shiroFilter动态配置过滤器链

shiro容器在启动的时候会默认加载一个ini文件,里面有核心的默认配置,当然也有对应的类,当然在实际运用中,我们可以通过查询数据库,将数据放入到InI对象中,动态的进行shiro的配置。

1. 源码引来的思考

一般我们配置shiro主过滤链是如下配置的,将String类型注入到filterChainDefinitions属性中。

而在源码中,实际上是创建了Ini.section(实际上是一个Map<String,String>) [组件]对象,然后调用了 setFilterChainDefinitionMap(section);方法。那么我们可以自定义一个Ini.section对象(无需在XML中进行配置,可以动态配置过滤器链),然后set注入到filterChainDefinitionMap中呀。

shiro的filterChainDefinitions属性源码配置:

传入的definitions值:

2. 动态配置过滤器链

Spring-FactoryBean学习(更灵活的创建bean的方式)

Spring的XML配置文件将对象交由Spring管理的原理是:通过反射机制创建出对象,再交由Spring容器管理。那么我们在代码中若想将Bean注入到容器中,我们可以new出对象来。在调用对象的set方法或者构造方法完成属性注入。

为什么动态配置过滤器链呢?

一般shiro的权限控制原理就是

  1. 实现AuthorizingRealm类,实现里面的钩子方法doGetAuthenticationInfo() 认证回调方法,每次登陆时调用;doGetAuthorizationInfo()授权查询方法,当使用注解 @RequiresPermissions进行权限控制时回调,判断用户是否含有该权限。本质上就是AOP的体现。
  2. 但是通过给每个权限方法加注解,代码比较死板。所以若是可以将权限信息在项目启动的时候,配置在过滤器链中。方式就像授权拦截器一样,/user/**=perms[“user:create”],那么就可以舍弃权限标签的用法。
  3. 关键点就是如何动态的获取user:create权限信息。并且默认的perms授权器要求满足所有的权限,才可放行。故我们需要自定义一个过滤器,满足任一权限,便可放行。

1. 自定义授权拦截器myPermissionFilter:满足任一权限便可放行
代码可参考:org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

2. 自定义授权拦截器myAuthcFilter:针对上送的请求,进行用户认证(可以在代码中使用getSubject(request, response).login(token);进行用户登录)

如何动态配置过滤器链呢?

1. 方式一:使用@Bean注解

2. 方式二:使用FactoryBean<Ini.Section>创建对象

灵活的创建出复杂的bean对象后,通过XML将其交由Spring管理。(需要注意的是:即使class参数后面是FactoryBean<T>对象,但是这个Bean,却是InI.section类型。)

转自:https://www.jianshu.com/p/18c9642a6632

发表回复