【shiro】AccessControlFilter

AccessControlFilter提供了访问控制的基础功能；比如是否允许访问/当访问拒绝时如何处理等：

1. abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;  
2. boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;  
3. abstract boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception;   

isAccessAllowed：表示是否允许访问；mappedValue就是[urls]配置中拦截器参数部分，如果允许访问返回true，否则false；

onAccessDenied：表示当访问拒绝时是否已经处理了；如果返回true表示需要继续处理；如果返回false表示该拦截器实例已经处理了，将直接返回即可。

onPreHandle会自动调用这两个方法决定是否继续处理：

1. boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {  
2.     return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);  
3. }   

onAccessDenied 会调用（参考 http://www.cnblogs.com/CESC4/p/7597563.html）

isAccessAllowed和onAccessDenied是AccessControlFilter的方法
【-A-】调用 FormAuthenticationFilter onAccessDenied 方法
return executeLogin(request, response);

另外AccessControlFilter还提供了如下方法用于处理如登录成功后/重定向到上一个请求： 

1. void setLoginUrl(String loginUrl) //身份验证时使用，默认/login.jsp  
2. String getLoginUrl()  
3. Subject getSubject(ServletRequest request, ServletResponse response) //获取Subject实例  
4. boolean isLoginRequest(ServletRequest request, ServletResponse response)//当前请求是否是登录请求  
5. void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException //将当前请求保存起来并重定向到登录页面  
6. void saveRequest(ServletRequest request) //将请求保存起来，如登录成功后再重定向回该请求  
7. void redirectToLogin(ServletRequest request, ServletResponse response) //重定向到登录页面   

比如基于表单的身份验证就需要使用这些功能。

到此基本的拦截器就完事了，如果我们想进行访问访问的控制就可以继承AccessControlFilter；如果我们要添加一些通用数据我们可以直接继承PathMatchingFilter。

4、扩展AccessControlFilter

AccessControlFilter继承了PathMatchingFilter，并扩展了了两个方法：

1. public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {  
2.     return isAccessAllowed(request, response, mappedValue)  
3.      || onAccessDenied(request, response, mappedValue);  
4. }   

isAccessAllowed：即是否允许访问，返回true表示允许；

onAccessDenied：表示访问拒绝时是否自己处理，如果返回true表示自己不处理且继续拦截器链执行，返回false表示自己已经处理了（比如重定向到另一个页面）。

1. public class MyAccessControlFilter extends AccessControlFilter {  
2.     protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {  
3.         System.out.println("access allowed");  
4.         return true;  
5.     }  
6.     protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {  
7.         System.out.println("访问拒绝也不自己处理，继续拦截器链的执行");  
8.         return true;  
9.     }  
10. }   

然后在shiro.ini中进行如下配置：

1. [filters]  
2. myFilter4=com.github.zhangkaitao.shiro.chapter8.web.filter.MyAccessControlFilter  
3. [urls]  
4. /**=myFilter4  

【shiro】AccessControlFilter

标签：www   登录   http   strong   yacc   执行   dir   成功   matching