Subject subject = createSubject(request, response);

            //noinspection unchecked
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    // 重点:执行代理过滤器链
                    executeChain(request, response, chain);
                    return null;
                }
            });
        } 
        ...//省略代码,不影响阅读
    }

protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain)
            throws IOException, ServletException {
        // 使用FilterChainResolver来获取代理过滤器链
        FilterChain chain = getExecutionChain(request, response, origChain);
        // 执行代理过滤器链,由上一篇可知,会先执行shiro的过滤器链,然后执行原过滤器链
        chain.doFilter(request, response);
}

 AbstractShiroFilter.getExecutionChain

    protected FilterChain getExecutionChain(ServletRequest request, ServletResponse response, FilterChain origChain) {
        FilterChain chain = origChain;

        FilterChainResolver resolver = getFilterChainResolver();
        if (resolver == null) {
            log.debug("No FilterChainResolver configured.  Returning original FilterChain.");
            return origChain;
        }
        // 会调用FilterChainManager来获取代理过滤器链
        FilterChain resolved = resolver.getChain(request, response, origChain);
        if (resolved != null) {
            log.trace("Resolved a configured FilterChain for the current request.");
            chain = resolved;
        } else {
            log.trace("No FilterChain configured for the current request.  Using the default.");
        }

        return chain;
    }

 由上可知,AbstractShiroFilter会调用FilterChainResolver的getChain()方法。而ShiroFilterFactoryBean(在下一篇讲),在创建ShiroFilter实例的时候,使用的是PathMatchingFilterChainResolver。

 PathMatchingFilterChainResolver.getChain()方法如下:

public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
        FilterChainManager filterChainManager = getFilterChainManager();
        if (!filterChainManager.hasChains()) {
            return null;
        }

        String requestURI = getPathWithinApplication(request);

        // 遍历filterChainManager的过滤器链名称,看请求路径是否和过滤器链匹配
        for (String pathPattern : filterChainManager.getChainNames()) {

            // 如果请求路径和filterChainManager中的过滤器链名称匹配,则获取该名称对应的过滤器链
            if (pathMatches(pathPattern, requestURI)) {
                if (log.isTraceEnabled()) {
                    log.trace("Matched path pattern [" + pathPattern + "] for requestURI [" + requestURI + "].  " +
                            "Utilizing corresponding filter chain...");
                }
                // 最终调用filterChainManager.proxy来获取代理过滤器链
                return filterChainManager.proxy(originalChain, pathPattern);
            }
        }

        return null;
    }

 由此验证了我们开始说的,shiroFilter最终会使用FilterChainManager来获取代理器链,从而先执行shiro的过滤器链,然后再执行原过滤器链。

fxkcsdn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro内置过滤器学习记录
weixin_41038905的博客
03-18 714
shiro是个认证权限框架,除了登录、退出逻辑我们需要加入项目代码之外,验证用户是否已经登录、是否拥有权限的代码其实都是过滤器来完成的,可以这么说,shiro其实就是一个过滤器链集合。 当运行web应用程序时,Shiro将创建一些有用的默认过滤器实例,并使它们在[main]部分自动可用。您可以像配置任何其他bean一样在main中配置它们,并在链定义中引用它们。 默认筛选器实例由DefaultFilter enum中定义 public enum DefaultFilter { anon(Anony
CVE-2022-40664 ShiroFilter1.7和1.10对于forward请求的处理
xyjy11的博客
10-14 4170
shiroFilter拦截forward、include请求
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1875
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
Shiro源码(四)——shiro提供默认过滤器详解
敲代码的小小酥的博客
01-06 1713
shiro为了实现权限、认证功能,定义了多个过滤器,下面对每个过滤器的作用进行了解。 一、AnonymousFilter过滤器 允许在不执行任何类型的安全检查的情况下立即访问路径的筛选器。 也就是我们配置的类似:/user/signup/** = anon 的权限,会走这个过滤器。该过滤器只定义了一个方法,直接返回true,进行放行。 @Override protected boolean onPreHandle(ServletRequest request, ServletResponse re
Shiro框架Shiro内置过滤器源码解析
最新发布
博客园
01-12 1136
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1262
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
shiro学习源码与资料
02-24
这个压缩包包含的资源是关于Shiro学习源码和课件,适合对Java安全有兴趣或者正在学习Shiro的开发者。 首先,我们来深入理解Shiro的核心概念: 1. **身份认证(Authentication)**:这是验证用户身份的过程。...
shiro框架学习视频以及文档和源码
03-13
同时,文档和源码分析将帮助你深入理解Shiro的内部机制,有助于进行定制化开发。 通过观看"尚硅谷Shiro视频",你应该能够学会如何使用Shiro来保护你的Java应用,确保用户数据的安全,以及提供个性化的权限控制策略...
SpringBoot-Shiro整合权限管理源码
04-24
通过分析这个源码,你可以理解如何在SpringBoot项目中构建一套完整的权限管理系统,包括用户的登录、权限校验以及对不同资源的访问控制。这不仅可以应用于简单的入门项目,也可以作为实际项目的基础框架,根据需求...
Shiro1.2.2_源码(压缩包)
05-29
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
跟我学shiro文档及源码
07-17
在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...
shiro Filter--拦截器
weixin_30530523的博客
11-22 750
shiro自带的filter:下面主要叙述顺序是 NameableFilter-》OncePerRequestFilter-》AdviceFilter-》PathMatchingFilter-》AuthenticationFilter(AuthenticatingFilter)-》FromAuthenticationFilter ①NameableFilter有一个name属性,定...
shiro动态配置过滤器
yaoct的博客
05-14 3619
在创建AbstractShiroFiltershiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
shiro执行多个过滤器_shiro的过滤器架构——Shiro学习(5)
weixin_27310417的博客
01-12 289
shiro的过滤器组织非常庞大,如下图:NameableFilter代表的是命名规范,旨在为每一个过滤器命名。提供setName()和getName()接口。OncePerRequestFilter,确保在一次请求中只通过一次filter。定义了一个doFilterInternal()方法,表示本过滤器的过滤逻辑。在执行过滤器链filterChain.doFilter(request, respo...
Shiro源码学习(二)应用拦截器链
finalcola的博客
03-29 452
将配置的拦截器链加入到FilterChain中我们可能会在shiro中配置上图这样的拦截器链,但是像Tomcat这样的服务器中的Filter都是需要配置在web.xml中才会生效。而在上篇文章中,我们在web.xml中只配置了一个Filter,所以Shiro需要做的就是把配置的拦截器链“嫁接”到服务器原来的Filter链中。在上篇中,我们提到,最后发挥拦截功能的是SpringShiroFilter...
Shiro系列教程拦截器Filter源码分析
大新博客
04-27 5647
相关文章 Shiro系列教程 AccessControlFilter源码分析 UserFilter类下载源码 //登录用户与记住我的用户均可通过 public class UserFilter extends AccessControlFilter { protected boolean isAccessAllowed(ServletRequest
Shiro系列教程ShiroFilter源码分析
大新博客
04-28 2097
Shiro系列教程ShiroFilter源码分析 DefaultFilter //一个枚举类定义了shiro全部的默认拦截器 public enum DefaultFilter { anon(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authcBasic(BasicHttp
ShiroFilter机制详解---源码分析
weixin_30342209的博客
12-30 195
ShiroFilter机制详解 首先从spring-shiro.xml的filter配置说起,先回答两个问题: 1, 为什么相同url规则,后面定义的会覆盖前面定义的(执行的时候只执行最后一个)。 2, 为什么两个url规则都可以匹配同一个url,只执行第一个呢。 下面分别从这两个问题入手,最终阅读源码得到解答。 问题一解答 相同url但定义在不同的行,后面覆盖前面 如 ...
shiro源码分析shiroFilter初始化过程
光着脚丫、走的专栏
03-15 2204
shiro源码分析shiroFilter初始化过程1、首先看使用shiro(1.3.0)框架要使用的配置。 配置web.xml <!-- shiro 安全过滤器滤器 start--> <!-- Make sure any request you want accessible to Shiro is filtered. /* catches all --> <!-- requests. Usu
shiro springboot 源码
07-13
总的来说,阅读Shiro Spring Boot源码有助于我们深入理解Shiro和Spring Boot的工作原理和机制,提升对应用程序的安全性和性能的把握,进而能更好地开发和调优应用程序。 ### 回答3: Shiro是一个强大的身份认证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值