《Shiro三部曲1》——前世今生

已于 2023-02-27 08:41:54 修改
阅读量149 收藏
点赞数
分类专栏: Spring 文章标签: java tomcat Shiro Spring
于 2023-02-26 23:27:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsunwing/article/details/129192176
版权

一、前言

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

Shiro的本质是filter(过滤器),filter在Java Web项目中是由容器负责管理的,本篇就从容器的角度看Shiro的Filter(过滤器)是如何被容器管理的,本篇主要涉及Tomcat相关逻辑,讲解Filter的初始化流程;

二、抛砖引玉

在看源码之前,先抛出两个个问题:

  1. Tomcat初始化后把Filter缓存到哪里?
  2. Tomcat,Spring,Shiro这三者的关系?
  3. Shiro filter的执行逻辑?

应该说,知道这三个问题,就基本上能够把shiro的顶层原理说清楚了!

三、源码解析

3.1 Tomcat缓存

说起缓存,对Tomcat来说,就是其上下文对象:StandardContext,该类中有关filter的成员变量有三个,也就是说,项目启动以后,Filter其实就是缓存在这三个成员变量中的;

    /**
     * The set of filter configurations (and associated filter instances) we
     * have initialized, keyed by filter name.
     */
    private Map<String, ApplicationFilterConfig> filterConfigs = new HashMap<>();


    /**
     * The set of filter definitions for this application, keyed by
     * filter name.
     */
    private Map<String, FilterDef> filterDefs = new HashMap<>();


    /**
     * The set of filter mappings for this application, in the order
     * they were defined in the deployment descriptor with additional mappings
     * added via the {@link ServletContext} possibly both before and after those
     * defined in the deployment descriptor.
     */
    private final ContextFilterMaps filterMaps = new ContextFilterMaps();

3.2 容器初始化流程

Tomcat上下文ApplicationContext extends ServletContext

    @Override
    public FilterRegistration.Dynamic addFilter(String filterName, Filter filter) {
        return addFilter(filterName, null, filter);
    }
    private FilterRegistration.Dynamic addFilter(String filterName,
        String filterClass, Filter filter) throws IllegalStateException {
        // ...... 这里context就是:StandardContext,ApplicationContext持有StandardContext对象引用
        context.addFilterDef(filterDef);
        // ......
    }

ServletContext

    /**
     * Add a filter definition to this Context.
     *
     * @param filterDef The filter definition to be added
     */
    @Override
    public void addFilterDef(FilterDef filterDef) {
        synchronized (filterDefs) {
            filterDefs.put(filterDef.getFilterName(), filterDef);
        }
        fireContainerEvent("addFilterDef", filterDef);
    }

如果你跟过代码,会发现这一步是Spring调用容器addFilter方法,而且第一个到达的filter是:characterEncodingFilter;
AbstractFilterRegistrationBean.java

	@Override
	protected Dynamic addRegistration(String description, ServletContext servletContext) {
		Filter filter = getFilter();
		return servletContext.addFilter(getOrDeduceName(filter), filter);
	}

characterEncodingFilter是Spring下的过滤器,怎么会调到tomcat中呢?
这是因为tomcat容器初始化逻辑中,调用了Spring的初始化方法,同时把容器上下文对象传给了Spring,Spring在初始化逻辑中使用容器对象方法又把filter初始化进了Tomcat容器的filter缓存,看源码:StandardContext

tomcat调用Spring的地方

    @Override
    protected synchronized void startInternal() throws LifecycleException {
    	// ....
	    // 调用ServletContainerInitializers
	    // 这里的ServletContainerInitializers 是由其他框架继承,然后被tomcat调用,spring boot中实现这个接口的类是:TomcatStarter
        for (Map.Entry<ServletContainerInitializer, Set<Class<?>>> entry : initializers.entrySet()) {
            try {
                entry.getKey().onStartup(entry.getValue(), getServletContext());
            } catch (ServletException e) {
                log.error(sm.getString("standardContext.sciFail"), e);
                ok = false;
                break;
            }
        }
    	// ....
	}

用一张图表示:
《Shiro三部曲》——1.混沌初开
所以,Tomcat,Spring,Shiro这三者交互的原理大概就清楚了:

Tomcat(Servlet)提供统一接口ServletContextInitializer,Spring实现该接口
Spring通过容器上下文回调容器方法,初始化Filter
Shiro本质上是一个含有Filter的spring bean,Spring回调容器的时候,顺便也就把filter带过去了

Spring回调逻辑:AbstractFilterRegistrationBean

	@Override
	protected Dynamic addRegistration(String description, ServletContext servletContext) {
		Filter filter = getFilter();
		return servletContext.addFilter(getOrDeduceName(filter), filter);
	}

3.3 Spring 注册器Bean

Tomcat Servlet提供Servlet容器初始化接口ServletContainerInitializer接口,用于Tomca调用下游框架(Spring)使用,在Tomcat逻辑中,所有实现这个接口类都会被调用,其作用就是用来初始化容器上下文,Spring实现这个接口的类是:TomcatStarter;

Spring如何执行初始化呢?这里有一个接口很关键:Servlet上下文初始化接口(ServletContextInitializer),这是Spring自己的接口,所有实现ServletContextInitializer的类都可以看作是用于上下文初始化的。

Spring提供一个单独的管理类:ServletContextInitializerBeans,看名字就知道,这个类不是Spring容器内的bean,它其实是一个集合类,包含真正执行初始化动作的ServletContextInitializer接口实现类。

且看其构造方法:

public class ServletContextInitializerBeans extends AbstractCollection<ServletContextInitializer> {
	// 重点成员变量initializers,初始化bean的集合
	private final MultiValueMap<Class<?>, ServletContextInitializer> initializers;

	private final List<Class<? extends ServletContextInitializer>> initializerTypes;
	
	@SafeVarargs
	@SuppressWarnings("varargs")
	public ServletContextInitializerBeans(ListableBeanFactory beanFactory,
			Class<? extends ServletContextInitializer>... initializerTypes) {
		this.initializers = new LinkedMultiValueMap<>();
		this.initializerTypes = (initializerTypes.length != 0) ? Arrays.asList(initializerTypes)
				: Collections.singletonList(ServletContextInitializer.class);
		addServletContextInitializerBeans(beanFactory);
		// 重点关注下面这个方法
		addAdaptableBeans(beanFactory);
		List<ServletContextInitializer> sortedInitializers = this.initializers.values().stream()
				.flatMap((value) -> value.stream().sorted(AnnotationAwareOrderComparator.INSTANCE))
				.collect(Collectors.toList());
		this.sortedList = Collections.unmodifiableList(sortedInitializers);
		logMappings(this.initializers);
	}
}

addAdaptableBeans方法作用是把所有实现ServletContextInitializer接口的类都集合起来,Spring真正用于注册ServletFilter的Bean是:RegistrationBean,RegistrationBean就是ServletContextInitializer的子类;

	@SuppressWarnings("unchecked")
	protected void addAdaptableBeans(ListableBeanFactory beanFactory) {
		MultipartConfigElement multipartConfig = getMultipartConfig(beanFactory);
		addAsRegistrationBean(beanFactory, Servlet.class, new ServletRegistrationBeanAdapter(multipartConfig));
		addAsRegistrationBean(beanFactory, Filter.class, new FilterRegistrationBeanAdapter());
		for (Class<?> listenerType : ServletListenerRegistrationBean.getSupportedTypes()) {
			addAsRegistrationBean(beanFactory, EventListener.class, (Class<EventListener>) listenerType,
					new ServletListenerRegistrationBeanAdapter());
		}
	}

以Filter为例,注册器的继承关系如下图:
注册器继承关系
addAsRegistrationBean方法核心作用就是把相应的初始化bean(Servlet,Filter初始化bean)找出来;

	private <T, B extends T> void addAsRegistrationBean(ListableBeanFactory beanFactory, Class<T> type,
			Class<B> beanType, RegistrationBeanAdapter<T> adapter) {
		// **重点关注getOrderedBeansOfType方法**,找bean的关键
		List<Map.Entry<String, B>> entries = getOrderedBeansOfType(beanFactory, beanType, this.seen);
		for (Entry<String, B> entry : entries) {
			String beanName = entry.getKey();
			B bean = entry.getValue();
			if (this.seen.add(bean)) {
				// **创建注册器**
				RegistrationBean registration = adapter.createRegistrationBean(beanName, bean, entries.size());
				int order = getOrder(bean);
				registration.setOrder(order);
				this.initializers.add(type, registration); // 把注册器放入initializers
			}
		}
	}

3.4 注册器原理

重点来了

public class FilterRegistrationBean<T extends Filter> extends AbstractFilterRegistrationBean<T> {
	private T filter;
}

FilterRegistrationBean类有个filter成员变量,核心就是这个filter是如何找到并赋值的,从这里开始终于涉及到Shiro了。
用过Shiro的同学,一定知道Shiro的配置Bean是ShiroFilterFactoryBean

@Configuration
public class ShiroConfig {
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //注入核心安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        //注入拦截器
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("myFilter", new MyFilter());
        shiroFilterFactoryBean.setFilters(filters);

        //配置拦截链
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/user/update", "authc");

        //设置登录的请求
        shiroFilterFactoryBean.setLoginUrl("/login");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
}

可以看到这是一个工厂bean,工厂bean的作用就是在使用的时候不返回工厂bean自身,而是由工厂bean创建出一个新的对象并返回,那么ShiroFilterFactoryBean会创建什么对象呢?还是得从源码找答案:

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor {
	// 内部类
    private static final class SpringShiroFilter extends AbstractShiroFilter {
    }
}

在源码中,可以看一个内部类:SpringShiroFilter,工厂bean:ShiroFilterFactoryBean最终要返回的就是这个内部类的对象,SpringShiroFilter继承自Filter接口,因此,可以说ShiroFilterFactoryBean返回的其实就是一个过滤器Filter;

但是,一个ShiroFilterFactoryBean下面可以配置多个filter,那么是如何返回的呢?

    private static final class SpringShiroFilter extends AbstractShiroFilter {
        protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
            super();
            if (webSecurityManager == null) {
                throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
            }
            setSecurityManager(webSecurityManager);
            if (resolver != null) {
                setFilterChainResolver(resolver);
            }
        }
    }

其实,ShiroFilterFactoryBean返回的这个filter并不是我们在配置中写的那些filter,而是一个总Filter,是Shiro扩展后的Filter,其内部包含了filter的调用链,具体的filter在写配置bean的时候,就已经new出来了。

        //注入拦截器
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("myFilter", new MyFilter());
        shiroFilterFactoryBean.setFilters(filters);

3.5 Shiro filters的执行逻辑

Shiro对外(Tomcat)提供的一个是一个统一的Filter,但是对内Shiro是封装了一堆的filters,有默认的,也有用户自定义的,通过内部的调用链进行调用,Shiro自己的调用链是:ProxiedFilterChain,传统Filter的调用链是ApplicationFilterChain;
AbstractShiroFilter类:

    protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            throws ServletException, IOException {

        Throwable t = null;

        try {
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

            final Subject subject = createSubject(request, response);

            // 注意:这里不是异步调用
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    executeChain(request, response, chain);
                    return null;
                }
            });
        } catch (ExecutionException ex) {
            t = ex.getCause();
        } catch (Throwable throwable) {
            t = throwable;
        }

        if (t != null) {
            if (t instanceof ServletException) {
                throw (ServletException) t;
            }
            if (t instanceof IOException) {
                throw (IOException) t;
            }
            //otherwise it's not one of the two exceptions expected by the filter method signature - wrap it in one:
            String msg = "Filtered request failed.";
            throw new ServletException(msg, t);
        }
    }

ProxiedFilterChain.doFilter

    public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
    	// 判断shiro的filters是否有匹配的filter,或者是否执行完自己的filters
        if (this.filters == null || this.filters.size() == this.index) {
            //we've reached the end of the wrapped chain, so invoke the original one:
            if (log.isTraceEnabled()) {
                log.trace("Invoking original filter chain.");
            }
            // 如果没有,则转到原始ApplicationFilterChain调用链下进行调用
            this.orig.doFilter(request, response);
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Invoking wrapped filter at index [" + this.index + "]");
            }
            // 如果匹配到filters,则调用shiro内部的filter
            this.filters.get(this.index++).doFilter(request, response, this);
        }
    }

四、总结

回答最开始的两个问题:

  1. Tomcat初始化后把Filter缓存到哪里?
    ——放到tomcat上下文对象的成员变量中。
  2. Tomcat,Spring,Shiro这三者的关系
    ——Tomcat负责顶层的接口定义,并且提供初始化Filter的上下文对象供Spring使用
    ——Spring通过ServletContextInitializer接口执行容器上下文的初始化动作
    ——Shiro通过工厂bean的配置,封装一个Filter对象给ServletContextInitializer接口
  3. Shiro filter的执行逻辑?
    ——Shiro filter有自己单独的调用链,同时还持有原始调用链,在执行完自己的filter后切换到原始调用链
lsunwing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java通过Comparator比较器对集合进行多属性连续分组内升降排序,以及null空值排最前或最后
hkl_Forever的博客
04-26 149
一、排序数据准备,分别对 one、two、three 三个属性进行连续分组内排序。连续排序,并且把被排序属性值为null的排在最后。连续排序,并且把被排序属性值为null的排在最后。
shiroshiro整合JWT——2.如何整合
kevin的博客
06-02 1282
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,我们知道了需要创建JwtToken、JwtUtil、JwtFilter。该篇主要讲如何在shiro框架中,配置Jwt。ps:本文主要以记录核心思路为主。
Shiro源码(一)——整体组件讲解
敲代码的小小酥的博客
12-31 3556
一、核心功能 身份验证: 登录信息与数据库信息对比认证,判断是否要登录成功 授权: 判断登录用户有哪些权限,可以访问哪些资源,不可以访问哪些资源 密码: 用户密码的加密解密处理 会话管理:类似与http的session会话的管理功能。 从上面几个核心功能可以看出,shiro框架的作用就是帮助我们实现系统用户的登录和权限功能,也就是说,我们使用shiro框架,遵循shiro框架的规范,那么系统的用户权限功能,就不用再单独开发了,交由Shiro提供的功能完成即可。这就是框架所起到的作用。 shiro框架使用起来
Shiro反序列化工具——ShiroAttack2
qq_44029310的博客
09-24 7344
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题。作者为SummerSec。
Shiro学习笔记(1)——shiro入门
君君的专栏
05-27 7016
创建一个简单shiro项目 Shiro的权限 1 简单字符串 2 多层次管理 2 实例级访问控制1.创建一个简单shiro项目 创建一个java工程 加入shiro需要的jar包 在src下创建log4j配置文件(非必需步骤,可以跳过) # # Licensed to the Apache Software Foundation (ASF) under one # or more contribu
Shiro学习(五)——密码的加密解密
sadoshi的专栏
09-09 5448
前言 前面几篇文章的密码都是以明文形式存储。在真实项目中当然不可能明文存储密码,密码一定是以加密的形式存储的。前面我们可以看到当我们给出帐号和密码后,shiro就会去查找ini配置文件或者数据库对应字段来匹配账号密码。那如果我们把存储的密码加密,shiro又如何根据我们提交的明文密码与存储的加密密码匹配呢? Shiro加密与匹配的原理 这里不准备展示源码。相信很多读者看文章时面对大量源码也看得一头雾水,并不能总结出什么来,所以这里大致讲讲思路,有兴趣的读者可以自行跟踪源码。这里以读取ini文件为例
Shiro框架三部曲
06-05
Shiro是Apache从JSecret项目演变而来的,该框架实现了:用户登录、认证、授权和权限管理操作的完整控制流程。Shiro最早的名字是JSecurity,后来更名为Shiro并成为Apache的孵化项目。这次改名也同样影响了Grails ...
【基于shiro的权限管理系统——分布式版】.zip
03-03
一个用spring、mybatis、redis和shiro开发的分布式权限管理系统 Java是一种高性能、跨平台的面向对象编程语言。它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种...
shiro——认证
08-05
对应博客:https://blog.csdn.net/fancheng614/article/details/81433130
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
jfina_shiro_jfinal+shiro_fromjh1_shiro_
10-04
基于jfinal搭建的shiro权限框架
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 327
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1438
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 597
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1337
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 757
consul官网地址。
迭代器模式
LuckFairyLuckBaby的博客
04-23 515
迭代器模式(Iterator),提供一种方法顺序访问一个聚合对象中各个元素,而又不暴露该对象的内部表示。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 717
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
@Value
最新发布
思索的涟漪,突破自我
04-26 183
Value注解是 Spring 框架中的一个注解,用于从属性文件、环境变量、Java 系统属性等地方读取值,并将这些值注入到 Spring 管理的 Bean 中。
第三方访问shiro接口
07-15
当涉及到第三方访问 Shiro 接口时,通常需要进行身份验证和授权。下面是一种常见的方式来实现第三方访问 Shiro 接口的授权过程: 1. 第三方应用注册:首先,第三方应用需要向你的系统注册,并获得一个唯一的标识符(例如,应用 ID)和一个密钥(例如,应用密钥)。 2. 身份验证:第三方应用使用其标识符和密钥发送请求到你的系统,以进行身份验证。你的系统可以验证这些凭据是否有效,并返回一个访问令牌(access token)作为身份验证的结果。 3. 授权访问:一旦身份验证成功,第三方应用将使用访问令牌来访问 Shiro 接口。在 Shiro 中,你可以使用访问令牌来判断第三方应用是否具有访问某个接口的权限。 - 注解方式:你可以在 Shiro 的方法上使用注解(如 `@RequiresPermissions`)来限制只有特定的访问令牌才能访问该方法。 - 编程方式:你可以在代码中使用 Shiro 的编程 API 来判断访问令牌是否具有访问某个接口的权限。 需要注意的是,为了确保安全性,你可能需要实施其他安全措施,如使用 HTTPS 来加密通信、限制第三方应用的访问范围,并对访问令牌进行有效期限制等。此外,还应该在 Shiro 中配置适当的过滤器和拦截器来保护接口免受未经授权的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值