小Hub領(lǐng)讀:權(quán)限框架一般都是一堆過(guò)濾器����、攔截器的組合運(yùn)用�����,在shiro中,有多少個(gè)內(nèi)置的過(guò)濾器你知道嗎��?在哪些場(chǎng)景用那些過(guò)濾器�����,這篇文章希望你能對(duì)shiro有個(gè)新的認(rèn)識(shí)�����! 別忘了����,點(diǎn)個(gè) [在看] 支持一下哈~
前兩篇原創(chuàng)shiro相關(guān)文章: 1、極簡(jiǎn)入門�����,Shiro的認(rèn)證與授權(quán)流程解析 2�����、只需要6個(gè)步驟,springboot集成shiro�,并完成登錄
我們都知道shiro是個(gè)認(rèn)證權(quán)限框架,除了登錄����、退出邏輯我們需要侵入項(xiàng)目代碼之外,驗(yàn)證用戶是否已經(jīng)登錄����、是否擁有權(quán)限的代碼其實(shí)都是過(guò)濾器來(lái)完成的,可以這么說(shuō)����,shiro其實(shí)就是一個(gè)過(guò)濾器鏈集合。 那么今天我們?cè)敿?xì)討論一下shiro底層到底給我們提供了多少默認(rèn)的過(guò)濾器供我們使用�����,又都有什么用呢��?帶著問(wèn)題���,我們先去shiro官網(wǎng)看看對(duì)于默認(rèn)過(guò)濾器集的說(shuō)明����。 When running a web-app, Shiro will create some useful default Filter instances and make them available in the [main] section automatically. You can configure them in main as you would any other bean and reference them in your chain definitions. The default Filter instances available automatically are defined by the DefaultFilter enum and the enum’s name field is the name available for configuration.
翻譯過(guò)來(lái)意思: 當(dāng)運(yùn)行web應(yīng)用程序時(shí),Shiro將創(chuàng)建一些有用的默認(rèn)過(guò)濾器實(shí)例���,并使它們?cè)赱main]部分自動(dòng)可用���。您可以像配置任何其他bean一樣在main中配置它們�,并在鏈定義中引用它們。 默認(rèn)篩選器實(shí)例由DefaultFilter enum中定義����,enum s name字段是可用于配置的名稱。 于是我看了一下 DefaultFilter的源碼: public enum DefaultFilter {
anon(AnonymousFilter.class),
authc(FormAuthenticationFilter.class),
authcBasic(BasicHttpAuthenticationFilter.class),
logout(LogoutFilter.class),
noSessionCreation(NoSessionCreationFilter.class),
perms(PermissionsAuthorizationFilter.class),
port(PortFilter.class),
rest(HttpMethodPermissionFilter.class),
roles(RolesAuthorizationFilter.class),
ssl(SslFilter.class),
user(UserFilter.class);
...
}
終于知道我們常用的anon��、authc����、perms、roles�����、user過(guò)濾器是哪里來(lái)的了�����!這些過(guò)濾器我們都是可以直接使用的。但你要弄清楚這些默認(rèn)過(guò)濾器�����,你還不得不去深入了解一下shiro更底層為我們提供的過(guò)濾器�,基本我們的這些默認(rèn)過(guò)濾器都是通過(guò)繼承這幾個(gè)底層過(guò)濾器演變而來(lái)的。 那么這些過(guò)濾器都有哪些呢����?我們來(lái)看一個(gè)圖: 
上面我標(biāo)記了7個(gè)我們接下來(lái)要介紹的過(guò)濾器,我們一個(gè)個(gè)來(lái)介紹����,弄清楚這些過(guò)濾器之后,相信你對(duì)shiro的認(rèn)識(shí)會(huì)更深一層了�����。具體authc�����、perms�、roles等這些默認(rèn)過(guò)濾器與這7個(gè)過(guò)濾器有什么關(guān)系你就會(huì)明白。 1、AbstractFilter這個(gè)過(guò)濾器還得說(shuō)說(shuō)�����,shiro最底層的抽象過(guò)濾器���,雖然我們極少直接繼承它�����,它通過(guò)實(shí)現(xiàn) Filter獲得過(guò)濾器的特性����。 
完成一些過(guò)濾器基本初始化操作�, FilterConfig:過(guò)濾器配置對(duì)象����,用于servlet容器在初始化期間將信息傳遞給其他過(guò)濾器。 2�、NameableFilter命名過(guò)濾器,給過(guò)濾器定義名稱��!也是比較基層的過(guò)濾器了�����,未拓展其他功能,我們很少會(huì)直接繼承這個(gè)過(guò)濾器���。為重寫doFilter方法����。 
3����、OncePerRequestFilter
重寫doFilter方法,保證每個(gè)servlet方法只會(huì)被過(guò)濾一次����。可以看到doFilter方法中���,第一行代碼就是 StringalreadyFilteredAttributeName=getAlreadyFilteredAttributeName();然后通過(guò) request.getAttribute(alreadyFilteredAttributeName)!=null來(lái)判斷過(guò)濾器是否已經(jīng)被調(diào)用過(guò)����,從而保證過(guò)濾器不會(huì)被重復(fù)調(diào)用���。 進(jìn)入方法之前�����,先標(biāo)記 alreadyFilteredAttributeName為True���,抽象 doFilterInternal方法執(zhí)行之后再remove掉 alreadyFilteredAttributeName�。 
所以O(shè)ncePerRequestFilter過(guò)濾器保證只會(huì)被一次調(diào)用的功能��,提供了抽象方法 doFilterInternal讓后面的過(guò)濾器可以重寫����,執(zhí)行真正的過(guò)濾器處理邏輯。 protected abstract void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
throws ServletException, IOException;
這個(gè)過(guò)濾器我們已經(jīng)可以開(kāi)始在我們的項(xiàng)目繼承使用��,比如攔截用戶請(qǐng)求�����,判斷用戶是否已經(jīng)登錄(攜帶token或cookie信息)�,如果未登錄則返回Json數(shù)據(jù)告知未登錄���! 比如:開(kāi)源mblog博客項(xiàng)目中�,過(guò)濾器就是繼承OncePerRequestFilter���。 /**
* 公眾號(hào):MarkerHub
**/
public class AuthenticatedFilter extends OncePerRequestFilter {
// 前端彈窗的js代碼
private static final String JS = '<script type='text/javascript'>var wp=window.parent; if(wp!=null){while(wp.parent&&wp.parent!==wp){wp=wp.parent;}wp.location.href='%1$s';}else{window.location.href='%1$s';}</script>';
private String loginUrl = '/login';
// 重寫doFilterInternal方法
@Override
protected void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
throws ServletException, IOException {
Subject subject = SecurityUtils.getSubject();
// 已經(jīng)登陸就跳過(guò)過(guò)濾器
if (subject.isAuthenticated() || subject.isRemembered()) {
chain.doFilter(request, response);
} else {
// 未登錄就返回json或者js代碼
WebUtils.saveRequest(request);
String path = WebUtils.getContextPath((HttpServletRequest) request);
String url = loginUrl;
if (StringUtils.isNotBlank(path) && path.length() > 1) {
url = path + url;
}
if (isAjaxRequest((HttpServletRequest) request)) {
response.setContentType('application/json;charset=UTF-8');
response.getWriter().print(JSON.toJSONString(Result.failure('您還沒(méi)有登錄!')));
} else {
response.getWriter().write(new Formatter().format(JS, url).toString());
}
}
}
}
未登錄情況�,ajax請(qǐng)求過(guò)濾器返回 您還沒(méi)有登錄!提示,web請(qǐng)求則返回一段js代碼����,前端渲染會(huì)跳出一個(gè)登陸窗口,這也就是未什么大家常遇到的點(diǎn)擊登錄�����,當(dāng)前跳出一個(gè)登陸彈窗的一種實(shí)現(xiàn)方式�! 效果: 
4、AdviceFilter看到Advice���,很自然想到切面環(huán)繞編程�����,一般有pre��、post����、after幾個(gè)方法�����。所以這個(gè)AdviceFilter過(guò)濾器就是提供了和AOP相似的切面功能。 繼承OncePerRequestFilter過(guò)濾器重寫doFilterInternal方法�,我們可以先看看: 
可以看到上面4個(gè)序號(hào): 1、preHandle 前置過(guò)濾�����,默認(rèn)true 2�����、executeChain 執(zhí)行真正代碼過(guò)濾邏輯->chain.doFilter 3�、postHandle 后置過(guò)濾 4、cleanup 其實(shí)主要邏輯是afterCompletion方法
于是���,我們從OncePerRequestFilter的一個(gè)doFilterInternal分化成了切面編程��,更容易前后控制執(zhí)行邏輯�����。所以如果繼承AdviceFilter時(shí)候,我們可以重寫preHandle方法���,判斷用戶是否滿足已登錄或者其他業(yè)務(wù)邏輯�,返回false時(shí)候表示不通過(guò)過(guò)濾器。 5��、PathMatchingFilter請(qǐng)求路徑匹配過(guò)濾器����,通過(guò)匹配請(qǐng)求url,判斷請(qǐng)求是否需要過(guò)濾���,如果url未在需要過(guò)濾的集合內(nèi)����,則跳過(guò)�����,否則進(jìn)入 isFilterChainContinued的onPreHandle方法�。 我們可以看下代碼: 
從上面3個(gè)步驟中可以看到,PathMatchingFilter提供的功能是:自定義匹配url���,匹配上的請(qǐng)求最終跳轉(zhuǎn)到 onPreHandle方法��。 這個(gè)過(guò)濾器為后面的常用過(guò)濾器提供的基礎(chǔ)���,比如我們?cè)赾onfig中配置如下 /login = anon
/admin/* = authc
攔截/login請(qǐng)求���,經(jīng)過(guò)AnonymousFilter過(guò)濾器,我們可以看下 public class AnonymousFilter extends PathMatchingFilter {
/**
* 公眾號(hào):MarkerHub
**/
@Override
protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) {
// Always return true since we allow access to anyone
return true;
}
}
AnonymousFilter重寫了onPreHandle方法���,只不過(guò)直接返回了true�����,說(shuō)明攔截的鏈接可以直接通過(guò)��,不需要其他攔截邏輯��。 而authc->FormAuthenticationFilter也是間接繼承了PathMatchingFilter�����。 public class FormAuthenticationFilter extends AuthenticatingFilter
所以�,需要攔截某個(gè)鏈接進(jìn)行業(yè)務(wù)邏輯過(guò)濾的可以繼承PathMatchingFilter方法拓展哈�����。 6���、AccessControlFilter訪問(wèn)控制過(guò)濾器���。繼承PathMatchingFilter過(guò)濾器,重寫onPreHandle方法�����,又分出了兩個(gè)抽象方法來(lái)控制 
所以�,我們現(xiàn)在可以通過(guò)重寫這個(gè)抽象兩個(gè)方法來(lái)控制過(guò)濾邏輯。另外多提供了3個(gè)方法��,方便后面的過(guò)濾器使用����。 /**
* 公眾號(hào):MarkerHub
**/
protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
saveRequest(request);
redirectToLogin(request, response);
}
protected void saveRequest(ServletRequest request) {
WebUtils.saveRequest(request);
}
protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
String loginUrl = getLoginUrl();
WebUtils.issueRedirect(request, response, loginUrl);
}
其中redirectToLogin提供了調(diào)整到登錄頁(yè)面的邏輯與實(shí)現(xiàn),為后面的過(guò)濾器發(fā)現(xiàn)未登錄跳轉(zhuǎn)到登錄頁(yè)面提供了基礎(chǔ)���。 這個(gè)過(guò)濾器���,我們可以靈活運(yùn)用。 7�����、AuthenticationFilter繼承AccessControlFilter,重寫了isAccessAllowed方法��,通過(guò)判斷用戶是否已經(jīng)完成登錄來(lái)判斷用戶是否允許繼續(xù)后面的邏輯判斷�。這里可以看出,從這個(gè)過(guò)濾器開(kāi)始��,后續(xù)的判斷會(huì)與用戶的登錄狀態(tài)相關(guān)�����,直接繼承這些過(guò)濾器�,我們不需要再自己手動(dòng)去判斷用戶是否已經(jīng)登錄。并且提供了登錄成功之后跳轉(zhuǎn)的方法�����。 public abstract class AuthenticationFilter extends AccessControlFilter {
public void setSuccessUrl(String successUrl) {
this.successUrl = successUrl;
}
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
Subject subject = getSubject(request, response);
return subject.isAuthenticated();
}
}
8���、AuthenticatingFilter繼承AuthenticationFilter����,提供了自動(dòng)登錄����、是否登錄請(qǐng)求等方法�。 /**
* 公眾號(hào):MarkerHub
**/
public abstract class AuthenticatingFilter extends AuthenticationFilter {
public static final String PERMISSIVE = 'permissive';
//TODO - complete JavaDoc
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
AuthenticationToken token = createToken(request, response);
if (token == null) {
String msg = 'createToken method implementation returned null. A valid non-null AuthenticationToken ' +
'must be created in order to execute a login attempt.';
throw new IllegalStateException(msg);
}
try {
Subject subject = getSubject(request, response);
subject.login(token);
return onLoginSuccess(token, subject, request, response);
} catch (AuthenticationException e) {
return onLoginFailure(token, e, request, response);
}
}
protected abstract AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception;
/**
* 公眾號(hào):MarkerHub
**/
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
return super.isAccessAllowed(request, response, mappedValue) ||
(!isLoginRequest(request, response) && isPermissive(mappedValue));
}
...
}
executeLogin 執(zhí)行登錄 onLoginSuccess 登錄成功跳轉(zhuǎn) onLoginFailure 登錄失敗跳轉(zhuǎn) createToken 創(chuàng)建登錄的身份token isAccessAllowed 是否允許被訪問(wèn) isLoginRequest 是否登錄請(qǐng)求
這個(gè)方法提供了自動(dòng)登錄的課程���,比如我們獲取到token之后實(shí)行自動(dòng)登錄,這場(chǎng)景還是很場(chǎng)景的�����。 比如在開(kāi)源項(xiàng)目renren-fast中�,就是這樣處理的: public class OAuth2Filter extends AuthenticatingFilter {
@Override
protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
//獲取請(qǐng)求token
String token = getRequestToken((HttpServletRequest) request);
if(StringUtils.isBlank(token)){
return null;
}
return new OAuth2Token(token);
}
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
if(((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())){
return true;
}
return false;
}
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
//獲取請(qǐng)求token,如果token不存在��,直接返回401
String token = getRequestToken((HttpServletRequest) request);
if(StringUtils.isBlank(token)){
HttpServletResponse httpResponse = (HttpServletResponse) response;
httpResponse.setHeader('Access-Control-Allow-Credentials', 'true');
httpResponse.setHeader('Access-Control-Allow-Origin', HttpContextUtils.getOrigin());
String json = new Gson().toJson(R.error(HttpStatus.SC_UNAUTHORIZED, 'invalid token'));
httpResponse.getWriter().print(json);
return false;
}
return executeLogin(request, response);
}
/**
*公眾號(hào):MarkerHub
**/
@Override
protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
HttpServletResponse httpResponse = (HttpServletResponse) response;
httpResponse.setContentType('application/json;charset=utf-8');
httpResponse.setHeader('Access-Control-Allow-Credentials', 'true');
httpResponse.setHeader('Access-Control-Allow-Origin', HttpContextUtils.getOrigin());
try {
//處理登錄失敗的異常
Throwable throwable = e.getCause() == null ? e : e.getCause();
R r = R.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());
String json = new Gson().toJson(r);
httpResponse.getWriter().print(json);
} catch (IOException e1) {
}
return false;
}
/**
* 獲取請(qǐng)求的token
*/
private String getRequestToken(HttpServletRequest httpRequest){
//從header中獲取token
String token = httpRequest.getHeader('token');
//如果header中不存在token�����,則從參數(shù)中獲取token
if(StringUtils.isBlank(token)){
token = httpRequest.getParameter('token');
}
return token;
}
}
在 onAccessDenied方法校驗(yàn)通過(guò)之后執(zhí)行 executeLogin方法完成自動(dòng)登錄�����! 9����、FormAuthenticationFilter基于form表單的賬號(hào)密碼自動(dòng)登錄的過(guò)濾器,我們只需要看這個(gè)方法就明白,和renren-fast的實(shí)現(xiàn)相似: public class FormAuthenticationFilter extends AuthenticatingFilter {
public static final String DEFAULT_USERNAME_PARAM = 'username';
public static final String DEFAULT_PASSWORD_PARAM = 'password';
public static final String DEFAULT_REMEMBER_ME_PARAM = 'rememberMe';
protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
String username = getUsername(request);
String password = getPassword(request);
return createToken(username, password, request, response);
}
/**
* 公眾號(hào):MarkerHub
**/
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
if (isLoginRequest(request, response)) {
if (isLoginSubmission(request, response)) {
if (log.isTraceEnabled()) {
log.trace('Login submission detected. Attempting to execute login.');
}
return executeLogin(request, response);
} else {
if (log.isTraceEnabled()) {
log.trace('Login page view.');
}
//allow them to see the login page ;)
return true;
}
} else {
if (log.isTraceEnabled()) {
log.trace('Attempting to access a path which requires authentication. Forwarding to the ' +
'Authentication url [' + getLoginUrl() + ']');
}
saveRequestAndRedirectToLogin(request, response);
return false;
}
}
}
onAccessDenied調(diào)用executeLogin方法����。默認(rèn)的token是UsernamepasswordToken。 結(jié)束語(yǔ)好了����,今天先到這里啦,講了多好內(nèi)置的過(guò)濾器����,代碼有點(diǎn)多,你們可以用電腦打開(kāi)文章�,然后仔細(xì)研究,并回想自己使用shiro過(guò)濾器的時(shí)候����,是不是和我講的場(chǎng)景一樣,結(jié)合起來(lái)����。 這里是MarkerHub,我是呂一明�����,感謝關(guān)注與支持! 參考: https://www.cnblogs.com/LeeScofiled/p/10511948.html
(完)
|
