SpringBoot1.5.12升级至2.1.9过程中,由DipatcherType引发的ShiroFilter失效问题

最新推荐文章于 2024-04-07 22:00:55 发布
最新推荐文章于 2024-04-07 22:00:55 发布
阅读量672 收藏 1
点赞数 1
分类专栏: 工作反思 文章标签: spring boot shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weilaizhixing007/article/details/108420034
版权

目录

背景

问题定位

源码分析

官方文档说明

Dispatcher的作用和影响

再看FilterChain

小结

参考文档

背景

公司有个项目从SpringBoot 1.5.12升级到2.1.9,POM版本修改完成访问项目域名http://ww.xxxx.com/ 直接500。后台日志显示无法Shiro无法从上下文中获取SecurityManager。后来试试别的地址http://www.xxxx.com/admin/test 居然访问正常。查看ShiroFilter的配置: url-pattern /* 。后来发现有个Filter,存在如下代码

request.getDispatcher("/").forward(request,response);

注释掉该行,发现很多功能居然是正常的。也就意味着forward() 时,并未通过ShiroFilter处理。

问题定位

(1)比对升级前后,FilterChain中Filter的数量、类型、顺序,没有问题;

(2)比对实际走过的Filter,发现运行上面那行代码后,实际走过的Filter数量从20个锐减为3个,当时有种见鬼了的感觉。

(3)有个细心的小伙伴发现,Forward后的请求在获取FilterChain时,居然要考虑dispatcher属性是否匹配;排查发现SB 2.1.9中在Filter注册时,设置了Filter的dispatcherType为REQUEST。而在SB 1.5.12中居然是一组值。抱着试试的态度,把除了DisatcherType.ASYNC外的其他值全部设置给ShiroFilter,功能全部正常了。

源码分析

比较两个版本中Filter的注册类AbstractFilterRegistrationBean,SpringBoot 2.1.9实现如下。


    /** 
     * SpringBoot 2.1.9
	 * Configure registration settings. Subclasses can override this method to perform
	 * additional configuration if required.
	 * @param registration the registration
	 */
	@Override
	protected void configure(FilterRegistration.Dynamic registration) {
		super.configure(registration);
        // dispatcherType赋值
		EnumSet<DispatcherType> dispatcherTypes = this.dispatcherTypes;
		if (dispatcherTypes == null) {
			dispatcherTypes = EnumSet.of(DispatcherType.REQUEST);
		}

		Set<String> servletNames = new LinkedHashSet<>();
		for (ServletRegistrationBean<?> servletRegistrationBean : this.servletRegistrationBeans) {
			servletNames.add(servletRegistrationBean.getServletName());
		}
		servletNames.addAll(this.servletNames);
		if (servletNames.isEmpty() && this.urlPatterns.isEmpty()) {
			registration.addMappingForUrlPatterns(dispatcherTypes, this.matchAfter, DEFAULT_URL_MAPPINGS);
		}
		else {
			if (!servletNames.isEmpty()) {
				registration.addMappingForServletNames(dispatcherTypes, this.matchAfter,
						StringUtils.toStringArray(servletNames));
			}
			if (!this.urlPatterns.isEmpty()) {
				registration.addMappingForUrlPatterns(dispatcherTypes, this.matchAfter,
						StringUtils.toStringArray(this.urlPatterns));
			}
		}
	}

SB 1.5.12实现如下


/**
 * SpringBoot 1.5.12-RELEASE
 */
protected void configure(Dynamic registration) {
        super.configure(registration);
        // 关键差异
        EnumSet<DispatcherType> dispatcherTypes = this.dispatcherTypes;
        if (dispatcherTypes == null) {
            dispatcherTypes = this.isAsyncSupported() ? ASYNC_DISPATCHER_TYPES : NON_ASYNC_DISPATCHER_TYPES;
        }


        Set<String> servletNames = new LinkedHashSet();
        Iterator var4 = this.servletRegistrationBeans.iterator();

        while(var4.hasNext()) {
            ServletRegistrationBean servletRegistrationBean = (ServletRegistrationBean)var4.next();
            servletNames.add(servletRegistrationBean.getServletName());
        }

        servletNames.addAll(this.servletNames);
        if (servletNames.isEmpty() && this.urlPatterns.isEmpty()) {
            this.logger.info("Mapping filter: '" + registration.getName() + "' to: " + Arrays.asList(DEFAULT_URL_MAPPINGS));
            registration.addMappingForUrlPatterns(dispatcherTypes, this.matchAfter, DEFAULT_URL_MAPPINGS);
        } else {
            if (!servletNames.isEmpty()) {
                this.logger.info("Mapping filter: '" + registration.getName() + "' to servlets: " + servletNames);
                registration.addMappingForServletNames(dispatcherTypes, this.matchAfter, (String[])servletNames.toArray(new String[servletNames.size()]));
            }

            if (!this.urlPatterns.isEmpty()) {
                this.logger.info("Mapping filter: '" + registration.getName() + "' to urls: " + this.urlPatterns);
                registration.addMappingForUrlPatterns(dispatcherTypes, this.matchAfter, (String[])this.urlPatterns.toArray(new String[this.urlPatterns.size()]));
            }
        }

    }
}

正是由于SB1.5.12支持的dispatcherType中包含FORWARD,因此在forward("/")后通过ShiroFilter,所以没有问题。

官方文档说明

在SpringBoot2.1.9的文档中特别说明,如下图所示:

SpringBoot2.1.9说明

但是在SpringBoot2.1.9之前的文档中相关章节并未特别说明,以2.1.8为例仅说明此种Filter的顺序是如何设置的如下图所示:

Registering Servlets, Filters, and Listeners as Spring Beans

Dispatcher的作用和影响

想到此种调整必是规范要求,于是阅读了Java Servlet 3.1 规范中关于DispatcherType的说明,比较精华的一段摘录如下

public DispatcherType getDispatcherType() -
 
// 返回request的DispatcherType
Returns the dispatcher type of a request.
 
// 容器使用dispatcher type来判断需要应用的过滤器。
The dispatcher type of a request is used by the container to select the filters that need to be applied to the request.
 
// 只有dispatcherType和url pattern都匹配的filter才会被应用;
Only filters with the matching dispatcher type and url patterns will be applied.
 
// 考虑到Filter可以配置为支持多个dispatcher type,这样就可以通过dipatcher type来差异化处理请求
Allowing a filter that has been configured for multiple dispatcher types to query a request for
  it’s dispatcher type allows the filter to process the request differently depending on it’s dispatcher type.
 
// 一个请求的dispatcher type 初始值为 REQUEST
The initial dispatcher type of a request is defined as DispatcherType.REQUEST .
 
// forward() 方法产生请求的dispatcher type 为 FORWARD, include() 方法产生请求的dispatcher type为INCLUDE,基于AsyncContext 产生请求的dispatcher type 为 ASYNC
The dispatcher type of a request dispatched via RequestDispatcher.forward(ServletRequest, ServletResponse) or RequestDispatcher.include(ServletRequest, ServletResponse) is given as DispatcherType.FORWARD or DispatcherType.INCLUDE respectively, while a dispatcher type of an asynchronous request dispatched via one of the AsyncContext.dispatch methods is given as DispatcherType.ASYNC .
 
// 最终被dispatch到容器错误处理机制请求的dispatcher type为 ERROR
Finally the dispatcher type of a request dispatched to an error page by the container’s error handling mechanism is given as DispatcherType.ERROR .

简单说就是Filter的选择是基于Filter的url-pattern和dispatcherType 与 request的url和dispatcher是否匹配来选择。一个request在dispatcher过程中其dispatcher type会发生变化。

再看FilterChain

(1)首先FilterChain是一个典型的责任链模式,但在实际的工程中却大不相同;比如责任链中增加类似suppor的函数,实现遍历检查,但实际起作用的仅有1个;再比如Java Web中的filter中sessionFilter和ShiroFilter需要两者组合生效;

(2)以往理解的FilterChain是一个静态的,当url-pattern=/*时,所有请求要面对的FilterChain是一样的。但是现在有个一个二次筛选机制,实际每个请求的FilterChain是动态的;

(3)阅读SpringBoot 2.1.9内嵌Tomcat源码对应的一次forward()处理过程。

场景设定:

Servlet A的url为/a,

Servlet B的url为/b,

图中假设用户请求/a,并在Servlet A中调用 request.getDispatcher("/b").forward(request,response),过程涵盖从ApplicationDispatcher对象创建FilterChain并执行,直到请求响应完成。

小结

本文以DispatcherType为切入点,介绍了Dispatcher的作用场景,以及由此发现FilterChain的动态性。与个人而言,解决了一个工作中的问题,在此记录希望对其他人能够有所帮助。

参考文档

1. SpringBoot各版本参考文档 

https://docs.spring.io/spring-boot/docs/

2. SpringBoot2.1.9 基于SpringBean添加Servlet,Filter,Listener  

https://docs.spring.io/spring-boot/docs/2.1.9.RELEASE/reference/html/howto-embedded-web-servers.html#howto-add-a-servlet-filter-or-listener-as-spring-bean

3. Java Servlet 3.1规范 

https://download.oracle.com/otn-pub/jcp/servlet-3_1-fr-eval-spec/servlet-3_1-final.pdf

4. 时序图基于markdown语言编写,通过Visual Studio Code+Markdown Preview Enchener插件预览后截图而成;

FA-117
关注
专栏目录
SpringBoot版本升级问题记录
lierjun 的专栏
06-18 1287
项目场景: springboot项目 1.5.2升级到2.3.0 问题: 1、项目版本升级之后,发现所有的 .do请求都变成了404 解决方法: springboot1.x的版本,访问.do后缀的请求无需特别配置,但是在springboot2.0x之后,默认不支持带后缀.do,如果需要支持.do后缀的请求,需要在application.properties开启如下配置 spring.mvc.pathmatch.use-suffix-pattern=true ...
Spring boot1.5升级2.1.5遇到得问题
yanchangyufan的专栏
03-26 5299
最近项目需要,需要将springboot1.5升级2.1.5,但是在发现很多问题,稍微没有注意,够自己在开发弄一天得了。还有一点,就是平四开发过程,一定需要下班后总结自己,总结自己为什么今天弄了啥,为什么这样弄,为什么效率没有得到提高,这样应该对自己也是一种鞭策,会得到一定得提升。下面说说升级过程遇到得问题吧。 一:yml配置文件数据库变化 以前基本都是这样写, spri...
req.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(req, rep);失效小结
csdn_hsr的博客
01-18 3101
在登陆拦截器里判断了需要拦截的请求的token是否有效,以及用户是否被密码复位、复位了再去请求接口需要转到登录页(项目需求)等,前端将token放在每个ajax请求头里,在springmvc配置文件配置拦截器: &lt;!-- 配置拦截器 --&gt; &lt;mvc:interceptors&gt; &lt;mvc:interceptor&gt; ...
struts2 dispatcher、redirect和chain三种result type的使用区别
07-28 7027
dispatcher:用于页面转发,页面跳转过程一直是同一个线程,Action的数据一直保存在。redirect:可用于返回一个页面、一个action、链接到一个网址。       缺点:redirect把一个http返回码(SUCCESS)以及返回的页面位置一起重新发给web
Spring及Servlet 3.0的FilterDispatcherType
zollty的专栏
12-30 2665
Servlet的触发方式,DispatcherType ,include和forward区别,Spring所有的Filter都继承了OncePerRequestFilter,为什么呢?DispatcherType = REQUEST
SpringBootFilter没有生效原因排查
weixin_43949083的博客
02-05 2762
Servlet 3.0 开始在 javax.servlet.annotation 包下提供 3 个对应的 @WebServlet、@WebFilter、@WebListener 注解来简化操作,@WebServlet、@WebFilter、@WebListener 写在对应的 Servlet、Filter、Listener 类上作为标识,从而不需要在 web.xml 进行配置了。
Spring bootFilter注入Bean失败 但是在本地是好的
yueding_h的博客
04-12 1576
通过查询找到原因为:web应用启动的顺序是:listener-&gt;filter-&gt;servlet,而因为项目应用了springboot,所以我们项目启动时,先初始化listener,因此注解的bean会被初始化和注入;然后再来就filter的初始化,再接着才到我们的dispathServlet的初始化,因此,当我们需要在filter里注入一个注解的bean时,就会注入失败,因为filte...
SpringBoot 1.5.12单体架构升级微服务SAAS化记录
u013645689的博客
06-18 686
项目场景: 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 问题描述: 提示:这里描述项目遇到的问题: 例如:数据传输过程数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 接收数据代码: @Override public void run() { bytes = mmInStream.read(buffer); mHandler.obtainMessage(READ_DATA, bytes,
Spring Boot项目升级1.5.22升级至2.x的编译问题总结
知行合一 止于至善
09-04 1421
这篇文章记录一下Spring Boot 1.5.22升级至2.x的一些编译问题和对应方法。
springboot源码1.5.12.RELEASE
10-20
springboot springboot源码1.5.12.RELEASE springboot源码1.5.12.RELEASE 源码 springboot springboot源码1.5.12.RELEASE springboot源码1.5.12.RELEASE 源码
SpringBoot整合Shiro + JWT实现用户认证
qq_44709990的博客
02-28 4380
SpringBoot整合Shiro + JWT实现用户认证   登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Shiro + JWT实现登录及用户认证   Shiro相较于Spring Security而言是一款轻量级的安全框架,使用它我们可以不在数据库设计权限相关的表,如果我们只需要处理匿名可访问接口和登录后可访问接口,那么使用Shiro将会很方便。在之前的博客里,我介绍了Spring Security的使用,以及JWT的由来等,有需要的可以传送: 【全网最细致
shiro基础(一)shiroFilter
m0_59092234的博客
04-07 389
一、功能简介 shirojava的一个安全(权限)框架,不仅可以用于javaSE环境,还可以用于javaEE环境。shiro可以完成认证、授权、加密、会话管理、缓存等功能。 Authentication:身份认证/登录。 Authorization:授权,即权限验证。 Session Manager:会话管理 Crpytography:加密 Web Support:Web集成 Remember Me:记住我 二、shiro架构 shiro框架(从外部看) Subject:应用代码直接交互的对象,代
SpringBoot请求转发与重定向
最新发布
qq_43842093的博客
04-07 1821
但是可能由于B网址相对于A网址过于复杂,这样搜索引擎就会觉得网址A对用户更加友好,因而在重定向之后任然显示旧的网址A,但是显示网址B的内容。在平常使用手机的过程,有时候会发现网页上会有浮动的窗口,或者访问的页面不是正常的页面,这就可能是运营商通过某种方式篡改了用户正常访问的页面。重定向,是指在Nginx,重定向是指通过修改URL地址,将客户端的请求重定向到另一个URL地址的过程,Nginx实现重定向的方式有多种,比如使用rewrite模块、return指令等。使用场景:在返回视图的前面加上。
filter不能处理forward的请求
silver9886的专栏
02-18 1163
针对每个filter写一个对应的FilterRegisterationBean类。 @Component public class LogFilter2Config extends FilterRegitsterationBean&lt;LogFilter2&gt;{ @Autowired private LogFilter2 logFilter2; @postCons...
request.getRequestDispatcher().forward()的妙用以及DispatcherTypeFilter配置的影响
shuxiaohua的博客
04-22 3178
背景 我们应用如上图所示,Nignx做负债均衡,微服务间使用feign进行调用。 为了方便鉴权Filter配置拦截的url以及nginx配置对外暴露的url,我们为所有服务设计了统一的url规范 类型 用途 v1/xx 给前端用的url v5/xx 内部接口,服务间调用 因此所有服务都未配置server.servlet.context-path 那么问题来了,现在我们要把服务从虚拟机迁移到docker。使用公司的docker需要有用于分发的文根,因为docker服务提供了公共域名
【源码分析】SpringBoot 异常处理流程
starchao
06-08 813
1、默认异常处理机制 默认情况下,SpringBoot 提供 /error 请求,来处理所有异常的。 浏览器客户端,请求头里的属性是Accept:text/html。表明它想要一个html类型的文本数据。因此返回的错误视图以HTML格式呈现,也就是响应一个“ whitelabel”错误视图。 如果是其他客户端,请求头里的属性是Accept:/,默认响应一个json数据 。 2、异常处理流程 介绍异常处理流程前,要先认识HandlerExceptionResolver:处理器异常解析器接口,可
学习Struts--Chap04:resulttype属性dispatcher、redirect、redirectAction、chain的区别
weixin_30532973的博客
12-20 170
1、Struts2框架常用的结果类型的分析和比较 dispatcher:缺省的result类型,type默认是dispatcher内部转发。如果不写type类型只写一个名字的话,不单是type类型默认,而且<param name="location">/XXX.jsp</param>的location也是默认的,而且默认的情况下location只能是页面,不能是另...
自定义struts2的Dispatcher加载方式
风中散发
01-15 703
1、struts2.1.3之前的版本:       继承org.apache.struts2.dispatcher.FilterDispatcher,并覆盖父类方法Dispatcher createDispatcher(FilterConfig filterConfig),代码如下: @Override protected Dispatcher createDispatcher(Fil
BOS项目01_04_搭建web环境、struts和spring的配置文件配置、struts的拦截映射dispatcher标签配置FORWARD的作用
小良的博客
03-12 305
系列文章目录 文章目录系列文章目录前言一、struts和spring的配置文件配置在web配置Struts在web.xml配置Spring的监听器二、struts的拦截映射配置FORWARD的作用总结 前言 一、struts和spring的配置文件配置 在web配置Struts 1.添加struts.xml配置文件 参考 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE struts PUBLIC "-//Apache Sof
获取Django 1.5.12版本下载链接
资源摘要信息:"Django 1.5.12是一个在2014年发布的老版本的Python Web框架,它主要由Web开发者社区所维护。Django是一个高级的Python框架,旨在快速开发安全且可维护的网站。它由经验丰富的开发者设计,并遵循MVC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值