2. 程式人生 > >五.shiro,表單攔截器FormAuthenticationFilter

五.shiro,表單攔截器FormAuthenticationFilter

阿新 發佈:2019-01-05

shiro有幾種預設的攔截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的例項

ShiroFilterFactoryBean的配置:

private Map<String, Filter> filters;  <取名,攔截器地址>,可以自定義攔截器放在這 

private Map<String, String> filterChainDefinitionMap; <url,攔截器名>哪些路徑會被此攔截器攔截到

public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		// 必須設定 SecurityManager
		shiroFilterFactoryBean.setSecurityManager(securityManager); 
		
		shiroFilterFactoryBean.setLoginUrl("/login");
		shiroFilterFactoryBean.setSuccessUrl("/index");
		shiroFilterFactoryBean.setUnauthorizedUrl("/403");
		
	  // private Map<String, Filter> filters;  shiro有一些預設的攔截器 比如auth,它就是FormAuthenticationFilter表單攔截器  <取名,攔截器地址>,可以自定義攔截器放在這 
	  //private Map<String, String> filterChainDefinitionMap; <url,攔截器名>哪些路徑會被此攔截器攔截到
		
		// 攔截器.
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		// 配置不會被攔截的連結 順序判斷
		filterChainDefinitionMap.put("/static/**", "anon");
		filterChainDefinitionMap.put("/ajaxLogin", "anon");
		filterChainDefinitionMap.put("/focus/userlogin", "anon");
		filterChainDefinitionMap.put("/swagger-ui.html#", "anon");
		
		// 過濾鏈定義,從上向下順序執行,一般將 /**放在最為下邊 
		// <!-- authc:所有url都必須認證通過才可以訪問; anon:所有url都都可以匿名訪問;user:remember me的可以訪問-->
		filterChainDefinitionMap.put("/fine", "user");  
		filterChainDefinitionMap.put("/focus/**", "authc");   
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		System.out.println("Shiro攔截器工廠類注入成功");
		return shiroFilterFactoryBean;
	}

一。請求被authc攔截,如果狀態未登入,就會被跳到登入頁面,登入成功後,會繼續原請求頁面,除非原請求就是successurl,才去successurl


PathMatchingFilter是開濤講過得,匹配某url 攔截進行處理的攔截器,裡面有匹配url方法,preHandle,onPreHandle等方法。

AccessControlFilter重寫了onPreHandle

pathsMatch:該方法用於path與請求路徑進行匹配的方法;如果匹配返回true;

onPreHandle:在preHandle中,當pathsMatch匹配一個路徑後,會呼叫opPreHandler方法並將路徑繫結引數配置傳給mappedValue;然後可以在這個方法中進行一些驗證(如角色授權),如果驗證失敗可以返回false中斷流程;預設返回true;也就是說子類可以只實現onPreHandle即可,無須實現preHandle。如果沒有path與請求路徑匹配,預設是通過的(即preHandle返回true)

    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
    }

isAccessAllowed:請求是否被允許訪問,此方法在AccessControlFilter是抽象方法,被AuthenticatingFilter重寫

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return super.isAccessAllowed(request, response, mappedValue) ||
                (!isLoginRequest(request, response) && isPermissive(mappedValue));
    }

分別點進去看,呼叫父類AuthenticationFilter的方法判斷 當前使用者是否已認證過

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
    }

並且判斷請求url是不是配置的loginurl

    protected boolean isLoginRequest(ServletRequest request, ServletResponse response) {
        return pathsMatch(getLoginUrl(), request);
    }

回頭再看 onPrehandle,如果是一個沒認證過的請求,isAccessAlowed肯定是false,執行onAccessDefined方法,開濤也說過,此方法是請求未通過認證時執行的方法,按邏輯推理,請求未認證就跳轉到loginurl在這裡實現

這個方法在authc裡,onAccessDenied(用到這點:子類繼承父類,重寫了A方法,父類有個B方法,子類物件呼叫B方法,執行的是子類的A方法)

如果請求是登入請求,發起登入,如果不是就儲存原請求,並重定向到登入url ,saveRequestAndRedirectToLogin

   protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                //allow them to see the login page ;)
                return true;
            }
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }

            saveRequestAndRedirectToLogin(request, response);
            return false;
        }
    }

看看saveRequestAndRedirectToLogin

    protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        redirectToLogin(request, response);
    }

saveRequest

    protected void saveRequest(ServletRequest request) {
        WebUtils.saveRequest(request);
    }

webUtils.saveRequest:其實是放到了session裡,key是SAVED_REQUEST_KEY

    public static void saveRequest(ServletRequest request) {
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        HttpServletRequest httpRequest = toHttp(request);
        SavedRequest savedRequest = new SavedRequest(httpRequest);
        session.setAttribute(SAVED_REQUEST_KEY, savedRequest);
    }

那登入成功後怎麼跳轉到原請求頁面的?肯定是從session取出原請求,還是看authc的onAcessDefined方法

如果請求是loginurl並允許,就發起登入

if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            }

executeLogin:同樣是 subject.login(token)

    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            Subject subject = getSubject(request, response);
            subject.login(token);
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            return onLoginFailure(token, e, request, response);
        }
    }

onLoginSuccess:authc重寫此方法

   protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,
                                     ServletRequest request, ServletResponse response) throws Exception {
        issueSuccessRedirect(request, response);
        //we handled the success redirect directly, prevent the chain from continuing:
        return false;
    }
    protected void issueSuccessRedirect(ServletRequest request, ServletResponse response) throws Exception {
        WebUtils.redirectToSavedRequest(request, response, getSuccessUrl());
    }
找到session的的原請求,發起請求
    public static void redirectToSavedRequest(ServletRequest request, ServletResponse response, String fallbackUrl)
            throws IOException {
        String successUrl = null;
        boolean contextRelative = true;
        SavedRequest savedRequest = WebUtils.getAndClearSavedRequest(request);
        if (savedRequest != null && savedRequest.getMethod().equalsIgnoreCase(AccessControlFilter.GET_METHOD)) {
            successUrl = savedRequest.getRequestUrl();
            contextRelative = false;
        }

        if (successUrl == null) {
            successUrl = fallbackUrl;
        }

        if (successUrl == null) {
            throw new IllegalStateException("Success URL not available via saved request or via the " +
                    "successUrlFallback method parameter. One of these must be non-null for " +
                    "issueSuccessRedirect() to work.");
        }

        WebUtils.issueRedirect(request, response, successUrl, null, contextRelative);
    }

從session取出了那個key 並清空

    public static SavedRequest getAndClearSavedRequest(ServletRequest request) {
        SavedRequest savedRequest = getSavedRequest(request);
        if (savedRequest != null) {
            Subject subject = SecurityUtils.getSubject();
            Session session = subject.getSession();
            session.removeAttribute(SAVED_REQUEST_KEY);
        }
        return savedRequest;
    }

到這就大致明白,authc 完成 認證通過後 轉發到原請求頁面的流程

二。SecurityUtils.getSubject

前面的AuthenticationFilter或其他過濾器也有不少是直接通過這個方法得到subject,然後通過subject.isAuthenticated 包括check許可權或角色,

就會想到是不是subject也儲存到session裡,登入成功一次後,以後的請求是如何判斷 使用者已認證通過呢?確實是這樣,shiro會在瀏覽器寫下coolie JSESSIONID

通過執行緒副本,

    public static Subject getSubject() {
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            subject = (new Subject.Builder()).buildSubject();
            ThreadContext.bind(subject);
        }
        return subject;
    }

相關推薦

.shiro攔截FormAuthenticationFilter

shiro有幾種預設的攔截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的例項ShiroFilterFactoryBean的配置:private Map<String, Filter> filter

Jquery選擇分類(基本選擇層次選擇過濾選擇選擇)

Jquery選擇器分類:基本選擇器,層次選擇器,過濾選擇器,表單選擇器。 基本選擇器 說明:通過元素id、class和標籤名等來查詢DOM元素 1.id選擇器:$("#test");//選取id為test的元素 2.類選擇器:$(".test");//選取所有class

shiro基於攔截身份驗證、基於 Basic 的攔截身份驗證普通身份驗證的區別

目錄 普通身份驗證與基於表單的攔截器、基於basic的攔截器身份驗證的區別? 普通身份驗證的一個缺點就是,永遠返回到同一個成功頁面(比如首頁),在實際專案中比如支付時如果沒有登入將跳轉到登入頁面,登入成功後再跳回到支付頁面;對於這種功能大家可以在登入時把

從零開始學習html()與瀏覽者交互標簽——下

定位 開始 系統 isp ctr 程序 顯示 text 輸入 六、使用下拉列表框進行多選 1 <!DOCTYPE HTML> 2 <html> 3 <head> 4 <meta http-equiv="Content-T

【HTML筆記】與瀏覽者互動標籤

一、使用表單標籤,與使用者互動 網站怎樣與使用者進行互動?答案是使用HTML表單(form)。表單是可以把瀏覽者輸入的資料傳送到伺服器端,這樣伺服器端程式就可以處理表單傳過來的資料。 語法:

: 與瀏覽者互動標籤

5.3:文字域,支援多行文字輸入語法:<textarea   rows="行數"      cols="列數">文字</textarea>1.<textarea>標籤是成對出現的,以<textarea>開始,以</texya

新一代O2OA設計為企業門戶開發提速

       從O2OA誕生的那一天起,O2OA團隊就一直致力於減輕企業內部資訊化系統開發者編碼量,提高開發效率,減化開發方式。目前,O2OA多數開發者可以在10分鐘內完成一個10節點左右,中等複雜流程和表單的建設。雖然系統功能足夠靈活,適應能力足夠強,但是諸於複雜門戶

百度編輯UEEDITOR使用簡單介紹 UEditor提交和後臺互動詳解 最後更新對應的版本:1.2.5.1 教程描述: 富文字編輯的使用開發中提交有多種場景編輯初始化有新增文章和編輯

UEditor表單提交和後臺互動詳解最後更新對應的版本:1.2.5.1 教程描述: 富文字編輯器的使用開發中,表單提交有多種場景,編輯器初始化有新增文章和編輯就文章兩種場景,提交表單有普通提交也有ajax提交表單兩種情景,此教程詳細講解這幾種場景下如何保證後臺正確拿到資料。 一、編輯器內容初始化(即往編

jQuery基礎(鼠標事件事件鍵盤事件自定義事件 篇)

1.7 傳遞 ret 文本 leave 右鍵 page content gree 1.jQuery鼠標事件之click與dbclick事件 方法一:$ele.click()(不帶參數) <div id="test">點擊觸發<div> $(

HTML中重要的知識點

多行文本 圖像 輸入 mes bmi text 提示 隱藏域 radio   今天跟大家分享一下有關HTML中比較重要的一個知識點—表單:   <form></form>表單   這是一個雙標簽,form表單有兩個必須要有的屬性,①action就是指

jquery過濾選擇-----------(對象屬性過濾選擇選擇

images alt 分享 wid image logs jquery query 器) 1.表單對象屬性選擇器    2.程序 3.表單選擇器    jquery過濾選擇器-----------(表單對象屬性過濾選擇器 與 表單選擇器)

Servlet--超鏈接提交重定向轉發4種情況的路徑

str action local white 一句話 ont java ons isp 實際編碼中我們常常寫路徑,寫路徑既能夠寫相對路徑,也能夠寫絕對路徑。我2年曾經我就養成了習慣。僅僅要是寫路徑我從來都是寫絕對路徑,由於萬一將來我們的項目的文件夾發生變化。原來要是

html固定表頭內容垂直循環滾動

meta jquer div lan else style asc for off <!DOCTYPE html><html lang="zh-cn"><head> <meta charset="utf-8"> &

選擇

set bmi res sub 選擇器 單標簽 text 選擇 文件 :input //選中所有的表單標簽 :text //文本標簽 :password //密碼標簽 :radio //單選按鈕 :checkbox //多選按鈕 :submit //提交按鈕 :reset

Asp.net MVC4高級編程學習筆記-模型學習第課MVC和HTML輔助方法20171101

流量 取值 工作 sin 輔助 一個點 大量 元數據 view MVC表單和HTML輔助方法 一、表單的使用。 表單中的action與method特性。Action表示表單要提交往那裏,因此這裏就有一個URL。這個URL可以是相對或絕對地址。表單默認的method屬性值是g

Restful風格PUT修改功能請求中存在文件報錯-HTTP Status 405 - Request method 'POST' not supported

for 文件的 文件 roo spring commons 容量 put common 解決方案配置如下 <!-- 配置文件上傳解析器 --> <bean id="multipartResolver" class="org.spri

html的<a>標簽內嵌框架

ext orm ike 技術分享 res asp checkbox method inpu 一. <a>標簽 0. 用圖片當鏈接,就是把圖片當成鏈接文字即可 <a href="http://www.baidu.com/" title="跳轉到百

10-1 body標簽裏面相關的標簽(列表表格)

alt nan 滾動視圖 title 瀏覽器中 標簽 lpad 關系 對齊方式 一 列表標簽<ul>,<ol>,<dl> <!DOCTYPE html> <html lang="en"> <head>

4.元素元素寫法及屬性

method 密碼 mit gen 通用 元素 readonly res 方式 表單: 標簽名: 1、form (表單) action(路徑 ) method (提交方式) 2、method(提交方式

三十三、python學習之Flask框架()模板:WTF、CSRF跨站請求偽造、模板特有函式&變數

一、WTF表單: 1.web表單: Web 表單是 Web 應用程式的基本功能。預設開啟CSRF保護功能 它是HTML頁面中負責資料採集的部件。表單有三個部分組成:表單標籤、表單域、表單按鈕。表單允許使用者輸入資料,負責HTML頁面資料採集,通過表單將使用者輸入的資料提交給伺服器