Shiro源码----加载

最新推荐文章于 2024-05-14 14:31:55 发布
最新推荐文章于 2024-05-14 14:31:55 发布
阅读量499 收藏
点赞数 1
分类专栏: cas,shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32924343/article/details/90714351
版权

之前的项目的授权框架用的是spring-sercet,其实Shiro和它类似,都是用于用户认证,授权。所以看Shiro的源码理解起来不是很费劲,如果你之前没有阅读过有关权限框架的,或者没有接触过的话,可以先去了解下内部过程。

此篇主要分析下Shiro的加载过程。

老规矩,从web.xml入手,因为这种类似的权限框架大多是通过Filter来实行过滤的。 

1. web.xml

	<!-- Shiro Filter -->  
    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
        <init-param>  
            <param-name>targetFilterLifecycle</param-name>  
            <param-value>true</param-value>  
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>shiroFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>

简单明了,DelegatingFilterProxy只是一个代理,它为bean的获取提供了便利,其实很多人一开始不熟悉,以为这边就是Shrio的入口。其实不是,此处配置说明最终执行流程交给了shiroFilter。

2. spring-shiro.xml

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.do"/>
    <property name="filterChainDefinitions">
        <value>
            /login.do = anon
            /dologin.do = anon
            /** = authc <!--需要认证 -->
        </value>
    </property>
</bean>

可以看见ShiroFilterFactoryBean才是shiro配置里的核心类,shiroFilter这个bean就是通过它生成出来的。这个bean当前配置了几个属性。

securityManager:安全管理器

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--安全管理器-->
    <property name="sessionManager" ref="sessionManager" />
    <!-- 自定义数据访问连接器-->
    <property name="realm" ref="shiroRealm" />
    <!-- 自定义缓存设置-->
    <property name="cacheManager" ref="cacheManager" />
</bean>

<!-- 设置超时时间,cookie名称等-->
<bean id="sessionManager"
      class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <!-- session 设置,一般可以继承redis存放session-->
    <property name="sessionDAO" ref="sessionDAO" />
    <property name="sessionIdCookie" ref="cookie"/>
    <property name="sessionIdCookieEnabled" value="true"/>
</bean>

filterChainDefinitions:过滤器配置,配置一些请求的访问限制策略。

3.ShiroFilterFactoryBean

3.1 setFilterChainDefinitions

因为配置文件里有属性的注入,所以我们先去看下filterChainDefinitions的set操作。主要就是存储XML内配置的拦截策略。

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor {

    private Map<String, String> filterChainDefinitionMap;

    public void setFilterChainDefinitions(String definitions) {
        Ini ini = new Ini();
        ini.load(definitions);
        Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);
        if (CollectionUtils.isEmpty(section)) {
            section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        }
        setFilterChainDefinitionMap(section);
    }

    /**
     *  /login.do = anon
     *  /dologin.do = anon
     *  /** = authc
     *  保存为map格式的数据就可以知道哪些请求应用哪些拦截策略,比如anno,authc
     *
      */
    public void setFilterChainDefinitionMap(Map<String, String> filterChainDefinitionMap) {
        this.filterChainDefinitionMap = filterChainDefinitionMap;
    }
}

3.1 getObject

 另外我们看见这个类继承自FactoryBean,因此它肯定是同过getObject获取到shiroFilter这个对象,因此我们直接看这个方法。

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor {

    public Object getObject() throws Exception {
        if (instance == null) {
            instance = createInstance();
        }
        return instance;
    }
}

主要方法就是createInstance,此方法内主要分成3个步骤分别组装核心数据securityManager,FilterChainManager,PathMatchingFilterChainResolver。

1.SecurityManager securityManager = getSecurityManager();

2.FilterChainManager manager = createFilterChainManager();

3.PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();

protected AbstractShiroFilter createInstance() throws Exception {

        log.debug("Creating Shiro Filter instance.");
        // 1. 获取安全配置器
        SecurityManager securityManager = getSecurityManager();
        if (securityManager == null) {
            String msg = "SecurityManager property must be set.";
            throw new BeanInitializationException(msg);
        }

        if (!(securityManager instanceof WebSecurityManager)) {
            String msg = "The security manager does not implement the WebSecurityManager interface.";
            throw new BeanInitializationException(msg);
        }

        // 2. 创建过滤器链管理器
        FilterChainManager manager = createFilterChainManager();

        // 3. 创建基于路径匹配的过滤器链解析器
        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
        chainResolver.setFilterChainManager(manager);

        return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
    }

createFilterChainManager();

protected FilterChainManager createFilterChainManager() {

        //获取默认过滤器链管理器
        DefaultFilterChainManager manager = new DefaultFilterChainManager();
        Map<String, Filter> defaultFilters = manager.getFilters();
        //配置一些全局的配置参数,主要设置loginUrl,successUrl等
        for (Filter filter : defaultFilters.values()) {
            applyGlobalPropertiesIfNecessary(filter);
        }

        //获取配置文件内配置的个性化Filter,不过此例中没有配置
        Map<String, Filter> filters = getFilters();
        if (!CollectionUtils.isEmpty(filters)) {
            for (Map.Entry<String, Filter> entry : filters.entrySet()) {
                String name = entry.getKey();
                Filter filter = entry.getValue();
                applyGlobalPropertiesIfNecessary(filter);
                if (filter instanceof Nameable) {
                    ((Nameable) filter).setName(name);
                }
                manager.addFilter(name, filter, false);
            }
        }

        //构造过滤器链
        Map<String, String> chains = getFilterChainDefinitionMap();
        if (!CollectionUtils.isEmpty(chains)) {
            for (Map.Entry<String, String> entry : chains.entrySet()) {
                //此处获取到配置文件内配置的过滤策略,设置到FilterChainManager内,
                // 这样就知道哪些url配置了哪些规则以及对应的Filter
                // url = login.do  chainDefinition = anon --> AnonymousFilter
                // url = dologin.do  chainDefinition = anon --> AnonymousFilter
                // url = /**  chainDefinition = authc --> FormAuthenticationFilter
                String url = entry.getKey();
                String chainDefinition = entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }

        return manager;
    }

我们看第一步创建DefaultFilterChainManager()时做了哪些操作,可以看见给了shiro内配置的默认值和默认配置对应的Filter。

    //默认过滤器链构造器,值取自DefaultFilter默认值中,
    //可以看见,我们配置的anon,authc等都有自己的Filter
    public DefaultFilterChainManager() {
        this.filters = new LinkedHashMap<String, Filter>();
        this.filterChains = new LinkedHashMap<String, NamedFilterList>();
        addDefaultFilters(false);
    }
    protected void addDefaultFilters(boolean init) {
        for (DefaultFilter defaultFilter : DefaultFilter.values()) {
            addFilter(defaultFilter.name(), defaultFilter.newInstance(), init, false);
        }
    }
    public enum DefaultFilter {
        anon(AnonymousFilter.class),
        authc(FormAuthenticationFilter.class),
        authcBasic(BasicHttpAuthenticationFilter.class),
        logout(LogoutFilter.class),
        noSessionCreation(NoSessionCreationFilter.class),
        perms(PermissionsAuthorizationFilter.class),
        port(PortFilter.class),
        rest(HttpMethodPermissionFilter.class),
        roles(RolesAuthorizationFilter.class),
        ssl(SslFilter.class),
        user(UserFilter.class);
    }

最终构造出的mapper过滤器链如下图:filterChains内对应了配置的3种拦截方式和过滤方式以及对应的Filter类

 

最后pathMatchingFilterChainResolver这个解析器的设置也很简单,直接将上面获取到filterChains设置进去就行。

4. SpringShiroFilter

最后构造出一个SpringShiroFilter 返回出去,这样项目启动时SpringShiroFilter对象构建就完成了,接下来就是请求过程中的认证和授权步骤了。

刘二郎
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-1.6.tar.gz
05-25
4. **shiro-config-ogdl-1.6.0.jar**:这与配置有关,OGDL(Object-Graph Description Language)是一种简洁的配置语言,Shiro使用它来解析和加载安全配置,使得配置更加灵活和易于理解。 5. **shiro-spring-1.6.0....
SpringMVC-Mybatis-Shiro-redis-0.2:基于SpringMVC,Mybatis,Redis,Freemarker的Shiro管理Demo源码的升级版
03-23
2. 配置Mybatis的SqlSessionFactory,连接数据库并加载Mapper文件,实现数据访问。 3. 配置Shiro Realm,实现认证和授权逻辑,连接到UserDAO获取用户信息。 4. 使用RedisTemplate或Jedis连接Redis,设置缓存策略。 5...
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
Apache Shiro Realm实战及认证授权源码解读_field loginservice in com
2301_82241942的博客
05-14 377
6)ModularRealmAuthenticator的doAuthenticate()方法会获取相应的realm,由于我们目前只配置了一个realm,所以会执行doSingleRealmAuthentication()方法,接着会AuthenticatingRealm的getAuthenticationInfo()方法,接着继续进入AuthenticatingRealm的getAuthenticationInfo()方法。
Shiro源码----认证
lwgzj的博客
05-31 278
上篇分析了加载的过程 shiro加载 这次我们来看下认证流程,上篇我们知道最终返回的对象是SpringShiroFilter,因此所有的请求拦截都是走它。 private static final class SpringShiroFilter extends AbstractShiroFilter { protected SpringShiroFilter(WebSecurit...
SpringBoot整合shiro-spring-boot-starter
xiyafei122的博客
08-12 1206
shiro
shiro安全框架源码分析--启动加载过程
weixin_41920291的博客
07-07 669
Apache Shiro是一个简单易用且强大而灵活的开源Java安全框架,以下简称Shiro。它干净利落地处理身份认证、授权以及企业会话管理和加密。项目最近使用shiro安全框架,自己就读了相关的源码,菜鸟一枚,本博客主要用于自我学习记录使用,有什么不对的请多多指教。 一。shiro架构 最主要有三个概念: subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行...
shiro学习-与Web集成
Andrew的博客
05-06 142
与Web集成 shiro提供了与web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其实安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作. 准备环境 1、创建 webapp 应用 此处我们使用了 jetty-mave...
shiro spring-web集成
祈祷之手
06-27 219
shiro 在web的初始化流程 基本知识: web.xml的加载顺序 filter 生命周期 web.xml 中 shiro的配置 spring-mvc 配置 shiro.ini配置 主体 init doFilter destory 总结 参考网站: shiro 在web的初始化流程 基本知识: web.xml的加载顺序 context-param -&gt...
shiro-spring
m0_46392290的博客
05-17 396
前言 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序, 从最小的移动应用程序到最大的网络和企业应用程序。 核心组件 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 SecurityManager:它是Shiro框架的核心,
shiro源码篇 - shiro的session共享
java牛牛的博客
03-13 592
前情回顾 shiro的session创建与session的查询、更新、过期、删除中,shiro对session的操作基本都讲到了,但还缺一个session共享没有讲解;session共享的原理其实在自定义session管理一文已经讲过了,本文不讲原理,只看看shiro的session共享的实现。 为何需要session共享 如果是单机应用,那么谈不上session共享,session放哪都无所谓,...
Java - SpringBoot整合Shiro(附源码地址)
Zong_0915的博客
11-12 603
是 下的一个安全框架。主要用于认证、授权、加密、会话管理等功能。这是摘自官网的一个截图: 针对授权,说明一点: 不会去维护用户以及维护权限。因此这些需要我们自己去设计和提供。通过相应的接口注入给 即可。这里同样摘自官网的一个架构图: 其中,指的是我们的应用程序。也就是说,Shiro 架构中,有三个主要的组成部分:上文说到过我们自己去设计和提供用户的权限并注入给。而本质上是一个特定于安全的。封装了一些底层的数据操作。然后我们再看看里面又有哪些东西: 先来说下大概的架构设计,由于这个项目是前后端分离的一个微
UnaBoot博客系统-其他
06-12
UnaBoot会自动根据各类标签加载对应的数据,完成主题的渲染。 经过不断的迭代,UnaBoot现已更新到1.3.0版本。在新版本中,做了大量的优化,例如:增加了栏目授权机制,可以根据需要,将栏目分配给不同的文章编辑员,...
基于Java的实例源码-Java项目源码在线相册系统.zip
06-27
另外,为了优化用户体验,该系统可能采用了前端JavaScript库如jQuery,以及现代化的前端框架如React或Vue.js来实现页面的动态加载和交互。Ajax技术也可能被用来实现无刷新的页面更新,提高用户交互的流畅性。 文件...
cas+shiro客户端源码
02-17
在实际应用中,你可能需要根据项目需求对源码进行扩展,比如增加多因素认证、支持动态权限加载等。同时,优化点可能包括提高验证效率、减少网络请求、增强日志监控等。 通过对CAS+Shiro客户端源码的深入理解和实践...
mpu6050陀螺仪使用方法开发教程文档.docx
最新发布
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据中的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值