shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值

最新推荐文章于 2022-11-24 10:29:30 发布
最新推荐文章于 2022-11-24 10:29:30 发布
阅读量2.8k 收藏 7
点赞数 4
分类专栏: 添加权限 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jinbin_Z/article/details/109306250
版权

shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值

1、在ShiroConfig中的ShiroFilterFactoryBean这个bean中添加过滤器,在过滤器中对接口添加访问权限

1> 添加访问权限

Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/add", "perms[user:add]");   //授权
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

/user/add接口需要有user:add权限才可访问

2> 对用户授权

realmdoGetAuthorizationInfo方法中授予用户user:add权限

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("user:add");   //授予用户权限

3> 未授权时返回error

用户访问/user/add接口时,若没有授予该权限,则返回为
在这里插入图片描述通过写一个拦截器,发现访问请求会被转移到/error请求,这是shiro内置的一个错误请求接口

地址栏没变,但是返回值显示这是一个/error请求,由于Unauthorized引发的错误,并且通过写一个拦截器,发现这个请求的确被定向到/error

4> 设置未授权时返回值接口

没有权限时,我们想要将返回值改为自己定义的返回值,所以在ShiroFilterFactoryBean这个bean中设置未授权时返回值接口

// 设置未授权返回值接口
shiroFilterFactoryBean.setUnauthorizedUrl("/noauth");

/noauth接口

@RequestMapping("/noauth")
@ResponseBody
public String unauthorized(){
    return "未经授权, 无法访问此接口";
}

若没有权限,返回值为
在这里插入图片描述
直接被重定向到/noauth

2、通过注解@RequiresPermissions对接口添加访问权限

1> 添加访问权限

@RequiresPermissions(value = {"user:add"})
@RequestMapping({"/user/add"})
public String add(){
    return "user/add";
}

像1中一样给用户授予user:add权限之后即可正常访问

2> 未授权时抛出异常

但是未给用户授予此权限时
在这里插入图片描述
请求同样转移到了/error接口,但是返回值并不是Unauthorized,而是服务器内部错误,并且后台报异常如下,这个异常表示的又是Not authorized,说明我们在ShiroFilterFactoryBean这个bean中设置未授权时返回值接口并没有起作用
在这里插入图片描述
这是由于shiro注解模式下,登录失败或者是没有权限都是抛出异常,并且默认的没有对异常做处理,所以我们可以对这个异常进行统一捕获处理,让这个异常返回特定值

3> 统一异常捕获处理

添加NoPermissionException.java

import org.apache.shiro.authz.AuthorizationException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

@ControllerAdvice
public class NoPermissionException {

    @ResponseBody
    @ExceptionHandler(AuthorizationException.class)
    public String AuthorizationException(Exception ex) {
        return "权限认证失败";
    }
}

我们没有权限时再去访问/user/add接口时,返回值就是权限认证失败
在这里插入图片描述
并且由于我们统一全局捕获了这个异常并处理,所以后台也不会抛出异常。

Jinbin_Z
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Shiro权限管理详解(授权和注解开发)【面试点】
尽力漂亮的博客
12-03 1111
Shiro权限管理详解1. 权限管理1.1什么是权限管理1.2用户身份认证1.2.1 概念1.2.2 用户名密码身份认证流程1.2.3 关键对象1.3 授权1.3.1 概念1.3.2 授权流程1.3.3 关键对象1.3.4 权限模型1.3.5 权限分配1.3.6 权限控制1.3.6.1 基于角色的访问控制 1. 权限管理 1.1什么是权限管理 权限管理包括用户身份认证和授权两部分,简称认证授权。 ...
Spring MVC整合Shiro权限控制的方法
08-27
Spring MVC整合Shiro权限控制的方法 Spring MVC 是一个流行的 Java Web 框架,而 Shiro 是一个功能强大且灵活的开放源代码安全框架。为了实现权限控制,需要将 Spring MVC 和 Shiro 进行整合。下面是 Spring MVC ...
Shiro Ajax请求没有权限返回JSON,没有登录返回JSON
热门推荐
小单的博客专栏
04-04 2万+
本文基于Shiro权限注解方式来控制Controller方法是否能够访问。 例如使用到注解: @RequiresPermissions 来控制是否有对应权限才可以访问 @RequiresUser 来控制是否存在用户登录状态才可以访问想了解Shiro是如何通过注解来控制权限的,可以查看源码 AopAllianceAnnotationsAuthorizingMethodInterceptor ,其
springboot shiro权限返回自定义信息 使用@ControllerAdvice统一处理无权限异常
Andychau2015的博客
08-22 3708
以下是将所有由无权限异常的信息拦截并且转向定义好的Controller @ControllerAdvice public class MyException { @ExceptionHandler(value = AuthorizationException.class) public void defaultErrorHandler(HttpServletRequest req, Http...
springboot整合shiro前后端分离自定义未授权接口返回自定义格式
skyyeye的博客
06-25 2782
springboot整合shiro实现前后端分离,只要从github上随便拉个shiro项目整合自己的项目都可以实现,但是最后的问题出现了。无法自定义无权限返回格式,默认如图 而且有些接口没有登录的提示也是默认的,很不友好: 想办法让前端直接从这个里面取信息来统一提示 发现测试环境可以 到了正式环境 什么都拿不到了。找了运维,运维给介绍个大牛,一分钟搞定了。只怨自己太菜,具体如下: 原本只...
基于Shiro和JWT的无状态安全验证方案
weixin_46628206的博客
03-22 1221
本文涉及的源码地址:https://github.com/davidfantasy/shrio-with-jwt-spring-boot-starter 背景说明 用户权限管理是每个信息系统最基本的需求,对基于Java的项目来说,最常用的权限管理框架就是大名鼎鼎的Apache Shiro。Apache Shiro功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro的设...
Spring Boot2开发之Spring Boot整合Shiro两种详细方法
08-19
Spring Boot2 开发之 Spring Boot 整合 Shiro 两种详细方法 在 Spring Boot 项目权限管理是非常重要的一部分。 Spring Security 是一个重量级的安全管理框架,提供了强大的功能,但是配置繁琐,概念复杂。 ...
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
一、Shiro简介 1、基础概念 ...Shiro自己不维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证和授权。 二、整合SpringBoot2框架 1、核心依赖 <groupid>org.apache.shiro</gr
Shiro权限管理框架详解
02-24
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证...
关于shiro放开某个接口或者某个html权限
gaochenglong1的博客
07-16 5191
如果对你有用,请帮忙点一个赞。 1、找到shiroConfig配置文件 2、找到这个配置文件里的Shiro过滤器配置 3、在这个方法里加上你需要放开的权限 4、测试访问
spring-shiro权限、用户认证配置)
hins
06-14 2031
spring-shiro.xml(权限、用户认证配置) <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/c
shiro框架---解决权限限制问题
chuoyuan3350的博客
10-26 565
shiro简介 ApacheShiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密(核心功能)。 以下是你可以用ApacheShiro所做的事情: 1.验证用户 2.对用户执行访问控制,如: 判断用户是否拥有角色...
shiro授权拦截器的重写
lanlansir的博客
12-01 1385
shiro整合前后端分离的springboots,Vue项目真的是有很多大坑啊。 直接进总结: 先看总结 今天我的主题是:如何设置shiro过滤器。 遇到问题:我的项目是前后端分离的,shiro里面有一个shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函数 这是什么意思呢:这表示如果你访问了一个需要权限的url,但是目前你登陆的角色没有权限,那么页面默认跳转的地址。 看着似乎是没啥毛病。 但是!!! 如果是前后端分离怎么办呢?后端shiro让项目
若依shiro添加对外开放的接口
baidu_39212797的博客
11-24 3776
若依对外开放接口
Springboot+jwt+shiro实现用户权限控制
doupengzp的博客
06-23 2055
最近在做前后分离项目,前端验证用到了JWT,后端用的shiro权限验证,基于springboot实现JWT+Shiro鉴权。 JWT JWT 英文名是 Json Web Token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。 JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全的。这是一个完整的token,分别包含Header:头部,Payload:负载,Signature:签名 Shiro Apache
shiro 提供对外接口 实现一致性权限
weixin_38168728的博客
07-24 1235
有时候我们会有这样的需求,系统对外提供接口。同时在别的系统登陆之后,不需要再登陆我们的系统,便可以访问我们的系统数据 1.问题 为什么我们登陆系统之后,访问其他也页面(需要权限)都不需要再次登陆。 2.答案 因为客户端(浏览器)在请求头设置Cookie="JSESSIONID=xxxxxxxxxxxxxxxxxxxxxxxxxxx",默认情况下,shiro给客户端设置的cook...
Shiro(3)——授权
Ascend2015的博客
10-14 896
授权,也就是访问控制,即在应用控制谁能访问哪些资源,比如页面访问、数据编辑等等操作的权限。在授权操作需要这样几个关键对象:主体(Subject)、资源(Resources)、权限(Permission)、角色(Role)。主体主体也就是当前的用户,在Shiro使用Subject代表当前用户。该用户只有被授权之后才能访问相应的资源资源应用的图片、打印、页面、一些业务方法等等一切可以被访问的东西
shiro开放接口权限自定义注解,并在ShiroFilterFactoryBean添加,用java语言编写
06-03
好的,针对您的问题,您可以使用Shiro提供的权限注解 `@RequiresPermissions`,并通过自定义注解来实现权限控制。 以下是一个示例代码,其实现了一个自定义注解 `@ApiPermission`,并在 `ShiroFilterFactoryBean` 添加了该注解,用于控制开放接口的访问权限: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface ApiPermission { String[] value() default {}; } public class ApiPermissionFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { Subject subject = getSubject(request, response); String[] permissions = (String[]) mappedValue; if (permissions == null || permissions.length == 0) { return true; } for (String permission : permissions) { if (subject.isPermitted(permission)) { return true; } } return false; } } @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); Map<String, Filter> filterMap = new LinkedHashMap<>(); filterMap.put("apiPermission", new ApiPermissionFilter()); factoryBean.setFilters(filterMap); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/api/**", "apiPermission[api:read]"); filterChainDefinitionMap.put("/**", "authc"); factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } } @RestController public class ApiController { @GetMapping("/api/test") @ApiPermission("api:read") public String test() { return "Hello, World!"; } } ``` 在上述代码,我们定义了一个 `ApiPermissionFilter`,用于判断用户是否具有访问开放接口权限。然后,在 `ShiroFilterFactoryBean` 添加了该过滤器,并在 `filterChainDefinitionMap` 使用 `apiPermission[api:read]` 来控制 `/api/**` 下的所有请求的访问权限。 最后,在 `ApiController` 使用 `@ApiPermission("api:read")` 注解来标识需要具有 `api:read` 权限才能访问的接口

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值