Shiro学习之过滤器详解

在shiro中，除过登录认证操作，最核心的就属一些列过滤器 shiro过滤器以及对应的类：过滤器

以authc过滤器为例，对应的处理器类是FormAuthenticationFilter

authc继承关系： 1.AbstractFilter > 2.NameableFilter > 3.OncePerRequestFilter > 4.AdviceFilter > 5.PathMatchingFilter > 6.AccessControlFilter > 7.AuthenticationFilter > 8.AuthenticatingFilter > 9.FormAuthenticationFilter

tomcat中的自定义过滤器必需实现Filter接口，过滤器的实现方法为Filter中的 doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain),如果一个请求被该过滤器拦截，想要到达用户最后请求的地址，那么一定得有：filterChain.doFilter(request, response);这个方法的调用，表示通过过滤，请求可以到达用户的请求地址。否则用户的请求地址不会被调用，用户的请求被过滤器拦截

源码：

从源码中可以看到AbstractFilter 是个抽象类，直接实现了Filter接口 Filter.class AbstractFilter .class 总结：AbstractFilter只做了一些基本的初始化，并没有过多的逻辑在里面，没有实现Filter中的doFilter方法

大致意思是：允许通过getName和setName方式给过滤器命名。如果没有给该过滤器命名，那么默认将会使用web.xml中给定的名称（FilterConfiger的filterName） 总结：NameableFilter是用于给过滤器命名使用的，没有实现Filter中的doFilter方法

大致意思是：filter的基类（就是真正实现了Filter中的doFilter方法的类），它用来保证在每个servlet容器上，第个请求都只会被过滤一次，不会重复过滤。 通过getAlreadyFilteredAttributeName()方法来鉴别请求是否已经被过滤过。默认的实现基于具体过滤的实例名称。

doFilter()具体实现逻辑:

大致意思是：类似于开启了AOP环绕通知，提供了preHandle,postHandle和afterCompletion这三个方法

其过滤逻辑为：doFilterInternal方法

大致意思是：这个过滤器会处理指定的请求路径，和对其它路径的请求放行。 比如：如果配置如下拦截,/hello=authc，这就意味着，请用户请求/hello时，这时的authc过滤就会对这个请求拦截并进行过滤逻辑处理。如果一个用户请求是/world，则不会对此请求过滤

大致意思是：如果用户没有认证（即登录），那么这个过滤器就是控制访问资源和用户重定向到登录页面的过滤器的父类。当一个用户没有认证（即登录）时，可以通过saveRequestAndRedirectToLogin这个方法，重定向到登录页面

以上是该类的文档说明，实际还有一些其它的逻辑在里面，接着5. PathMatchingFilter的思路走，我们得在这个过滤器里看看onPreHandle中的实现，其中调用了二个方法的逻辑或，isAccessAllowed和onAccessDenied isAccessAllowed如果请求允许正常处理，返回true。否则返回false由方法onAccessDenied进行处理请求。即isAccessAllowed返回true表示用户已登录过，false表示用户还未登录 onAccessDenied即登录验证在isAccessAllowed方法中被拒绝以后调用，其中参数mappedValue可以通过配置获取到，也可以为null。这个方法的委托方法isAccessAllowed(request, response)处理，只有2个参数，大多数被isAccessAllowed方法拒绝后的行为（即isAccessAllowed返回false）,再做处理时不需要mappedValue这个配置参数。 总结：AccessControlFilter中的onPreHandle处理真正的拦截逻辑，isAccessAllowed方法验证用户是否登录，onAccessDenied处理用户没登录后的逻辑，在这个过滤器中并没有给出isAccessAllowed和onAccessDenied方法的实现，下一步得去子类中看，目前只能通过文档的注释去了解这些方法大概会执行什么样的操作

大致意思是：需要对当前用户认证的过滤器的基类，这个类封装了一些检查用户是否在系统中已经验证过的逻辑，子类需要对未验证的请求执行特定的逻辑 AuthenticationFilter这个类的子类为AuthenticatingFilter，通过第6个过滤器可以知道，最后处理登录认验的实际上就是isAccessAllowed和onAccessDenied这二个方法。再根据文档的描述，这个类实现了isAccessAllowed的逻辑，而它的子类AuthenticatingFilter实现了onAccessDenied的逻辑

isAccessAllowed方法: 先取出当前用户，然后再返回当前用户是否已认证。 AccessControlFilter中的onPreHandle()： 总结：AuthenticationFilter实现了isAccessAllowed方法，如果用户已登录，那么过滤器将直接放行，如果用户没有登录，那么再由其子类中的onAccessDenied方法处理后续逻辑

大致意思是：该类会尝试基于用户的请求，自动的去执行一些身份认证 先看下这个过滤器所有的方法： 该类并没有实现onAccessDenied方法。而是提供了一些登录，创建用户，和登录成功或失败后的重定向跳转等方法。 以下是登录方法，如果登录成功执行onLoginSuccess，失败则执行onLoginFailure 总结：AuthenticatingFilter提供了一些如登录，和重定向跳转的方法，并没有onAccessDenied方法的实现，那么这个实现就只能在最后一个子类FormAuthenticationFilter中完成了

大致意思是：

这个文档说明比较长，我们这里主要看onAccessDenied的实现：

其中用户名，密码是一个固定的变量值username,password。 即页请求传过来的参数默认是username和password。它会根据这2个参数封装成authenticationToken对象。然后根据这个对象进行登录操作。(一般这个操作都是会在我们自定义的realm中完成，这里就暂不介绍登录)

登录成功，直接执行onLoginSuccess(token, subject, request, response)方法 登录成功执行issueSuccessRedirect方法重定向到登录成功的页面，然后返回false(这里返回false是因为用户是请求的登录操作，然后被authc过滤器给拦截掉并且登录成功了，就没必需继续再往后面走了。)，注意：这里的onLoginSuccess方法是FormAuthenticationFilter中的，不是AuthenticatingFilter中的

登录失败则执行onLoginFailure方法，这个方向会在request中的属性中存入失败原因，key值为：shiroLoginFailure,并且最终返回true，意味着用户的登录请求最后到达到我们的后台，只是在过滤器中已经做过一次登录了，并且是登录失败，所以我们自己的登录地址在编码时不需要再重复做登录认证操作，只需要从request中取出shiroLoginFailure认证报错信息，做相应的逻辑处理就可以了 总结：FormAuthenticationFilter实现了认证失败后的处理逻辑，即用户在未登录情况下处理的后续操作，如果用户是一个非登录请求，那么会直接重定向到登录页面（即配置中的loginUrl页面），如果是一个登录请求，且是GET请页，那么直接放行登录请求，如果是POST请求，则会从请求中获取默认的username,password去尝试登录，如果登录成功，则由过滤器直接重定向到登录成功的url上去，并拦截掉用户的请求。如果登录失败，则由过滤器直接重定向到登录失败的url上去，并将失败信息写入到request中去，key值为shiroLoginFailure,然后过滤器放行，直接到达用户请求的地址，我们就可以在这个请求地址中取到登录失败的数据做相应的操作了

首先过滤器会调用doFilter（在OncePerRequestFilter中）方法，然后再调用doFilterInternal方法（在AdviceFilter中），然后再调用preHandle、executeChain、postHandle（在AdviceFilter中）这3个方法，实际拦截业务在preHandle方法中，然后再调用onPreHandle（在AccessControlFilter中）方法，然后再调用isAccessAllowed（在AuthenticationFilter中）方法和onAccessDenied（在FormAuthenticationFilter中）方法。