一.shiro拦截器基础类图

image.png

二.流程介绍

简述：hiro使用了与Servlet一样的Filter接口进行扩展，ShiroFilter是整个程序入口。AdviceFilter 分支，它提供了 AOP 功能的 Filter，我们也可以集成AdviceFilter下拦截器进行必要操作。这些 Filter 就是 Shiro 为我们提供的默认 Filter：

image.png

• Filter接口

public interface Filter {

   void init(FilterConfig filterConfig) throws ServletException;

   void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException;

   void destroy();
}

• AbstractFilter ,
  • 初始化 ServletContext 并封装 FilterConfig，实现Filter的init方法中提供供子类实现的 onFilterConfigSet()方法【1】
• NameableFilter
  • 每个 Filter 必须有一个名字，可通过 setName 方法设置的，如果不设置就取该 Filter 默认的名字
• OncePerRequestFilter
  • 确保每个请求只能被 Filter 过滤一次。该类第一次实现doFilter()方法 ，其中有供需在子类重写过滤操作doFilterInternal()【2】方法;
  • 可配置的参数：private boolean enabled = true;// 是否开启过滤功能，若拦截器配置fasle则跳过继续下一个拦截器

AbstractShiroFilter方向分支

• AbstractShiroFilter
  实现父对象的 doFilter和 onFilterConfigSet(）【1,2】，获取 Shiro 代理后的 FilterChain 对象，并进行链式处理，其中 onFilterConfigSet(）提供子类实现的init()方法【3】

    // 这是 AbstractFilter 提供的在 init 时需要执行的方法
    protected final void onFilterConfigSet() throws Exception {
        // 从 web.xml 中读取 staticSecurityManagerEnabled 参数（默认为 false）
        applyStaticSecurityManagerEnabledConfig();
        // 初始化（在子类中实现）
        init();
        // 确保 SecurityManager 必须存在
        ensureSecurityManager();
        // 若已开启 static 标志，则将当前的 SecurityManager 放入 SecurityUtils 中，以后可以随时获取
        if (isStaticSecurityManagerEnabled()) {
            SecurityUtils.setSecurityManager(getSecurityManager());
        }
    }

// 这是 OncePerRequestFilter 提供的在 doFilter 时需要执行的方法
    protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain) throws ServletException, IOException {
        Throwable t = null;
        try {
            // 返回被 Shiro 包装过的 Request 与 Response 对象
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);
            // 创建 Shiro 的 Subject 对象
            final Subject subject = createSubject(request, response);
            // 使用异步的方式执行相关操作
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    // 更新 Session 的最后访问时间
                    updateSessionLastAccessTime(request, response);
                    // 执行 Shiro 的 Filter Chain
                    executeChain(request, response, chain);
                    return null;
                }
            });
        } 

• ShiroFilter：在 ShiroFilter 中只用做初始化的行为，就是从 WebEnvironment 中分别获取 WebSecurityManager 与 FilterChainResolver，其它的事情都由它的父类去实现了

AdviceFilter方向分支

• AdviceFilter
  • 提供了AOP风格的支持，类似于SpringMVC中的Interceptor。实现了doFilterInternal方法【2】，方法提供子类实现的preHandle等【4】方法，并进行链式处理。
  • preHandler：类似于AOP中的前置增强；在拦截器链执行之前执行；如果返回true则继续拦截器链；否则中断后续的拦截器链的执行直接返回；进行预处理（如基于表单的身份验证、授权）
  • postHandle：类似于AOP中的后置返回增强；在拦截器链执行完成后执行；进行后处理（如记录执行时间之类的）
  • afterCompletion：类似于AOP中的后置最终增强；即不管有没有异常都会执行；可以进行清理资源（如接触Subject与线程的绑定之类的）；

public abstract class AdviceFilter extends OncePerRequestFilter {

    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        return true;
    }

    @SuppressWarnings({"UnusedDeclaration"})
    protected void postHandle(ServletRequest request, ServletResponse response) throws Exception {
    }

    public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) throws Exception {
    }


    protected void executeChain(ServletRequest request, ServletResponse response, FilterChain chain) throws Exception {
        chain.doFilter(request, response);
    }

    public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        Exception exception = null;

        try {

            boolean continueChain = preHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Invoked preHandle method.  Continuing chain?: [" + continueChain + "]");
            }

            if (continueChain) {
                executeChain(request, response, chain);
            }

            postHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Successfully invoked postHandle method");
            }

        } catch (Exception e) {
            exception = e;
        } finally {
            cleanup(request, response, exception);
        }
    }
}

• PathMatchingFilter
  • PathMatchingFilter继承了AdviceFilter，提供了url模式过滤的功能，如果需要对指定的请求进行处理，可以扩展PathMatchingFilter：
  • pathsMatch：如果url模式与请求url匹配，那么会执行onPreHandle，并把该拦截器配置的参数传入。默认什么不处理直接返回true。
  • onPreHandle：在preHandle中，当pathsMatch匹配一个路径后，会调用opPreHandler方法并将路径绑定参数配置传给mappedValue；然后可以在这个方法中进行一些验证（如角色授权），如果验证失败可以返回false中断流程；默认返回true；也就是说子类可以只实现onPreHandle即可，无须实现preHandle。如果没有path与请求路径匹配，默认是通过的（即preHandle返回true）。