在Restful方式登陆的时候,需要自定义一个拦截器。
用来在参数中或者header里加参数login-token作为登陆凭证。
shiro本身提供了足够多的过滤器,日常在使用的过程中可以在这些过滤器的基础上进行改造,自定义出对应的过滤器。
一、shiro提供的过滤器
二、过滤器原理
shiro提供了很多过滤器,基本足够日常使用,但是,可能还需要在这些过滤器上进行微调。
想要灵活做到微调,就得知道其原理才行。
(1)shiro过滤器的集成结构
(2)NameableFilter的作用
为Filter定义名字,比如shiro提供的authc,就行这个类中定义的名字。
(3)OncePerRequestFilter
为Filter进行防重复控制,确保一次请求只执行一次Filter。
提供enabled属性,设置过滤器是否开启。
(4)ShiroFilter
提供Shiro的入口点,让Filter纳入shiro。
(5)AdviceFilter
为Filter提供AOP支持。类似spring中的Interceptor。
//类似于AOP中的前置增强;
//在拦截器链执行之前执行;
//如果返回true则继续拦截器链;
//否则中断后续的拦截器链的执行直接返回;
//进行预处理(如基于表单的身份验证、授权)
boolean preHandle(ServletRequest request, ServletResponse response) throws Exception
//类似于AOP中的后置返回增强;
//在拦截器链执行完成后执行;
//进行后处理(如记录执行时间之类的);
void postHandle(ServletRequest request, ServletResponse response) throws Exception
//类似于AOP中的后置最终增强;
//即不管有没有异常都会执行;
//可以进行清理资源(如接触Subject与线程的绑定之类的);
void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) throws Exception;
(6)PathMatchingFilter
为Filter提供基于Ant风格的请求路径匹配功能及拦截器参数解析的功能。
//该方法用于path与请求路径进行匹配的方法;如果匹配返回true;
boolean pathsMatch(String path, ServletRequest request)
//在preHandle中,当pathsMatch匹配一个路径后,会调用opPreHandler方法并将路径绑定参数配置传给mappedValue;
//然后可以在这个方法中进行一些验证(如角色授权),如果验证失败可以返回false中断流程;
//默认返回true;也就是说子类可以只实现onPreHandle即可,无须实现preHandle。
//如果没有path与请求路径匹配,默认是通过的(即preHandle返回true)。
boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception
(7)AccessControlFilter
为Filter提供访问控制的基础功能;
比如是否允许访问/当访问拒绝时如何处理等;
//表示是否允许访问;
//mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false;
abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;
//表示当访问拒绝时是否已经处理了;
//如果返回true表示需要继续处理;
//如果返回false表示该拦截器实例已经处理了,将直接返回即可。
boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;
abstract boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception;
在父类的onPreHandle方法中,会将接口中定义的方法进行调用:
boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
} 除此之外,还提供了登录成功后/重定向到上一个请求:
//身份验证时使用,默认/login.jsp
void setLoginUrl(String loginUrl)
String getLoginUrl()
//获取Subject实例
Subject getSubject(ServletRequest request, ServletResponse response)
//当前请求是否是登录请求
boolean isLoginRequest(ServletRequest request, ServletResponse response)
//将当前请求保存起来并重定向到登录页面
void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException
//将请求保存起来,如登录成功后再重定向回该请求
void saveRequest(ServletRequest request)
//重定向到登录页面
void redirectToLogin(ServletRequest request, ServletResponse response)