shiro动态更新权限失败

最新推荐文章于 2022-12-06 20:13:00 发布
最新推荐文章于 2022-12-06 20:13:00 发布
阅读量1.3k 收藏
点赞数
分类专栏: Java那些事儿 文章标签: shiro roleOr 动态更新权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GAMEloft9/article/details/81179692
版权

一、概述

    在之前的spring集成shiro权限控制一文中,实现了动态更新的权限的方法,即对权限表做修改后,需要更新到shiro的filterchain。后来测试的时候,发现两个问题:
1、更改权限后,并没有动态更新到shiro中去,取消权限的用户仍然可以正常访问。
2、权限的写法authec,roles[admin,guest]是逻辑AND的关系,必须用户同时满足两种角色才有权限,而我们现实中是满足其中一个就可以了,也就是逻辑OR的关系。

二、动态更新

先展示正确的更新代码:

package com.gameloft9.demo.security;

import com.gameloft9.demo.service.api.system.SysAccessPermissionService;
import com.gameloft9.demo.dataaccess.model.system.SysAccessPermissionTest;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.filter.mgt.DefaultFilterChainManager;
import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;
import org.apache.shiro.web.servlet.AbstractShiroFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.context.support.WebApplicationContextUtils;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;

/**
 * shiro 动态权限配置相关服务
 *
 * @author gameloft9
 */
@Service
@Slf4j
public class ShiroConfigService {

    @Autowired
    SysAccessPermissionService sysAccessPermissionServiceImpl;

    /**
     * 从数据库加载权限列表
     */
    public Map<String, String> loadFilterChainDefinitions() {
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        List<SysAccessPermissionTest> list = sysAccessPermissionServiceImpl.getAll();
        for (SysAccessPermissionTest item : list) {
            filterChainDefinitionMap.put(item.getUrl(), item.getRoles());
        }
        return filterChainDefinitionMap;
    }

    /**
     * 更新权限,解决需要重启tomcat才能生效权限的问题
     */
    public void updatePermission() {
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            ServletContext servletContext = request.getSession().getServletContext();
            AbstractShiroFilter shiroFilter = (AbstractShiroFilter) WebApplicationContextUtils.getRequiredWebApplicationContext(servletContext).getBean("myShiroFilter");

            synchronized (shiroFilter) {
                // 获取过滤管理器
                PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter.getFilterChainResolver();
                DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver.getFilterChainManager();
                // 清空初始权限配置
                manager.getFilterChains().clear();
                // 重新获取资源
                Map<String, String> chains = loadFilterChainDefinitions();

                for (Map.Entry<String, String> entry : chains.entrySet()) {
                    String url = entry.getKey();
                    String chainDefinition = entry.getValue().trim().replace(" ", "");

                    manager.createChain(url, chainDefinition);
                }
                log.info("更新权限成功!!");
            }
        } catch (Exception e) {
            log.error("更新权限到shiro异常", e);
        }
    }
}

    原来的错误的代码里面主要是ShiroFactoryBean的获取有问题,之前是通过@Autowired的方式获取的,这种方式是获取不到Spring MVC 上下文环境里的bean的。Spring MVC和spring上下文不是同一个,spring是用listener初始化的上下文,称为root上下文,Spring MVC是通过servlet初始化的上下文,称为servlet上下文,servlet里的能获取root里的,反之就获取不到。servlet应该是root的子上下文,而我获取bean的地方是处于root上下文的。

    正确的获取方式是通过SelvetContext去拿到Spring MVC的上下文,然后再获取相应的bean。如下所示:

 HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
 ServletContext servletContext = request.getSession().getServletContext();
 AbstractShiroFilter shiroFilter = (AbstractShiroFilter) 
WebApplicationContextUtils.getRequiredWebApplicationContext(servletContext).getBean("myShiroFilter");

然后就是从数据库读取最新的权限配置,重新加载到shiro中来。

二、逻辑OR的实现

 shiro的roles filter只能是逻辑与的关系,想要实现逻辑或,就需要自定义一个filter。我们通过继承AuthorizationFilter并重写isAccessAllowed方法来实现。逻辑很简单了,只要有一个角色满足就返回true。

package com.gameloft9.demo.security;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

/**
 * shiro的url定义中的roles参数,必须满足所有角色才通过(也就是and关系)
 * 这里自定义一个权限满足角色之一的Or关系的filter
 * Created by gameloft9 on 2018/7/23.
 */
public class RoleOrAuthorizationFilter extends AuthorizationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request,
                                      ServletResponse response, Object mappedValue) throws Exception {
        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }

        for(int i=0;i<rolesArray.length;i++) {
            if(subject.hasRole(rolesArray[i])) { // 有一个满足即可
                return true;
            }
        }

        return false;
    }
}

 

GAMELOFT9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
04-23
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
shiro刷新权限
u012693016的博客
06-24 1677
/** * @title 刷新用户权限 * @param principal * @desc principal为用户的认证信息 */ public static void reloadAuthorizing(Object principal) throws Exception{ RealmSecurityManager rsm = (RealmSecurityManag...
shiro动态更新权限
m0_67402564的博客
08-24 294
转至http://zgzty.blog.163.com/blog/static/83831226201361134047834/ 有删减。自定义一个shiroFilterFactoryBean。
shiro缓存后更新用户权限实现刷新缓存
Leezed525的博客
01-09 1725
背景 首先我通过shiro-redis整合包实现了shiro的缓存,但是我突然想到了一个问题,如果缓存了AuthorizationInfo(权限信息)的话,如果管理员修改了他的权限,那样在缓存里并不会变,这是一个问题 解决思路 百度了许久我发现大多数用的都是realm中的clearCachedAuthorizationInfo方法,但是这个好像只能刷新操作用户自身的权限,再左思右想之下,决定采用最笨的办法,手写一个刷新缓存的方法 首先我的权限信息是用户 对应多个角色,角色对应多个权限,但是我并没有想着刷新权
springboot + shiro + redis管理session的时候更新身份信息无效
a3538333的专栏
12-10 695
最近在做项目的时候遇到需要管理活跃session的需求,框架是用的SpringBoot。 在登录完成后以后,session的信息如下: { "lastAccessTime": 1607589832072, "expired": false, "host": "127.0.0.1", "attributes": { "org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY":
shiro修改用户权限后并刷新对应用户缓存授权
m0_54861649的博客
04-07 1720
shiro修改用户权限后并刷新缓存授权 在网上找了很多关于刷新缓存认证的文章,很多都是刷新自己的授权信息,本文案例为修改他人权限后,刷新他人的缓存授权信息。由于第一次写博文,写的不好还请手下留情,废话不多说,直接上干货 先看一下原理 先看一下我在自定义的Realm中认证的方法 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) { Long userId = ShiroUtils.getUserId(
shiro权限代码
04-08
在本项目中,"shiro权限代码"主要涉及到如何利用Shiro实现用户的身份验证与权限控制。 首先,我们来了解一下Shiro的基本概念: 1. 身份验证(Authentication):验证用户身份的过程,即用户是谁。 2. 授权...
shiro权限管理案例加文档
01-12
在这个“shiro权限管理案例加文档”中,我们很可能会找到关于如何在实际项目中应用Shiro进行权限控制的详细教程和实例。 **一、Shiro基础** Shiro的核心组件包括:Subject(主体)、Realms(域)、Cryptography...
Springboot + shiro权限管理
11-17
**SpringBoot + Shiro 权限管理详解** 在现代企业级应用开发中,权限管理是不可或缺的一部分,它确保用户只能访问他们被授权的资源。SpringBoot 和 Apache Shiro 是两个非常流行的 Java 开发框架,它们结合可以构建...
ssm+shiro权限框架
04-21
SSM+Shiro权限框架是Java Web开发中常用的一种安全控制解决方案,主要结合了Spring、Spring MVC、MyBatis和Apache Shiro四个组件。这个框架提供了全面的权限管理功能,包括用户认证、授权、会话管理和安全性日志等。...
springboot shiro 权限管理 spring boot
11-13
7. **错误与异常处理**:在 Shiro 的认证或授权失败时,需要正确处理并返回合适的错误信息,例如未登录、无权限、账户锁定等。 8. **测试与调试**:项目中可能包含了单元测试和集成测试,用于验证 Shiro 的配置和...
shiro更新权限更新cache里的权限等信息
夏微凉秋微暖的博客
03-12 7396
在spring-xml配置文件中,我们配置了缓存开启: &lt;!-- 缓存管理 --&gt; &lt;bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"&gt;&lt;/bean&gt; &lt;!-- 使用Shiro自带的JdbcRealm类 指定...
shiro 刷新认证以及权限缓存(略坑)
热门推荐
qq_37959142的博客
04-20 1万+
这里提供两种清除用户缓存的方法1、通过ehcache清除缓存(已验证)这种方法简单明了,适合对cache比较了解的人思路:从shiroCacheManager获取用户的认证缓存,以及权限缓存,然后根据principal(username等可以确定用户信息的key,在配置shiro的时候由用户指定)对cache进行remove操作。代码:@Resource(name = "shiroCacheMan...
shiro刷新授权缓存无效
最新发布
weixin_42947972的博客
12-06 260
shiro刷新授权缓存无效
springmvc整个shiro实现Perms的权限认证(细粒度)(三)
xcc_2269861428的博客
07-14 9483
前言:上一篇文章讲述了如何使用角色url进行粗粒度验证。地址:https://blog.csdn.net/xcc_2269861428/article/details/95768417 这篇说下如何使用perms进行细粒度验证,已经我写代码过程中碰见的坑。 看下角色界面 我在数据库中分别为2个就是设置了perms权限 用户界面 图中可以看出,xcc是没有角色管理权限的,所以不...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值