解析 Shiro-Spring 过滤器全流程

最新推荐文章于 2024-05-14 00:13:29 发布
最新推荐文章于 2024-05-14 00:13:29 发布
阅读量727 收藏
点赞数
分类专栏: spring shiro java 文章标签: spring shiro filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomer_huang/article/details/78877948
版权
java 同时被 3 个专栏收录
18 篇文章 0 订阅
订阅专栏
spring
5 篇文章 0 订阅
订阅专栏
shiro
2 篇文章 0 订阅
订阅专栏

对于Spring 集成 Shiro,一般要求配置一个如下的Filter(web.xml)

<!-- The filter-name matches name of a 'shiroFilter' bean inside applicationContext.xml -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

...

<!-- Make sure any request you want accessible to Shiro is filtered. /* catches all -->
<!-- requests.  Usually this filter mapping is defined first (before all others) to -->
<!-- ensure that Shiro works in subsequent filters in the filter chain:             -->
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
  • DelegatingFilterProxy 这个类是Spring针对Filter的委托代理模式的体现,它不是真正的目标Filter,而是在每次拦截到请求时,从Spring容器中查找名字为(即上述的shiroFilter)的Bean,并将请求委托于它,源码可见DelegatingFilterProxy.doFilter(…)
  • 值得一提的是,如果容器内的目标Bean实现了org.springframework.beans.factory.FactoryBean接口,则表示该Bean是一个工厂类,此时并非直接返回它本身,而是调用工厂方法getObject()来生产一个Bean,并提供给调用者

让我们查阅Spring配置(applicationContext.xml),寻找名字为shiroFilter的Bean

<!--Shiro 核心过滤器/拦截器,拦截一切请求-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!-- override these for application-specific URLs if you like:
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/> -->
    <property name="loginUrl" value="/user/login"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <!-- The 'filters' property is not necessary since any declared javax.servlet.Filter bean  -->
    <!-- defined will be automatically acquired and available via its beanName in chain        -->
    <!-- definitions, but you can perform instance overrides or name aliases here if you like: -->
    <!-- <property name="filters">
        <util:map>
            <entry key="anAlias" value-ref="someFilter"/>
        </util:map>
    </property> -->
    <property name="filterChainDefinitions">
        <value>
            # some example chain definitions:
            #/admin/** = authc, roles[admin]
            #/docs/** = authc, perms[document:read]
            #/** = authc
            # more URL-to-FilterChain definitions here

            #开始配置
            /** = anon

        </value>
    </property>
</bean>

ShiroFilterFactoryBean 实现了FactoryBean接口,是一个工厂Bean,按照之前所述,它会调用getObject()来提供真正的目标Filter ,查看源码

public Object getObject() throws Exception {
    if (instance == null) {
        instance = createInstance();
    }
    return instance;
}

protected AbstractShiroFilter createInstance() throws Exception {

    //......

    //初始化过滤器链
    FilterChainManager manager = createFilterChainManager();

    //......

    return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
}

可以看到最终委托的目标Filter是私有内部类ShiroFilterFactoryBean.SpringShiroFilter

在SpringShiroFilter的构建过程中,即ShiroFilterFactoryBean.createInstance()代码中有这么一句

FilterChainManager manager = createFilterChainManager();
  • 这是在初始化Shiro过滤器链,SpringShiroFilter主要充当管理者,先将真正干活的多个过滤器收集起来,并拼接成过滤器链(解析器),而后在每次请求转发时根据各种环境判断转发(转发给内部管理的shiro过滤器链,或转发给Tomcat的过滤器链),一般针对每一个请求,Shiro过滤器链至少能处理一次(实际逻辑更复杂)
  • 根据上诉代码不断深入源码,可以查看到默认配置/添加的11个默认Filter 分别是
public enum DefaultFilter {

    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);

    private final Class<? extends Filter> filterClass;

    private DefaultFilter(Class<? extends Filter> filterClass) {
        this.filterClass = filterClass;
    }

    //......
}
  • 看名字就很清楚
    • anon用于非验证的请求,直接转发给Tomcat过滤器链而不受shiro过滤器链的影响
    • authc用于用户认证,只能已登录有效的用户才能进入下一个Filter
    • logout用于注销,一旦注销成功(清除用户信息、会话信息等),一般会重定向注销页面的url(302响应),可根据需要重写为返回json格式串
    • perms用于访问控制(权限验证),只有具备权限才能进入下一个Filter
    • roles用于访问控制(角色验证),只有属于某个角色才能进入下一个Filter

通过开头的Spring配置(applicationContext.xml),我们可以很轻易地改写shiro过滤器链(覆盖、添加、重命名等),以达到自己的需求(例如改写成Restful风格,实现JWT认证等)

pomer_huang
关注
专栏目录
spring boot整合shiroshiro过滤器介绍
无名剑
08-07 1万+
过滤器链条配置说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,部验证通过,才视为通过 3、部分过滤器可指定参数,如perms,roles Shiro内置的FilterChain anon(org.apache.shiro.web.filter.authc.AnonymousFilter):例子/admins/**=anon 没有参数,表示可以匿...
shiro过滤器详解
si894438380的博客
01-27 1619
常用的过滤器为AuthenticationFilter,具体看一看它是怎么实现的。 先说一下servlet的过滤器链的规则: servlet中过滤器Filter只有三个方法,当我们自定义过滤器的时候需要实现: 主要就是doFilter方法,他的实现方式是这样子的: public void doFilter(ServletRequest request, ServletResponse response,FilterChain filterChain) throws IOException
shiro过滤器详解分析
weixin_39445899的博客
10-12 110
https://www.cnblogs.com/LeeScofiled/p/10511948.html#top
Shiro学习之过滤器详解
zkcJava的博客
09-14 4287
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
shiro中的过滤器
boker123的博客
08-08 2086
当我们需要使用 spring 中的过滤器时,通常通过继承 filter 接口或者使用@Webfilter注解实现。shiro过滤器实现也是通过实现filter接口实现的,shiro中整个filter类结构如下图所示,最顶层的AbstractFilter 实现了filter接口。在DefaultFilter 枚举类中列出了shiro中常用的filter这个类重写了dofilter方法,用来保证每个请求只会被一个filter过滤一次,不会重复过滤 如果当前filter没有执行过过滤,默认会进入第二个if(那两
shiro-1.7.1.zip
02-07
2. **shiro-web-1.7.1.jar**: 这个模块专门用于Web应用的安性,提供了过滤器Filter)来拦截HTTP请求,实现登录、登出、权限检查等功能。例如,Shiro的RememberMe服务、Session管理以及CSRF防护等功能都在这个...
shiro-springmvc-gradle整合
12-18
3. **Shiro过滤器**:在`web.xml`或Spring Boot的配置中,设置Shiro过滤器链,比如`authc`(认证过滤器)和`roles`(角色检查过滤器)。 4. **Shiro-Spring整合**:通过`ShiroFilterFactoryBean`和`ShiroConfig`...
shiro-jwt-springboot:shiro合并jwt前进行分离权限认证示例
01-29
我们可以通过配置Spring Security的过滤器链,确保Shiro过滤器在适当的时候被调用。例如,我们可以设置一个`JwtAuthenticationFilter`来检查请求头中的JWT,并根据其内容创建Shiro的Subject。 接下来,我们要实现...
shiro-1.8.0.zip
10-08
5. **Web安**:Shiro的Web支持可以在过滤器链中拦截不合法的请求,如未登录用户访问受保护的页面。 6. **集成性**:Shiro可以方便地与Spring、Guice等框架集成,实现灵活的配置和管理。 总的来说,`shiro-1.8.0....
shiro-root-1.2.2-source-release.zip
10-22
- 使用 Shiro 提供的过滤器(如 `authc` 和 `perms`)配置Web应用的安拦截。 - 利用 Shiro 提供的加密工具对敏感数据进行处理。 6. **Shiro的扩展性** Shiro 的设计允许开发者自定义认证和授权策略,创建自己...
Spring Shiro流程简析 基于过滤器的权限管理
我家有猫已长成的博客
02-01 632
Spring Shiro流程简析 基于过滤器的权限管理 简介。
shiro 过滤器
imxlw00的专栏
01-15 362
&lt;bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"&gt; &lt;property name="securityManager" ref="securityManager" /&gt; &lt;property name=&qu
shiro过滤器
amoscxy的博客
09-20 363
文章目录shiro过滤器 shiro过滤器 跟认证相关的过滤器 anon:不需要任何认证 authBasic:HttpBasic authc:需要认证之后才可以访问 user:当前存在用户才可以访问 logout:退出 跟事务权限相关的过滤器 perms:必须具备相关的权限才可以访问 roles:必须具备相关的角色才可以访问 ssl:安的协议(Https)才可以访问 port:要求端口是“()”...
shiro过滤器名称
HelloWorldRd的博客
03-06 741
过滤器名称 功 能 配 置anon 任何用户发送的请求都能够访问 -authc 经过认证的请求可访问,否则将会将请求重定向到 ini 配置文件配置的 authc.loginUrl 资源,进行认证操作 authc.loginUrl=/login.jspauthc.successUrl=/#认证成功后重定向到此资源authc.usernameParam=username#从请求参数中获取k...
Spring-shiro-Boot-5 shiro过滤器原理与结构
良之才的专栏
03-16 901
在Restful方式登陆的时候,需要自定义一个拦截器。 用来在参数中或者header里加参数login-token作为登陆凭证。 shiro本身提供了足够多的过滤器,日常在使用的过程中可以在这些过滤器的基础上进行改造,自定义出对应的过滤器。 一、shiro提供的过滤器 ...
解决springboot整合shiro过滤器执行顺序的问题
10年职场两茫茫,35岁凄凉奈若何
10-20 94
解决springboot整合shiro过滤器执行顺序的问题
springboot+ssm+shiro做简单的登录功能
qq_41816742的博客
11-20 516
创建一个springboot+ssm项目 导入shiro依赖 编写shiro的配置文件 测试 目录 创建一个springboot+ssm项目 导入shiro依赖 编写shiro的配置文件 测试 一、详情请见https://blog.csdn.net/qq_41816742/article/details/108624574 二、导入shiro依赖 三、 shiro的配置文件 自定义MyRealm数据源 UserMapper写Sql语句 ..
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro核心处理类ShiroFilter创建和解析原理
最新发布
JavaMyDream的博客
05-14 128
【代码】Shiro核心处理类ShiroFilter创建和解析原理。
SpringShiro深度整合:权限控制实战解析
首先定义一个名为`shiroFilter`的过滤器,使用Spring的`DelegatingFilterProxy`,它将代理到Spring容器中的Shiro Filter bean。然后,将这个过滤器映射到所有的URL路径,以便对所有请求进行拦截和处理。 ```xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值