解决springboot整合shiro后过滤器执行顺序的问题
1.问题如下:springboot 整合shiro 后出现了 对静态资源(js,css,jpg)的也会进行拦截,但是我们的配置如下,
@Bean
public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager, MyFormAuthenticationFilter myFormAuthenticationFilter) {
ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
shiroFilter.setSecurityManager(securityManager);
shiroFilter.setLoginUrl("/auth/login");
shiroFilter.setSuccessUrl("/");
shiroFilter.setUnauthorizedUrl("/error.jsp");
Map<String, Filter> filters = new LinkedHashMap<String, Filter>();
filters.put("authc", myFormAuthenticationFilter);
shiroFilter.setFilters(filters);
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
filterChainDefinitionMap.put("/auth/getShiroCache", "anon");
filterChainDefinitionMap.put("/**/*.js", "anon");
filterChainDefinitionMap.put("/**/*.png", "anon");
filterChainDefinitionMap.put("/**/*.jpg", "anon");
filterChainDefinitionMap.put("/**/*.css", "anon");
filterChainDefinitionMap.put("/error.jsp", "anon");
filterChainDefinitionMap.put("/noPermission.jsp", "anon");
filterChainDefinitionMap.put("/auth/logout", "logout");
filterChainDefinitionMap.put("/**", "authc");
shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilter;
}
从上面的配置中我们可以发现,我们对静态资源进行了优先配置,因为是LinkedHashMap.所以是有序的,但是在实际测试过程中,发现静态资源需要认证之后才能访问,
这个和我们的配置逻辑不符,.
那么最关键的问题来了
为什么 请求会进入到myFormAuthenticationFilter 这个filter?
@Bean
public MyFormAuthenticationFilter myFormAuthenticationFilter() {
return new MyFormAuthenticationFilter();
}
因为我们将这个filter配置成bean ,让spring自动加载,这个filter 会被spring加入到filterchain 中.通过日志我们可以看到
这个过滤器被加载了,并且是拦截的路径是/*,所以我们在配置这个filter 的时候不能让spring来管理这个filter.
解决方案:采用new 的方式来自已创建这个filter对象.脱离spring的管理这个filter就不会注册到过滤器链中.