最近的一个项目使用的是spring mvc,权限框架使用的是shiro.

不过有一个问题一直困扰着我,现在的session到底是谁的session,是servlet的还是shiro的.

于是我把spring controller参数里面的HttpServletRequest对象和HttpSession对象打印了出来

这两个对象打印的结果是org.apache.shiro.web.servlet.ShiroHttpServletRequest和org.apache.shiro.web.servlet.ShiroHttpSession

在不使用shiro时这些对象应该均为tomcat所实现的类,这说明在shiro执行filter时将request对象包装成了shiro实现的类.

那么shiro是在什么时候将request对象包装了的呢?

先看一下shiro的拦截器类图:

ShiroFilter 是整个 Shiro 的入口点,用于拦截需要安全控制的请求进行处理。ShiroFilter 继承自AbstractShiroFilter,而AbstractShiroFilter继承自OncePerRequestFilter

先看一下OncePerRequestFilter的源码 :

public abstract class OncePerRequestFilter extends NameableFilter {

    // 已过滤属性的后缀名

    public static final String ALREADY_FILTERED_SUFFIX = ".FILTERED";

    // 是否开启过滤功能

    private boolean enabled = true;

    public boolean isEnabled() {

        return enabled;

    }

    public void setEnabled(boolean enabled) {

        this.enabled = enabled;

    }

    public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        // 获取 Filter 已过滤的属性名

        String alreadyFilteredAttributeName = getAlreadyFilteredAttributeName();

        // 判断是否已过滤

        if (request.getAttribute(alreadyFilteredAttributeName) != null) {

            // 若已过滤,则进入 FilterChain 中下一个 Filter

            filterChain.doFilter(request, response);

        } else {

            // 若未过滤,则判断是否未开启过滤功能(其中 shouldNotFilter 方法将被废弃,由 isEnabled 方法取代)

            if (!isEnabled(request, response) || shouldNotFilter(request)) {

                // 若未开启,则进入 FilterChain 中下一个 Filter

                filterChain.doFilter(request, response);

            } else {

                // 若已开启,则将已过滤属性设置为 true(只要保证 Request 中有这个属性即可)

                request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);

                try {

                    // 在子类中执行具体的过滤操作

                    doFilterInternal(request, response, filterChain);

                } finally {

                    // 当前 Filter 执行结束需移除 Request 中的已过滤属性

                    request.removeAttribute(alreadyFilteredAttributeName);

                }

            }

        }

    }

    protected String getAlreadyFilteredAttributeName() {

        String name = getName();

        if (name == null) {

            name = getClass().getName();

        }

        return name + ALREADY_FILTERED_SUFFIX;

    }

 protected boolean isEnabled(ServletRequest request, ServletResponse response) throws ServletException, IOException {

        return isEnabled();

    }

 protected boolean shouldNotFilter(ServletRequest request) throws ServletException {

        return false;

    }

    protected abstract void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException;

}

我们看到OncePerRequestFilter里面实现了Servlet规范的doFilter(),并且将该方法声明为final,可以看出shiro不允许其子类再复写该方法.

但OncePerRequestFilter并没有实现 doFilterInternal(request, response, filterChain),这说明该方法是需要在子类中实现的.

再来看一下OncePerRequestFilter的子类AbstractShiroFilter:

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain) throws ServletException, IOException {

        Throwable t = null;

        try {

            // 返回被 Shiro 包装过的 Request 与 Response 对象

            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);

            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

            // 创建 Shiro 的 Subject 对象

            final Subject subject = createSubject(request, response);

            // 使用异步的方式执行相关操作

            subject.execute(new Callable() {

                public Object call() throws Exception {

                    // 更新 Session 的最后访问时间

                    updateSessionLastAccessTime(request, response);

                    // 执行 Shiro 的 Filter Chain

                    executeChain(request, response, chain);

                    return null;

                }

            });

        } catch (ExecutionException ex) {

            t = ex.getCause();

        } catch (Throwable throwable) {

            t = throwable;

        }

        if (t != null) {

            if (t instanceof ServletException) {

                throw (ServletException) t;

            }

            if (t instanceof IOException) {

                throw (IOException) t;

            }

            throw new ServletException(t);

        }

    }

果然,在子类AbstractShiroFilter中实现了doFilterInternal()方法.

其中用于包装request的函数:

protected ServletRequest prepareServletRequest(ServletRequest request, ServletResponse response, FilterChain chain) {

        ServletRequest toUse = request;

        if(request instanceof HttpServletRequest) {

            HttpServletRequest http = (HttpServletRequest)request;

            toUse = this.wrapServletRequest(http);

        }

        return toUse;

    }
protected ServletRequest wrapServletRequest(HttpServletRequest orig) {

        return new ShiroHttpServletRequest(orig, this.getServletContext(), this.isHttpSessions());

    }

现在终于知道shiro是怎么把request对象包装成ShiroHttpServletRequest类型的了.

一开始session的困惑也能解开了:

因为session是通过request获取的,所以先看一下ShiroHttpServletRequest获取session的源码:

public HttpSession getSession(boolean create) {

        HttpSession httpSession;

        if(this.isHttpSessions()) {

            httpSession = super.getSession(false);

            if(httpSession == null && create) {

                if(!WebUtils._isSessionCreationEnabled(this)) {

                    throw this.newNoSessionCreationException();

                }

                httpSession = super.getSession(create);

            }

        } else {

            if(this.session == null) {

                boolean existing = this.getSubject().getSession(false) != null;

                Session shiroSession = this.getSubject().getSession(create);

                if(shiroSession != null) {

                    this.session = new ShiroHttpSession(shiroSession, this, this.servletContext);

                    if(!existing) {

                        this.setAttribute(REFERENCED_SESSION_IS_NEW, Boolean.TRUE);

                    }

                }

            }

            httpSession = this.session;

        }

        return httpSession;

    }

这里主要讲的是:

如果this.isHttpSessions()返回true,则返回父类HttpServletRequestWrapper的

也就是servelet规范的session,否则返回ShiroHttpSession对象.

那么this.isHttpSessions()是什么呢?



protected boolean httpSessions = true;


public boolean isHttpSessions() {

        return this.httpSessions;

    }




this.isHttpSessions()返回ShiroHttpServletRequest对象的一个属性值,默认是true.


ShiroHttpServletRequest的构造函数是这样的:




public ShiroHttpServletRequest(HttpServletRequest wrapped, ServletContext servletContext, boolean httpSessions) {

        super(wrapped);

        this.servletContext = servletContext;

        this.httpSessions = httpSessions;

    }




这说明在ShiroHttpServletRequest对象生成之初就必须指定httpSessions的值.


再回到刚才shiro包装request的地方.




protected ServletRequest wrapServletRequest(HttpServletRequest orig) {

        return new ShiroHttpServletRequest(orig, this.getServletContext(), this.isHttpSessions());

    }






protected boolean isHttpSessions() {

        return this.getSecurityManager().isHttpSessionMode();

    }




这里的this.isHttpSessions()取决于this.getSecurityManager().isHttpSessionMode()的值.


我们项目里SecurityManager设置为DefaultWebSecurityManager.其中isHttpSessionMode()方法为:




public boolean isHttpSessionMode() {

        SessionManager sessionManager = this.getSessionManager();

        return sessionManager instanceof WebSessionManager && ((WebSessionManager)sessionManager).isServletContainerSessions();

    }




我们这个项目使用的sessionManager是DefaultWebSessionManager,DefaultWebSessionManager实现了sessionManager 接口.


但是DefaultWebSessionManager中该方法返回的是false.




public boolean isServletContainerSessions() {

        return false;

    }




所以最终session得到的是ShiroHttpSession.


转载请注明出处http://www.cnblogs.com/vinozly/p/5080692.html
												


											
spring mvc下shiro的session,request等问题的更多相关文章
	

    
								
  1. 理解Spring MVC Model Attribute和Session Attribute
		
    作为一名 Java Web 应用开发者,你已经快速学习了 request(HttpServletRequest)和 session(HttpSession)作用域.在设计和构建 Java Web 应用 ...
    
		
    2. 
						
  2. 【译】理解Spring MVC Model Attribute 和 Session Attribute
		
    作为一名 Java Web 应用开发者,你已经快速学习了 request(HttpServletRequest)和 session(HttpSession)作用域.在设计和构建 Java Web 应用 ...
    
		
    3. 
						
  3. 基于Spring + Spring MVC + Mybatis + shiro 高性能web构建
		
    一直想写这篇文章,前段时间 痴迷于JavaScript.NodeJs.AngularJS,做了大量的研究,对前后端交互有了更深层次的认识. 今天抽个时间写这篇文章,我有预感,这将是一篇很详细的文章,详 ...
    
		
    4. 
						
  4. spring mvc DispatcherServlet详解之一--request通过HandlerMaping获取控制器Controller过程
		
    整个spring mvc的架构如下图所示: 现在来讲解DispatcherServletDispatcherServlet的第一步:获取控制器. HandlerMapping HandlerMappi ...
    
		
    5. 
						
  5. 基于Vue+Spring MVC+MyBatis+Shiro+Dubbo开发的分布式后台管理系统
		
    本文项目代码: 服务端:https://github.com/lining90567/dubbo-demo-server 前端:https://github.com/lining90567/dubbo ...
    
		
    6. 
						
  6. Spring MVC下拉选项(Select)
		
    以下示例显示如何在使用Spring Web MVC框架的表单中使用下拉选项(Dropdown).首先使用Eclipse IDE来创建一个WEB工程,实现一个让用户可选择自己所在的国家的功能.并按照以下 ...
    
		
    7. 
						
  7. spring mvc下实现通过邮箱找回密码功能
		
    1功能分析 通过spring mvc框架实现通过邮箱找回密码. 2 实现分析 主要是借助某个邮箱的pop3/smtp服务实现的邮件代发功能. 3 源码分析 3.1首先在用户表对应的javabean中加 ...
    
		
    8. 
						
  8. spring mvc DispatcherServlet详解之三---request通过ModelAndView中获取View实例的过程
		
    整个spring mvc的架构如下图所示: 上篇文件讲解了DispatcherServlet第二步:通过request从Controller获取ModelAndView.现在来讲解第三步:reques ...
    
		
    9. 
						
  9. spring mvc mybatis shiro构建cms系统ios android
		
    开发语言: java.ios.android 部署平台: linux.window jdk版本:JDK1.7以上版本 开发工具: eclipse.idea等 服务器中间件:Tomcat 6.7.Jbo ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. HDU 3094 A tree game 树删边游戏
			
    叶节点SG值至0 非叶节点SG值至于它的所有子节点SG值添加1 XOR和后 #include <cstdio> #include <cstring> #include < ...
    
			
    2. 
						
  2. [转]Mysql explain用法和性能分析
			
    本文转自:http://blog.csdn.net/haifu_xu/article/details/16864933  from  @幸福男孩 MySQL中EXPLAIN解释命令是显示mysql如何 ...
    
			
    3. 
						
  3. weblogic生产、开发模式互转
			
    生产模式与开发模式转换: 1.生产模式-->开发模式     将%DOMAIN_HOME%\config\config.xml文件中<production-mode-enabled> ...
    
			
    4. 
						
  4. easyui datagrid显示进度条控制操作
			
    在当我们需要控制时间前台实际项目页面datagrid显示进度条的数据加载时运行,和datagrid默认情况下只在有url加载运行时的数据显示方式的进度条.下面的代码手动控制: 打开一个进度条: $(' ...
    
			
    5. 
						
  5. 使用rem设计移动端自适应页面一(转载)
			
    1.困扰多时的问题 在这之前做Web App开发的的时候,在自适应方面一般都是宽度通过百分比,高度以iPhone6跟iPhone5之间的一个平衡值写死,我们的设计稿都是iPhone5的640 * 11 ...
    
			
    6. 
						
  6. SQL Server 行版本控制
			
    什么时候开启行版本? 当发现系统中存在大量读写阻塞的时候,就是我们开启行版本的时候了.要点:写写阻塞的场景行版本技术解决不了 开启方式: -- 设置为单用户 ALTER DATABASE MyTest ...
    
			
    7. 
						
  7. linux sendmail 邮件服务器架设(fedora 8)
			
    linux sendmail 邮件服务器架设(fedora 8) 2009-01-22 17:27 3316人阅读 评论(2) 收藏 举报 邮件服务器linuxprotocolscaching测试lo ...
    
			
    8. 
						
  8. 自动生成api文档
			
    vs2010代码注释自动生成api文档 最近做了一些接口,提供其他人调用,要写个api文档,可是我想代码注释已经写了说明,能不能直接把代码注释生成api?于是找到以下方法 环境:vs2010 先下载安 ...
    
			
    9. 
						
  9. 获得WCF Client端的本地端口
			
    获得WCF Client端的本地端口 最近需要做个小功能,当WCF调用远程服务时,显示该调用的网速或流量.其中比较关键的一步就是需要获得WCF  Client端的本地端口,原来以为是个简单的事情,结果 ...
    
			
    10. 
						
  10. 7.25  RPN转换
			
    思想: 目的:将中缀表达式(即标准形式的表达式)转换为后缀式. 例子:a+b*c+(d*e+f)*g转换成abc*+de*f+g*+ 转换原则: 1.当读到一个操作数时,立即将它放到输出中.操作符则不 ...
    
			
    11.