《shiro源码分析【整合spring】》(一)——Shiro初
- 注:以下分析是整合了spring框架之后的整个工作流程分析。
前言 Shiro简介
这是shiro官方给出的功能模块详细的介绍可以跳转到张开涛老师的博客:我是传送门
本人打算从整个shiro工作的流程出发,对其每一步的工作进行追踪,因此侧重于源码的分析,对于具体如何使用,大家也可以参考张开涛老师的博客。
由于本人刚参加工作,经验还不够,如有错误的地方,望各位不吝赐教。
一、Shiro初始化
在未整合spring之前,shiro在应用到web应用时,是通过对访问路径的过滤来进行权限控制的,也就会再web.xml中直接定义过滤器即可(mapping配置省略),如下:
<filter>
<filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
shiro的初始化工作是在web.xml中设置监听器完成的,配置如下:
<listener>
<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
而在整合spring之后,shiro为了将整个生命周期托管给spring,当然包括初始化的工作,有点不同的是过滤器采用了Spring的代理过滤器。
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<!--允许代理注入,方便spring容器管理filter的生命周期,详细情况,大家自行百度-->
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
我们就从这里开始跟踪一下spring的代理过滤器是怎么个流程。
1、代理过滤器初始化
配置是按照官网的配置来进行的。这里的启动调用的是这个代理类的无参的构造方法。
接下来是对真实的过滤器进行初始化:调用initFilterBean()方法。
我们来看一下这个方法的代码。
@Override
protected void initFilterBean() throws ServletException {
synchronized (this.delegateMonitor) {
if (this.delegate == null) {
// 如果目标bean的名字没有指定,那么就使用过滤器的名字,
// 也就是前面配置:<filter-name>shiroFilter</filter-name>(注意是shiroFilter)
if (this.targetBeanName == null) {
this.targetBeanName = getFilterName();
}
// 这里就可以根据目标bean的名字,从spring工厂中获取相应的实例了。
// 至于具体如何获取实例,稍后会进行说明
WebApplicationContext wac = findWebApplicationContext();
if (wac != null) {
this.delegate = initDelegate(wac);
}
}
}
}
- 注意:spring的代理过滤器有一个懒加载的过程,因此在执行doFilter()的时候会判断一次是否有初始化Filter类。具体代码如下(应该很容易看懂的,就不详细说明了):
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
// 懒加载
Filter delegateToUse = this.delegate;
if (delegateToUse == null) {
synchronized (this.delegateMonitor) {
if (this.delegate == null) {
WebApplicationContext wac = findWebApplicationContext();
if (wac == null) {
throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener registered?");
}
this.delegate = initDelegate(wac);
}
delegateToUse = this.delegate;
}
}
// 执行真正的过滤器的doFilter()方法
invokeDelegate(delegateToUse, request, response, filterChain);
}
2、shiroFilter实例的创建
shiroFilter在集成spring之后的创建是由:java org.apache.shiro.spring.web.ShiroFilterFactoryBean这一工厂类进行实例化的。
2.1、工厂类的初始化配置
这一工厂类的初始化是由spring进行的,我们来看看配置即可。
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!--shiro的核心就是这个manager,这里是说明过滤器的初始化工作,就暂不进行详细分析-->
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/index/login"/>
<property name="filterChainDefinitions">
<value>
/static/**=anon
/logout=logout
</value>
</property>
</bean>
- 注意这里的id要与web.xml中代理过滤器的filter-name保持一致
至此,shiro的初始化配置工作算是基本结束了。但是想必有些人会觉得迷茫,你明明使用的java org.apache.shiro.spring.web.ShiroFilterFactoryBean,这是一个工厂类,而我们需要的应该是一个javax.servlet.Filter类才对。一开始我也很迷糊,不知道咋地,在突然想起一个鬼东西,spring的什么鬼工厂,然后就去找spring的源码了。然后就找到这么一个东西,现在贴出来给大家看看(相信大家一看就能懂了),顺便也复习一下spring。
这个类是:java org.springframework.beans.factory.support.StaticListableBeanFactory
graph BT
org.springframework.beans.factory.support.StaticListableBeanFactory-->org.springframework.beans.factory.ListableBeanFactory
org.springframework.beans.factory.ListableBeanFactory-->org.springframework.beans.factory.BeanFactory
@Override
public Object getBean(String name) throws BeansException {
String beanName = BeanFactoryUtils.transformedBeanName(name);
Object bean = this.beans.get(beanName);
if (bean == null) {
throw new NoSuchBeanDefinitionException(beanName,
"Defined beans are [" + StringUtils.collectionToCommaDelimitedString(this.beans.keySet()) + "]");
}
// Don't let calling code try to dereference the
// bean factory if the bean isn't a factory
if (BeanFactoryUtils.isFactoryDereference(name) && !(bean instanceof FactoryBean)) {
throw new BeanIsNotAFactoryException(beanName, bean.getClass());
}
if (bean instanceof FactoryBean && !BeanFactoryUtils.isFactoryDereference(name)) {
try {
// 大家注意这里
return ((FactoryBean<?>) bean).getObject();
}
catch (Exception ex) {
throw new BeanCreationException(beanName, "FactoryBean threw exception on object creation", ex);
}
}
else {
return bean;
}
}
- 这篇其实还没有涉及到shiro的源码,都还是spring的知识。在完成了初始化工作之后,我们来看看shiro是怎样进行验证的,下图是shiro官方提供的验证步骤。(更新中)
简化验证流程图。
细化验证流程图(好像不是那么详细哈哈,看有没有时间,自己做一张更详细的)
- 所有图片均来自shiro官方:我是传送门
