Shiro之FormAuthenticationFilter 源码分析

最新推荐文章于 2023-10-26 22:36:28 发布
原创 最新推荐文章于 2023-10-26 22:36:28 发布 · 9.1k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#Shiro之FormAuthenticationFilter 源码分析
本文深入分析了Shiro中的FormAuthenticationFilter,解释了在SSM整合时为何GET请求无法触发认证流程,并逐步揭示了从doFilter到executeLogin的方法调用过程,包括preHandle、postHandle等关键步骤,以及如何处理登录失败的情况。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看

一、简介

ssm application.xml 中配置相关认证过滤器后就会拦截web 请求并自动完成认证功能:

 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="loginUrl" value="/login" />
		<property name="securityManager" ref="securityManager" />
		<property name="filterChainDefinitions">
			<value>
				/test=authc
				/login=authc
			</value>
		</property>
	</bean>

笔者在实现ssm 和 shiro 整合时登录页面使用了get 请求方式,结果怎么都不会有认证的相关流程,这非常让笔者苦恼,还是翻看了相关源码才知道问题出现的症结。

二、FormAuthenticationFilter

1.既然时servlet 中的 filter 在拦截到请求时一定执行 doFilter 方法。FormAuthenticationFilter 继承体系:

在这里插入图片描述

2.追根溯源OncePerRequestFilter 中发现了doFilter 的方法实现:
在这里插入图片描述
从以上可知,如果一个请求被标识为true,将不会执行过滤器链的doFilter方法,否则将会执行doFilterInternal 方法,设置请求标识为true,最后清除该请求的标识。

3.AdviceFilter 中实现了doFilterInternal 方法:

在这里插入图片描述

以上可知,doFilterInternal 在执行过滤器链doFilter 方法时增加了preHandle、executeChain、postHandle 方法。

在这里插入图片描述

4.PathMatchingFilter 重写preHandle 方法:

在这里插入图片描述

在这里插入图片描述
isEnabled 方法判断当前请求在过滤器链中是否生效

5.AccessControlFilter 重写onPreHandle 方法:

在这里插入图片描述
在这里插入图片描述

分析可知如果访问不被运行则isAccessDenied 方法将被执行

6.AuthenticatingFilter :

executeLogin 方法执行登录操作实现认证:
在这里插入图片描述

重写了finally 中的clearup:
在这里插入图片描述

分析可知:如果是执行认证操作出现异常将会执行onAccessDenied 方法

7.FormAuthenticationFilter 重写了onAccessDenied:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

分析可知:如果是登录请求且是登录操作(请求方法是post),从request 中获取登录参数username、password、rememberMe 参数值,执行登录认证,认证失败将会在request 设置DEFAULT_ERROR_KEY_ATTRIBUTE_NAME 为key,异常类字符串为value;如果是登录操作不是post 请求则过滤器放行;不是登录操作则先保存当前请求并重定向到登录页面。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看
shiro之深度解析FormAuthenticationFilter
热门推荐
波波烤鸭的博客
04-30 4万+
  shiro是我们在项目经常使用到的权限管理框架,本文我们就重点来分析FormAuthenticationFilter的验证过程。 FormAuthenticationFilter 1.继承结构   我们首先来看下FormAuthenticationFilter的继承结构,这样更加便于我们去分析 2.父类的作用   从上面的继承结构图里我们发现FormAuthenticationFilter的...
Shiro学习之过滤器详解
zkcJava的博客
09-14 5945
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
shiro学习24-shiro提供的filter-AuthenticationFilter
m0_67401228的博客
08-24 1940
里面有个successUrl属性,但是这个不是成功登录后跳转的地址,而是一个默认的地址。我们考虑一个在开发中经常用到的场景:我要在淘宝上买东西,在商品详情页输了买10个,但是点击确认后买后却是要求我们登录,然后登录后再跳转到当前的详情页,并且详情页的10依然存在,我之前就好奇他是怎么用一个通用的方法实现的,现在看了shiro的源码有了灵感。这里说这些只是说明这个类中的successUrl只是一个默认的,备份的路径,只有没有在session中存放的时候才会跳转到这个路径,他的javadoc上也进行了说明。
Shiro登录机制验证,自定义FormAuthenticationFilter
涛哥盛世
09-16 2万+
自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 问题描述 使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发 boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.execute
shiro Filter--拦截器
weixin_30530523的博客
11-22 871
shiro自带的filter:下面主要叙述顺序是 NameableFilter-》OncePerRequestFilter-》AdviceFilter-》PathMatchingFilter-》AuthenticationFilter(AuthenticatingFilter)-》FromAuthenticationFilter ①NameableFilter有一个name属性,定...
Shiro学习】FormAuthenticationFilter源码分析
fxkcsdn的博客
10-12 778
如何使用shiro进行登陆验证,这个比较熟悉,看下面的代码,是不是很熟悉呢? @Bean public ShiroFilterFactoryBean shiroFilter2(final SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFa...
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 2535
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程和源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
shiro successUrl 不起作用 解决
u010947651的专栏
03-15 1648
看源码 调用顺序  1: 2: 3: 解决方案============= 自定义FormAuthenticationFilter继承FormAuthenticationFilter 重写onLoginSucess方法
shiro用authc配置后登录成功后不能跳转到index页面
Ydoing的专栏
10-01 1万+
这两天发现一个问题,如题,尝试了很多方法,都没法解决,真是很郁闷。最后看源码才知道,我的配置如下。原意是从/api/user/login登录成功后,跳转到/index,但是怎么都不能跳转到/index。原来authc拦截器(即FormAuthenticationFilter),验证成功后只会跳转到最开始你进入的页面,因为我是从/api/user/login页面进入登录,所以只会跳转到/api/use
shiro试用记录-FormAuthenticationFilter
冲吧,不要停!
12-21 6981
前言 本篇文件主要是把最近试用的shiro的过程记录一下
详解Shiro认证流程
jiey0407的博客
08-31 1897
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。
Spring Security 入门(一)
clouderpig的博客
03-27 440
一、spring security讲解: Spring Security是spring提供的一种基于 Spring AOP 和 Servlet 过滤器的安全框架,其提供了对网页端请求级和方法调用级的处理身份认证(用户身份认证)和授权(登录的用户拥有什么权限)。Spring Security的核心是一组过滤器链,在springboot中引入依赖即默认对多有接口启动了安全管理,其中最核心的就是用来认证...
shiro中的过滤器
boker123的博客
08-08 2666
当我们需要使用 spring 中的过滤器时,通常通过继承 filter 接口或者使用@Webfilter注解实现。shiro中过滤器实现也是通过实现filter接口实现的,shiro中整个filter类结构如下图所示,最顶层的AbstractFilter 实现了filter接口。在DefaultFilter 枚举类中列出了shiro中常用的filter这个类重写了dofilter方法,用来保证每个请求只会被一个filter过滤一次,不会重复过滤 如果当前filter没有执行过过滤,默认会进入第二个if(那两
使用ShiroFilter的具体执行流程
Katharsis_2021的博客
10-26 823
今天在项目中进行迁移的时候,因为用的是人人的开源后端系统。该系统集成了Shiro,因为这段时间个人也在研究Shiro。看到人人后端的用法与自己之前所学的并不是很相同,所以就在网上找了下为什么要这么写。并把想法记录下来。
shiro过滤器详解
si894438380的博客
01-27 1839
常用的过滤器为AuthenticationFilter,具体看一看它是怎么实现的。 先说一下servlet的过滤器链的规则: servlet中过滤器Filter只有三个方法,当我们自定义过滤器的时候需要实现: 主要就是doFilter方法,他的实现方式是这样子的: public void doFilter(ServletRequest request, ServletResponse response,FilterChain filterChain) throws IOException
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 2095
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
五.shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
u014203449的博客
06-14 3万+
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, ...
shiro 自定义FormAuthenticationFilter,记住我
爱笑的博客
07-09 3万+
验证码 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuth
shiro过滤器详解分析
weixin_34177064的博客
03-11 1378
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值