Spring-shiro-Boot-5 shiro中过滤器原理与结构

最新推荐文章于 2024-07-16 09:14:05 发布
最新推荐文章于 2024-07-16 09:14:05 发布
阅读量942 收藏
点赞数
分类专栏: Spring-shiro-Boot 文章标签: spring java restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lidongliangzhicai/article/details/123501245
版权
本文深入探讨了Apache Shiro框架中的过滤器原理,包括shiro提供的默认过滤器及其功能,如NameableFilter、OncePerRequestFilter、ShiroFilter、AdviceFilter、PathMatchingFilter和AccessControlFilter。通过分析这些过滤器的工作机制,了解如何在Restful登录场景下自定义拦截器,并基于shiro过滤器进行扩展和微调,以实现更精细的权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Restful方式登陆的时候,需要自定义一个拦截器。

用来在参数中或者header里加参数login-token作为登陆凭证。

shiro本身提供了足够多的过滤器,日常在使用的过程中可以在这些过滤器的基础上进行改造,自定义出对应的过滤器。

一、shiro提供的过滤器

在这里插入图片描述

在这里插入图片描述

二、过滤器原理

shiro提供了很多过滤器,基本足够日常使用,但是,可能还需要在这些过滤器上进行微调。

想要灵活做到微调,就得知道其原理才行。

(1)shiro过滤器的集成结构

在这里插入图片描述

(2)NameableFilter的作用

为Filter定义名字,比如shiro提供的authc,就行这个类中定义的名字。

(3)OncePerRequestFilter

为Filter进行防重复控制,确保一次请求只执行一次Filter。

提供enabled属性,设置过滤器是否开启。

(4)ShiroFilter

提供Shiro的入口点,让Filter纳入shiro。

(5)AdviceFilter

为Filter提供AOP支持。类似spring中的Interceptor。

//类似于AOP中的前置增强;
//在拦截器链执行之前执行;
//如果返回true则继续拦截器链;
//否则中断后续的拦截器链的执行直接返回;
//进行预处理(如基于表单的身份验证、授权)
boolean preHandle(ServletRequest request, ServletResponse response) throws Exception 


//类似于AOP中的后置返回增强;
//在拦截器链执行完成后执行;
//进行后处理(如记录执行时间之类的); 
void postHandle(ServletRequest request, ServletResponse response) throws Exception  


//类似于AOP中的后置最终增强;
//即不管有没有异常都会执行;
//可以进行清理资源(如接触Subject与线程的绑定之类的);
void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) throws Exception;

(6)PathMatchingFilter

为Filter提供基于Ant风格的请求路径匹配功能及拦截器参数解析的功能。

//该方法用于path与请求路径进行匹配的方法;如果匹配返回true;
boolean pathsMatch(String path, ServletRequest request) 


//在preHandle中,当pathsMatch匹配一个路径后,会调用opPreHandler方法并将路径绑定参数配置传给mappedValue;
//然后可以在这个方法中进行一些验证(如角色授权),如果验证失败可以返回false中断流程;
//默认返回true;也就是说子类可以只实现onPreHandle即可,无须实现preHandle。
//如果没有path与请求路径匹配,默认是通过的(即preHandle返回true)。
boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception

(7)AccessControlFilter

为Filter提供访问控制的基础功能;

比如是否允许访问/当访问拒绝时如何处理等;

//表示是否允许访问;
//mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false;
abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;  


//表示当访问拒绝时是否已经处理了;
//如果返回true表示需要继续处理;
//如果返回false表示该拦截器实例已经处理了,将直接返回即可。
boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;  
abstract boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception;

在父类的onPreHandle方法中,会将接口中定义的方法进行调用:

boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {  
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);  
}

除此之外,还提供了登录成功后/重定向到上一个请求:

//身份验证时使用,默认/login.jsp  
void setLoginUrl(String loginUrl) 

String getLoginUrl()  

//获取Subject实例  
Subject getSubject(ServletRequest request, ServletResponse response) 

//当前请求是否是登录请求  
boolean isLoginRequest(ServletRequest request, ServletResponse response)

//将当前请求保存起来并重定向到登录页面  
void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException 

//将请求保存起来,如登录成功后再重定向回该请求
void saveRequest(ServletRequest request)   

//重定向到登录页面  
void redirectToLogin(ServletRequest request, ServletResponse response)

spring boot整合shiroshiro过滤器介绍
无名剑
08-07 1万+
过滤器链条配置说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过 3、部分过滤器可指定参数,如perms,roles Shiro内置的FilterChain anon(org.apache.shiro.web.filter.authc.AnonymousFilter):例子/admins/**=anon 没有参数,表示可以匿...
Shiro 基本过滤器
尚硅谷铁杆粉丝的博客
12-07 651
Shiro拦截器的基础类图: 1、NameableFilter:NameableFilter给Filter起个名字,如果没有设置默认就是FilterName;还记得之前的如authc吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;   2、OncePerRequestFilter:OncePerRequestFilter用于防止多次执行Filter的;也就是说一次请求只会走一...
Shiro + Hibernate5 + Spring5 + SpringMVC5 的jar
12-22
Shiro + Hibernate5 + Spring5 + SpringMVC5 的jar 的架包!
安全认证框架Shiro (二)- shiro过滤器工作原理
热门推荐
陈袁的博客
11-15 2万+
安全认证框架Shiro (二)- shiro过滤器工作原理 安全认证框架Shiro- shiro过滤器工作原理 第一前言 第二ShiroFilterFactoryBean入口 第三请求到来解析过程 第四过滤器执行原理 第五总结第一:前言由于工作原因,写上篇文章安全认证框架Shiro (一)- ini配置文件过了好久,这里补上Shiro的后续学习经历。第二:ShiroFilterFactoryBe
shiro过滤原理
lqzxpp的博客
12-18 792
项目中用了shiro很久了,但对于其执行原理一直没研究过。后来在项目中做防盗链功能时候,因为不能拦截被shiro认证的白名单接口,不得不研究了shiro源码。 1、shiro首先是一个过滤器,filter基本功能肯定有。 我们知道filter最重要的一个接口是 void doFilter(ServletRequest request, ServletR...
springbootshiro配置之过滤器
weixin_34280237的博客
11-21 1592
2019独角兽企业重金招聘Python工程师标准>>> ...
spring-boot-shiro-demo
04-22
Spring Boot简化了Shiro的集成过程,我们可以在配置文件中添加Shiro的依赖,并通过自定义Shiro配置类来配置过滤器链。Shiro的核心组件包括Subject、SecurityManager、Realm等,它们负责处理用户的登录、权限验证以及...
springboot-shiro
10-18
接下来,我们可以在SpringBoot启动类中配置Shiro Filter,设置过滤器链,以实现URL级别的权限控制。Shiro Filter支持多种过滤器,如 anon(匿名访问)、authc(身份验证)、roles(角色权限)和perms(权限许可)等...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro 时,需要...
spring-boot+shiro+jpa
07-12
3. **Shiro配置**:定义安全规则,如Realm(认证和授权的实现)、过滤器链等。 4. **JPA实体类**:映射到数据库表的Java类,通过@Entity和@Table注解进行标注。 5. **Repository接口**:继承自Spring Data JPA的...
springcloud-shiro
02-21
2. **Spring Boot整合**:在Spring Boot的主配置类中,将ShiroSpring Boot的生命周期进行绑定,确保ShiroSpring Boot启动时能够正确初始化。 3. **Zuul集成**:配置Zuul,使其能够Shiro协同工作,实现请求的...
DPL_Framework:spring5 + springmvc + shiro + mybatis + aop切面日志+ swagger2 +多数据源通用框架代码以及数据库sql文件
03-23
DPL_Framework:spring5 + springmvc + shiro + mybatis + aop切面日志+ swagger2 +多数据源通用框架代码以及数据库sql文件
Shiro使用和原理分析---2
conansonic的博客
11-02 4442
Shiro使用和原理分析—2为了方便,这里继续引用一下applicationContext.xml中的配置文件 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManag
Shiro原理解析(一)--过滤器的初始化
weixin_34107955的博客
03-15 318
前言 shiro是apche的一个开源权限框架,本人学习的同时准备记录一下阅读源码的过程,出一个关于shiro的源码解析系列文章,其中主要包括过滤器,Subject的创建维护,Session的管理,登录授权的流程,缓存管理。同时熟悉这些之后再基于shiro来进行改造以适应于restful以及jwtToken的技术方案 谁适合读本篇文章 如果您从未使用过shiro,那么本篇文章可能不适合您(shi...
Shiro原理解析(二)--过滤器的执行机制
weixin_34138377的博客
03-18 618
前言 上一篇博文主要讲了SpringShiroFilter的初始化过程,这篇文章主要解析SpringShir Filter在处理请求时做了些什么。 概述 SpringShiroFilter处理请求的中心思想是获取某个请求对应的shiroFilterChain,并添加到javaEE规范的FilterChian中,从而使得配置的过滤器能够被调用,具体怎么做到的,我们看正文的解析 正文 首先,还是先给出...
6_springboot_shiro_jwt_多端认证鉴权_过滤器
paopao_wu的专栏
03-29 821
ShiroFilterFactoryBean是什么,它如何工作。Shiro中如何管理过滤器链,配置自定义过滤器并加入过滤器
Shiro原理解析(三)--再谈过滤器
weixin_33836223的博客
03-27 198
前言 前面两篇文章主要讲了SpringShiroFilter的初始化以及doFilter方法。总结一下:初始化的主要操作是根据配置构建所有url对应的过滤链,doFilter()方法将url对应的过滤链添加到javaEE原生的的过滤器中。 本篇文章的内容 本篇文章主要解析具体的Filter是如何处理鉴权的(即如何判断某个用户是否有权限访问该url)。本篇文章一PermissionsAuthoriz...
解决springboot整合shiro过滤器执行顺序的问题
10年职场两茫茫,35岁凄凉奈若何
10-20 118
解决springboot整合shiro过滤器执行顺序的问题
Springboot集成shiro--登录拦截/权限控制
weixin_68693132的博客
07-16 1337
anon: 匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”authc: 表示需要认证(登录)才能使用;示例“/**=authc”authcBasic:Basic HTTP身份验证拦截器roles: 角色授权拦截器,验证用户是否拥有资源角色;示例“/admin/**=roles[admin]”perms: 权限授权拦截器,验证用户是否拥有资源权限;示例“/user/create=perms["user:create"]”user。
spring-boot-shiro-starter
最新发布
12-27
### 如何在Spring Boot中使用shiro-spring-boot-web-starter进行权限管理 #### 添加依赖 为了使项目能够利用Shiro的功能,需先引入`shiro-spring-boot-web-starter`作为Maven项目的依赖项。具体来说,在`pom.xml`文件内加入如下片段: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 此操作确保了应用程序具备必要的组件来进行基于角色的安全控制[^2]。 #### 创建自定义Realm 实现身份验证和授权的核心在于创建继承自`AuthorizingRealm`的具体类——即所谓的“领域”。此类负责处理用户的认证信息以及其对应的权限集合。例如: ```java public class UserRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现获取用户的角色和权限逻辑... SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken)token; String username = upToken.getUsername(); // 基于用户名查询数据库或其他存储介质中的密码并返回相应的认证信息对象 Object principal = ... ;// 用户名或其它唯一标识符 Object credentials = ...;// 密码哈希值 return new SimpleAuthenticationInfo(principal, credentials, getName()); } } ``` 这段代码展示了如何构建一个简单的`UserRealm`实例用于模拟实际场景下的数据访问过程[^3]。 #### 注册SecurityManager Bean 为了让Shiro接管整个应用的安全策略,还需注册一个全局唯一的`SecurityManager`bean,并将其关联至之前定义好的`UserRealm`: ```java @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager(UserRealm userRealm){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(userRealm); return securityManager; } } ``` 上述配置使得每次请求到达服务器端时都会经过由`DefaultWebSecurityManager`所维护的一系列安全过滤器链路,从而实现了细粒度的访问控制机制。 #### 控制器层面的应用 当涉及到RESTful API接口设计时,如果前端发送的数据格式为JSON,则应在控制器方法签名处声明接收实体类型的参数,并加上`@RequestBody`注解以便正确解析传入的内容体。比如执行登录动作可能像这样编写: ```java @RestController @RequestMapping("/auth") public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest request){ Subject currentUser = SecurityUtils.getSubject(); try{ UsernamePasswordToken token = new UsernamePasswordToken(request.getUsername(),request.getPassword().toCharArray()); currentUser.login(token); Map<String,Object> resultMap=new HashMap<>(); resultMap.put("success",true); resultMap.put("message","登陆成功"); return ResponseEntity.ok(resultMap); }catch(Exception e){ throw new RuntimeException(e.getMessage()); } } } ``` 这里的关键点在于理解何时应该采用何种HTTP Content-Type头字段来指示客户端提交给服务端的数据编码形式;对于JSON而言,默认情况下会自动映射到Java POJO上,前提是已正确定义好相应模型类结构[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

良之才-小良

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值