shiro与springboot整合原理

最新推荐文章于 2022-03-23 20:15:54 发布
最新推荐文章于 2022-03-23 20:15:54 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: shiro 深入浅出shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013995395/article/details/90715272
版权

首先在我们之前的chapter1文章中讲到shiro配置类中有这个方法:

   @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //拦截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/static/**", "anon");
        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout.html", "logout");
        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/**", "authc");
        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index.html");

        //未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403.html");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

就从这个方法开始讲shiro与springboot是如何整合在一起的。首先该方法中实例化了一个ShiroFilterFactoryBean,继承结构为:

可以明显看出,该类实现了Spring中的FactoryBean和BeanPostProcessor接口,来看看都做了那些事情

public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {
        //如果该bean实现了java.servlet.Filter接口,则把该bean添加到该类的内部变量
        //Map<String,Filter> filters;中,以后再传到过滤器链中
        if (bean instanceof Filter) {
          
            Filter filter = (Filter) bean;
         //如何该过滤器继承了AccessControlFilter,AuthenticationFilter,AuthorizationFilter
//而且没有更改默认的登录url,登录成功url,权限失败url,就设置成上面我们在配置类中传入的url,否则不用我们上面设置的url
            applyGlobalPropertiesIfNecessary(filter);
            getFilters().put(beanName, filter);
        } else {
           
        }
        return bean;
    }

    //没做啥事,直接返回
    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
        return bean;
    }

然后再看BeanFactory接口中的方法实现,此方法的主要目的是生成shiro的一个过滤器,拦截每一个request请求,该过滤器中又包含所有(shiro内部拦截器和我们自己添加进去的拦截器)拦截器。

 public Object getObject() throws Exception {
        if (instance == null) {
            instance = createInstance();
        }
        return instance;
    }

此方法主要验证securityManager实例的有效性,就是我们上面注入到ShiroFilterBeanFactory中的那个。然后,哈哈,这里会创建一个默认的过滤器链管理类,shiro内部自己实现的,这就涉及到了过滤器设计模式了。关于shiro这里的过滤器设计代码就不在这里分析了,会单独写篇文章分析。最后把securityManager和chainResolver传入SpringShiroFilter

  protected AbstractShiroFilter createInstance() throws Exception {

      
        SecurityManager securityManager = getSecurityManager();
        if (securityManager == null) {
         
            throw new BeanInitializationException(msg);
        }

        if (!(securityManager instanceof WebSecurityManager)) {
         
            throw new BeanInitializationException(msg);
        }

        FilterChainManager manager = createFilterChainManager();
        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
        chainResolver.setFilterChainManager(manager);    
        return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
    }

 

protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
            super();
            if (webSecurityManager == null) {
                throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
            }
            setSecurityManager(webSecurityManager);
            if (resolver != null) {
                setFilterChainResolver(resolver);
            }
        }

在哪里把SecurityManager保存在 ThreadContext 中的那 ?原来是执行Filter 的init方法的时候:

public final void init(FilterConfig filterConfig) throws ServletException {
        setFilterConfig(filterConfig);
        try {
            onFilterConfigSet();
        } catch (Exception e) {
            if (e instanceof ServletException) {
                throw (ServletException) e;
            } else {
                if (log.isErrorEnabled()) {
                    log.error("Unable to start Filter: [" + e.getMessage() + "].", e);
                }
                throw new ServletException(e);
            }
        }
    }
 protected final void onFilterConfigSet() throws Exception {
        //added in 1.2 for SHIRO-287:
        applyStaticSecurityManagerEnabledConfig();
        init();
        ensureSecurityManager();
        //added in 1.2 for SHIRO-287:
        if (isStaticSecurityManagerEnabled()) {
            SecurityUtils.setSecurityManager(getSecurityManager());
        }
    }

SecurityUtils.setSecurityManager(getSecurityManager());真想大白了,所以我们能过该工具类获取到SecurityManager

 

杨白云-001
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot-X:SpringBoot学习项目 目前已经融合Mybatis FreeMark ElasticSearch Shiro Logback ElasticSearch Aop Mail RestDocs Validate以及SpringBoot原理解析学习
05-08
You are what you want to be. SpringBoot-X Project:SpringBoot-X OfficialWebsite: describe:SpringBoot整合一些常见的 aop poi mysql log 整合等等 1、Spring Boot 简介 SpringBoot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。 该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 2014,martin fowler 微服务:架构风格(服务微化) 一个应用应该是一组小型服务;可以通过HTTP的方式进行互通; 单体应用:ALL IN ONE 微服务:每一个功能元素最终
权限控制框架shirospring整合详解
wonabi的博客
11-24 739
一.权限概述 1.权限控制的两个核心概念: 认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证功能-----让系统知道你是谁?? 授权:系统授予用户可以访问哪些功能的许可(证书)----让系统知道你能做什么?? 2.常见的权限控制方式 URL拦截权限控制,底层基于拦截器或者过滤器实现,原理图如下: 方法注解权限控制,底层基于代理技术实现,为action创建
Spring Boot 学习笔记(二)
tttlll123的博客
11-20 161
2017.11.20 SpringBootShiro配置 (1)pom文件的dependency org.apache.shiro shiro-spring 1.3.2 slf4j-api org.slf4j (2)在使用的Shiro的过程中,Shiro主要通过Subject的log
shiro filter在基于spring的web中的执行流程
sinat_33472737的博客
06-19 583
概述 我们知道filter都是通过doFilter方法处理相关逻辑。通过源码可以发现,shiro所有的filter的doFilter方法只有OncePerRequestFilter中有。OncePerRequestFilter也是我们平时所用到的shirofilter的抽象父类。且该方法是final的。 public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChai
2.shiro工作原理(以集成springboot为例)
cristianoxm的博客
02-12 1125
Shiro 提供了与 Web 集成的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制 ShiroFilter 类似于如 Strut2/SpringMVC 这种 web 框架的前端控制器,是安全控制的入口点,其负责读取配置(如ini 配置文件;springboot可使用注解配置类),然后判断URL 是否需要登录/权限等工作。 一、拦截请求链接 1.shi...
Shiro 报错 No SecurityManager accessible(汇总)
ystyaoshengting的专栏
09-13 6347
该错误是在shiro-core中的SecurityUtils类里面报的,该类的作用是 Accesses the currently accessible Subject for the calling code depending on runtime environment. 该类有三个重要的方法 文档中对该方法的介绍 getSubject();这个方法就很熟悉了,就是我们在sh...
spring集成shiro原理
wangjun5159的专栏
05-14 1293
在web工程web.xml中,需要配置shiroFilter,如下 <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter...
SHIRO工作流程及原理及在Spring中集成
TOMCAT
08-18 5281
1.最近接触了Shiro这一安全的框架: 这可以帮我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro可以基本功能分为如下: Authentication:身份认证/登录,验证用户是不是拥有相应的身份;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对
Java全栈工程师-Apache Shiro
06-22
本课程讲解Shiro三种使用方案,分为为原生用法,整合Spring用法,和整合SpringBoot的用法?本课程讲解Shrio结合数据库的RBAC表进行动态的用户认证和授权的实现过程该课程属于《Java全栈工程师》学习路线中的一门,...
wxw-springboot::heart_with_arrow: Spring Boot 与各种组件整合项目.包括Docker打包发布阿里云服务器,Dubbo整合Zookeeper, 最新版ES的高级客户端和低级客户端基本使用,RocketMQ消息发布和订阅案例,权限控制shiro框架,任务调度框架 xxl-Job等工具,持续更新
04-13
wxw-springboot 以Java语言为主的各种项目实践,涵盖各个业务、各个功能 前言 现在市面上关于Java的教程和技术文章很多,其中有许多文章一上来就讲底层原理,这无疑给一些新手在理解上增加了难度,理解底层原理的...
Shiro原理+配置
05-25
三个核心组件:Subject, SecurityManager 和 Realms. Subject:即"当前操作用户"。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着"当前跟软件交互的东西"。但考虑到大多数目的和用途,你可以把它认为是Shiro的"用户"概念。 Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 Realm: Realm充当了Shiro与应用安全数据间的"桥梁"或者"连接器"。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
spring-boot-example:Spring Boot示例代码,附有博客文章,包含以下内容:配置讲解、日志、Druid、JPA、MyBatis、启动原理、数据校验、异常处理、定时任务、缓存、MQ、ElasticSearch、Spring Security、Shiro
05-14
Springboot学习示例 博客文章链接 (15)Spring Boot2.0 和邮件 (16)Spring Boot2.0 整合Spring Security (17)Spring Boot2.0 整合Shiro (18)Spring Boot2.0 与监控管理
狂神说上课笔记未删减 Java基础到技术升级
08-09
25、SpringBoot入门及原理 26、SpringBoot操作数据库 27、SpringBoot开发单体应用 28、SpringBootWeb开发提升(Swagger) 29、SpringSecurity权限控制 30、整合Dubbo+Zookeeper 31、Shiro 32、...
springboot整合shiro 配置详解及原理分析
fl8545的博客
03-23 1708
springboot整合shiro+jwt实现前后端分离认证授权前言问题ShiroFilter什么是ShiroFilterSecurityManager什么是SecurityManager?ShiroConfig写在前面的话:ShiroConfig类:CustomRealm类:shiroConfig原理 前言 最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合SpringBoot
SpringBootShiro的实现和基本原理分析
qq_42332204的博客
05-17 1222
简述 ​ Shiro由Apache开发,是一个轻量级的java安全和权限框架。相较SpringSecurity,Shiro的更加简单且与Spring无直接依赖关系,可以搭配其他的java框架进行开发更加灵活。 功能 Shiro功能图示 Authentication 认证功能 对用户进行身份验证,判断用户是否拥有某个具体存在的用户身份。 Authorization 授权功能 授权,对已经认证的用户进行权限验证,判断用户是否拥有权限执行相应的操作。此功能需要在认证以后才能使用。 Sess
Spring Boot Shiro原理系列
热门推荐
悟纤学院
04-06 2万+
 ====================================================Spring   Boot    Shiro 视频实战篇=================================================== à Spring Boot实战篇之Shirohttp://study.163.com/course/courseMain.htm?co...
SpringBootShiro安全框架深入解析
|-| [- |_ |_ ()
10-06 5578
最近在学习Shiro安全框架的使用,深入研究其原理,让自己更得心应手的使用这个框架。 内容目录 Shiro的整体架构介绍 框架验证流程与原理分析 Url匹配模式 加密机制 缓存机制 1.Shiro的整体架构介绍  1.1从使用者角度看Shiro架构 ApplicationCode为客户端,在Web环境中为登录的Controller,使用者只需要创建一个Subject对象,调用其...
谈谈Shiro原理及在SSM和SpringBoot两种环境下的使用姿势(上篇)
weixin_34417200的博客
12-16 146
title: 谈谈Shiro原理及在SSM和SpringBoot两种环境下的使用姿势(上篇) categories: Spring tags: Shiro使用 本篇主要是记录关于Shiro进行认证和授权的大致原理,然后是单独在Shiro中实现认证和授权的方式。最后主要说明在传统SSM的工程中使用Shiro和在SpringBoot的工程中使用Shiro进行整合。关于认证和授权,我这里采用...
shiro @RequiresPermissions设计与 实现
u013995395的博客
05-31 3946
本篇主要以@RequiresPermissions 注解为例,讲解shiro中如何设计与实现 首先定义注解 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RequiresPermissions { /** * Th...
shiro整合springboot
最新发布
07-28
对于使用Shiro整合Spring Boot,你可以按照以下步骤进行操作: 1. 添加Shiro依赖:在你的Spring Boot项目的pom.xml文件中添加Shiro的依赖。你可以在Maven中央仓库中找到最新版本的Shiro依赖。 2. 配置Shiro:创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值