我們知道,在使用shiro的時候,需要在web.xml中配置一個DelegatingFilterProxy,這個過濾器就是shiro的入口。然後在applicationContext.xml註冊ShiroFilterFactoryBean這個bean。需要注意過濾器中的filter-name要跟ShiroFilterFactoryBean的Id一樣。原理就是,shiro使用了委託機制,DelegatingFilterProxy這個過濾器是spring的,它不具備shiro的功能,因此去spring容器中尋找id為shiroFilter的bean去替自己幹活。(具體怎麼委託的,後面再講)

<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/system/login" />
        <property name="successUrl" value="/aa" />
        <property name="unauthorizedUrl" value="/system/unauthorized" />
        <property name="filterChainDefinitions">
            <value>
                /js/** = anon
                /css/** = anon
                /images/** = anon
                /sys/** = anon
                /login/ = anon
            </value>
        </property>
    </bean>

細心的人,可能就發現問題了。DelegatingFilterProxy是一個filter,它具備過濾器的功能,然而ShiroFilterFactoryBean只是一個普通的bean,它只實現了FactoryBean,BeanPostProcessor這兩個接口,按道理來,它並不具備攔截器的功能。那它是怎麼完成DelegatingFilterProxy的委託任務呢?

  原因就是:ShiroFilterFactoryBean實現了FactoryBean接口。FactoryBean是Spring容器提供的一種可以擴展容器對象實例化邏輯的接口。提供了這三個方法。

process過濾器_xml

 第一個方法返回實例化的bean,第二個方法返回實例化bean的類型,第三個方法定義是否單例。

接着看看ShiroFilterFactoryBean是怎麼實現這3個方法的。

process過濾器_spring_02

process過濾器_spring_03

 看到返回一個SpringShiroFilter()的實例。

process過濾器_xml_04

 返回SpringShiroFilter的類型。

繼續看,SpringShiroFilter其實是ShiroFilterFactoryBean的一個內部類,而SpringShiroFilter最終也實現了Filter,也就具有了過濾器的功能。

process過濾器_spring_05

 至此,應該就明白了。DelegatingFilterProxy實際上就是委託ShiroFilterFactoryBean的內部類SpringShiroFilter來完成自己的功能。

再思考問題:為什麼shiro要這麼設計。

我們知道filter是tomcat創建的,它的創建要早於spring bean的創建。但是shiro真正執行功能的filter的創建又依賴spring創建的其他bean。這樣就導致依賴的bean為null。因此就採用了這種委託機制。

web.xml中targetFilterLifecycle這個屬性的作用:

  如果不設置,默認是false。真正執行功能的是SpringShiroFilter這個類。因為這個類是又spring創建的,應該由spring來管理生命週期。但是它又是一個filter,默認是由tomcat來管理生命週期的。如果targetFilterLifecycle設置成true的話,filter在調用init()和destroy()方法時,就不起作用。

process過濾器_xml_06

 

process過濾器_xml_07