shiro学习--从数据库获取动态权限

最新推荐文章于 2022-12-26 21:16:12 发布
最新推荐文章于 2022-12-26 21:16:12 发布
阅读量9.8k 收藏 6
点赞数 2
分类专栏: shiro 文章标签: shiro 动态权限 数据库动态权限 拦截器 自定义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010351766/article/details/70432227
版权

新项目集成了shiro,但是发现原生的只支持在配置文件配置权限,就像这样

<property name="filterChainDefinitions">
        <!-- , roles[admin], perms[document:read] -->
        <value>
            <!-- 对静态资源设置匿名访问 -->
            /js/** = anon
            /css/** = anon
            /img/** = anon
            /fonts/** = anon
            /scripts/** = anon


            /user/login.action = authc
            /user/logout = logout

            <!-- 进入后台需要权限:admin:* -->
            /backstage/** = perms[admin:*]

            /user/** = user
        </value>
    </property>

可是,正常项目的权限不可能是静态的,一般都是从数据库获取的动态权限数据,如果使用配置文件,每次权限改动都要修改配置文件,然后重启服务器,这显然不是我们想要的,所以只能对shiro框架进行扩展,下面是我自己的一些思路和代码

首先看原来的配置

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="${shiro.login.page.url}" />
		<property name="unauthorizedUrl" value="${shiro.unauthorized.url}" />
		<property name="filters">    
           <map>    
               <entry key="myPermissionFilter" value-ref="myPermissionFilter"/>  
           </map>    
        </property>
		<property name="filterChainDefinitions">
			<value>
				/resources/** = anon
			</value>
		</property>
</bean>
很明显要想扩展代码,首先要看 org.apache.shiro.spring.web.ShiroFilterFactoryBean中的给filterChainDefinitions赋值的setFilterChainDefinitions(String definitions)方法源码 

public void setFilterChainDefinitions(String definitions) {
        Ini ini = new Ini();
        ini.load(definitions);
        //did they explicitly state a 'urls' section?  Not necessary, but just in case:
        Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);
        if (CollectionUtils.isEmpty(section)) {
            //no urls section.  Since this _is_ a urls chain definition property, just assume the
            //default section contains only the definitions:
            section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        }
        setFilterChainDefinitionMap(section);
    }

看到源码发现很简单definitions参数就是配置的字符串,方法里的源码就是把配置字符串转换成shiro需要的数据,具体的过程我们不需要关心,我们只需要在definitions上“动手脚”就可以了,具体怎么做?最简单的是从数据库读取出权限列表然后字符串拼接即可

有了思路,那么就写一个继承于ShiroFilterFactoryBean类的子类ShiroPermissionFactory,重写setFilterChainDefinitions(String definitions)方法即可

public class ShiroPermissionFactory extends ShiroFilterFactoryBean {
	
	/**配置中的过滤链*/
	public static String definitions;
	
	/**权限service*/
	@Autowired
	private ShiroPermissionsService permissionsService;

	/**
	 * 从数据库动态读取权限
	 */
	@Override
	public void setFilterChainDefinitions(String definitions) {
		ShiroPermissionFactory.definitions = definitions;
		
        //数据库动态权限
        List<PermissionsPo> permissions = permissionsService.findAll();
        for(PermissionsPo po : permissions){
        	//字符串拼接权限
        	definitions = definitions+po.getUrl() + " = "+"perms["+po.getId()+"]";
        }
        
		//从配置文件加载权限配置
		Ini ini = new Ini();
        ini.load(definitions);
        Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);
        if (CollectionUtils.isEmpty(section)) {
            section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        }
        
        //加入权限集合
        setFilterChainDefinitionMap(section);
	}
}
然后在配置文件配置bean的类为自定义类即可 

<!-- 使用自定义的Shiro Web过滤器 -->
	<bean id="shiroFilter" class="com.longmap.passport.shiro.ShiroPermissionFactory">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="${shiro.login.page.url}" />
		<property name="unauthorizedUrl" value="${shiro.unauthorized.url}" />
		<property name="filters">    
           <map>    
               <entry key="myPermissionFilter" value-ref="myPermissionFilter"/>  
           </map>    
        </property>
		<property name="filterChainDefinitions">
			<value>
				/resources/** = anon
			</value>
		</property>
	</bean>
就这么简单,动态权限控制就完成了

PS:要记住在增删改权限数据库时记得调用setFilterChainDefinitions()方法重新加载

凌寒11
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
springboot+shiro+mybatis-plus纯净版框架(附带所需数据库sql)
01-22
shiro实现了简易版的控制登录和角色权限(1.13.0) mybatis-plus实现了简易版的controller,service,mapper自动生成和分页(3.4.0) 在com.example.demo.mp.MpGenerator直接执行main方法(velocity 2.3) 备注:生成的...
Shiro权限绕过漏洞
qq_42947816的博客
02-03 3075
在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造恶意Payload,可以绕过Shiro中对目录的权限限制
shiro反序列化工具_实战shiro反序列化漏洞获取目标权限(550和721)
weixin_39929687的博客
11-27 858
shiro反序列化漏洞Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理功能。某些版本存在反序列化漏洞,并在去年闹得很火,每每实战攻防演习中必会出现,基本一打一个准儿。目前网上有很多shiro反序列化漏洞的复现过程,但基本都是基于shiro550,即Apache Shiro <= 1.2.4,鲜有针对shiro721的复现过程,当然也可能是因为其相...
shiro授权、注解式开发
weixin_43939301的博客
10-15 199
目标 1、shiro授权角色、权限 2、Shiro的注解式开发 shiro权限设计图: 授权 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t...
shiro进行权限控制的四种方式
qq_42671259的博客
03-08 370
转载:https://blog.csdn.net/ff128652/article/details/79420555 1.url拦截权限控制:shriofilter过滤器实现 在spring配置文件中过滤器 /css/ = anon /js/ = anon /images/ = anon /validatecode.jsp = anon /login.jsp = anon /userActio...
Shiro配置及获取用户工具类
Kother的博客
06-04 1214
Shiro配置及获取用户信息的工具类
SpringMVC-Mybatis-Shiro-redis-master 权限集成缓存中实例
11-17
本人提供这个Shiro + SpringMvc + Mybatis + Redis 的Demo 本着学习的态度,如果有欠缺和不足的地方,给予指正,并且多多包涵。 “去其糟粕取其精华”。如果觉得写的好的地方就给个赞,写的不好的地方,也请多多包涵...
shiro权限框架例子
01-06
使用spingmvc、shiro权限框架做的一个小例子,例子是基于简单的SpringMvc和shiro的配置完成,动态分配权限也写的相对简单,主要是在RememberMe中想在关闭网页后下次自动获取登录这点本人比较模糊,希望有大虾指点...
关于Shiro的相关,包括登录权限等,加密加盐,与Spring整合,从Redis缓存中获取数据
09-18
关于Shiro的相关,包括登录权限等,加密加盐,与Spring整合,从Redis缓存中获取数据
ssm+shiro基于资源的权限控制框架(包含权限的认证、授权细致讲解),数据库使用mysql
12-27
Java语言的框架整合及权限的控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源的权限控制整合demo 配置文件原理的注释 shiro的认证、授权、及从数据库mysql获取的认证信息方法都有...
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
01-28
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
java shiro权限框架权限分配数据库mysql
11-19
shiro权限框架,数据库mysql,框架用的是springmvc+mybatis+maven部署直接可用
Shiro权限管理框架详解
WGH100817的博客
01-25 1528
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
二十二、shiro安全框架基础
kejizhentan的博客
12-26 575
shiro基础知识介绍
shiro利用mysql动态授权_续上篇---shiro数据库获取动态权限-cjq
weixin_39809140的博客
02-05 212
个人觉得,上篇中讲到的注解的方式来控制方法的访问权限并没有那么灵活,且需要在代码中硬编码,复用性不高,移植会很麻烦,故研究了下从数据库动态加载权限shiro.xml中的ShiroFilterFactoryBean,之前是直接加载apache源码的bean:现在做出以下自定义shiro的filter 该bean继承ShiroPermissionFactory,重写父类的setFilterCh...
Shiro学习笔记——数据库权限信息(不使用硬编码的方式)
shen的博客
09-13 1042
ShiroFilterFactoryBean初始化的过程中,会执行一个setFilterChainDefinitionMap方法,传入了一个Map,该Map就是URL与权限的对应关系。 编写一个实例工厂方法 FilterChainDefinitionMapBuilder.java: public class FilterChainDefinitionMapBuilder { pub...
Shiro学习Shiro基本使用(1)
沉淀、分享、成长,让自己和他人都能有所收获!
10-21 585
身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/邮箱/手机号。(3)创建自定义的 Realm 类,继承 org.apache.shiro.realm.AuthenticatingRealm类,实现。(1)**身份验证:**一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明。:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
shiro框架的登录 是如何访问数据库
最新发布
07-13
Shiro框架的登录功能并不直接访问数据库,而是通过Realm来获取用户的身份和权限信息。在Shiro中,Realm是一个连接应用程序与安全数据(如用户、角色、权限等)的桥梁。 当用户进行登录操作时,Shiro会通过Subject...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值