Shiro源码----加载

最新推荐文章于 2023-01-30 18:03:56 发布
最新推荐文章于 2023-01-30 18:03:56 发布
阅读量498 收藏
点赞数 1
分类专栏: cas,shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32924343/article/details/90714351
版权

之前的项目的授权框架用的是spring-sercet,其实Shiro和它类似,都是用于用户认证,授权。所以看Shiro的源码理解起来不是很费劲,如果你之前没有阅读过有关权限框架的,或者没有接触过的话,可以先去了解下内部过程。

此篇主要分析下Shiro的加载过程。

老规矩,从web.xml入手,因为这种类似的权限框架大多是通过Filter来实行过滤的。 

1. web.xml

	<!-- Shiro Filter -->  
    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
        <init-param>  
            <param-name>targetFilterLifecycle</param-name>  
            <param-value>true</param-value>  
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>shiroFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>

简单明了,DelegatingFilterProxy只是一个代理,它为bean的获取提供了便利,其实很多人一开始不熟悉,以为这边就是Shrio的入口。其实不是,此处配置说明最终执行流程交给了shiroFilter。

2. spring-shiro.xml

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.do"/>
    <property name="filterChainDefinitions">
        <value>
            /login.do = anon
            /dologin.do = anon
            /** = authc <!--需要认证 -->
        </value>
    </property>
</bean>

可以看见ShiroFilterFactoryBean才是shiro配置里的核心类,shiroFilter这个bean就是通过它生成出来的。这个bean当前配置了几个属性。

securityManager:安全管理器

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--安全管理器-->
    <property name="sessionManager" ref="sessionManager" />
    <!-- 自定义数据访问连接器-->
    <property name="realm" ref="shiroRealm" />
    <!-- 自定义缓存设置-->
    <property name="cacheManager" ref="cacheManager" />
</bean>

<!-- 设置超时时间,cookie名称等-->
<bean id="sessionManager"
      class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <!-- session 设置,一般可以继承redis存放session-->
    <property name="sessionDAO" ref="sessionDAO" />
    <property name="sessionIdCookie" ref="cookie"/>
    <property name="sessionIdCookieEnabled" value="true"/>
</bean>

filterChainDefinitions:过滤器配置,配置一些请求的访问限制策略。

3.ShiroFilterFactoryBean

3.1 setFilterChainDefinitions

因为配置文件里有属性的注入,所以我们先去看下filterChainDefinitions的set操作。主要就是存储XML内配置的拦截策略。

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor {

    private Map<String, String> filterChainDefinitionMap;

    public void setFilterChainDefinitions(String definitions) {
        Ini ini = new Ini();
        ini.load(definitions);
        Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);
        if (CollectionUtils.isEmpty(section)) {
            section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        }
        setFilterChainDefinitionMap(section);
    }

    /**
     *  /login.do = anon
     *  /dologin.do = anon
     *  /** = authc
     *  保存为map格式的数据就可以知道哪些请求应用哪些拦截策略,比如anno,authc
     *
      */
    public void setFilterChainDefinitionMap(Map<String, String> filterChainDefinitionMap) {
        this.filterChainDefinitionMap = filterChainDefinitionMap;
    }
}

3.1 getObject

 另外我们看见这个类继承自FactoryBean,因此它肯定是同过getObject获取到shiroFilter这个对象,因此我们直接看这个方法。

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor {

    public Object getObject() throws Exception {
        if (instance == null) {
            instance = createInstance();
        }
        return instance;
    }
}

主要方法就是createInstance,此方法内主要分成3个步骤分别组装核心数据securityManager,FilterChainManager,PathMatchingFilterChainResolver。

1.SecurityManager securityManager = getSecurityManager();

2.FilterChainManager manager = createFilterChainManager();

3.PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();

protected AbstractShiroFilter createInstance() throws Exception {

        log.debug("Creating Shiro Filter instance.");
        // 1. 获取安全配置器
        SecurityManager securityManager = getSecurityManager();
        if (securityManager == null) {
            String msg = "SecurityManager property must be set.";
            throw new BeanInitializationException(msg);
        }

        if (!(securityManager instanceof WebSecurityManager)) {
            String msg = "The security manager does not implement the WebSecurityManager interface.";
            throw new BeanInitializationException(msg);
        }

        // 2. 创建过滤器链管理器
        FilterChainManager manager = createFilterChainManager();

        // 3. 创建基于路径匹配的过滤器链解析器
        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
        chainResolver.setFilterChainManager(manager);

        return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
    }

createFilterChainManager();

protected FilterChainManager createFilterChainManager() {

        //获取默认过滤器链管理器
        DefaultFilterChainManager manager = new DefaultFilterChainManager();
        Map<String, Filter> defaultFilters = manager.getFilters();
        //配置一些全局的配置参数,主要设置loginUrl,successUrl等
        for (Filter filter : defaultFilters.values()) {
            applyGlobalPropertiesIfNecessary(filter);
        }

        //获取配置文件内配置的个性化Filter,不过此例中没有配置
        Map<String, Filter> filters = getFilters();
        if (!CollectionUtils.isEmpty(filters)) {
            for (Map.Entry<String, Filter> entry : filters.entrySet()) {
                String name = entry.getKey();
                Filter filter = entry.getValue();
                applyGlobalPropertiesIfNecessary(filter);
                if (filter instanceof Nameable) {
                    ((Nameable) filter).setName(name);
                }
                manager.addFilter(name, filter, false);
            }
        }

        //构造过滤器链
        Map<String, String> chains = getFilterChainDefinitionMap();
        if (!CollectionUtils.isEmpty(chains)) {
            for (Map.Entry<String, String> entry : chains.entrySet()) {
                //此处获取到配置文件内配置的过滤策略,设置到FilterChainManager内,
                // 这样就知道哪些url配置了哪些规则以及对应的Filter
                // url = login.do  chainDefinition = anon --> AnonymousFilter
                // url = dologin.do  chainDefinition = anon --> AnonymousFilter
                // url = /**  chainDefinition = authc --> FormAuthenticationFilter
                String url = entry.getKey();
                String chainDefinition = entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }

        return manager;
    }

我们看第一步创建DefaultFilterChainManager()时做了哪些操作,可以看见给了shiro内配置的默认值和默认配置对应的Filter。

    //默认过滤器链构造器,值取自DefaultFilter默认值中,
    //可以看见,我们配置的anon,authc等都有自己的Filter
    public DefaultFilterChainManager() {
        this.filters = new LinkedHashMap<String, Filter>();
        this.filterChains = new LinkedHashMap<String, NamedFilterList>();
        addDefaultFilters(false);
    }
    protected void addDefaultFilters(boolean init) {
        for (DefaultFilter defaultFilter : DefaultFilter.values()) {
            addFilter(defaultFilter.name(), defaultFilter.newInstance(), init, false);
        }
    }
    public enum DefaultFilter {
        anon(AnonymousFilter.class),
        authc(FormAuthenticationFilter.class),
        authcBasic(BasicHttpAuthenticationFilter.class),
        logout(LogoutFilter.class),
        noSessionCreation(NoSessionCreationFilter.class),
        perms(PermissionsAuthorizationFilter.class),
        port(PortFilter.class),
        rest(HttpMethodPermissionFilter.class),
        roles(RolesAuthorizationFilter.class),
        ssl(SslFilter.class),
        user(UserFilter.class);
    }

最终构造出的mapper过滤器链如下图:filterChains内对应了配置的3种拦截方式和过滤方式以及对应的Filter类

 

最后pathMatchingFilterChainResolver这个解析器的设置也很简单,直接将上面获取到filterChains设置进去就行。

4. SpringShiroFilter

最后构造出一个SpringShiroFilter 返回出去,这样项目启动时SpringShiroFilter对象构建就完成了,接下来就是请求过程中的认证和授权步骤了。

刘二郎
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro码 1.2正式版 编译通过
03-23
这个可是能编辑通过的,偶试了 jdk6下,make成功
Shiro 码编译
a853929779的博客
06-20 1174
shiro 1.6.0 码编译
Shiro原理及码分析
lipengyao2010的专栏
07-16 1878
安全管理器的创建是依赖于认证、授权,缓存、数据等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
Shiro码解析(持续更新中)
yuhelve3308的博客
09-24 1746
Shiro安全框架学习心得(码分析) 概述 ​ shiro(http://shiro.apache.org/)是apache公司推出的一款轻量级开安全框架。它支持身份验证,授权,密和会话管理。Shiro提供易于理解的API,在项目整合时较为轻松。目前Shiro在国内的软件公司中使用较为广泛,是一个值得学习的框架。 一、基础概念 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
shiro官方码包下
WeiZhihuiCSDN的博客
09-22 3562
http://www.apache.org/dyn/closer.cgi/shiro/1.3.2/shiro-root-1.3.2-source-release.zip,点进这个地址找到蓝色文字的链接下即可
shiro-1.6.tar.gz
05-25
4. **shiro-config-ogdl-1.6.0.jar**:这与配置有关,OGDL(Object-Graph Description Language)是一种简洁的配置语言,Shiro使用它来解析和安全配置,使得配置更灵活和易于理解。 5. **shiro-spring-1.6.0....
SpringMVC-Mybatis-Shiro-redis-0.2:基于SpringMVC,Mybatis,Redis,Freemarker的Shiro管理Demo码的升级版
03-23
2. 配置Mybatis的SqlSessionFactory,连接数据库并Mapper文件,实现数据访问。 3. 配置Shiro Realm,实现认证和授权逻辑,连接到UserDAO获取用户信息。 4. 使用RedisTemplate或Jedis连接Redis,设置缓存策略。 5...
UnaBoot博客系统-其他
06-12
UnaBoot会自动根据各类标签对应的数据,完成主题的渲染。 经过不断的迭代,UnaBoot现已更新到1.3.0版本。在新版本中,做了大量的优化,例如:增了栏目授权机制,可以根据需要,将栏目分配给不同的文章编辑员,...
基于Java的实例码-Java项目码在线相册系统.zip
06-27
另外,为了优化用户体验,该系统可能采用了前端JavaScript库如jQuery,以及现代化的前端框架如React或Vue.js来实现页面的动态和交互。Ajax技术也可能被用来实现无刷新的页面更新,提高用户交互的流畅性。 文件...
cas+shiro客户端
02-17
在实际应用中,你可能需要根据项目需求对码进行扩展,比如增多因素认证、支持动态权限等。同时,优化点可能包括提高验证效率、减少网络请求、增强日志监控等。 通过对CAS+Shiro客户端码的深入理解和实践...
shiro jar包及码下
10-09
shiro权限验证jar包及shiro-1.3.2jar包及码下
shiro1.3.2 码和jar包
03-23
shiro码,jar包全部是1.3.2 版本提取的: shiro码,jar包全部是1.3.2 版本提取的:
java查看码导入包-shiro:将`Shiro`集成到SSM中以控制权限管理
06-05
java查看码导入包 Shiro整合Web项目及整合后的开发 将Shiro框架整合到新的web项目中很简单,就是在web项目中导入Shiro的相关jar包以及整合jar包即可完成整合(是不是很简单...哈哈就是这么简单)。难的就是整合了Shiro框架后的web项目该如何进行开发,关于这一点,我将在下方通过一个demo演示用户的登录与退出及登录后的权限管理带你入门入了Shiro框架后的web项目开发。 博客上也放了详细解讲, **写在前边的话:**我在github上已经放了一个整合了Spring+SpringMVC+Mybatis的web项目(就是关于商品的增、删、改、查操作),接下来我要讲解的就是如何在这个项目中整合进我的Shiro框架,整合Shiro框架前的项目码前往我的github,并讲解了整合了Shiro框架后的web项目该如何进行开发,整合了Shiro框架后的完整码前往我的github。 用于创建表的sql语句见github上src包下的sql包。 开发环境 IDEA Spring3.x+SpringMVC+Mybatis+Shiro 没有用到maven管理工具。 1.
Shiro1.2.2_码(压缩包)
05-29
Shiro1.2.2 的码包,大家有兴趣的阔以下来学习学习!
Shiro的实现机制(码解析)
夏牧子的博客
04-02 5743
文章目录什么是shiro? 什么是shiro? shiro
[shiro学习笔记]第四节 使用码生成Shiro的CHM格式的API文档
weixin_34345753的博客
01-03 98
版本号为1.2.3的shiro API chm个事故文档生成。 获取shiro码 编译生成API文档 转换成chm格式 API 获取shiroshiro官网: http://shiro.apache.org/ 下码资包,使用myeclipse/eclipse将代码增project中。如: 须要使用到的jar包: 编译生...
shiro框架入门(一)
weixin_42440637的博客
01-13 227
shiro框架入门(一)
shiro码分析(一)入门
乒乓狂魔的专栏
12-11 377
[size=medium]最近闲来无事,准备读个框架码,经别人推荐shiro,那就准备读读其中的设计。开涛大神已经有了跟我学Shiro系列,那我就跟着这个系列入门然后再深入代码,所以我的侧重点就是码分析。 话不多说,上开涛大神的入门案例 地址[url]http://jinnianshilongnian.iteye.com/blog/2019547[/url]:[/size] [cod...
shiro相关码解析
weixin_39724194的博客
01-30 605
else {try {} } try {} }如果以后我们想要自定义用户名密码校验过程怎么做?定义一个类继承AuthorizingRealm类,并实现doGetAuthorizationInfo方法在方法中自定义用户名校验过程密码校验不需要我们完成,shiro会帮我们实现(通过校验token中的密码和doGetAuthorizationInfo中获取到的info信息中的密码是否一致)为什么不让我们自己做密码校验?
shiro-spring-boot-starter
最新发布
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值