使用Shiro做权限认证(4)

最新推荐文章于 2022-11-16 11:46:09 发布
最新推荐文章于 2022-11-16 11:46:09 发布
阅读量246 收藏
点赞数
分类专栏: shiro Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frog4/article/details/79324381
版权
Java 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
shiro
4 篇文章 0 订阅
订阅专栏

上节讲了web应用的过滤器,这节我们自己定义一个过滤器。

(1 ) 我们来定义一个Filter用于限制某些url只能某些特定IP地址进行访问,代码如下:

public class IpIntAuthorizationFilter extends AuthorizationFilter {  

    private static Logger logger = Logger.getLogger(IpIntAuthorizationFilter.class);  


    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {  
        logger.info("来访者的IP是:"+request.getRemoteAddr());
        //限制只有内网能访问
        if(!request.getRemoteAddr().startsWith("10.128.249")){
            throw new IOException("No permission");
        }
        return true;  
    } 
}

AuthorizationFilter是用于做身份认证用的filter,继承自AccessControlFilter,当访问不允许时会重定向到unauthorizedUrl上去

(2) 在容器中声明filter

<bean id="ipfilter" class="com.rada.framework.filter.IpIntAuthorizationFilter"></bean>

(3) 将ipfilter注册到过滤器链中去

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/login" />
        <property name="successUrl" value="/" />
        <property name="unauthorizedUrl" value="/403" />
        <property name="filters">    
            <map>    
               <entry key="ipfilter" value-ref="ipfilter"/>
            </map>    
        </property>  

        <property name="filterChainDefinitions">
            <value>
                /* = ipfilter,authcBasic
            </value>
        </property>
    </bean>

大功告成,原则上,任何操作request的请求都可以声明新的过滤器来实现。在此基础上我们可以实现很多功能。
如果我们想进行访问访问的控制就可以继承AccessControlFilter;如果我们要添加一些通用数据我们可以直接继承PathMatchingFilter。
比如以下的代码就大概演示了org.apache.shiro.web.filter.authc.FormAuthenticationFilter工作流程:

public class FormLoginFilter extends PathMatchingFilter {  
    private String loginUrl = "/login.jsp";  
    private String successUrl = "/";  
    @Override  
    protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {  
        if(SecurityUtils.getSubject().isAuthenticated()) {  
            return true;//已经登录过  
        }  
        HttpServletRequest req = (HttpServletRequest) request;  
        HttpServletResponse resp = (HttpServletResponse) response;  
        if(isLoginRequest(req)) {  
            if("post".equalsIgnoreCase(req.getMethod())) {//form表单提交  
                boolean loginSuccess = login(req); //登录  
                if(loginSuccess) {  
                    return redirectToSuccessUrl(req, resp);  
                }  
            }  
            return true;//继续过滤器链  
        } else {//保存当前地址并重定向到登录界面  
            saveRequestAndRedirectToLogin(req, resp);  
            return false;  
        }  
    }  
    private boolean redirectToSuccessUrl(HttpServletRequest req, HttpServletResponse resp) throws IOException {  
        WebUtils.redirectToSavedRequest(req, resp, successUrl);  
        return false;  
    }  
    private void saveRequestAndRedirectToLogin(HttpServletRequest req, HttpServletResponse resp) throws IOException {  
        WebUtils.saveRequest(req);  
        WebUtils.issueRedirect(req, resp, loginUrl);  
    }  

    private boolean login(HttpServletRequest req) {  
        String username = req.getParameter("username");  
        String password = req.getParameter("password");  
        try {  
            SecurityUtils.getSubject().login(new UsernamePasswordToken(username, password));  
        } catch (Exception e) {  
            req.setAttribute("shiroLoginFailure", e.getClass());  
            return false;  
        }  
        return true;  
    }  
    private boolean isLoginRequest(HttpServletRequest req) {  
        return pathsMatch(loginUrl, WebUtils.getPathWithinApplication(req));  
    }  
}

onPreHandle主要流程:
1、首先判断是否已经登录过了,如果已经登录过了继续拦截器链即可;
2、如果没有登录,看看是否是登录请求,如果是get方法的登录页面请求,则继续拦截器链(到请求页面),否则如果是get方法的其他页面请求则保存当前请求并重定向到登录页面;
3、如果是post方法的登录页面表单提交请求,则收集用户名/密码登录即可,如果失败了保存错误消息到“shiroLoginFailure”并返回到登录页面;
4、如果登录成功了,且之前有保存的请求,则重定向到之前的这个请求,否则到默认的成功页面。
此示例来自开涛老师的博客
第八章 拦截器机制

frog4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
具备白名单、黑名单的Filter基类扩展
04-10
NULL 博文链接:https://jinnianshilongnian.iteye.com/blog/1663481
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
SpringBoot快速整合Shiro
javaeEEse的博客
06-18 232
文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例...
使用shiro+aop实现权限控制
沐雨橙风ιε的博客
11-16 990
使用shiro+aop实现权限控制
java ip 白名单_Shiro白名单用户IP
weixin_39924179的博客
02-24 999
你可能必须建立Shrio的org.apache.shiro.web.filter.authc.AuthenticatingFilter微创的自定义实现,你将不得不通过扩展,并添加逻辑跳过BasicHttpAuthenticationFilter如果请求是从白名单中的IP地址来定制BasicHttpAuthenticationFilter 。package com.acme.web.filter.a...
shiro设置ip白名单_宝塔面板设置模块大全
weixin_39734399的博客
11-22 479
今天为大家带来的是宝塔面板设置的功能详解,面板设置相当于软件的系统设置,你可以在其中找到几乎所有的相关设置开关。这里我们用SugarHosts的云服务器为大家进行演示。首先,打开宝塔面板,点击左侧菜单栏“面板设置”。如下图所示,我们可以看到红框内的各项开关设置。关闭面板:关闭面板,并无法访问面板。监听iPv6面板SSL:为面板配置SSL证书,建议了解此功能用途的再选择是否开启。API接口:配置接口...
SpringBoot_Shiro
Mudrock__的博客
05-29 595
Shiro? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序 Shiro中有三大对象:Realm、Subject、SecuritytManager 绝大部分对于项目的说明写在代码注释中 此博客中的项目基于SpringBoot(2.6.7)整合Mybatis项目创建,...
配置shiro后直接通过IP访问web项目会被拦截
八面玲珑
01-19 4295
这个java的web项目的架构是spring+struts2+hibernate 设置了欢迎页index.jsp <%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML ...
shiro设置ip白名单_游戏内的“白名单
weixin_39741459的博客
12-18 1949
游戏测试的时候,常用到“白名单”,白名单是什么?游戏内为什么要有白名单?如何生效和使用?针对这几个疑问进行说明白名单是什么?白名单和黑名单的概念相对,两者都是访问控制策略。黑名单是指设置无法通过限制的用户,黑名单之外的用户的正常使用不受影响。白名单是指设置可以正常通过的用户,除白名单外的用户都无法通过限制。从控制力度上来看,白名单限制的用户更多,控制更严格游戏内为什么要有白名单?游戏的研发到上线,...
Data Lake Analytics IP白名单设置攻略
weixin_34044273的博客
03-19 97
当我们成功开通了 DLA 服务之后,第一个最想要的事情就是登录 DLA 数据库。而登录数据库就需要一个连接串。下面这个页面是我们首次开通 DLA 之后的界面,在这里我们要创建一个服务访问点。在上面界面中点击 “创建服务访问点” 即可弹出右侧服务访问点配置界面。这里您可以选择创建 经典网络访问点 或者 VPC 网络访问点。下面介绍一下这两种网络的不同地方。经典网络我们假定您购买了一台 ECS 并且...
spring boot+shiro 权限认证管理案例
12-20
spring boot+shiro 权限认证管理案例 shiro搭配缓存处理
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
shiro的动态权限认证系统
04-01
此demo使用ssm搭建而成,使用shiro进行动态的权限认证,并加入redis进行权限以及认证信息的缓存,并添加了登录错误次数的限制
由浅入深掌握Shiro权限框架资料.zip
最新发布
07-31
2、shiro权限框架的核心组件;3、springboot下shiro使用; 4、shiro认证鉴权的缓存机制;5、分布式下使用shrio处理统一会话;6、密码重试次数,并发登录控制;7、前后端分离的鉴权方式;8、建立分布式统一鉴权系统...
shiro权限认证和授权
02-26
shiro权限认证和授权
Shiro安全登录认证权限授权封装模块代码
01-23
只提供实现相关代码,不提供demo。关于实现源码分析,可以查看博客:http://blog.csdn.net/FJeKin
Shiro权限管理框架详解
02-24
权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。1.2.1概念身份认证,就是判断一个用户是否为合法用户的处理过程...
shiro中文版权限认证框架开发文档
06-28
Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。在本文中,了解 Apache Shiro 并通过示例来在一个 Groovy web 应用程序中尝试使用 Shiro 进行身份验证和授权。
如何使用shiro框架进行认证和授权
07-10
使用 Shiro 框架进行认证和授权的基本步骤如下: 1. 添加 Shiro 的依赖到你的项目中。可以通过 Maven 或 Gradle 等构建工具来添加依赖。 2. 创建一个 Shiro 配置文件,例如 shiro.ini 或 shiro.yml,并配置相应的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值