Spring Boot Shiro在Web应用中的作用详解

更新时间：2023年02月10日 11:31:03 作者：Samson_bu

这篇文章主要为大家介绍了Spring Boot Shiro在Web应用中的作用详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪

01-Tomcat 中的 Filter 责任链

在前面的文章中，我介绍了如何使用 Apache Shiro 进行安全认证。其实 Shiro 在 Web 应用中出现的频率更高。今天我将来分析下，Shiro 是如何应用到 Web 应用中的。

Servlet 规范中定义了 Filter 和 FilterChain 接口，其中都包含一个 doFilter 方法，不过参数有区别：

Filter#doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
FilterChain#doFilter(ServletRequest request, ServletResponse response)

Tomcat 中对 FilterChain 的实现是 org.apache.catalina.core.ApplicationFilterChain，它包括：

ApplicationFilterConfig[] filters; 数组，用来保存链中的 Filter，ApplicationFilterConfig 是 Filter 的配置类，通过 ApplicationFilterConfig#getFilter() 可获得对应的 Filter。
int pos; 表示链当前位置。
int n; 表示 FilterChain 中 Filter 的数量，即 filters 中元素数量。
Servlet servlet; 表示应用的 Servlet 实现。

ApplicationFilterChain#doFilter 的实现逻辑：

如果 pos < n，即尚未执行到链表末端，则调用 filters[pos++].getFilter().doFilter(req, res, chain)，执行当前 Filter 的 doFilter 方法。
如果 pos >= n，说明链表中所有的 Filter 都执行完毕，则调用 servlet.service(request, response);，执行业务层逻辑。

综上，ApplicationFilterChain 会检查是否有 Filter 需要执行，如果有，则调用 Filter；否则，则将请求交给 Servlet 处理。 Filter 在其 doFilter 方法中，能够拿到当前 Filter 所述的 FilterChain 对象。在执行完 Filter 后，根据自身逻辑判断是否需要继续将请求传递给 chain 上的后续 Filter 处理，若需要，则调用 chain 的 doFilter 方法。

02-Shiro 中的 filter 链结构

Shiro 中对 FilterChain 的实现是 org.apache.shiro.web.servlet.ProxiedFilterChain，它包括：

FilterChain orig; 它是 Tomcat 中的 FilterChain 实例。
List<Filter> filters; 是 Shiro 中要执行的安全相关的 Filter（它们也都是实现了 Servlet Filter 的类）。
int index; 与 ApplicationFilterChain 中的 pos 异曲同工之妙。

ProxiedFilterChain#doFilter 的实现逻辑：

如果 filters == null || index = filters.size() 说明 Shiro 中安全相关的链已执行完毕，则调用 orig.doFilter(req, res)
否则，说明链中当其 Filter 需要执行，则调用 filters.get(index++).doFilter(request, response, this);

03-shiro-filters 如何与 servlet 中的 filter 关联起来

org.apache.shiro.web.servlet.OncePerRequestFilter 实现了 Servlet 中的 Filter 接口，org.apache.shiro.web.servlet.AbstractShiroFilter 是 OncePerRequestFilter 的基本实现。因此，AbstractShiroFilter 的派生类都能作为 Filter 添加到 Servlet 的责任链中，即 ApplicationFilterChain 的 filters 中。

Shiro 将 AbstractShiroFilter 的一个实现 org.apache.shiro.spring.web.ShiroFilterFactoryBean.SpringShiroFilter 添加到 filters 中，并命名为 "shiroFilter"。该类的继承关系如下：

注：org.apache.shiro.web.servlet.OncePerRequestFilter 与 Spring 中的 OncePerRequestFilter 同名，但实现不同。

将 shiroFilter 添加到 filters 中的逻辑在 org.apache.shiro.spring.config.web.autoconfigure.ShiroWebFilterConfiguration 中：

@Bean(name = REGISTRATION_BEAN_NAME)
@ConditionalOnMissingBean(name = REGISTRATION_BEAN_NAME)
protected FilterRegistrationBean<AbstractShiroFilter> filterShiroFilterRegistrationBean() throws Exception {

    FilterRegistrationBean<AbstractShiroFilter> filterRegistrationBean = new FilterRegistrationBean<>();
    filterRegistrationBean.setDispatcherTypes(DispatcherType.REQUEST, DispatcherType.FORWARD, DispatcherType.INCLUDE, DispatcherType.ERROR);
    filterRegistrationBean.setFilter((AbstractShiroFilter) shiroFilterFactoryBean().getObject());  // SpringShiroFilter 实例
    filterRegistrationBean.setName(FILTER_NAME);    // "shiroFilter"
    filterRegistrationBean.setOrder(1);

    return filterRegistrationBean;
}
复制代码

使用 DEBUG 方式 Shiro Web 应用，也可以佐证上述观点：

Shiro 在 OncePerRequestFilter 中实现了 Filter#doFilter 方法，并在该方法中将过滤器的处理逻辑交由其定义的模板方法 doFilterInternal 来实现。 AbstractShiroFilter 提供了对 doFilterInternal 的基本实现：

将 HttpServletRequest 包装成 ShiroHttpServletRequest

将 HttpServletResponse 包装成 ShiroHttpServletResponse

创建 WebSubject

executeChain(request, response, origChain);，其中 origChain 是 Tomcat 处理请求响应的 ApplicationFilterChain，即 shiroFilter 所在的 chain。

chain = PathMatchingFilterChainResolver#getChain(request, response, origChain); chain 是前面提到的 ProxiedFilterChain 实例。

chain.doFilter(request, response);，相当于将请求交给 shiro-filter 组成的 chain 处理，大体流程与 ApplicationFilterChain 类似。

当请求经过 ApplicationFilterChain 处理，进入到 shiroFilter 时，它的 doFilter 方法（在 OncePerRequestFilter 中）将请求交给 doFilterInternal 方法（在 AbstractShiroFilter 中）处理。然后会执行与请求路径相关联的 shiro-filter 组成的 chain 对请求、响应进行处理。下图是 shiro-chain 与 application chain 之间的关系，可以参考下帮助加深理解。

04-总结

今天介绍了 Tomcat 中 Filter 责任链的作用原理以及 Shiro 中实现的安全相关的 Filter 责任链。并且，还分析了 Shiro 是如何作为一个 Filter 应用到 Web 应用的。综上，我们了解了一个请求是如何经过层层 Filter 到达 Servlet 中的，也了解了 Shiro 是如何在这个流程中发挥安全认证作用的。希望以上的内容能对你有所帮助。

以上就是Spring Boot Shiro在Web应用中的作用详解的详细内容，更多关于Spring Boot Shiro Web的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

详解Spring如何避免被JVM 垃圾回收
如果Spring 被回收掉,Spring管理的bean全部会被回收,那我们的Java应用不就被一锅端了吗？所以本文小编将和大家一起聊聊Spring如何避免被JVM垃圾回收,需要的朋友可以参考下
2023-11-11
Spring boot如何基于拦截器实现访问权限限制
这篇文章主要介绍了Spring boot如何基于拦截器实现访问权限限制,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-10-10
spring+maven实现发送邮件功能
这篇文章主要为大家详细介绍了spring+maven实现发送邮件功能，利用spring提供的邮件工具来发送邮件，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2018-07-07
springboot多租户设计过程图解
这篇文章主要介绍了springboot多租户设计过程图解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-12-12
idea如何查看安裝插件的位置
这篇文章主要介绍了idea如何查看安裝插件的位置问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-06-06
Spring中的@EnableConfigurationProperties使用方式以及作用详解
这篇文章主要介绍了Spring中的@EnableConfigurationProperties使用方式以及作用详解,使用了 @ConfigurationProperties 注解的配置类生效,将该类注入到 IOC 容器中,交由 IOC 容器进行管理,此时则不用再配置类上加上@Component,需要的朋友可以参考下
2024-01-01
SpringBoot+vue实现登录图片验证码功能
这篇文章主要给大家介绍一下如何SpringBoot+vue实现登录图片验证码功能，文中有详细的代码示例，具有一定的参考价值,需要的朋友可以参考下
2023-07-07
再也不用怕! 让你彻底搞明白Java内存分布
做Java的大都没有c++ 的那种分配内存的烦恼,因为Java 帮我们管理内存,但是这并不代表我们不需要了解Java的内存结构,因为线上经常出现内存的问题,今天聊一下内存的问题,需要的朋友可以参考下
2021-06-06
手把手带你分析SpringBoot自动装配完成了Ribbon哪些核心操作
这篇文章主要介绍了详解Spring Boot自动装配Ribbon哪些核心操作的哪些操作，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-08-08
Java 精炼解读数据结构逻辑控制
在程序开发的过程之中一共会存在有三种程序逻辑：顺序结构、分支结构、循环结构，对于之前所编写的代码大部分都是顺序结构的定义，即：所有的程序将按照定义的代码顺序依次执行
2022-03-03