shiro学习24-shiro提供的filter-AuthenticationFilter

最新推荐文章于 2024-12-03 15:26:48 发布
原创 最新推荐文章于 2024-12-03 15:26:48 发布
· 3.1k 阅读 · 2 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro

Shiro的AuthenticationFilter是一个抽象类,确保用户已登录。successUrl属性并非成功登录后的跳转地址,而是默认备用地址。实际场景中,如淘宝购物,登录后能返回原页面并保留状态,这是通过在session中保存上次请求信息实现的。在`WebUtils.redirectToSavedRequest()`方法中处理此逻辑。AuthenticationFilter为抽象类,未覆盖onAccessDenied方法,其子类如AuthenticatingFilter和PassThruAuthenticationFilter可能在特定场景下使用,但作者认为与实际生产环境有一定距离。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

AuthenticationFilter是个抽象类,需要当前用户必须登录。我们看一下他的isAccessAllowed方法:

protectedboolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        returnsubject.isAuthenticated();//判断是否登录。
}

 

 

里面有个successUrl属性,但是这个不是成功登录后跳转的地址,而是一个默认的地址。我们考虑一个在开发中经常用到的场景:我要在淘宝上买东西,在商品详情页输了买10个,但是点击确认后买后却是要求我们登录,然后登录后再跳转到当前的详情页,并且详情页的10依然存在,我之前就好奇他是怎么用一个通用的方法实现的,现在看了shiro的源码有了灵感。他的实现在shirowebutils中,我先透露一下,他是将上一次访问的urlmethod以及queryString放在了session中,然后再登录之后先检查在session中有没有之前放入的值,如果放入了就使用之前的url+method+queryString进行重定向。这里说这些只是说明这个类中的successUrl只是一个默认的,备份的路径,只有没有在session中存放的时候才会跳转到这个路径,他的javadoc上也进行了说明。

 

上面我说的这些在

org.apache.shiro.web.util.WebUtils.redirectToSavedRequest(ServletRequest, ServletResponse, String)方法中说明的,可以在我的博客中WebUtils中查看。

 

回到这个类里面,这个类是个抽象类,而且没有涉及到onAccessDenied方法,所以一定要注意。

我们继续看他的实现类:

·AuthenticatingFilter<!--[endif]-->

·PassThruAuthenticationFilter

其中在AuthenticatingFilter及其子类中我没有找到在实际中可能会用到的场景,我看了源码,但是觉得离实际生产差的很远,所以我没有记笔记,可能是我水平有限吧。

 

 

 

 

 

Shiro登录机制验证,自定义FormAuthenticationFilter
涛哥盛世
09-16 2万+
自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 问题描述 使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发 boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.execute
Shiro 入门教程 - Shiro OAuth2
smart_an的专栏
07-20 905
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 1805
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
Spring---apache.shiro--过滤器Filter---AuthenticationFilter抽象类
IT艺术家-rookie的博客
11-17 401
Base class for all Filters that require the current user to be authenticated. This class encapsulates the logic of checking whether a user is already authenticated in the system while subclasses are required to perform specific logic for unauthenticated r.
Shiro框架理解:身份验证(Authentication)及授权(Authorization)
最新发布
qq_67177419的博客
12-03 1015
shiro框架有身份验证授权会话管理以及加密等功能。下面是我对身份验证(Authentication) 和授权(Authorization)功能的解析。如有错误还大家评论区斧正。
Shiro源码分析----认证流程
云原生之家
12-18 6719
由于本文是基于源码分析Shiro认证流程,所以假设阅读者对Shiro已经有一定的了解,如果对Shiro还不大了解的话,推荐一下博文:跟我学Shiro目录贴 Apache Shiro作为一个优秀的权限框架,其最重要的两项工作:其一是认证,即解决登录的用户的身份是否合法;其二是用户登录后有什么样的权限。本文将基于Shiro源码来剖析Shiro的认证流程,只有深层次的理解Shiro认证流程,认
Shiro源码学习(三)常用Filter源码和继承关系
finalcola的博客
03-29 2054
Filter类别Shiro为我们提供了默认的几种拦截器,并且也支持我们通过继承来编写我们自定义的拦截器。Shiro中默认的拦截器有:其含义如下:anon:例子/admins/**=anon 没有参数,表示可以匿名使用。 authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数 roles:例子/admins/user/**=roles[admin],参数可以...
weasel-spring-shiro:些包封装了用户登录认证授权的动作,基于spring,shiro
07-10
`weasel-spring-shiro`提供了一套完善的认证流程,包括凭证匹配器(CredentialsMatcher)、身份验证过滤器(AuthenticationFilter)等,可以自定义策略来适应不同类型的凭证验证。 2. **授权(Authorization)**:...
Shiro学习笔记】二、Shiro过滤器执行链路梳理(认证和授权)
xiao_zhu_kuai_pao的博客
11-12 1341
PS:欢迎转载,但请注明出处,谢谢配合。 Shiro过滤器执行链路梳理一、前言二、Shiro过滤器是如何加入Spring容器中的三、过滤器作用1、认证过滤器(FormAuthenticationFilter)2、授权过滤器(RolesAuthorizationFilter)四、过滤器执行链路梳理五、认证和授权过滤器的执行优先级 一、前言 本文章主要针对认证过滤器(FormAuthenticationFilter)和授权过滤器(RolesAuthorizationFilter),说明Shiro过滤器拦截到.
06-自定义认证授权过滤器-自定义资源授权过滤器
weixin_44478828的博客
01-19 483
定义授权过滤器:新建com.itheima.security.filter.AuthenticationFilter。在com.itheima.security.config.SecurityConfig中配置。配置授权过滤器的执行顺序,SecurityConfig中配置。跳到security的内置登录页面。测试一下,携带token。不携带token访问。
理解这9大内置过滤器,才算是精通Shiro
yihuliunian的博客
05-15 497
转载自品略图书馆http://www.pinlue.com/article/2020/05/1319/4210511622653.html 我们都知道shiro是个认证权限框架,除了登录、退出逻辑我们需要侵入项目代码之外,验证用户是否已经登录、是否拥有权限的代码其实都是过滤器来完成的,可以这么说,shiro其实就是一个过滤器链集合。 那么今天我们详细讨论一下shiro底层到底给我们提供了多少默认的过滤器供我们使用,又都有什么用呢?带着问题,我们先去shiro官网看看对于默认过滤器集的说明。 h..
shiro中的过滤器
boker123的博客
08-08 2545
当我们需要使用 spring 中的过滤器时,通常通过继承 filter 接口或者使用@Webfilter注解实现。shiro中过滤器实现也是通过实现filter接口实现的,shiro中整个filter类结构如下图所示,最顶层的AbstractFilter 实现了filter接口。在DefaultFilter 枚举类中列出了shiro中常用的filter这个类重写了dofilter方法,用来保证每个请求只会被一个filter过滤一次,不会重复过滤 如果当前filter没有执行过过滤,默认会进入第二个if(那两
UsernamePasswordAutheticationFilter源码解读和实践
qq_45716444的博客
02-06 1111
SpringSecurity UsernamePasswordAuthenticationFilter ProviderManager AuthenticationManager AuthenticationProvider AbstractUserDetailsAuthenticationProvider DaoAuthenticationProvider UserDetailsService
详解Shiro认证流程
jiey0407的博客
08-31 1548
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。
shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
weixin_44593504的博客
08-24 834
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, String> filterChainDefinitionMap; <url,拦截器名>哪些路..
Shiro之FormAuthenticationFilter 源码分析
Zllvincent的博客
09-22 9070
一、简介 ssm application.xml 中配置相关认证过滤器后就会拦截web 请求并自动完成认证功能: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" value="/login" /> ...
shiro过滤器详解
si894438380的博客
01-27 1718
常用的过滤器为AuthenticationFilter,具体看一看它是怎么实现的。 先说一下servlet的过滤器链的规则: servlet中过滤器Filter只有三个方法,当我们自定义过滤器的时候需要实现: 主要就是doFilter方法,他的实现方式是这样子的: public void doFilter(ServletRequest request, ServletResponse response,FilterChain filterChain) throws IOException
第十节 Shiro内置的Filter过滤器讲解
菜鸟联盟
08-25 659
核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.filter.authc.AnonymousFilte..
shiroFilter
07-13
Shiro (Security Handler Interceptor Object) 是一个开源的身份与访问管理框架,它允许你在Java应用程序中实现安全控制。ShiroFilterShiro 的核心组件之一,它是一个基于过滤器(Filter)的设计模式,用于处理HTTP请求,实现权限控制、会话管理等功能。 ShiroFilter的工作原理是通过定义一组过滤链(FilterChain),每个过滤器对应特定的安全策略。当请求到达时,Shiro会按照预先配置的顺序执行这些过滤器。如果某个过滤器返回的是`DENY`,则请求会被拒绝;如果是`PERMIT`,则继续下一层过滤器,直到找到`ALLOW`或者过滤链结束。 以下是一个简单的ShiroFilter配置示例: ```xml <filter-chain-manager> <filters> <!-- 其他过滤器配置... --> <filter name="authc" class="org.apache.shiro.web.filter.authc.AuthenticationFilter"> <param name="loginUrl" value="/login"/> </filter> <filter name="logout" class="org.apache.shiro.web.filter.logout.LogoutFilter"> <param name="logoutSuccessUrl" value="/logoutSuccess"/> </filter> <!-- 添加自定义过滤器... --> <filter-chain> <filter-name>customFilter</filter-name> <filter-class>com.example.MyCustomFilter</filter-class> <!-- 可以添加其他filter到此链... --> <filter-ref>authc</filter-ref> <filter-ref>logout</filter-ref> </filter-chain> </filters> <filter-chains> <!-- 定义不同URL的过滤器链... --> <filter-chain id="unprotected" filters="/*"/> <filter-chain id="secured" filters="authc, roles【yourRole】"/> </filter-chains> </filter-chain-manager> ``` 在这个例子中,`/unprotected`路径不需要身份验证,而`/secured`路径需要登录并具有指定角色才能访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值