SpringShiroFilter 源码角度的分析

最新推荐文章于 2024-01-12 16:22:50 发布
最新推荐文章于 2024-01-12 16:22:50 发布
阅读量267 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291919/article/details/108313057
版权

SpringShiroFilter 的作用

1. 包装 Request 和 Response,使它们由原来的 HttpServlet 系列包装为 ShiroHttpServletRequest

2. 创建 Subject,传递给接下来的过滤器

如果没有定义任何 FilterChainDefinitionMap,那 Shiro 也会把 Request 交给它默认的 SpringShiroFilter 过滤。

3. 更新 SessionLastAccessTime(native sessions)

 

 

 

SpringShiroFilter 的定义

SpringShiroFilter 其实是一个内部类,被定义在 ShiroFilterFactoryBean 中:

private static final class SpringShiroFilter extends AbstractShiroFilter {

	protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
		super();
		if (webSecurityManager == null) {
			throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
		}
		setSecurityManager(webSecurityManager);
		if (resolver != null) {
			setFilterChainResolver(resolver);
		}
	}
}

从它的构造器看,SpringShiroFilter 只能接受 WebSecurityManager 类型,而 WebSecurityManager 只有一个实现类 DefaultWebSecurityManager。 

 

SpringShiroFilter 的继承关系

 其中它继承自 OncePerRequestFilter,也就是每个请求执行一次。在执行的时候会先进入 OncePerRequestFilter.doFilter() 方法,然后进入 AbstractShiroFilter.doFilterInternal() 方法:

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse,
		final FilterChain chain) throws ServletException, IOException {

	Throwable t = null;

	try {
		final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
		final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

		final Subject subject = createSubject(request, response);

		// noinspection unchecked
		subject.execute(new Callable() {
			public Object call() throws Exception {
				updateSessionLastAccessTime(request, response);
				executeChain(request, response, chain);
				return null;
			}
		});
	} catch (ExecutionException ex) {
		t = ex.getCause();
	} catch (Throwable throwable) {
		t = throwable;
	}

	if (t != null) {
		if (t instanceof ServletException) {
			throw (ServletException) t;
		}
		if (t instanceof IOException) {
			throw (IOException) t;
		}
		// otherwise it's not one of the two exceptions expected by the filter method
		// signature - wrap it in one:
		String msg = "Filtered request failed.";
		throw new ServletException(msg, t);
	}
}

 上面方法 createSubject(),创建流程见:

https://blog.csdn.net/qq_39291919/article/details/108314003

之后再调用 execute() 方法,传入了 Callable 接口匿名类,Callable 是 java.util.concurrent 内的接口。个人感觉这里使用 Callable 有些故弄玄虚,其实就是执行了一个方法。

Callable 进行了两个操作:1. 修改了最近一次的访问时间;2. 调用 FilterChain。

罐装面包
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
java shirofilter_Spring项目集成ShiroFilter简单实现权限管理
weixin_36488777的博客
02-16 230
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaweb工作的,我就经常遇到需要实现权限控制的项目,之前我们都是靠查询数据获取列表拼接展示的,还有的是及时的判断权限的问题的,现在有了Shiros了,我们就可以统一的进行设置权限问题,Shrios的实现也是很简单的,下面让我们来看看具体实现步骤web.xml配置因...
ANDROID源码分析实录
01-11
《Android源码分析实录》共分为15章,主要内容包括走进Android世界、硬件抽象层详解、分析JNI(Java本地接口)层、Android内存系统分析、Andmid虚拟机系统详解、IPC通信机制详解、Zygote进程/System进程和应用程序...
shiro框架源码解析与改造(五)---SpringShiroFilter
ljz2016的博客
07-26 773
这个类继承AbstractShiroFilter ,我在这里对notFilter字段做了实现,在shiro域中划了一块方外之地,减少了Subject的创建。 private static final class SpringShiroFilter extends AbstractShiroFilter { private Set<String> notFilters=...
Spring Shiro基础组件 Filter
我家有猫已长成的博客
02-01 500
Spring Shiro基础组件 Filter 简介。
java mvc.xml_spring深入-10-springMVC-xml通用模板
weixin_36433950的博客
02-13 67
?>xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:context="http://www.springframework.org/schema/context"xmlns:tx="http://www.springfra...
Spring 配置Shiro filter使用与自定义
weixin_34367845的博客
06-21 210
2019独角兽企业重金招聘Python工程师标准>>> ...
scratch2.0的源码分析
10-31
这是一篇自己关于scratch2.0源码的一些见解,由于自己知识有限,不能保证十分正确,大家可以且看且怀疑
MapReduce 2.0源码分析与编程实
11-08
《MapReduce2.0源码分析与编程实战》比较系统地介绍了新一代MapReduce2.0的理论体系、架构和程序设计方法。全书分为10章,系统地介绍了HDFS存储系统,Hadoop的文件I/O系统,MapReduce2.0的框架结构和源码分析,...
shiro filter在基于spring的web中的执行流程
sinat_33472737的博客
06-19 621
概述 我们知道filter都是通过doFilter方法处理相关逻辑。通过源码可以发现,shiro所有的filter的doFilter方法只有OncePerRequestFilter中有。OncePerRequestFilter也是我们平时所用到的shirofilter的抽象父类。且该方法是final的。 public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChai
Shiro 性能优化:解决 Session 频繁读写问题
lizhengyu891231的博客
01-26 772
叙述 Shiro 提供了强大的 Session 管理功能,基于 Shiro 实现 Session 共享非常方便,只需要定制一个我们自己的SessionDAO,并将它绑定给 SessionManager 即可。在我们的 SessionDAO 中,通常会将 Session 保存到 Redis,那么 Shiro 对 Session 的增删改查,都会直接操作 Redis。 但是由于 Shiro 对 Session 的访问非常频繁,用户的一次请求,可能就会触发几十次的 Session 访问操作,在 Sessio
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shirofilter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
springboot+shior 完整代码
11-27
自己在闲暇之余,简单的写了一个springboot+shior的完整代码,有需要的直接下载就可以使用
Shiro关于session时间刷新规则重写,变更调用touch()逻辑,shiro可不刷新session
z362249834的博客
12-30 2342
Shiro关于session时间刷新规则重写 为了迎合代码需求,前端需要对后台做轮训请求,于是遇到一个问题:由于每次请求shiro会对session做LastAccessTime时间更新,则导致用户只要浏览器保持页面,session将永远无法失效,那关于30分钟失效时间在这种场景下就不再有意义,所以我们需要做是的指定接口请求时不再刷新session时间,保证用户静默时能在理论失效时间后自动登出系统。 实际需求 指定请求路径,依旧会过shiro鉴权、有效判断,但不会刷新当前session时间。 源码分析 首先
Shiro框架:Shiro内置过滤器源码解析
最新发布
博客园
01-12 1186
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
查看shiro的sessionid、timeout、lastAccessTime的值
非衣鲲化的博客
12-12 1039
 我是通过一个定时任务定期获取有关shiro的session信息。 1、导入下面的包  import org.apache.shiro.session.mgt.eis.SessionDAO; @Autowired SessionDAO sessiondao;  2、定时执行获取session信息,排查出问题多亏日志里打印的时间差值 @Scheduled(fixedRate = 1...
Shiro会话管理
热门推荐
Reid的专栏
07-15 1万+
转自:http://www.zblog.us/java/shiro_session_manager.html shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容器。可以在web和非web环境下使用。 shiro的session特性 基于POJO/J2SE:shiro中session相关的类都是基于接口实现的简单的java对象(POJO),兼容所有jav
SpringBoot 与Shirofilter
Coder_Joker的博客 joke a joker
08-12 1904
  Shiro 一段时间没用,好多东西忘了,今天自定义Filter 注册到Shiro中的时候发现了几个问题: 1.这个Filter会执行2次  2.受Shiro管理的filter 无法使用Spring 的bean 所以干脆直接debug源码一探究竟: 先声明一点,我们在配置中通常都是通过ShiroFilterFactoryBean来配置的 public class ShiroFilt...
Java权限框架Shiro过滤连源码解读
weixin_34240657的博客
08-22 114
2019独角兽企业重金招聘Python工程师标准>>> ...
jQuery源码深度分析
"jQuery源码分析系列.pdf" 这篇PDF文档是一份深入分析jQuery源码的系列教程,由作者nuysoft撰写。文档涵盖了多个关键主题,旨在帮助读者理解jQuery库的核心机制和实现细节。 首先,文档从00前言开光章节开始,作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罐装面包

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值