shiro过滤器失效问题研究

最新推荐文章于 2024-05-20 14:24:16 发布
最新推荐文章于 2024-05-20 14:24:16 发布
阅读量3.4k 收藏
点赞数 3
分类专栏: 腾讯王卡技术之坑记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/timy07/article/details/103579324
版权

问题背景

项目使用了shiro 过滤器拦截请求,做一些限流,鉴权,白名单限制的事情,可是最近在上线一个新功能时,新增了一个拦截路径,上线后,发现部分设置了拦截的路径失效,导致项目回滚

问题定位

之前在本地开发环境出现过类似问题,怀疑是正则表达式覆盖或者是拦截器排序规则导致,可是查了一堆网上资料,均没有类似情况,加之是本地环境问题,也就草草了之了。今天在线上环境碰到就不得不去查明原因,彻底解决。

这也告诉我们问题无大小,遇到问题后就要想办法根治,否则说不定在哪里就有一个坑等着你 。

经过之前的排查,排除正则表达式路径覆盖的怀疑,那么就剩下拦截器排序算法了。下面贴一下我们出问题前的源码配置。
在这里插入图片描述
出问题时候源码配置
在这里插入图片描述
观察因顺序原因可能影响到的配置只有“/**”路径的设置,去除后所有拦截生效。

问题原因

通过阅读相关源码,PathMatchingFilterChainResolver引起了我的注意。
在这里插入图片描述
该代码就是取请求路径,和配置的过滤器路径做正则匹配。通过调试发现此文讨论问题出现前后,filterChainManager.getChainNames()返回的过滤器配置路径顺序是不一致的。写了个测试例子验证下,输出如下
在这里插入图片描述
就是因为/**的顺序调整了,所以导致之后的shiro配置都失效了。

filterChainManager.getChainNames()返回的为hashMap的keyset对应的set类型,其遍历的是hashmap的node节点并返回,没有做任何排序,其顺序是hashmap在put时候通过key值的hashcode经过运算得到(hashmap的key是无顺序的)。

在观察一下出问题前后路径的个数,是12个到13个的时候,这个不是偶然的,因为hashmap默认初始化的是16个容量,负载因子是0.75,在12个后所有key会rehash,正是因为rehash导致输出的顺序发生改变,导致类本次悲剧的再发送。

timy07
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
遇到问题----shrio------shiro自定义filters无效
直到世界的尽头
03-08 1万+
shiro  自定义filters无效需要注意filterChainDefinitions中的顺序,roles等应放在authc的前面。
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 ...通过使用 Spring 的上下文管理工具类,可以解决 JwtTokenFilter 无法使用 @Autowired 和 anon 过滤器失效问题,有效地解决了相关问题
shiro+自定义过滤器导致annon失效+自定义过滤器注入对象问题
weixin_56607530的博客
08-17 190
2和3是需要在自定义过滤器中注入对象的解决办法。1是自定义过滤器导致annon失效
shiro过滤器失效
qq_38838006的博客
01-29 743
shiro过滤器失效
jeecgboot中浏览器直接输入 url 地址 后端shiro验证不通过- 没有携带token
最新发布
luolai的专栏
05-20 346
后端版本 jeecg-boot: 🔥「企业级低代码平台」前后端分离架构SpringBoot 2.x3.x,SpringCloud,Ant Design&Vue,Mybatis,Shiro,JWT。强大的代码生成器让前后端代码一键生成,无需写任何代码! 引领新的开发模式OnlineCoding->代码生成->手工MERGE,帮助Java项目解决70%重复工作,让开发更关注业务,既能快速提高效率,帮助公司节省成本,同时又不失灵活性。 - Gitee.com 前端 vue2版本 -最新版本: 3.4.3参考资料
Shiro的内置过滤器没有生效
m0_54853420的博客
08-24 970
在学习shiro时,对某些访问路径设置过滤器,如。但是设置好后没有生效,没有拦截成功,后来发现是类。交给spring管理,加上该注解,拦截成功。
Shiro 过滤器 anno 配置未生效,请求仍被拦截
weixin_40559666的博客
06-01 1217
项目Springboot +shiro +Gateway。
Apache shiro 1.13.0源码
01-17
在 web 应用中,可以通过配置 `shiro.ini` 或者 `Web.xml` 来定制过滤器。 6. **Caching**:Shiro 支持缓存管理,可以缓存认证和授权信息,提高性能。 7. **Testing**:源码中包含了测试用例,帮助开发者理解和...
shiro之记住登录信息
08-29
`FormAuthenticationFilter` 是处理登录请求的过滤器,其中 `rememberMeParam` 属性指定了请求参数名称,即“记住我”的标识,通常为 `rememberMe`。如果该参数为 `true`,Shiro 就会开启 RememberMe 功能。 6. **...
springboot-shiro
08-01
2. 配置Shiro:创建`shiro.ini`或在`application.yml`中配置Shiro的基本设置,如 Realm 类、过滤器链等。 3. 创建Realm:自定义 Realm 类,继承自 `AuthorizingRealm`,实现用户的认证和授权逻辑。 4. 配置Filter...
springboot简单的shiro代码
12-30
7. **过滤器(Filter)**:Shiro的核心之一是过滤器链,它定义了请求处理的顺序。常见的过滤器有:`authc`(认证过滤器)、`perms`(权限过滤器)、`roles`(角色过滤器)等,通过配置这些过滤器可以实现权限控制。 8. **...
shiro放行失效,自定义注解实现接口跳过登录校验
mqq2502513332的博客
12-12 3229
shiro放行失效,自定义注解实现接口跳过登录校验 文章目录shiro放行失效,自定义注解实现接口跳过登录校验shiro过滤器放行失败自定义@NoAuthentication注解放行接口1.新建一个NoAuthentication注解类2. 调用注解3.注解使用 shiro过滤器放行失败 起因是我shiro过滤器不生效,所有接口都被拦截,直接进入jwtFilter超级烦啊,起笔之前还是没解决,shiroFilter如下: @Bean("shiroFilter") public ShiroFilt
Spring Boot 使用shiro 总是拦截不成功
2301_77484585的博客
03-05 565
Shiro已经提供了适配Servlet 5.0 的依赖包,使用<classifier>标签即可选取适配版本,不过部分Shiro包中仍嵌套依赖了一些没有适配jakarta的依赖包,所以我们需要使用<exclude>将其排除,再引入同版本的jakarta适配包。原文链接:https://blog.csdn.net/weixin_43492211/article/details/131217344。
添加shiro拦截器之后,放行无效
weixin_52798101的博客
08-23 825
添加shiro拦截器之后,放行无效。
Spring Boot 使用Shrio出现过滤地址无效的问题
qq_24393965的博客
12-18 1629
在Spring Boot中配置Shiro的时候使用@Configuration,按照网上的某些文章设置 ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); Map&lt;String, String&gt; filterChainDefinitionMap = new HashMap&l...
Shiro 放行静态资源,以及失效的一些解决方法
m0_54850825的博客
08-24 1582
那前端应该怎么写静态资源的路径嘞,这边贴出一部分代码,仅供参考(有时候前端接收访问不到资源可能就是一个“ / ”没写,害)尽管这样,还是有一些资源还是被拦截。我就因为这个问题耽误了太多时间了(心碎)。在配置文件中,如果把static放行了还是行不通,可以尝试将其他静态文件添加进去。后面查询资料发现原因在于hashmap是无序的,故这里最好用有序的——通常我们习惯将静态资源放在resource的static文件夹下面。
解决Shiro+SpringBoot自定义Filter不生效问题
w36680130的博客
12-11 1928
解决Shiro+SpringBoot自定义Filter不生效问题
shiro权限拦截失效
qq_39390482的博客
08-02 926
shiro权限拦截失效 shiro版本:1.7.1 原因1:配置错误 将拦截路径/* 修改为/** 就好了 拓展: 若有拦截失效的时候可以查看shiro源码, PathMatchingFilterChainResolver.getChain()这个类的方法。 通过打断点的方式查看具体是那一个路径判断失效了。 ...
springboot的shiro过滤器不生效
05-21
如果你的Spring Boot项目中Shiro过滤器不生效,可以按照以下步骤进行排查: 1. 确认Shiro依赖是否正确引入,可以在`pom.xml`文件中查看是否引入了Shiro相关依赖。 2. 确认Shiro的配置文件是否正确,可以检查`shiro.ini`或`shiro.yml`文件中的配置是否正确。 3. 确认Shiro过滤器链是否配置正确,可以在`ShiroConfig.java`文件中检查过滤器链是否正确配置。 4. 如果是Web项目,需要确保Shiro过滤器在`FilterRegistrationBean`中注册,可以在`WebAppConfig.java`文件中检查是否正确注册。 如果以上步骤都没有问题,可以通过在代码中打断点进行调试,查看Shiro过滤器是否被正确执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值