shiro过滤器,web.xml中默认访问页面,springMVC拦截器执行顺序
1,环境
在我本身的一个在web项目使用了shiro的Filter,让shiroFilter来代理整个web的FiltershiroFilter的大体配置以下:java
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/" /><!-- 访问须要认证的地址时,没有认证跳转的地址,默认为login.jsp -->
<property name="unauthorizedUrl" value="homePage" /> <!-- 登陆后,没有访问权限将跳转到homePage -->
<property name="filterChainDefinitions">
<!-- **表示匹配0个或多个路径 ,*表示匹配0个或多个字符串,?表示匹配一个字符 -->
<value>
/preLogin = anon
/toLogin = anon
/userregister = anon
/registerpage = anon
/static/** = anon
/login = anon
/logout = logout
/analysis/test = authc
/analysis/test1 = authc,perms[admin:edit] <!--要有 admin:edit的权限 -->
/** = user <!-- 主要针对rememberMe功能 ,当使用authc时,仍是要认证才能访问 -->
</value>
</property>
</bean>
在web.xml中shiroFilter的配置以下:web
<filter>
<filter-name>shiroFilter</filter-name>
<!-- DelegatingFilterProxy做用是自动到spring容器查找名字
为shiroFilter(filter-name)的bean并把全部Filter的操做委托给它 -->
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
- 配置的Filter管理全部的访问控制。
同时在项目中还在web.xml中指定了一个项目欢迎页面。代码以下:spring
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
而在欢迎页面是一个jsp的跳转标签,用来跳转到真正项目的首页。index.jsp以下:apache
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <jsp:forward page="/preLogin" />
这里跳转的preLogin就是项目真正的首页。
同时在springMVC中也配置了相关拦截器用来判断用户是否登陆,若未登陆则跳转到登陆界面。拦截代码以下:session
public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
Object handler) throws Exception {
String urlPath = request.getRequestURL().toString();
if(urlPath.matches(Const.StaticPath)) { //访问的url是静态资源
return true;
} else { //访问其余的非静态资源的url,当前仅判断用户是否登陆,若未登陆则跳转到登陆界面
User user = (User)sessionUtil.getSessionAttribute(Const.currentUser);
if(user != null) { //用户已登陆
return true;
} else { //用户未登陆
response.sendRedirect(request.getContextPath() + Const.Login);
return false;
}
}
//return true;
}
由于刚开始学习shiro因此这几个拦截访问混在一块儿就搞不清楚谁先访问谁后访问,以及shiro断定访问权限后再如何跳转。app
2,探索过程
web的过滤器与springMVC拦截器的访问顺序参考http://blog.csdn.net/chenleixing/article/details/44573495。
经过这篇博客能够知道过滤器Filter的优先级是要大于springMVC的拦截器Interceptor的。或者说,当有访问来到时,是先执行Filter里的逻辑,而后在执行Interceptor的。而shiro的Filter会代理web的Filter,因此会先执行shiro的过滤器在执行springMVC的拦截器。在给程序打断点,F6一步一步执行的过程当中也能够发现这一点。
那么在web.xml中设置的欢迎页面与shiroFilter谁会先执行呢?
再回答这个问题的时候,要先看看我写的shiroFilter的配置。jsp
<property name="loginUrl" value="/" /><!-- 访问须要认证的地址时,没有认证跳转的地址,默认为login.jsp --> <property name="unauthorizedUrl" value="homePage" /> <!-- 登陆后,没有访问权限将跳转到homePage -->
用户没有认证时(即没有执行subject.login()方法)如有权限的限制,会到转到根目录即index.jsp页面,而index.jsp页面又会立刻跳转到preLogin页面。当我在页面上输入http://localhost:8080/spiderAndAnalysis/(即:访问项目的根目录/时)我就搞不清楚究竟是经过Filter访问的preLogin页面仍是直接先访问的index.jsp页面未通过Filter。因此后来我将< property name=”loginUrl” value=”/” />的value换成了analysis,再次访问项目根目录,发现此次直接跳转到了analysis页面。因此shiroFilter的优先级高于欢迎界面,即在配置了shiroFilter管理web访问时,全部请求都要先通过shiroFilter,再通过其余过滤器拦截器等ide
3,shiroFilter部分参数的含义
在配置shiroFilter的时候用到了loginUrl,unauthorizedUrl以及filterChainDefinitions等参数。我的理解的配置含义:
loginUrl:当用户未认证(即:未执行subject.login()函数登陆成功),若此时访问有访问权限的url时,会跳转到loginUrl指定的登陆界面,若访问无权限的url则会直接访问。
以本文的配置为例:若直接访问preLogin ,toLogin ,userregister这类没有访问权限的url时,将直接访问,不用跳转。若访问analysis/test这个url,而且用户未登陆时,将跳转到loginUrl指定的登陆界面。
unauthorizedUrl:当用户认证了,访问了没有权限访问的url时会跳转到unauthorizedUrl指定的地址。例如:用户A已经登陆可是用户A只有admin:add权限时,用户A访问analysis/test1这个须要admin:edit权限的url时,将跳转到unauthorizedUrl指定的homePage地址。函数
- 1. 过滤器 拦截器 controller 页面 的执行顺序
- 2. SpringMVC拦截器及多拦截器时的执行顺序
- 3. 过滤器和拦截器的执行顺序
- 4. 拦截器和过滤器执行顺序:
- 5. 拦截器与过滤器执行顺序和区别
- 6. spring 拦截器和过滤器的访问顺序
- 7. springmvc单个拦截器中拦截器方法的执行顺序
- 8. springmvc多个拦截器中拦截器方法的执行顺序
- 9. Shiro 默认过滤器
- 10. springmvc拦截器和filter过滤器执行流程
- 更多相关文章...
- • PHP 过滤器 - PHP教程
- • PHP FILTER_CALLBACK 过滤器 - PHP参考手册
- • Docker容器实战(七) - 容器眼光下的文件系统
- • Docker容器实战(六) - 容器的隔离与限制
-
每一个你不满意的现在,都有一个你没有努力的曾经。