它的作用是用来根据路径匹配结果,调用相应过滤器

onPreHandle

这里是正在的执行逻辑,之前的都是判断,它返回了两个方法:

  • isAccessAllowed()
  • onAccessDenied()

​ 这两个方法通过||运算符连接,其实有一个逻辑判断过程【先判断isAccessAllowed:访问是否允许,如果允许则通过,如果不允许则进行onAccessDenied:访问拒绝处理的逻辑】。

isAccessAllowed

private boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

        Subject subject = getSubject(request, response);

    	//获取Subject,然后调用isAuthenticated()判断是否已经认证过了

        return subject.isAuthenticated();

}

​ 如果上面isAuthenticated为false,那么需要继续判断是否是!isLoginRequest()非登录请求,且isPermissive()是放行的,也就是说判断是否是匿名访问路径。

onAccessDenied

private boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

    boolean loggedIn = false; // false by default or we wouldn't be in this method

    if (isLoginAttempt(request, response)) {

        loggedIn = executeLogin(request, response);

    }

    if (!loggedIn) {

        sendChallenge(request, response);

    }

    return loggedIn;

}

该方法就是isAccessAllowed返回false之后执行的,即访问拒绝的逻辑

​ isLoginAttempt(),该方法前面已经出现,通过请求头判断是否为尝试登陆,如果 true,则执行登录逻辑;反之,sendChallenge

executeLogin

​ BasicHttpAuthenticationFilter 是没有实现 executeLogin() 的,因此将调用父类 AuthenticatingFilter 的 executeLogin() 方法。

private boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {

    AuthenticationToken token = createToken(request, response);

    if (token == null) {

        String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +

            "must be created in order to execute a login attempt.";

        throw new IllegalStateException(msg);

    }

    try {

        Subject subject = getSubject(request, response);

        subject.login(token);

        return onLoginSuccess(token, subject, request, response);

    } catch (AuthenticationException e) {

        return onLoginFailure(token, e, request, response);

    }

}

private AuthenticationToken createToken(ServletRequest request, ServletResponse response) {

    String authorizationHeader = getAuthzHeader(request);

    if (authorizationHeader == null || authorizationHeader.length() == 0) {

        // 由于没有授权标头,请创建空的身份验证令牌。

        return createToken("", "", request, response);

    }

    log.debug("Attempting to execute login with auth header");

    String[] prinCred = getPrincipalsAndCredentials(authorizationHeader, request);

    if (prinCred == null || prinCred.length < 2) {

        // 创建一个密码为空的身份验证令牌,因为请求中没有提供。

        String username = prinCred == null || prinCred.length == 0 ? "" : prinCred[0];

        return createToken(username, "", request, response);

    }

    String username = prinCred[0];

    String password = prinCred[1];

    return createToken(username, password, request, response);

}

​ 在 createToken 之后,会使用getSubject执行login()。后面会执行securityManager的login方法,在securityManager中会对 token进行验证,本质上就是调用Realm方法验证,如果验证过程中没有异常抛出,则顺利执行。

Shiro-BasicHttpAuthenticationFilter 鉴权过滤器的使用方式的更多相关文章

  1. Shiro的鉴权方式

    一. 怎么用 Shiro 支持三种方式的授权 编程式:通过写 if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(sub ...

  2. springcloud zuul shiro网关鉴权并向服务传递用户信息

    1.pom文件 <dependencies> <!--eureka客户端--> <dependency> <groupId>org.springfram ...

  3. shiro jwt 构建无状态分布式鉴权体系

    一:JWT 1.令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519). 一个JWT令牌的定 ...

  4. Shiro(4)默认鉴权与自定义鉴权

    =========默认鉴权======== 过滤链中定义: <!-- 过滤链定义 --> <property name="filterChainDefinitions&qu ...

  5. .NET Core中的鉴权授权正确方式(.NET5)

    一.简介 前后端分离的站点一般都会用jwt或IdentityServer4之类的生成token的方式进行登录鉴权.这里要说的是小项目没有做前后端分离的时站点登录授权的正确方式. 一.传统的授权方式 这 ...

  6. 【Spring Cloud & Alibaba 实战 | 总结篇】Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现微服务统一认证授权和鉴权

    一. 前言 hi,大家好~ 好久没更文了,期间主要致力于项目的功能升级和问题修复中,经过一年时间的打磨,[有来]终于迎来v2.0版本,相较于v1.x版本主要完善了OAuth2认证授权.鉴权的逻辑,结合 ...

  7. Mongodb 认证鉴权那点事

    [TOC] 一.Mongodb 的权限管理 认识权限管理,说明主要概念及关系 与大多数数据库一样,Mongodb同样提供了一套权限管理机制. 为了体验Mongodb 的权限管理,我们找一台已经安装好的 ...

  8. SpringBoot系列: Web应用鉴权思路

    ==============================web 项目鉴权============================== 主要的鉴权方式有:1. 用户名/密码鉴权, 然后通过 Sess ...

  9. SpringCloud 2020.0.4 系列之 JWT用户鉴权

    1. 概述 老话说的好:善待他人就是善待自己,虽然可能有所付出,但也能得到应有的收获. 言归正传,之前我们聊了 Gateway 组件,今天来聊一下如何使用 JWT 技术给用户授权,以及如果在 Gate ...

  10. Python 计算AWS4签名,Header鉴权与URL鉴权

    AWS4 版本签名计算参考 #!/usr/bin/env python3 # -*- coding:utf-8 -*- # @Time: 2021/7/24 8:12 # @Author:zhangm ...

随机推荐

  1. 掌握Docker:简化KES单机安装与管理的最佳实践

    今天我们将继续深入探讨KES的单机安装,依然围绕Docker的使用展开.这一部分的内容将涵盖一些常见的陷阱以及在遇到问题时如何进行有效的反馈和解决.首先,我们需要找到官方的安装教程,确保以官方指南为主 ...

  2. C# 根据主键ID查询数据库的数据 反射和泛型实现

    // 引入命名空间 using Zhu.ADO.NET.DBProxy; using Zhu.ADO.NET.Models.models; Console.WriteLine("====== ...

  3. 48 .var声明函数和function声明函数的区别

    定义函数的方式: 1. 函数表达式定义函数 function expression 2. 函数式声明 function declaration 区别: var声明的函数,只能在声明之后调用,因为函数表 ...

  4. 38. data为什么是一个函数

    vue中的data为什么是返回对象的函数,而不是直接使用对象形式 : 我们复用组件的时候,要求每一份data数据之间是独立的,不能互相影响,如果写成对象的形式所有的组件使用一份data数据 ,如果使用 ...

  5. 37 .vue2数组和对象的区别 ?

    vue2中的数组不能使用索引实现响应式 ,因为vue没有给数组元素添加get和set函数  : 追加对象的属性的时候不是响应式,要使用 $set 追加响应式  :

  6. 01_GoLand debug时出现Connected并且程序卡住的问题

    01_GoLand debug时出现Connected并且程序卡住的问题 环境:win10.go version go1.19.4 windows/amd64.GoLand 2020.3.5 x64 ...

  7. Nuxt.js 应用中的 imports:sources 事件钩子详解

    title: Nuxt.js 应用中的 imports:sources 事件钩子详解 date: 2024/10/27 updated: 2024/10/27 author: cmdragon exc ...

  8. 智子: Vue Vapor年底发布alpha版本,如果有资金支持

    前言 在最近的Vue Fes大会上,Vue Vapor的作者智子大佬宣布,如果能够得到资金支持,那么Vue Vapor年底就能发布alpha版本了. 关注公众号:[前端欧阳],给自己一个进阶vue的机 ...

  9. 机器学习中验证两个算法之间是否存在显著差距的t-test检验

    同一主题的简单分析版本,建议查看: 机器学习领域中假设检验的使用 本文内容为在上文基础上进一步分析版本. 相关: t检验 t检验应用条件 t检验(t-test) t-test终极指南 一文详解t检验 ...

  10. cnblogs内容同步到51cto上的说明(声明)

    51CTO网站上的blog地址为:https://blog.51cto.com/u_15642578 该地址是个人在博客园cnblogs上的同步账号(https://cnblogs.com/xyz), ...