一.shiro拦截器基础类图
image.png
二.流程介绍
简述:hiro使用了与Servlet一样的Filter接口进行扩展,ShiroFilter是整个程序入口。AdviceFilter 分支,它提供了 AOP 功能的 Filter,我们也可以集成AdviceFilter下拦截器进行必要操作。这些 Filter 就是 Shiro 为我们提供的默认 Filter:
image.png
- Filter接口
public interface Filter {
void init(FilterConfig filterConfig) throws ServletException;
void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException;
void destroy();
}
- AbstractFilter ,
- 初始化 ServletContext 并封装 FilterConfig,实现Filter的init方法中提供供子类实现的 onFilterConfigSet()方法【1】
- NameableFilter
- 每个 Filter 必须有一个名字,可通过 setName 方法设置的,如果不设置就取该 Filter 默认的名字
- OncePerRequestFilter
- 确保每个请求只能被 Filter 过滤一次。该类第一次实现doFilter()方法 ,其中有供需在子类重写过滤操作doFilterInternal()【2】方法;
- 可配置的参数:private boolean enabled = true;// 是否开启过滤功能,若拦截器配置fasle则跳过继续下一个拦截器
AbstractShiroFilter方向分支
- AbstractShiroFilter
实现父对象的 doFilter和 onFilterConfigSet()【1,2】,获取 Shiro 代理后的 FilterChain 对象,并进行链式处理,其中 onFilterConfigSet()提供子类实现的init()方法【3】
// 这是 AbstractFilter 提供的在 init 时需要执行的方法
protected final void onFilterConfigSet() throws Exception {
// 从 web.xml 中读取 staticSecurityManagerEnabled 参数(默认为 false)
applyStaticSecurityManagerEnabledConfig();
// 初始化(在子类中实现)
init();
// 确保 SecurityManager 必须存在
ensureSecurityManager();
// 若已开启 static 标志,则将当前的 SecurityManager 放入 SecurityUtils 中,以后可以随时获取
if (isStaticSecurityManagerEnabled()) {
SecurityUtils.setSecurityManager(getSecurityManager());
}
}
// 这是 OncePerRequestFilter 提供的在 doFilter 时需要执行的方法
protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain) throws ServletException, IOException {
Throwable t = null;
try {
// 返回被 Shiro 包装过的 Request 与 Response 对象
final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
final ServletResponse response = prepareServletResponse(request, servletResponse, chain);
// 创建 Shiro 的 Subject 对象
final Subject subject = createSubject(request, response);
// 使用异步的方式执行相关操作
subject.execute(new Callable() {
public Object call() throws Exception {
// 更新 Session 的最后访问时间
updateSessionLastAccessTime(request, response);
// 执行 Shiro 的 Filter Chain
executeChain(request, response, chain);
return null;
}
});
}
- ShiroFilter:在 ShiroFilter 中只用做初始化的行为,就是从 WebEnvironment 中分别获取 WebSecurityManager 与 FilterChainResolver,其它的事情都由它的父类去实现了
AdviceFilter方向分支
- AdviceFilter
- 提供了AOP风格的支持,类似于SpringMVC中的Interceptor。实现了doFilterInternal方法【2】,方法提供子类实现的preHandle等【4】方法,并进行链式处理。
- preHandler:类似于AOP中的前置增强;在拦截器链执行之前执行;如果返回true则继续拦截器链;否则中断后续的拦截器链的执行直接返回;进行预处理(如基于表单的身份验证、授权)
- postHandle:类似于AOP中的后置返回增强;在拦截器链执行完成后执行;进行后处理(如记录执行时间之类的)
- afterCompletion:类似于AOP中的后置最终增强;即不管有没有异常都会执行;可以进行清理资源(如接触Subject与线程的绑定之类的);
public abstract class AdviceFilter extends OncePerRequestFilter {
protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
return true;
}
@SuppressWarnings({"UnusedDeclaration"})
protected void postHandle(ServletRequest request, ServletResponse response) throws Exception {
}
public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) throws Exception {
}
protected void executeChain(ServletRequest request, ServletResponse response, FilterChain chain) throws Exception {
chain.doFilter(request, response);
}
public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
throws ServletException, IOException {
Exception exception = null;
try {
boolean continueChain = preHandle(request, response);
if (log.isTraceEnabled()) {
log.trace("Invoked preHandle method. Continuing chain?: [" + continueChain + "]");
}
if (continueChain) {
executeChain(request, response, chain);
}
postHandle(request, response);
if (log.isTraceEnabled()) {
log.trace("Successfully invoked postHandle method");
}
} catch (Exception e) {
exception = e;
} finally {
cleanup(request, response, exception);
}
}
}
- PathMatchingFilter
- PathMatchingFilter继承了AdviceFilter,提供了url模式过滤的功能,如果需要对指定的请求进行处理,可以扩展PathMatchingFilter:
- pathsMatch:如果url模式与请求url匹配,那么会执行onPreHandle,并把该拦截器配置的参数传入。默认什么不处理直接返回true。
- onPreHandle:在preHandle中,当pathsMatch匹配一个路径后,会调用opPreHandler方法并将路径绑定参数配置传给mappedValue;然后可以在这个方法中进行一些验证(如角色授权),如果验证失败可以返回false中断流程;默认返回true;也就是说子类可以只实现onPreHandle即可,无须实现preHandle。如果没有path与请求路径匹配,默认是通过的(即preHandle返回true)。
网友评论