shiro过滤器详解分析

最新推荐文章于 2023-02-22 15:14:16 发布
最新推荐文章于 2023-02-22 15:14:16 发布
阅读量761 收藏 5
点赞数 1
分类专栏: Java shiro 文章标签: shiro java
原文链接:https://www.cnblogs.com/LeeScofiled/p/10511948.html
版权
Java 同时被 2 个专栏收录
35 篇文章 1 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

目录


shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。(认证跟授权是最核心的功能)这里分析下shiro过滤器怎样玩的。

1,目标

这里会按如下顺序逐一看其实原理,并尽量找出其出处。

先看一下shiro过滤器有哪些及它们的别名分别对应哪些类: 点这里.
在这里插入图片描述
这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。

2、继承关系及结构

authc: 1.AbstractFilter > 2.NameableFilter > 3.OncePerRequestFilter > 4.AdviceFilter > 5.PathMatchingFilter > 6.AccessControlFilter > 7.AuthenticationFilter > 8.AuthenticatingFilter > 9.FormAuthenticationFilter
在这里插入图片描述
根据这个结构关系可以清楚的知道,接下来要分析的FormAuthenticationFilter上面还有8个。

3、Filter过滤器简介

tomcat中的自定义过滤器必需实现Filter接口,过滤器的实现方法为Filter中的

doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)

如果一个请求被该过滤器拦截,想要到达用户最后请求的地址,那么一定得有:filterChain.doFilter(request, response);这个方法的调用,表示通过过滤,请求可以到达用户的请求地址。否则用户的请求地址不会被调用,用户的请求被过滤器拦截。

4、shiro过滤器分析

1、AbstractFilter在这里插入图片描述

位于shiro过滤器最顶层,是个抽象方法,直接继承了Filter,
在这里插入图片描述
它只做了一些其本的初始化操作,并没有实现Filter中的doFilter方法。

总结:AbstractFilter只做了一些基本的初始化,并没有过多的逻辑在里面。

2、NameableFilter

在这里插入图片描述
允许通过getName和setName方式给过滤器命名。如果没有给该过滤器命名,那么默认将会使用web.xml中给定的名称(FilterConfiger的filterName)

在这里插入图片描述
该类可以理解为为过滤器命名用的,也没有实现Filter中的doFilter方法。

总结:NameableFilter是用于给过滤器命名使用的。

3、OncePerRequestFilter

在这里插入图片描述
filter的基类(说白了,就是正真实现了Filter中的doFilter方法的类),它用来保证在每个servlet容器上,第个请求都只会被过滤一次,不会重复过滤。

通过getAlreadyFilteredAttributeName()方法来鉴别请求是否已经被过滤过。默认的实现基于具体过滤的实例名称。

接下来看看具体逻辑:
在这里插入图片描述

  1. 判断过滤器是否已经执行过,如果执行过,调用filterChain.doFilter(request, response)直接放行,不再重复执行该过滤器的处理逻辑,直接走下一个过滤器或者通过该过滤进入到实际请求方法中。
  2. 判断过滤器是否开启,该类有个成员变量eabled,默认为true(注释给的解释是大多数的过滤器都是希望开启的,所以默认值为true),过滤器为开启状态,如果该过滤器没有被开启中,也同上面的逻辑一样,直接走下一个过滤器或者通过该过滤进入到实际请求方法中。
    在这里插入图片描述
  3. 这里又分3步,
    1、 设置一个已经执行过滤器的属性名称在request中。
    2、 调用doFilterInternal方法,执行真正的过滤器处理逻辑。
    3、 这个过滤器处理完后,将过滤器的属性名称从request中移出。这样如果程序执行到第2步,过滤又被调用了,它将会走到第一个if中,直接略过这个过滤器的处理,这样就保证了,每个过滤器在处理一个请求的时候只会被执行一次。

总结:OncePerRequestFilter提供了一个实际处理过滤业务的方法doFilterInternal,并且保证每个请求只会被该过滤器过滤一次。

4、AdviceFilter

在这里插入图片描述
这个过滤器,类似于开启了AOP环绕通知,提供了preHandle,postHandle和afterCompletion这三个方法。
其过滤逻辑为:doFilterInternal方法。

在这里插入图片描述
executeChain方法中的实现为:chain.doFilter(request, response);

所以如果preHandle方法返回false,则说明过滤器不会执行chain.doFilter,意味着请求被拦截掉了,不会进入到用户请求的地址上去。如果为true,表示过滤器放行了过滤的逻辑通过。

然后会执行postHandle方法(该类中的postHandle方法为空实现),

最后会执行一个,这个方法用于对一些异常进行处理(目前也是空实现)。

通过以上可以看出,过滤的逻辑代码实际上是在preHandle这个方法中处理的,这个方法的返回值true和false决定了请求放行和请求被拦截。

总结:AdviceFilter提供了类似于AOP环绕通知式的编程方式,其处理拦截的逻辑是在preHandle方法中完成的。preHandle方法返回true和false代表了通过过滤,请求可以到达用户的请求地址和过滤器拦截掉了用户的请求。

不完整,继续更新中。
博客引用地址.

我是王小贱
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 基本过滤器
尚硅谷铁杆粉丝的博客
12-07 604
Shiro拦截器的基础类图: 1、NameableFilter:NameableFilter给Filter起个名字,如果没有设置默认就是FilterName;还记得之前的如authc吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;   2、OncePerRequestFilter:OncePerRequestFilter用于防止多次执行Filter的;也就是说一次请求只会走一...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
springboot+ssm+shiro做简单的登录功能
qq_41816742的博客
11-20 418
创建一个springboot+ssm项目 导入shiro依赖 编写shiro的配置文件 测试 目录 创建一个springboot+ssm项目 导入shiro依赖 编写shiro的配置文件 测试 一、详情请见https://blog.csdn.net/qq_41816742/article/details/108624574 二、导入shiro依赖 三、 shiro的配置文件 自定义MyRealm数据源 UserMapper写Sql语句 ..
shiro 过滤器
imxlw00的专栏
01-15 348
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <property name=&qu
七、Shiro过滤器
panchang199266的博客
09-08 1131
一、内置过滤器 (一)内置过滤器介绍 roles[a,b,c],必须角色都符合才可以访问 perms[a,b],必须全部拥有该权限才可以访问 port[a,b],必须指定端口才可以访问!! #################################### anno:无权限访问 authc:需要认证才能访问 user:代表需要存在该用户对象才可访问 logout 登录退出才能被访问 ...
Shiro常用的Filter过滤器
a1498665771的博客
02-22 642
Shiro常用的Filter过滤器
springmvc+shiro自定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Shiro权限管理框架详解
01-27
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证...
springmvc+shiro整合详解
12-01
架构采用 sping+spingmvc+hibenate+shiro完美整合,每段 配置文件都亲自加了注释,包括 web.xml,spring配置文件等,自己亲自试过,代码可以直接运行,是一个不可多得代码架构分享
Shiro中常见过滤器
qq_63219690的博客
11-25 734
Shiro过滤器
Shiro的Web过滤器
berry sky
11-30 585
<!-- Shiro的Web过滤器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> &am
Shiro就是一个过滤器
动哒APP—运动健康科技提供商
11-05 144
好久没有复习下java了,发现经过时间的沉淀,再看东西就有了新的感觉,比如这个shiro,看配置就能理解shiro就是一个过滤器
Shiro中常见的过滤器
CalvinXCui的博客
07-30 3652
Shiro提供多个默认的过滤器,我们可以用这些过滤器来配置控制指定URL的权限,Shiro常见的过滤器如下: 配置缩写 对应的过滤器 功能 身份验证相关的 anon AnonymousFilter 指定url可以匿名访问 authc FormAuthenticationFilter 基于表单的拦截器;如“/**=authc”,如果没有登录会跳到相应的登录页面登录;主要属性:usernameParam:表单提交的用户名参数名( username); passwordParam:表单
shiro提供的常见的默认过滤器
zxczxc_123123的博客
01-08 370
SpringBoot项目中shiro过滤器的重写以及配置
m0_52789121的博客
04-27 544
跨域访问导致shiro拦截失效的问题 问题 解决方案 1.重写shiro 登录 过滤器 2.重写role权限 过滤器 3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302重定向错误等问题 报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目时无法识别重定向操作 2.shiro拦截失效原因:跨域访问时有一种
shiro基本概念,自定义过滤器实现前后端分离以及衍生的动态菜单的制作
weixin_42765975的博客
09-10 883
不用shiro实现用户的认证,授权,也可以用springmvc的拦截器来实现,参考下列文章的前半部分 参考文献 基本概念 1.3.1 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方...
shiro过滤器和权限控制
weixin_44044929的博客
07-21 2520
shiro过滤器配置、权限控制
Spring-shiro-Boot-6 shiro中的自定义过滤器-RestfulFilter
良之才的专栏
03-17 777
使用shiro自定义RestfulFilter过滤器。 该过滤器主要功能: (1)在参数中或者header里加参数login-token作为登陆凭证。 (2)通过token来管理登录的无状态。取代传统的session模式。 过滤器的基础知识可以查看我的上一篇博客。我们使用shiro的UserFilter作为父类完成rest功能。 实现自定义过滤器主要实现以下几个方法: //通过时 (1)isAccessAllowed //拒绝时 (2)onAccessDenied //根据参数或者header
shiro过滤器如何拦截url
最新发布
04-22
Shiro过滤器可以通过配置拦截指定的URL路径,当请求的URL与配置的路径匹配时,Shiro会调用相应的过滤器进行处理。常用的过滤器包括:anon(匿名访问)、authc(身份认证)、roles(角色授权)和perms(许可授权)。在Shiro中,可以通过编写自定义的过滤器来扩展Shiro的功能。 具体来说,可以通过如下配置在Shiro的ini文件中设置需要拦截的URL路径及相关的过滤器: [urls] # 匿名访问的URL /login.jsp = anon # 需要身份认证的URL /admin/** = authc # 需要特定角色授权的URL /users/** = roles[user] # 需要特定许可授权的URL /orders/** = perms[order:read] 在上述配置中,/login.jsp是不需要身份认证即可访问的匿名URL,/admin/**是需要身份认证才可以访问的URL,/users/**是需要具有user角色才能访问的URL,/orders/**是需要具有order:read许可才能访问的URL。 通过这样的配置,Shiro可以自动拦截相应的URL路径,并根据配置的过滤器进行处理,从而实现对URL的访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值