Shiro原理解析(一)--过滤器的初始化

最新推荐文章于 2021-12-30 13:31:09 发布
最新推荐文章于 2021-12-30 13:31:09 发布
阅读量285 收藏 1
点赞数
文章标签: 数据结构与算法 后端 java
原文链接:https://juejin.im/post/5c8b095ce51d4566fa08fa98
版权

前言

shiro是apche的一个开源权限框架,本人学习的同时准备记录一下阅读源码的过程,出一个关于shiro的源码解析系列文章,其中主要包括过滤器,Subject的创建与维护,Session的管理,登录授权的流程,缓存管理。同时熟悉这些之后再基于shiro来进行改造以适应于restful以及jwtToken的技术方案

谁适合读本篇文章

如果您从未使用过shiro,那么本篇文章可能不适合您(shiro使用教程友情跳转:shiro.apache.org/documentati…),本文假设读者已经掌握了shiro的基本使用,并想进一步探索shiro的原理。

本文的内容总览

本篇为该系列的第一章,解析shiro过滤器的实现原理,主要分为两个部分,第一部分解析spring启动时shiro过滤器的初始化过程,第二部分解析前端发起一个请求后端过滤器权限验证的流程。由于篇幅过长,本文仅讲解第一部分:Filter的初始化过程。第二部分Filter的过滤流程见下一篇博文

Filter的初始化

这个部分宏观上来讲,只做了一个工作,就是构建了ShiroFilter。首先给出shiroFilter的配置文件spring-shiro.xml

1、首先根据spring-shiro.xml的配置作为入口,看看这个Filter是如何构建出来的。(本文的示例工程代码地址: github.com/liuruojing/…)

2、这是一个Filter工厂类,所以找到他创建实例的方法。同时需要注意一下他的成员变量,filters是自定义的过滤器,filterChainDefinitionMap是过滤链的配置,loginUrl是登录地址,这些都是在spring-shiro.xml中配置的

注:174行开始创建过滤链管理器

3、点击方法,看看是如何创建这个过滤链管理器的,主要包含三步:
1、添加默认的过滤器
2、添加自定义的过滤器
3、构建过滤链

注:第368行中new了一个DefultFilterChainManager,点进构造方法,初始化两个成员变量filters,和filterChains。并将默认的过滤器添加到其中

回到第3步的371行,这里为每个filter设置了一些我们配置的参数

回到第3步的376-389行,将我们自定义的拦截器初始化配置并添加到DefaultFilterChainManager中,至此,我们的所有过滤器们(包括默认的以及我们自定义的)已经全部初始化完了,都存在DefaultFilterChainManager中。

4、继续看392行,现在开始初始化FilterChains(构建过滤链) 这里392行获取我们所配置的权限列表,例如(/user/**=authc,perms[user:add,user:delete],这里等号左边表路径,perms是拦截器名称,user:add是需要的权限),这里开始遍历map,解析每条配置

点进397行createChain(url,"authc,perms[user:add,user:delete]")方法,在第140行首先对authc,perms[user:add,user:delete]进行切分,切分后结果为string[0]=authc,string[1]=perms[user:add,user:delete],然后在144行对切分后的字符串循环遍历进行操作,以perms[user:add,user:delete]为例。145行返回string[0]=perms,string[1]=user:add,user:delete。最后调用148行添加过滤链,chainName=url,nameConfigPair[0]为过滤器名,nameConfigPair[1]为过滤器针对这个url的配置

点进148行的addToChain方法,方法中263行得到对应的过滤器,270行将配置加到filter里,这里就是对user:add,user:delete解析的过程

过滤器配置完后,272行确认一下是否有对应的过滤器链表,没有的话新建一个,然后将新的过滤器添加到链表尾部

一步一步的解析完所有的权限配置后,最终如filterChains数据结构,这里debug看到结果,最终渲染成如下的数据结构

画出对应的数据结构图如下

那么假如现在有个请求访问/user/add,调用filterChainManager.getchain("urlName")就会返回一个匹配的NamedFilterList过滤链。
6、可以看到,这样就建立了url与过滤器之间的关联。既然url已经与过滤链进行了关联,那么我们在处理时只需要将请求的url与我们配置的url进行一个逐条比对,就可以获取到这个过滤链了。可见我们还需要一个PathMacher(路径比对器),现在回到第2步中的175-176行,这里他为我们new了一个PathMatchingFilterChainResolver,看看这个类,构造方法里面就有了一个默认的AntMathMatcher(这是一个ant风格的路径匹配器),并把filterChainManager注入到了里面,对上层调用者提供了一层封装,调用者只需要调永chainResolver.getChain(request)就可以获取到这个请求对应的过滤链了。

最后,将这个filterChainResolver注入到Filter中,完成了Filter的构建。下面给出四个主要类的具体类图

自此,shiroFilter已经初始化完毕,这个初始化过程中主要是构建了一个过滤链,提供了一个getChain()方法来获得过滤链。第二部分将讲解某一个请求后端过滤器权限验证的流程,具体解析获取过滤链,如何执行过滤链,以及自定义过滤器被调用的过滤方法等等

weixin_34107955
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring-shiro-Boot-5 shiro过滤器原理与结构
良之才的专栏
03-16 890
在Restful方式登陆的时候,需要自定义一个拦截器。 用来在参数中或者header里加参数login-token作为登陆凭证。 shiro本身提供了足够多的过滤器,日常在使用的过程中可以在这些过滤器的基础上进行改造,自定义出对应的过滤器。 一、shiro提供的过滤器 ...
Shiro 基本过滤器
尚硅谷铁杆粉丝的博客
12-07 604
Shiro拦截器的基础类图: 1、NameableFilter:NameableFilter给Filter起个名字,如果没有设置默认就是FilterName;还记得之前的如authc吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;   2、OncePerRequestFilter:OncePerRequestFilter用于防止多次执行Filter的;也就是说一次请求只会走一...
安全认证框架Shiro (二)- shiro过滤器工作原理
陈袁的博客
11-15 2万+
安全认证框架Shiro (二)- shiro过滤器工作原理 安全认证框架Shiro 二- shiro过滤器工作原理 第一前言 第二ShiroFilterFactoryBean入口 第三请求到来解析过程 第四过滤器执行原理 第五总结第一:前言由于工作原因,写上篇文章安全认证框架Shiro (一)- ini配置文件过了好久,这里补上Shiro的后续学习经历。第二:ShiroFilterFactoryBe
shiro源码分析之shiroFilter初始化过程
光着脚丫、走的专栏
03-15 2206
shiro源码分析之shiroFilter初始化过程1、首先看使用shiro(1.3.0)框架要使用的配置。 配置web.xml <!-- shiro 安全过滤器滤器 start--> <!-- Make sure any request you want accessible to Shiro is filtered. /* catches all --> <!-- requests. Usu
shiro过滤原理
lqzxpp的博客
12-18 646
项目中用了shiro很久了,但对于其执行原理一直没研究过。后来在项目中做防盗链功能时候,因为不能拦截被shiro认证的白名单接口,不得不研究了shiro源码。 1、shiro首先是一个过滤器,filter基本功能肯定有。 我们知道filter最重要的一个接口是 void doFilter(ServletRequest request, ServletR...
Shiro原理解析(二)--过滤器的执行机制
weixin_34138377的博客
03-18 580
前言 上一篇博文主要讲了SpringShiroFilter的初始化过程,这篇文章主要解析SpringShir Filter在处理请求时做了些什么。 概述 SpringShiroFilter处理请求的中心思想是获取某个请求对应的shiroFilterChain,并添加到javaEE规范的FilterChian中,从而使得配置的过滤器能够被调用,具体怎么做到的,我们看正文的解析 正文 首先,还是先给出...
Shiro原理解析(三)--再谈过滤器
weixin_33836223的博客
03-27 159
前言 前面两篇文章主要讲了SpringShiroFilter的初始化以及doFilter方法。总结一下:初始化的主要操作是根据配置构建所有url对应的过滤链,doFilter()方法将url对应的过滤链添加到javaEE原生的的过滤器中。 本篇文章的内容 本篇文章主要解析具体的Filter是如何处理鉴权的(即如何判断某个用户是否有权限访问该url)。本篇文章一PermissionsAuthoriz...
Servlet 常用的方法 生命周期 过滤器Servlet 监听器Servlet
嘭嘭啊啊啊的博客
07-11 305
Servlet: 两个常用的方法: 创建一个Servlet程序: Servlet的生命周期: 过滤器Servlet: 监听器Servlet:
Shiro原理讲解
qq_42814833的博客
12-30 5180
从请求的开始,到Subject的创建、认证、授权、会话。本文讲述shiro对web请求的安全处理、SecurityManager的工作流程、shiro如何制作一个带有会话的角色。大致说明shiro的工作流程和讲解部分源码。
ShiroFilterFactoryBean源码及拦截原理深入分析
热门推荐
懒人的博客
03-12 3万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。而要在Spring中使用Shiro的话,可在web.xml中配置一个DelegatingFil
shiro核心拦截器ShiroFilter工作原理
安分_pingping
05-16 2056
ShiroFilter工作原理:* Shiro提供了与Web集成,其通过ShiroFilter入口来拦截需要安全控制的url,然后进行相应的权限控制。* ShiroFilter类似于Struts2/SpringMVC这种Web前端框架的前端控制器,是安全控制的入口点,其负责是读取配置(如ini文件),然后判断权限是否需要登录/权限等工。1).因为我们在applicationContext.xml中...
shiro 认证filter 的原理
xiaoliuliu2050的专栏
02-08 1万+
正常情况下,如果我们只是简单的用户名,密码登录,则我们做认证 只要配置默认认证过滤器就好了, 如下: 1   配置文件配置登录认证 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" va
shiro 过滤器 Filter 修改请求url
dgh112233的博客
09-06 1894
shiro框架中有拦截器(过滤器)Filter机制,先将我们的request请求进行匹配,如果匹配成功,则执行相应的Filter,如果不匹配,则放行,让Servlet的拦截器去匹配,执行相应的Controller。 Filter修改request的url,让Filter授权失败了,还能继续访问我们的一个Controller层 接口。 protected boolean isAccessAll...
使用shiro拦截器链实现权限管理
Ybt_c_index的博客
12-04 1万+
在开篇之前,先介绍一下shiro,那么什么是shiro呢? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。
shiro过滤器详解分析
weixin_34177064的博客
03-11 1217
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
shiro的Subject对象创建过程
你就像甜甜的益达
01-05 1745
文章目录Subject是怎么创建的Subject创建入口具体创建subject方法返回Subject Subject是怎么创建的 首先前面讲了,shiro其实就是一连串的过滤器链,过滤器链的话就是依次执行doFilter方法:我们直接找doFilter的shiro包的实现: 注意,spring包也有个叫做OncePerRequestFilter的类; Subject创建入口 我们看OncePer...
shiroFilter生命周期
祈祷之手
06-27 2143
基本说明 filter执行的是代理bean的id为shiroFilter相应的方法 接下来看看 shiroFilter 是什么 再来分析shiroFilter 这个实现了 javax.servlet.Filter 的生命周期 spring 配置信息 &amp;lt;bean id=&quot;shiroFilter&quot; class=&quot;org.apache.shiro.spring.web.Shir...
Shiro中的filter
chennei5176的博客
04-08 478
DefaultFilter shiro中提供的默认filter FilterChainManager 通过配置创建对应的filterChain Shiro通过此配置可初始化FilterChainManager中的filterChain,结构为 url ->filter列表...
spring 集成shiro 之 自定义过滤器shiroFilter
coffeehot的专栏
11-26 788
转:http://blog.csdn.net/shuishouhcd/article/details/9077379   最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理。               shiro对我来说是个新东西,以下是我学习过的内容:               http://shiro.apache.org/authorization....
shiro-spring-boot-starter
最新发布
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值