Shiro初始化过程

最新推荐文章于 2023-12-10 00:35:29 发布
最新推荐文章于 2023-12-10 00:35:29 发布
阅读量420 收藏 1
点赞数 1
分类专栏: 源码之美
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35045184/article/details/88719011
版权

从Shiro配置中可以看出,Shiro的起始类是DelegatingFilterProxy,DelegatingFilterProxy委托给Shiro自己的一系列Filter做过滤处理,这是后话;

SpringMvc中web.xml配置:

    <!-- shiroFilter -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

SpringBoot中的配置代码:

    @Bean
    public FilterRegistrationBean authorizeFilter() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();

        DelegatingFilterProxy proxy = new DelegatingFilterProxy();
        proxy.setTargetFilterLifecycle(true);
        proxy.setTargetBeanName("shiroFilter");

        filterRegistrationBean.setName("authorizeFilter");
        filterRegistrationBean.setFilter(proxy);
        filterRegistrationBean.setUrlPatterns(Lists.newArrayList("/*"));
        filterRegistrationBean.setOrder(2);

        return filterRegistrationBean;
    }

关键在于这行代码,设置目标类的名称,也就是真正处理业务的Java对象:

proxy.setTargetBeanName("shiroFilter");

由此可见,DelegatingFilterProxy代理的是shiroFilter这个类,那么这个类在哪里呢?(下面是SpringBoot中的代码,以下的所有代码均为SpringBoot中的代码)

    @Bean
    public CustomShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager,
                                                    CustomFilter customFilter,
                                                    AnyRolesAuthorizationFilter anyRolesAuthorizationFilter,
                                                    AnyPermissionsAuthorizationFilter anyPermissionsAuthorizationFilter) {
        CustomShiroFilterFactoryBean shiroFilter = new CustomShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        shiroFilter.setLoginUrl("/admin/index/unAuthenticated");
        shiroFilter.setUnauthorizedUrl("/admin/index/unAuthorized");

        Map<String, Filter> filters = new HashMap<>();
        filters.put("c", customFilter);
        filters.put("roles", anyRolesAuthorizationFilter);
        filters.put("perms", anyPermissionsAuthorizationFilter);
        shiroFilter.setFilters(filters);

        String shiroChains = "";
        try {
            shiroChains = IOUtils.toString(ShiroConfig.class.getClassLoader().getResourceAsStream("shiro-chains.txt"), "UTF-8");
        } catch (IOException e) {
            e.printStackTrace();
        }
        shiroFilter.setFilterChainDefinitions(shiroChains);

        return shiroFilter;
    }

这段代码想必都不陌生,这里不做赘述,现在可以回到DelegatingFilterProxy中了。

DelegatingFilterProxy继承自GenericFilterBean,GenericFilterBean实现了Filter中的init(FilterConfig),并且提供了一个无参的initFilterBean()供子类实现:

DelegatingFilterProxy # initFilterBean 初始化过滤器实例:

        @Override
	protected void initFilterBean() throws ServletException {
		synchronized (this.delegateMonitor) {
			if (this.delegate == null) {
				// If no target bean name specified, use filter name.
				if (this.targetBeanName == null) {
					this.targetBeanName = getFilterName();
				}
				// Fetch Spring root application context and initialize the delegate early,
				// if possible. If the root application context will be started after this
				// filter proxy, we'll have to resort to lazy initialization.
				WebApplicationContext wac = findWebApplicationContext();
				if (wac != null) {
					this.delegate = initDelegate(wac);
				}
			}
		}
	}

DelegatingFilterProxy # initDelegate

        protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
		Filter delegate = wac.getBean(getTargetBeanName(), Filter.class);
		if (isTargetFilterLifecycle()) {
			delegate.init(getFilterConfig());
		}
		return delegate;
	}
 
Filter delegate = wac.getBean(getTargetBeanName(), Filter.class);

从wac(WebApplicationContext)中取getTargetBeanName这个Bean,还记得这行代码吗?

proxy.setTargetBeanName("shiroFilter");

所以现在取的就是“shiroFilter”命名的Bean,也就是文章刚开始由@Bean注解的CustomShiroFilterFactoryBean这个类,这个类是我自定义的一个类,继承自ShiroFilterFactoryBean:

public class CustomShiroFilterFactoryBean extends ShiroFilterFactoryBean {

}

ShiroFactoryBean实现了FactoryBean,在Spring中有两种Bean的实现方式,一种就是普通的Java类,另一种就是实现了FactoryBean的Java类,实现了FactoryBean的Java类在取它的实例时,并不是取它自身,而是调用它的getObject来取具体的实例;

public interface FactoryBean<T> {
	T getObject() throws Exception;
}

ShiroFactoryBean是如何实现该方法的呢?咱们接着走:

ShiroFilterFactoryBean # getObject

    public Object getObject() throws Exception {
        if (this.instance == null) {
            this.instance = this.createInstance();
        }

        return this.instance;
    }

初始化的时候,this.instance = null;所以执行:

ShiroFilterFacotyBean # createInstance

    protected AbstractShiroFilter createInstance() throws Exception {
        log.debug("Creating Shiro Filter instance.");
        SecurityManager securityManager = this.getSecurityManager();
        String msg;
        if (securityManager == null) {
            msg = "SecurityManager property must be set.";
            throw new BeanInitializationException(msg);
        } else if (!(securityManager instanceof WebSecurityManager)) {
            msg = "The security manager does not implement the WebSecurityManager interface.";
            throw new BeanInitializationException(msg);
        } else {
            FilterChainManager manager = this.createFilterChainManager();
            PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
            chainResolver.setFilterChainManager(manager);
            return new ShiroFilterFactoryBean.SpringShiroFilter((WebSecurityManager)securityManager, chainResolver);
        }
    }

其中主要有3个步骤:

1.取安全管理器 SecurityManager securityManager = this.getSecurityManager();(在配置时注入)

2.创建过滤器链管理器 FilterChainManager manager = this.createFilterChainManager();

3.创建返回Shiro过滤器 new ShiroFilterFactoryBean.SpringShiroFilter(...);

至此,初始化过程就完成了。

其中第2个步骤最为重要,是自定义加载方式最好的时机:

ShiroFilterFactoryBean # createFilterChainManager

    protected FilterChainManager createFilterChainManager() {
        DefaultFilterChainManager manager = new DefaultFilterChainManager();
        Map<String, Filter> defaultFilters = manager.getFilters();
        Iterator var3 = defaultFilters.values().iterator();

        while(var3.hasNext()) {
            Filter filter = (Filter)var3.next();
            this.applyGlobalPropertiesIfNecessary(filter);
        }

        Map<String, Filter> filters = this.getFilters();
        String name;
        Filter filter;
        if (!CollectionUtils.isEmpty(filters)) {
            for(Iterator var10 = filters.entrySet().iterator(); var10.hasNext(); manager.addFilter(name, filter, false)) {
                Entry<String, Filter> entry = (Entry)var10.next();
                name = (String)entry.getKey();
                filter = (Filter)entry.getValue();
                this.applyGlobalPropertiesIfNecessary(filter);
                if (filter instanceof Nameable) {
                    ((Nameable)filter).setName(name);
                }
            }
        }

        Map<String, String> chains = this.getFilterChainDefinitionMap();
        if (!CollectionUtils.isEmpty(chains)) {
            Iterator var12 = chains.entrySet().iterator();

            while(var12.hasNext()) {
                Entry<String, String> entry = (Entry)var12.next();
                String url = (String)entry.getKey();
                String chainDefinition = (String)entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }

        return manager;
    }

取默认的过滤器链配置,其中包含最基本的过滤器,比如 anon、roles、perms、authc等;

DefaultFilterChainManager manager = new DefaultFilterChainManager();

 

public enum DefaultFilter {
    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);
}

创建过滤器链,将自定义的拦截放入过滤器链中,其中filterChains非常重要,在动态配置拦截的时候将会用到:

manager.createChain(url, chainDefinition);
  1. DefaultFilterChainManager # createChain 创建chain,参数依次是要拦截的url以及权限控制;
  2. DefaultFilterChainManager # addToChain 一些参数校验;
  3. DefaultFilterChainManager # ensureChain 对filterChains做验证,保证有此chain;
  4. 最后将chain中添加此filter;

现在,初始化过程就结束了。

 

其中需要知道的是,DelegatingFilterProxy是属于web级别的过滤器,而SpringMvc中的HandlerInterceptor是在DispatcherServlet分发请求时做的拦截,也就是说被Shiro委托的一系列Filter都在请求到达DispatcherServlet前执行,只有知道了整个系统的初始化过程、执行过程,我们才能设计出更优秀的系统,即便出现问题时也能快速定位。

 

Shiro拦截请求以及做身份、权限验证的过程,将在下一篇文章中讲述。

谢谢。

 

公众号搜索:以镒称铢

以镒称铢
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro反序列化脚本.zip
07-28
在反序列化漏洞中,反射常被用来触发特定的代码执行路径,因为反序列化的对象可以通过反射来调用私有方法或者初始化隐藏的类。 "反序列化"是将之前序列化的对象状态恢复为可操作的对象的过程。在Java中,这个过程...
Shiro入门.rar
06-12
1. **初始化Shiro**:创建SecurityManager实例并设置 Realm。 2. **创建Subject**:Subject是与安全操作相关的接口,可以通过SecurityManager获取。 3. **登录**:Subject的login()方法进行认证,提交凭证(如用户名...
shiro web环境初始化过程
weixin_34090562的博客
05-30 163
在web工程中使用shiro的时候需要配置一个shiro的listenser(EnvironmentLoaderListener)和一个shiro的filter(ShiroFilter)。 listener用于初始化shiro的环境,filter用于拦截请求。 shiro初始化。 EnvironmentLoaderListener继承EnvironmentLoader,并且实现了Se...
shiro源码分析之shiroFilter初始化过程
光着脚丫、走的专栏
03-15 2213
shiro源码分析之shiroFilter初始化过程1、首先看使用shiro(1.3.0)框架要使用的配置。 配置web.xml <!-- shiro 安全过滤器滤器 start--> <!-- Make sure any request you want accessible to Shiro is filtered. /* catches all --> <!-- requests. Usu
shiro数据库初始化
莫弹弹的博客
10-16 391
DROP DATABASE IF EXISTS `shiro`; CREATE DATABASE `shiro`; USE `shiro`; CREATE TABLE `shiro`.`users` ( `id` BIGINT AUTO_INCREMENT, `username` NVARCHAR(128), `password` CHA...
shiro初始化资源和权限
magicproblem的博客
02-04 286
1、shiro配置filterChainDefinitions实现初始化页面权限保护 在正常情况下我们的资源和权限都是从数据库中读取出来的,而在shiro中通过配置文件中的ShiroFilterFactoryBean的filterChainDefinitions属性来配置各个页面的权限。 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <proper
shiro集成spring初始化分析
cgj296645438的博客
01-29 604
记录下学习shiro过程,原来学过一边,不过忘得这也差不多了,这次就不打算复习一遍了,而是从源码开始看。希望这次可以记住的时间长点。这次的入口是DelegatingFilterProxy类,其在web.xml中以filter的配置存在,先看一下配置:&lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt; &lt;fi...
Shiro反序列化流量分析.pdf
05-10
攻击者可以构造恶意的RememberMe令牌(通常包含加密的用户信息),并通过反序列化过程执行任意代码。 攻击流程如下: 1. 攻击者生成恶意Payload,使用AES加密,并进行Base64编码。 2. 攻击者以"rememberMe={value}...
SpringBoot整合Shiro+JWT
05-15
8. **SQL文件**:项目中包含的SQL文件可能是用于初始化用户和角色的数据,以便于测试和演示。运行这些脚本以填充数据库。 以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的...
springboot+shiro入门案例
12-21
而SpringBoot作为Spring框架的简化版,旨在简化初始化和配置过程,使开发者能够快速开发基于Spring的应用。 **Shiro框架核心概念** 1. **身份验证(Authentication)**:验证用户身份的过程,即确定用户是谁。 2. ...
Shiro源码分析-初始化-SecurityManager
zhouzhiwengang的专栏
12-28 689
源码分析的第一篇以SecurityManager的初始化为题。  根据ini配置文件初始化shiro的代码主要为两段:  //解析ini文件为Ini对象 Factory factory = new IniSecurityManagerFactory( "classpath:shiro-config.ini"); //根据Ini对象初始化SecurityManager对象 Sec
shiro注解,初始化资源和权限,会话管理
weixin_34186950的博客
11-21 134
有具体问题的可以参考之前的关于shiro的博文,关于shiro的博文均是一次工程的内容 注解: 新建一个类: 此时需要有admin的权限才可以执行下面的代码 public class ShiroService { @RequiresRoles({"admin"}) public void testMethod(){ ...
Shiro官方快速入门10min例子源码解析框架1-初始化
weixin_30920091的博客
01-09 74
Shiro,一个易用的Java安全框架,主要集合身份认证、授权、加密和session管理的功能。 这系文章主要简介Shiro架构,并通过官方的quickstart例程分析最简实现下Shiro的工作流程及其源码 (1-初始化)主要由从零到获取一个subject 本文使用的是shiro 1.3.2版本,配合源码食用更佳~ 它的架构如下 Subject:与框架交互的实体(Entity...
Shiro实际使用(实现各种实用的拦截器)
qq_38053426的博客
12-12 3222
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用了shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     配置: <!-- 1. 配置 Shiro
一次请求资源模板中文路径400的问题处理
小不点灬的专栏
08-05 1313
请求中文路径400
防止 shiro 认证失败后跳转页面,自定义shiro授权过滤器
weixin_44972575的博客
07-03 1179
防止 shiro 认证失败后跳转页面,自定义shiro授权过滤器一、注册自定义授权过滤器一、创建自定义授权过滤器 一、注册自定义授权过滤器 import org.apache.shiro.spring.LifecycleBeanPostProcessor; import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring.web.Shi
Spring boot开发总结四(整合shiro)
zp的博客
07-16 721
1. shiro的简单配置 1.1 pom坐标 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <ve...
SpringBoot项目中shiro过滤器的重写以及配置
m0_52789121的博客
04-27 693
跨域访问导致shiro拦截失效的问题 问题 解决方案 1.重写shiro 登录 过滤器 2.重写role权限 过滤器 3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302重定向错误等问题 报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目时无法识别重定向操作 2.shiro拦截失效原因:跨域访问时有一种
shiro Filter加载和执行 源码解析
最新发布
曾令胜的博客
12-10 1087
在使用若依框架(前后端不分离包含shiro安全框架)时,发现作者添加了验证码、登录帐号控制等自定义过滤器,于是对自定的过滤器加载和执行流程产生疑问。下面以验证码过滤器为例,对源码解析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值