spring boot配置shiro自定义shiro filter匹配异常

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量883 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46416934/article/details/124347849
版权

原文地址:http://www.hillfly.com/2017/179.html

最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。

自定义 FilterTOC

Shiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 AccessToken 是否有效。

// AccessTokenFilter.java

public class AccessTokenFilter extends AccessControlFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest,
                                      ServletResponse servletResponse,
                                      Object o) {
        if (isValidAccessToken(request)) {
            return true;
        }
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, 
                                    ServletResponse servletResponse) throws Exception {
        throw new UnAuthorizedException("操作授权失败!" + SysConstant.ACCESSTOKEN + "失效!");
    }
}

// ShiroConfiguration.java

@Bean
public AccessTokenFilter accessTokenFilter(){
    return new AccessTokenFilter();
}

 @Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager,
                                          IUrlFilterService urlFilterService) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    shiroFilterFactoryBean.setSecurityManager(securityManager);

    // 自定义过滤器
    Map<String, Filter> filterMap = shiroFilterFactoryBean.getFilters();
    filterMap.put("hasToken", accessTokenFilter());
    shiroFilterFactoryBean.setFilters(filterMap);

    // URL过滤
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    List<UrlFilter> urlFilterList = urlFilterService.selectAll();
    for (UrlFilter filter : urlFilterList) {
        filterChainDefinitionMap.put(filter.getFilterUrl(),
                filter.getFilterList());
    }

    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilterFactoryBean;
}

ShiroFilter 中的 FilterChain 是从数据库读取的,如下:

id

url

filter

sort

1

/druid/**

anon

1

2

/api/login

anon

2

3

/**

hasToken,authc

3

我们想要达到的效果是,除了登陆和访问 Druid 监控页面外,访问其它地址一律要先验证 Token,即走我们的自定义过滤器。
修改完毕后启动无异常,我们访问地址验证下。

  • POST /api/login

    {
    “hasError”: true,
    “errors”: {
    “httpStatus”: 401,
    “errorCode”: “4001”,
    “errorMsg”: “授权异常:操作授权失败!AccessToken失效!”,
    “timestamp”: “2017-06-10 11:08:03”
    }
    }

funny,结果出乎意料,居然登陆接口走了咱们的那个自定义 Filter??黑人问号脸。。。

问题排查TOC

FilterChainTOC

首先检查 Shiro FilterChain 加载的顺序是否异常。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4QpTzGx0-1650613947870)(http://static.zybuluo.com/hillfly/5e4y3jkntwwhzs980xiozkw7/1.jpg “1.jpg-45.6kB”)]
1、集合容器使用 LinkedHashMap,保证的 FilterChain 的顺序。
2、从数据库读取 Filter 时也是按 sort 排序的。
从调试结果来看,加载顺序和数据并没有任何问题,都是正确的。

排除了自身的数据问题,那就要往深处挖掘原因了,有了之前解决 Quartz 问题的经历,这次毫不犹豫就决定跟源码跟踪 Filter 注册到匹配的过程。

Filter 注册TOC

要查明白为何匹配异常,就要先弄清楚咱们的自定义 Filter 是如何注册到 Shiro 的,显然,问题的关键在于 ShiroFilter 返回的 ShiroFilterFactoryBean 这个类中,我们打开看看。很快,我们就锁定了关键 method:

//ShiroFilterFactoryBean.java

protected AbstractShiroFilter createInstance() throws Exception {
    log.debug("Creating Shiro Filter instance.");
    SecurityManager securityManager = this.getSecurityManager();
    String msg;
    if(securityManager == null) {
        msg = "SecurityManager property must be set.";
        throw new BeanInitializationException(msg);
    } else if(!(securityManager instanceof WebSecurityManager)) {
        msg = "The security manager does not implement the WebSecurityManager interface.";
        throw new BeanInitializationException(msg);
    } else {
        FilterChainManager manager = this.createFilterChainManager();
        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
        chainResolver.setFilterChainManager(manager);
        return new ShiroFilterFactoryBean.SpringShiroFilter((WebSecurityManager)securityManager, chainResolver);
    }
}

protected FilterChainManager createFilterChainManager() {
    DefaultFilterChainManager manager = new DefaultFilterChainManager();
    Map<String, Filter> defaultFilters = manager.getFilters();
    Iterator var3 = defaultFilters.values().iterator();

    while(var3.hasNext()) {
        Filter filter = (Filter)var3.next();
        this.applyGlobalPropertiesIfNecessary(filter);
    }

    Map<String, Filter> filters = this.getFilters();
    String name;
    Filter filter;
    if(!CollectionUtils.isEmpty(filters)) {
        for(Iterator var10 = filters.entrySet().iterator(); var10.hasNext(); manager.addFilter(name, filter, false)) {
            Entry<String, Filter> entry = (Entry)var10.next();
            name = (String)entry.getKey();
            filter = (Filter)entry.getValue();
            this.applyGlobalPropertiesIfNecessary(filter);
            if(filter instanceof Nameable) {
                ((Nameable)filter).setName(name);
            }
        }
    }

    Map<String, String> chains = this.getFilterChainDefinitionMap();
    if(!CollectionUtils.isEmpty(chains)) {
        Iterator var12 = chains.entrySet().iterator();

        while(var12.hasNext()) {
            Entry<String, String> entry = (Entry)var12.next();
            String url = (String)entry.getKey();
            String chainDefinition = (String)entry.getValue();
            manager.createChain(url, chainDefinition);
        }
    }

    return manager;
}

//DefaultFilterChainManager.java
public DefaultFilterChainManager() {
    this.addDefaultFilters(false);
}

//DefaultFilter.java
public enum DefaultFilter {
    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);
}

看到这总算弄清楚 Shiro 加载 Filter 的顺序:

  1. 加载 DefaultFilter 中的默认 Filter;
  2. 加载自定义 Filter;
  3. 加载 FFilterChainDefinitionMap;

弄清楚了这 Filter 的加载与注册,那这与我们要解决的问题有何关系呢?首先我们怀疑这里获取的 Filter 是异常的,调试打个断点看看。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cw9mossx-1650613947871)(http://static.zybuluo.com/hillfly/wovx1s6ouhovtyi71me15n91/3.jpg “3.jpg-49.3kB”)]
然而奇怪的是,从调试结果来看,一切加载的 Filter 都如我们预想的那样,并无异常。

Filter MatchTOC

既然基本排除了 Filter 加载上出现问题的可能,那么就要来排查 Filter 匹配的问题了。
重点在于 AbstractShiroFilter 的 doFilterInternal(),这里是匹配的起点。

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain) throws ServletException, IOException {
    Throwable t = null;
    try {
        final ServletRequest request = this.prepareServletRequest(servletRequest, servletResponse, chain);
        final ServletResponse response = this.prepareServletResponse(request, servletResponse, chain);
        Subject subject = this.createSubject(request, response);
        subject.execute(new Callable() {
            public Object call() throws Exception {
                AbstractShiroFilter.this.updateSessionLastAccessTime(request, response);
                AbstractShiroFilter.this.executeChain(request, response, chain);
                return null;
            }
        });
    } catch (ExecutionException var8) {
        t = var8.getCause();
    } catch (Throwable var9) {
        t = var9;
    }

    if(t != null) {
        if(t instanceof ServletException) {
            throw (ServletException)t;
        } else if(t instanceof IOException) {
            throw (IOException)t;
        } else {
            String msg = "Filtered request failed.";
            throw new ServletException(msg, t);
        }
    }
}

protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain) throws IOException, ServletException {
    FilterChain chain = this.getExecutionChain(request, response, origChain);
    chain.doFilter(request, response);
}

跟踪到最后,会进入到一个关键方法:

//PathMatchingFilterChainResolver.java

public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
    FilterChainManager filterChainManager = this.getFilterChainManager();
    if(!filterChainManager.hasChains()) {
        return null;
    } else {
        String requestURI = this.getPathWithinApplication(request);
        Iterator var6 = filterChainManager.getChainNames().iterator();
        String pathPattern;
        do {
            if(!var6.hasNext()) {
                return null;
            }
            pathPattern = (String)var6.next();
        } while(!this.pathMatches(pathPattern, requestURI));

        if(log.isTraceEnabled()) {
            log.trace("Matched path pattern [" + pathPattern + "] for requestURI [" + requestURI + "].  Utilizing corresponding filter chain...");
        }
        return filterChainManager.proxy(originalChain, pathPattern);
    }
}

显然,这里就是进行 URL 匹配的地方。难道是这里匹配出异常了?我们打个断点在这里再访问一下。然而怪异出现了,没有进断点,直接返回了异常信息,根本没有进行匹配!!我们再对自定义 filter 断点调试后发现了 Filter 调用链如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l64tYpjl-1650613947871)(http://static.zybuluo.com/hillfly/iw3vibg13c2inyszjgo9gvag/4.jpg “4.jpg-30.3kB”)]

MMP 的,完全没有不是按我们预想的那样进行调用。这 TM 居然是作为 Spring 的全局 Filter 被调用了。Shiro 的 Filter 优先级居然失效了?我们都知道之前在 SpringMVC+Shiro 时,都会把 Shiro 的 Filter 配置顺序尽量放前,以达到优先加载的目的。难道这里没有走 Shiro 的匹配是因为这个吗??难道是因为 Springboot 先加载了我们自定义的 Filter,然后再加载了 ShiroFilter 吗,然后这个 Filter 优先顺序就出问题了?

我们将断点打到 ApplicationFilterChain.java 的 internalDoFilter() 中进行验证下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ETpZ1836-1650613947872)(http://static.zybuluo.com/hillfly/rf0yw00wpwqabqvisqobao9i/5.jpg “5.jpg-74.4kB”)]
!!果然啊!咱们的自定义 Filter 居然还在 ShiroFilter 之前,这就导致请求被我们自定义 Filter 先消费掉了。。ShiroFilter 成了摆设。
那么把咱们的 Bean 放到 ShiroFilter 后面会如何呢?

@Bean
public ShiroFilterFactoryBean shiroFilter(){}

@Bean
public AccessTokenFilter accessTokenFilter(){}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C0qFpDF7-1650613947874)(http://static.zybuluo.com/hillfly/uxhqwt4i1ipz4okhxw42h38a/6.jpg “6.jpg-75.8kB”)]
果然顺序变了,那么问题解决了吗?
——没有,问题依旧,咱们的 Filter 还是跑了,返回了异常。

看来应该不是这里的顺序问题,我们回过头来继续看 ApplicationFilterChain.java 的 internalDoFilter(),系统会将注册的 filters 逐一调用,也就是说无论我们的顺序如何,Filter 最终都是会被调用的。

问题解决TOC

眼下我暂时有两种办法去解决这个问题:

  1. 修改 AccessTokenFilter,在 Filter 内部加入 path match 方法对需要验证 token 的路径进行过滤。
  2. 将咱们的自定义 Filter 注册到 Shiro,不注册到 ApplicationFilterChain。

显然方案一是不可取的,这样修改范围过大,得不偿失了。那我们怎么去实现第二个方法呢?SpringBoot 提供了 FilterRegistrationBean 方便我们对 Filter 进行管理。

@Bean
public FilterRegistrationBean registration(AccessTokenFilter filter) {
    FilterRegistrationBean registration = new FilterRegistrationBean(filter);
    registration.setEnabled(false);
    return registration;
}

将不需要注册的 Filter 注入方法即可。这时候再启动项目进行测试,就可以发现 filters 已经不存在咱们的自定义 Filter 了。

还有个办法不需要使用到 FilterRegistrationBean,因为我们将 AccessTokenFilter 注册为了 Bean 交给 Spring 托管了,所以它会被自动注册到 FilterChain 中,那我们如果不把它注册为 Bean 就可以避免这个问题了。

/**
 * 不需要显示注册Bean了
@Bean
public AccessTokenFilter accessTokenFilter(){}
**/

@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager,
                                          IUrlFilterService urlFilterService) {
    //省略
    filterMap.put("hasToken", new AccessTokenFilter());
    //省略
}

}

xiaoweiwei99
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-shiro-Boot-7 shiro中的自定义过滤器-LogoutFilter
良之才的专栏
03-17 1522
如果是使用restful的方式,还需要在登出的时候处理token,将其删除才行。 所以还需建立LogoutFiltershiro直接提供了LogoutFilter,我们只要继承之后实现自己的逻辑就可以。这里要说的是与上一个userFilter不同,LogoutFilter继承AdviceFilter,所以我们实现的方法也不同。 boolean preHandle(ServletRequest request, ServletResponse response) (1)如果没有获取到login
spring-boot-shiro:Apache ShiroSpring Boot的集成
01-30
Apache ShiroSpring Boot集成 GitHub: : 用法 首先安装到本地仓库。 双向v2.0下为2.0.0版本,主要将Spring Boot升级到2.0.4.RELEASE,Shiro升级到1.4.0 mvn clean install pom.xml < groupId>...
Spring Boot定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
springboot拦截器/*与/**
白_的博客
04-26 980
import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springfra...
Spring Boot 2.x + shiro 前后端分离实战-自定义 AccessControlFilter token校验 实战篇 (十)
深入Java世界:探索编程之美与技术深度
09-23 486
Spring Boot 2.x + shiro 前后端分离实战-自定义 AccessControlFilter token校验自定义 token 自定义 token public class CustomPasswordToken extends UsernamePasswordToken { private String token; public CustomPasswordToken(String token) { this.token = token; }
SpringBoot在使用SpringSecurity时,配置跨域过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 5614
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨域逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
springboot:自定义过滤器Filter使用详解
拒绝熬夜啊的博客
12-06 998
springboot:自定义过滤器Filter使用详解
Shiro框架:ShiroFilterFactoryBean过滤器源码解析
博客园
01-08 1306
Shiro框架通过添加Servlet Filter的方式,提供了登录验证(Authentication)、访问控制(Authorization)以及Session管理等功能,极大的简化了Spring项目中登录鉴权模块的开发工作。下面通过ShiroFilterFactoryBean作为切入点,详细分析下Shiro定义拦截器SpringShiroFilter的处理流程;并通过源码解析,跟踪SpringShiroFilter是如何添加到Servlet Filter中的。
springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
qq_30519365的博客
12-21 898
【代码】springboot整合shiro实现前后端分离,兼容最新的jakarta的依赖包(片尾推荐当前最好用的权限框架)
shiro+spring boot:权限管理自定义完整流程
xueping_wu的博客
06-13 551
shiro+spring boot:权限管理自定义完整流程权限管理自定义完整步骤步骤1:自定义token认证步骤2:自定义过滤器步骤3:自定义Realm 权限管理自定义完整步骤 简单步骤如下: 1:通过过滤器拦截用户请求接口,从request中获取到用户认证信息(比如token); 2:将前端传来的认证信息(如token)整合成我们自定义shiro用户认证的UsernamePasswordToken; 3: 步骤1:自定义token认证 在shiro包中新建CustomUsernamePasswordTok
Shrio异常The security manager does not implement the WebSecurityManager interface.
longqiyuye925的博客
09-23 2600
Shrio异常FactoryBean threw exception on object creation; nested exception is org.springframework.beans.factory.BeanInitializationException: The security manager does not implement the WebSecurityManager interface. 2020-09-23 21:09:52.721 [restartedMain] ERRO
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
包含Springboot整合shiro安全框架+Redis+Swagger+Filter超详细 ssm整合shiro安全框架+Redis+Swagger+Filter超详细
使用SpringBoot+SpringJPA+Swagger+Shiro快速搭建前后端分离的权限管理系统源码,方便二次开发
06-15
使用SpringBoot+SpringJPA+Swagger+Shiro快速搭建前后端分离的权限管理系统源码,方便二次开发,项目经过严格测试,确保可以运行! 快速搭建前后端分离的权限管理系统 提供一套基于SpringBoo+shiro的权限管理思路. ...
spring boot 实践学习案例,与其它组件整合
09-18
- Spring Boot 基础知识,包括SpringBoot起步、配置详解、aop、filter、拦截器、监听、启动器、全局异常处理、外部Tomcat启动、HTTPS、监控 等。 - springboot-data - Spring Boot 数据库操作,包括SpringJDBC、...
链表刷题集
yajunjiao的专栏
04-30 813
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1801
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1349
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 653
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 1160
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
Spring Boot 中使用shiro配置定义过滤器
09-06
Spring Boot 中使用 shiro 配置定义过滤器需要以下几个步骤: 1. 引入 shiro-spring-boot-starter 依赖: ``` <groupId>org.apache.shiro <artifactId>shiro-spring-boot-starter <version>1.7.1 ``` 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值