【Shiro】小读Shiro Filter

类继承结构图

看不明白此图没关系，后面慢慢提到此图的类：

AbstractFilter，抽象过滤器

它实现Filter、继承ServletContextSupport。
它主要实现了init(FilterConfig filterConfig)方法，此方法主要设置了本类的FilterConfig filterConfig和ServletContextSupport的ServletContext servletContext。

ServletContextSupport，ServletContext的基础支持类

此类主要提供设置参数、获取ServletContext、操做Attribute等方法。

NameableFilter，命名过滤器

此类主要用于给Fitler命名，若是没有设置命名，则用FilterName。

OncePerRequestFilter，单次请求过滤器

设置Filter是否生效

此类有一个属性boolean enabled = true，还暴露了方法访问、操做此属性，此属性用于控制此Filter是否生效：

一个请求只执行一次此Filter

咱们看doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)方法。
此方法的alreadyFilteredAttributeName变量根据Filter名称组成，可惟一标识一个Filter，可见getAlreadyFilteredAttributeName方法。
经过Attribute标识此请求是否已执行，经过request.getAttribute方法判断是否存在该属性，最后在处理完过滤器后，finally块经过request.removeAttribute方法删除该属性。
向后暴露doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)抽象方法。

AbstractShiroFilter，抽象Shiro过滤器

此类的入口为doFilterInternal方法。

ShiroHttpServletRequest，Shiro的包装请求类

在doFilterInternal方法，能够看到prepareServletRequest和prepareServletResponse方法，一路跟踪进去可见ShiroHttpServletRequest，它继承HttpServletRequestWrapper，这是典型的装饰器模式。

ShiroFilter，Shiro过滤器

此类只有一个方法，就是init方法。
此方法的调用关系以下：

另外一个类继承结构图

AdviceFilter，相似切面的过滤器

看此类，会发现与AOP切面的风格很类似，至关于执行过滤器链的切面。主要逻辑体如今doFilterInternal方法中。

• preHandle，前置处理，若是返回true，说明执行过滤器链，不然不执行，中断执行链。今后变量命名就可知：boolean continueChain = preHandle(request, response);
• postHandle，后置处理。执行过滤器链后，会执行此方法
• afterCompletion，完成时处理。在执行完过滤器后，不管正常返回或抛出异常，都会执行此方法，主要用于资源回收。（注：此方法的调用在cleanup方法中）

PathMatchingFilter

属性pathMatcher，是Ant风格的路径匹配器：PatternMatcher pathMatcher = new AntPathMatcher()，好比?表示一个字符，*表示0个或多个字符，**表示0个或多个目录。
方法pathsMatch，会获取请求的URI，而后使用路径匹配器去判断是否匹配。
方法preHandle是前置处理的方法，会先判断appliedPaths是否有配置的路径通配符，若是没有，则经过；而后遍历appliedPaths调用pathsMatch匹配当前请求路径。若是匹配，调用isFilterChainContinued方法。
方法isFilterChainContinued，若是此Filter有效的，则调onPreHandle决定是否继续Filter链；如此Filter无效，返回true，继续Filter链。
方法onPreHandle，默认返回true，即继续Filter链。

AccessControlFilter，访问控制过滤器

方法onPreHandle，调用isAccessAllowed方法和onAccessDenied方法肯定是否继续执行。返回true则继续执行filter链，返回false则不执行。
方法isAccessAllowed，是否容许访问
方法onAccessDenied，当被方法isAccessAllowed拒绝访问时，调用此方法，此方法为处理措施，处理完毕，返回true则继续执行filter链，返回false则不执行。处理措施，好比尝试登录。

AuthenticationFilter，认证过滤器

方法isAccessAllowed，判断是否已认证
跳转到成功页面或拦截前想前往的页面

AuthenticatingFilter，验证过滤器

方法isAccessAllowed，用AuthenticationFilter的认证判断，若是未认证，判断此请求是否登陆请求、容许的请求

BasicHttpAuthenticationFilter，基础认证过滤器

方法isAccessAllowed，首先判断请求URL的请求方法是否须要认证，而后再调用父类的isAccessAllowed判断是否定证

FormAuthenticationFilter，表单认证过滤器

方法onAccessDenied，首先判断是否登陆请求，若是为否，则保存请求并跳到登陆页。若有为是，则判断是否POST HTTP请求，若是是则执行登陆