2. 程式人生 > >Apache Shiro原始碼 攔截器過程

Apache Shiro原始碼 攔截器過程

阿新 發佈:2019-01-26

Apache Shiro是Java的一個安全框架,使用的人也越來越多,但很多人只是停留在了會使用的的階段,可能配置檔案也只是網上demo的複製修改,卻不知道真正的含義是什麼。

今天我用shiro的攔截器為入口,簡單的過一點shiro的原始碼 ,有錯誤的地方希望大家能給指出。

首先我們看一下配置檔案中攔截器的攔截規則,這裡有兩個攔截器,一個是formAuthenticationFilter 這個是shiro 包自帶的一個攔截器,roleOrFilter是自定義的一個攔截器。對於/api/user/login 這個介面不做攔截。對/api/user/check 需要過兩個攔截器。

<bean id
 
="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.html"/>
    <property name="unauthorizedUrl" value="/error.html"/>
    <property name="filters">

    <util:map>
        <entry key="authc"
 
 value-ref="formAuthenticationFilter"/>
        <entry key="roleOrFilter" value-ref="roleOrFilter"/>
    </util:map>
    </property>

    <property name="filterChainDefinitions">
        <value>
            /api/user/login = anon
            /api/user/check = authc, roleOrFilter["管理員"
 
]
        </value>
    </property>
</bean>

當我在URL位址列輸入 http://127.0.0.1:8080/api/user/check,並點選回車的時候,攔截器就開始工作了。首先是到了authc這個攔截器。這個攔截器繼承了 AuthenticatingFilter

程式在執行一定的時候會進入到onPrehandle,這個方法結果的返回會決定我們的請求是否被允許

//只要isAccessAllowed或者onAccessDenied有一個為真,就返回true,繼續執行
public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

先看isAccessAllowed這個方法

/**如果滿足(1).當前的subject是被認證過的。(2).使用者請求的不是登入頁面,但是在定義該過濾器時,使用了PERMISSIVE=”permissive”引數。只要滿足兩個條件的一個即可允許操作**/
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return super.isAccessAllowed(request, response, mappedValue) ||(!isLoginRequest(request, response) && isPermissive(mappedValue));
    }


//其實就是判斷當前的subject是不是被認證過的
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
    }

//判斷當前的請求是不是登陸請求
protected boolean isLoginRequest(ServletRequest request, ServletResponse response) {
        return pathsMatch(getLoginUrl(), request);
    }

//判斷當前的攔截器是不是配置了PERMISSIVE=”permissive”引數,如果配置了就可以通過
protected boolean isPermissive(Object mappedValue) {
        if(mappedValue != null) {
            String[] values = (String[]) mappedValue;
            return Arrays.binarySearch(values, PERMISSIVE) >= 0;
        }
        return false;
    }

因為我們沒有登陸,即沒有對當前的subject認證過,isAccessAllowed返回false。

再看onAccessDenied

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    if (isLoginRequest(request, response)) {
        if (isLoginSubmission(request, response)) {
            if (log.isTraceEnabled()) {
                log.trace("Login submission detected.  Attempting to execute login.");
            }
            return executeLogin(request, response);
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Login page view.");
            }
            //allow them to see the login page ;)
            return true;
        }
    } else {
        if (log.isTraceEnabled()) {
            log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                    "Authentication url [" + getLoginUrl() + "]");
        }

        saveRequestAndRedirectToLogin(request, response);
        return false;
    }
}


//判斷當前的其實是不是一個HTTP的POST請求
protected boolean isLoginSubmission(ServletRequest request, ServletResponse response) {
        return (request instanceof HttpServletRequest) && WebUtils.toHttp(request).getMethod().equalsIgnoreCase(POST_METHOD);
    }

//經過前面的判斷是不是POST請求後,程式就為我們建立一個token,但是我們並沒有傳入userName和password在建立的時候就會丟擲異常了
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            Subject subject = getSubject(request, response);
            subject.login(token);
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            return onLoginFailure(token, e, request, response);
        }
    }


/**saveRequest就是把一個request儲存在session中,redirectToLogin這裡就是返回到設定的登入頁面,在開頭自定義的過濾器中就是過載了這個函式,在實際專案中,一般都會過載這個函式,比方說返回到指定的頁面*/
protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        redirectToLogin(request, response);
    }

就這樣在第一個authc攔截器請求就會被拒絕了。就不會走我們的第二個roleOrFilter攔截器了。

那如果我在配置檔案上不寫上authc,而是讓程式直接走我們的自定義的攔截器那會是什麼過程呢。

public class RoleOrFilter extends AuthorizationFilter {
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        Subject subject = getSubject(servletRequest, servletResponse);
        String[] rolesArray = (String[]) o;
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        for (int i = 0; i < rolesArray.length; i++) {
            if (subject.hasRole(rolesArray[i])) {
                return true;
            }
        }
        return false;
    }
}

其實在走到hasRole的時候,hasRole內部實現程式碼機制就會有檢測當前的subject是不是被認證的操作,所以你沒有登陸就直接呼叫一個介面,就算沒有寫authc直接到第二個攔截器也會被攔下。

相關推薦

Apache Shiro原始碼 攔截過程

Apache Shiro是Java的一個安全框架,使用的人也越來越多,但很多人只是停留在了會使用的的階段,可能配置檔案也只是網上demo的複製修改,卻不知道真正的含義是什麼。 今天我用shiro的攔截器為入口,簡單的過一點shiro的原始碼 ,有錯誤的地方希望

shiro攔截機制

得到 n) sign stand 支持 關系 入口 num 頁面請求 8.1 攔截器介紹 Shiro使用了與Servlet一樣的Filter接口進行擴展;所以如果對Filter不熟悉可以參考《Servlet3.1規範》http://www.iteye.com/blogs/s

SpringBoot+Shiro定義攔截管理線上使用者

自定義訪問控制攔截器:AccessControlFilter,整合這個介面後要實現下面這三個方法。     abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response,

秒極啊!手把手帶你進行shiro授權攔截的重寫,學到了學到了

## shiro整合前後端分離的springboots,Vue專案真的是有很多大坑啊。 ## 今天我的主題是:如何設定shiro過濾器。 遇到問題:我的專案是前後端分離的,shiro裡面有一個shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函式

springMVC原始碼分析--HandlerInterceptor攔截呼叫過程(二)

在上一篇部落格springMVC原始碼分析--HandlerInterceptor攔截器(一)中我們介紹了HandlerInterceptor攔截器相關的內容,瞭解到了HandlerInterceptor提供的三個介面方法:(1)preHandle: 在執行controlle

Shiro學習(8)攔截機制

綁定 local cin 沒有 代碼 authz https 字符串 subject 8.1 攔截器介紹 Shiro使用了與Servlet一樣的Filter接口進行擴展;所以如果對Filter不熟悉可以參考《Servlet3.1規範》http://www.iteye.com

struts執行過程攔截

strutsstruts執行過程和攔截器Struts2執行過程 Struts2攔截器概述1 struts2是框架,封裝了很多的功能,struts2裏面封裝的功能都是在攔截器裏面 2 struts2裏面封裝了很多的功能,有很多攔截器,不是每次這些攔截器都執行,每次執行默認的攔截器 3 struts2裏面默認攔截

Shiro Web集成及攔截機制

apach username www. 請求協議 機制 定向 stat mit target Shiro與 Web 集成 Shiro 提供了與 Web 集成的支持,其通過一個 ShiroFilter 入口來攔截需要安全控制的 URL,然後進行相應的控制,ShiroFilte

Spring原始碼解析(十六)——AOP原理——獲取攔截鏈——MethodInterceptor

   *     3)、目標方法執行    ;  *         容器中儲存了元件的代理物件(cglib增強後的物件),這個物件裡面儲存了詳細

Shiro原始碼分析(3) - 認證(Authenticator)

本文在於分析Shiro原始碼,對於新學習的朋友可以參考 [開濤部落格](http://jinnianshilongnian.iteye.com/blog/2018398)進行學習。 Authenticator就是認證器,在Shiro中負責認證使用者提交的資訊,

Shiro原始碼分析(2) - 會話管理(SessionManager)

本文在於分析Shiro原始碼,對於新學習的朋友可以參考 [開濤部落格](http://jinnianshilongnian.iteye.com/blog/2018398)進行學習。 本文對Shiro中的SessionManager進行分析,SessionMan

原始碼分析Apache Shiro 加密與登入驗證

前言 最近用到Shiro安全框架,做加密驗證的時候遇到一些問題,對Shiro內部登入驗證流程有些疑惑,網上的多數Shiro的環境搭建只是簡單的明文密碼匹配,甚至有些文章的註釋也不盡正確。在這裡記錄下通過分析原始碼的整理。 大綱 使用Shiro提供的類進行密碼加密

Apache Shiro的使用者授權isPermitted過程

在使用jeesite快速開發平臺時,出現許可權授權失敗。 開發專案中有個使用者模組,取包名 user 模組。通過自動生成程式碼後,controller層自動添加了如下許可權 @RequiresPermissions("user:bjUser:view") @RequestMa

OKHttp原始碼解析(4)----攔截CacheInterceptor

簡介 Serves requests from the cache and writes responses to the cache. 快取攔截器,負責讀取快取直接返回、更新快取。當網路請求有符合要求的Cache時,直接返回Cache。如果當前Cache失效,則刪除。CacheStrategy:快取策略

Mybatis攔截原始碼深度解析

目錄: 一. 建立攔截器鏈 1. 建立物件 2. 建立配置檔案 3. 載入攔截器鏈 二. 方法呼叫解析 1. 對請求物件進行攔截器包裝 2. 執行呼叫 三. 小結 Mybatis攔截器 可以幫助我們在執行sql語句過程中增加外掛以實現一些通用的邏輯,比

解決html圖片動態重新整理以及Apache Shiro攔截圖片顯示問題

一丶實現頁面圖片通過後臺進行動態修改 (1)後臺傳遞圖片路徑與隨機數 //讀取最新首頁圖片 List<Attach> attachs = Md.selectList("attach.getloginimg", null, Attach.cl

OKHttp原始碼解析(6)----攔截CallServerInterceptor

系列文章 OKHttp原始碼解析(1)----整體流程 OKHttp原始碼解析(2)----攔截器RetryAndFollowUpInterceptor OKHttp原始碼解析(3)----攔截器BridgeInterceptor OKHttp原始碼解析(4)----攔截器CacheIntercept

OKHttp 3.10原始碼解析(二):攔截

本篇文章我們主要來講解OKhttp的攔截器鏈,攔截器是OKhttp的主要特色之一,通過攔截器鏈,我們可以對request或response資料進行相關處理,我們也可以自定義攔截器interceptor。 上一篇文章中我們講到,不管是OKhttp的同步請求還是非同步請求,都會呼叫RealCal

Shiro攔截,在登入時判斷是ajax請求返回json,普通請求跳轉頁面

在使用shiro時,會遇到普通的頁面請求以及api介面呼叫的請求,因此需要區別對待來判斷是跳轉登入頁面還是返回json的資料: 1.建立攔截器 package org.zyyd.base.filter; import com.alibaba.fastjson.JSONObject;

shiro基於表單的攔截身份驗證、基於 Basic 的攔截身份驗證,普通身份驗證的區別

目錄 普通身份驗證與基於表單的攔截器、基於basic的攔截器身份驗證的區別? 普通身份驗證的一個缺點就是,永遠返回到同一個成功頁面(比如首頁),在實際專案中比如支付時如果沒有登入將跳轉到登入頁面,登入成功後再跳回到支付頁面;對於這種功能大家可以在登入時把