shiro过滤器与spring的加载过程注意事项

最新推荐文章于 2022-08-25 04:49:48 发布
原创 最新推荐文章于 2022-08-25 04:49:48 发布 · 998 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #spring

最近在折腾shiro的时候,自己挖了坑,并跳了进去. 问题解决后. 本人觉得还是有必要将问题记录下来,以免以后挖坑.


<bean id="logout" class="org.apache.shiro.web.filter.authc.LogoutFilter">
	<property name="redirectUrl" value=""/>
</bean>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value=""/>
        <property name="successUrl" value=""/>
        <property name="filters">
            <util:map>
                <entry key="oauth2Authc" value-ref="oAuth2AuthenticationFilter"/>
                <entry key="sysUser" value-ref="sysUserFilter"/>
                <entry key="logout" value-ref="logout"/>//这个地方要注意了
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /oauth2Failure.jsp = anon
                /oauth2-login = oauth2Authc
                /logout = logout
                /** = sysUser
            </value>
        </property>
</bean>
org.apache.shiro.web.filter.authc.LogoutFilter logout = ApplicationContext.getBean(LogoutFilter.class);

大家可以猜猜看通过ShiroFilterFactoryBean获取的logoutFilter Bean与Spring获取的logoutFilter Bean是同一个对象么.  答案是: NO

注意蓝色的部分,如果在项目中,显示定义了LogoutFilter过滤器,必须要在ShiroFilterFactoryBean显示添加进去.否则你项目的logoutFilter就不是单例在运行了.


为啥我会这样说呢,不着急,我们来看看shiro源码就一目了然.


//ShiroFilterFactoryBean 中方法
protected FilterChainManager createFilterChainManager() {

        DefaultFilterChainManager manager = new DefaultFilterChainManager();
        Map<String, Filter> defaultFilters = manager.getFilters();//获取shiro默认的filters链
        //apply global settings if necessary:
        for (Filter filter : defaultFilters.values()) {
            applyGlobalPropertiesIfNecessary(filter);
        }

        //Apply the acquired and/or configured filters:
        Map<String, Filter> filters = getFilters();//在外部使用使用filters注入自定义filter
        if (!CollectionUtils.isEmpty(filters)) {
            for (Map.Entry<String, Filter> entry : filters.entrySet()) {
                String name = entry.getKey();
                Filter filter = entry.getValue();
                applyGlobalPropertiesIfNecessary(filter);
                if (filter instanceof Nameable) {
                    ((Nameable) filter).setName(name);
                }
                //'init' argument is false, since Spring-configured filters should be initialized
                //in Spring (i.e. 'init-method=blah') or implement InitializingBean:
                manager.addFilter(name, filter, false); //添加到默认的filters链里面
            }
        }

        //build up the chains:
        Map<String, String> chains = getFilterChainDefinitionMap();
        if (!CollectionUtils.isEmpty(chains)) {
            for (Map.Entry<String, String> entry : chains.entrySet()) {
                String url = entry.getKey();
                String chainDefinition = entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }

        return manager;
    }

大家注意下蓝色的部分,他的作用就是讲已经定义的filter添加filters链里面. 第一次添加已经默认的logoutFilter添加了,第二次添加会将spring定义的logout再次添加进行覆盖.

因为spring获取logoutfilter Bean,是通过ApplicationContext来获取的. shiroFactory获取logoutfilter Bean,是通过DefaultFilterChainManager来获取的.

所以不管你使用spring获取logoutfilter Bean,还是使用shiroFactory获取logoutfilter Bean,他们都是同一个对象.这样就保证对象是单例.




showgood119
关注
全面解读Spring Cloud Zuul:从配置到优化的实战指南
张彦峰的博客
02-14 168万+
在微服务架构中,API网关作为核心组件之一,承担着请求路由、负载均衡、安全认证等重要功能。Spring Cloud Zuul作为一款功能强大的API网关解决方案,得到了广泛应用。本文将深入探讨Spring Cloud Zuul的各项功能,从基础配置到工作原理,再到多层负载应用优化,全面解析其在实际应用中的最佳实践实用技巧,为开发者提供一站式指导,助力其打造高性能、高可用的微服务架构。
shiro ajax重定向,Shiro登录成功之后跳到指定URL
weixin_28025327的博客
08-06 1415
通常我们使用shiro,登录之后就会跳到我们上一次访问的URL,如果我们是直接访问登录页面的话,shiro就会根据我们配置的successUrl去重定向,如果我们没有配置successUrl的话,那么shiro重定向默认的/,这个逻辑看shiro的源码就可以知道:1.shiro会把请求信息保存到session中:2.然后判断是否已经登录,如果没有登录,就会跳到登录页面,用户输入凭证之后就会交给Fo...
Shiro第四篇【ShiroSpring整合、快速入门、Shiro过滤器、登陆认证】
3y
08-19 436
SpringShiro整合 导入jar包 shiro-web的jar、 shiro-spring的jar shiro-code的jar 快速入门 shiro也通过filter进行拦截。filter拦截后将操作权交给spring中配置的filterChain(过虑链儿) 在web.xml中配置filter &lt;!-- shiro的filter --&gt; ...
spring boot 2.0 集成shiro注意事项
weixin_33778544的博客
05-06 151
2019独角兽企业重金招聘Python工程师标准>>> ...
狂神说Java之Springboot整合Shiro
m0_67391401的博客
03-30 594
Springboot整合Shiro 文章是观看狂神说Java的Springboot整合Shiro的视频时写的随笔,大家可以参考下编写代码的过程,里面也有我写的一点注意事项。 完整代码我已经放在gitee上了,需要的可以自取。也可以参考我后面参考引用的博主的博客,里面也有完整的代码。 加油!打工人! 一、实验过程 目录结构 service层再建个impl包会更加层次分明 1、实验准备 1.1 导入依赖 <dependency> <groupId>org.apache.sh
shriospring整合的关键bean——ShiroFilterFactoryBean
weixin_42002747的博客
01-14 757
1、先看看ShiroFilterFactoryBean的继承关系 public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor 实现了FactoryBean接口,这是spring中很重要的一个接口,所以我们看看这个类实现的接口方法 public Object getObject() throws Ex...
springboot集成Shiro,添加自定义filter后shiro的默认filter无法使用
blank 的专栏
10-31 6894
springboot中集成shiro,发现再添加了自定义的filter后默认的filter无法使用。 猜测是自定义的filter被放在了默认的filter前面,导致先被自定义的filter拦截了。 网上搜了一遍,只发现了一篇相关的文章:http://www.hillfly.com/2017/179.html 证实了的确是我所猜想的那般,自定义的filter被放在了shiro
spring mvc shiro整合资料
03-30
4. **集成Spring MVC**:配置Spring MVC的DispatcherServlet,使其能够识别Shiro过滤器链,并Shiro进行交互。 5. **编写Controller**:在Controller中利用Shiro提供的API进行认证授权的操作。 #### 五、示例...
spring框架shiro权限管理的后台应用构建指南
- **Web集成**:在Spring MVC项目中集成Shiro,通常包括配置Shiro过滤器链,拦截用户请求并进行安全检查。 - **服务层DAO层集成**:在服务层数据访问对象(DAO)层中,通过Shiro提供的API执行权限检查。 ####...
CASSpringMVC Shiro实现统一单点登录解决方案
##### 其他注意事项 - 配置服务端客户端的SSL/TLS证书,确保所有的通信都是加密的,提高安全性。 - 确保CAS客户端的版本兼容性,以及SpringMVC、Shiro的集成兼容性。 - 对于分布式部署的系统,配置CAS服务端时...
shiro cas 学习整理
Jesse_cool的博客
05-23 1075
shiroshiro运行过程简单来说是这样:Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的...
小记shiro集成cas时遇到的问题
sinat_39411118的博客
06-06 2918
刚跳槽到新公司,就被分配到研究将cas集成到springboot+shiro中,作为一个小菜鸟真的踩了很多坑,现在终于完成了项目单点登录成功,虽然之后还有很多事情,但是还是对现阶段踩得坑做一个总结:1.票根[xxx]不符合目标服务这个问题真的是坑了很多天,跟代码总是在ticketValidator.validate报错,在网上查询了很多记录,都说是session过期,修改cas服务端xml文件,将...
【SSO简介】关于CAS的使用注意事项
Wilson的博客
04-28 619
背景公司要对一些系统做一个集成,需要实现单点登录功能,我就被赶鸭子上架研究了几天SSO,其中发现CAS挺经典,就在短暂的时间内着重研究了CAS。原理以最简单的步骤来说明:搭建一个统一验证中心,用以处理登录状态保存及跳转逻辑对每个应用系统加上filter,保证访问会跳转到统一验证中心上访问未登录的应用系统,首先会跳转到统一验证中心进行登录(这里可以选择数据库去存储登录状态)登录成功后会携带上生成的t...
shiro-cas集成实战
落叶翩翩的优快云博客
10-18 2192
1、下载cas-server-3.5.2-release.zip并把cas-server-webapp.war部署到tomcat 2、配置依赖jar包    //spring     compile  'org.springframework:spring-beans:3.0.4.RELEASE'     compile  'org.springframework:spring-core:
我的shiro之旅: 三 浅谈shiro的filter
Dylan的博文
08-01 9759
博客已移至 http://blog.gogl.top   前段时间比较懒,项目也有些紧,没有写什么东西。现在再对Shiro做一些整理。上一篇主要介绍了一个完整而又简单的shiro集成到项目的例子,主要是spring项目。这篇文章,想谈一下关于shiro的filter,这需要读者对shiro有一定的理解,至少有用过shiro。   &lt;bean id="shiroFilter" cla...
springsecurity_Spring Security 竟然可以同时存在多个过滤器链?
weixin_39732027的博客
11-26 560
这是来自一个小伙伴的提问,我觉得很有必要大家聊一聊这个问题:首先这个问题本身是有点问题的,因为 http.authorizeRequests() 并非总是第一个,虽然大部分情况下,我们看到的是第一个,但是也有很多情况 http.authorizeRequests() 不是首先出现。要搞明白这个问题,我们就要搞清楚 http.authorizeRequests() 到底是啥意思!这就涉及到 Spr...
springmvc+shiro自定义过滤器
hu582205的博客
10-29 3956
实现需求: 1.用户未登录,跳转到登录页,登录完成后会跳到初始访问页。 2.用户自定义处理(如需要激活),跳转到激活页面,激活完成后会跳到初始访问页。 使用到的框架 springmvc 的拦截器 shiro 自定义过滤器 实现: 1.编写拦截器通过session保存初始访问的页面地址,便于后面回跳这个页面做准备。 import org.slf4j.Logger; import o...
springshiro logout 配置方式
热门推荐
ght521的专栏
08-29 1万+
shiro logout的两种配置方式
SpringMVC整合ShirofilterChainDefinitions过滤器配置
m0_67401270的博客
08-25 1588
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString。* @see 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值