在Restful方式登陆的时候,需要自定义一个拦截器。
用来在参数中或者header里加参数login-token作为登陆凭证。
shiro本身提供了足够多的过滤器,日常在使用的过程中可以在这些过滤器的基础上进行改造,自定义出对应的过滤器。
一、shiro提供的过滤器 二、过滤器原理shiro提供了很多过滤器,基本足够日常使用,但是,可能还需要在这些过滤器上进行微调。
想要灵活做到微调,就得知道其原理才行。
(1)shiro过滤器的集成结构
(2)NameableFilter的作用
为Filter定义名字,比如shiro提供的authc,就行这个类中定义的名字。
(3)OncePerRequestFilter
为Filter进行防重复控制,确保一次请求只执行一次Filter。
提供enabled属性,设置过滤器是否开启。
(4)ShiroFilter
提供Shiro的入口点,让Filter纳入shiro。
(5)AdviceFilter
为Filter提供AOP支持。类似spring中的Interceptor。
//类似于AOP中的前置增强; //在拦截器链执行之前执行; //如果返回true则继续拦截器链; //否则中断后续的拦截器链的执行直接返回; //进行预处理(如基于表单的身份验证、授权) boolean preHandle(ServletRequest request, ServletResponse response) throws Exception //类似于AOP中的后置返回增强; //在拦截器链执行完成后执行; //进行后处理(如记录执行时间之类的); void postHandle(ServletRequest request, ServletResponse response) throws Exception //类似于AOP中的后置最终增强; //即不管有没有异常都会执行; //可以进行清理资源(如接触Subject与线程的绑定之类的); void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) throws Exception;
(6)PathMatchingFilter
为Filter提供基于Ant风格的请求路径匹配功能及拦截器参数解析的功能。
//该方法用于path与请求路径进行匹配的方法;如果匹配返回true; boolean pathsMatch(String path, ServletRequest request) //在preHandle中,当pathsMatch匹配一个路径后,会调用opPreHandler方法并将路径绑定参数配置传给mappedValue; //然后可以在这个方法中进行一些验证(如角色授权),如果验证失败可以返回false中断流程; //默认返回true;也就是说子类可以只实现onPreHandle即可,无须实现preHandle。 //如果没有path与请求路径匹配,默认是通过的(即preHandle返回true)。 boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception
(7)AccessControlFilter
为Filter提供访问控制的基础功能;
比如是否允许访问/当访问拒绝时如何处理等;
//表示是否允许访问; //mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false; abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception; //表示当访问拒绝时是否已经处理了; //如果返回true表示需要继续处理; //如果返回false表示该拦截器实例已经处理了,将直接返回即可。 boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception; abstract boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception;
在父类的onPreHandle方法中,会将接口中定义的方法进行调用:
boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}
除此之外,还提供了登录成功后/重定向到上一个请求:
//身份验证时使用,默认/login.jsp void setLoginUrl(String loginUrl) String getLoginUrl() //获取Subject实例 Subject getSubject(ServletRequest request, ServletResponse response) //当前请求是否是登录请求 boolean isLoginRequest(ServletRequest request, ServletResponse response) //将当前请求保存起来并重定向到登录页面 void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException //将请求保存起来,如登录成功后再重定向回该请求 void saveRequest(ServletRequest request) //重定向到登录页面 void redirectToLogin(ServletRequest request, ServletResponse response)
