1.问题如下:springboot 整合shiro 后出现了 对静态资源(js,css,jpg)的也会进行拦截,但是我们的配置如下,,
@Bean public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager, MyFormAuthenticationFilter myFormAuthenticationFilter) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); shiroFilter.setLoginUrl("/auth/login"); shiroFilter.setSuccessUrl("/"); shiroFilter.setUnauthorizedUrl("/error.jsp"); Map<String, Filter> filters = new LinkedHashMap<String, Filter>(); filters.put("authc", myFormAuthenticationFilter); shiroFilter.setFilters(filters); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); filterChainDefinitionMap.put("/auth/getShiroCache", "anon"); filterChainDefinitionMap.put("/**/*.js", "anon"); filterChainDefinitionMap.put("/**/*.png", "anon"); filterChainDefinitionMap.put("/**/*.jpg", "anon"); filterChainDefinitionMap.put("/**/*.css", "anon"); filterChainDefinitionMap.put("/error.jsp", "anon"); filterChainDefinitionMap.put("/noPermission.jsp", "anon"); filterChainDefinitionMap.put("/auth/logout", "logout"); filterChainDefinitionMap.put("/**", "authc"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; }
从上面的配置中我们可以发现,我们对静态资源进行了优先配置,因为是LinkedHashMap.所以是有序的,但是在实际测试过程中,发现静态资源需要认证之后才能访问,
这个和我们的配置逻辑不符,.
那么最关键的问题来了
为什么 请求会进入到myFormAuthenticationFilter 这个filter?
@Bean public MyFormAuthenticationFilter myFormAuthenticationFilter() { return new MyFormAuthenticationFilter(); }
因为我们将这个filter配置成bean ,让spring自动加载,这个filter 会被spring加入到filterchain 中.通过日志我们可以看到
这个过滤器被加载了,并且是拦截的路径是/*,所以我们在配置这个filter 的时候不能让spring来管理这个filter.
解决方案:采用new 的方式来自已创建这个filter对象.脱离spring的管理这个filter就不会注册到过滤器链中.