类继承结构图
看不明白此图不要紧,后面慢慢提到此图的类:
AbstractFilter,抽象过滤器
它实现Filter、继承ServletContextSupport。
它主要实现了init(FilterConfig filterConfig)
方法,此方法主要设置了本类的FilterConfig filterConfig
和ServletContextSupport
的ServletContext servletContext
。
ServletContextSupport,ServletContext的基础支持类
此类主要提供设置参数、获取ServletContext、操作Attribute等方法。
NameableFilter,命名过滤器
此类主要用于给Fitler命名,如果没有设置命名,则用FilterName。
OncePerRequestFilter,单次请求过滤器
设置Filter是否生效
此类有一个属性boolean enabled = true
,还暴露了方法访问、操作此属性,此属性用于控制此Filter是否生效:
一个请求只执行一次此Filter
我们看doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
方法。
此方法的alreadyFilteredAttributeName
变量根据Filter名称组成,可唯一标识一个Filter,可见getAlreadyFilteredAttributeName
方法。
通过Attribute标识此请求是否已执行,通过request.getAttribute
方法判断是否存在该属性,最后在处理完过滤器后,finally块通过request.removeAttribute
方法删除该属性。
向后暴露doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
抽象方法。
AbstractShiroFilter,抽象Shiro过滤器
此类的入口为doFilterInternal
方法。
ShiroHttpServletRequest,Shiro的包装请求类
在doFilterInternal
方法,可以看到prepareServletRequest
和prepareServletResponse
方法,一路跟踪进去可见ShiroHttpServletRequest,它继承HttpServletRequestWrapper,这是典型的装饰器模式。
ShiroFilter,Shiro过滤器
此类只有一个方法,就是init
方法。
此方法的调用关系如下:
另一个类继承结构图
AdviceFilter,类似切面的过滤器
看此类,会发现与AOP切面的风格很相似,相当于执行过滤器链的切面。主要逻辑体现在doFilterInternal
方法中。
-
preHandle
,前置处理,如果返回true,说明执行过滤器链,否则不执行,中断执行链。从此变量命名就可知:boolean continueChain = preHandle(request, response);
-
postHandle
,后置处理。执行过滤器链后,会执行此方法 -
afterCompletion
,完成时处理。在执行完过滤器后,无论正常返回或抛出异常,都会执行此方法,主要用于资源回收。(注:此方法的调用在cleanup
方法中)
PathMatchingFilter
属性pathMatcher
,是Ant风格的路径匹配器:PatternMatcher pathMatcher = new AntPathMatcher()
,比如?表示一个字符,*表示0个或多个字符,**表示0个或多个目录。
方法pathsMatch
,会获取请求的URI,然后使用路径匹配器去判断是否匹配。
方法preHandle
是前置处理的方法,会先判断appliedPaths是否有配置的路径通配符,如果没有,则通过;然后遍历appliedPaths调用pathsMatch
匹配当前请求路径。如果匹配,调用isFilterChainContinued
方法。
方法isFilterChainContinued
,如果此Filter有效的,则调onPreHandle
决定是否继续Filter链;如此Filter无效,返回true,继续Filter链。
方法onPreHandle
,默认返回true,即继续Filter链。
AccessControlFilter,访问控制过滤器
方法onPreHandle
,调用isAccessAllowed
方法和onAccessDenied
方法确定是否继续执行。返回true则继续执行filter链,返回false则不执行。
方法isAccessAllowed
,是否允许访问
方法onAccessDenied
,当被方法isAccessAllowed
拒绝访问时,调用此方法,此方法为处理措施,处理完毕,返回true则继续执行filter链,返回false则不执行。处理措施,比如尝试登陆。
AuthenticationFilter,认证过滤器
方法isAccessAllowed
,判断是否已认证
跳转到成功页面或拦截前想前往的页面
AuthenticatingFilter,验证过滤器
方法isAccessAllowed
,用AuthenticationFilter的认证判断,如果未认证,判断此请求是否登录请求、允许的请求
BasicHttpAuthenticationFilter,基础认证过滤器
方法isAccessAllowed
,首先判断请求URL的请求方法是否需要认证,然后再调用父类的isAccessAllowed
判断是否认证
FormAuthenticationFilter,表单认证过滤器
方法onAccessDenied
,首先判断是否登录请求,如果为否,则保存请求并跳到登录页。如有为是,则判断是否POST HTTP请求,如果是则执行登录