Jfinal与shiro集成实现动态URL鉴权,不装插件只需要一个类

最新推荐文章于 2024-05-27 14:48:34 发布
最新推荐文章于 2024-05-27 14:48:34 发布
阅读量2.8k 收藏 2
点赞数
文章标签: Jfinal shiro 动态URL授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joph_csu/article/details/53940961
版权

Jfinal与Shiro集成,有玛雅牛和dreamip两个Jfinal插件,但还是想以简单的方式实现动态URL鉴权。

本人的实现思路是,利用Shiro本身的过滤器扩展来实现动态通过数据库URL授权。方法如下:

1. 新建一个JFinal Maven项目

2. pom.xml中添加对Shiro的引用:

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.3</version>
        </dependency>
3. /WEB-INF/web.xml中加入shiro的支持 

    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>

    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
        <dispatcher>INCLUDE</dispatcher>
        <dispatcher>ERROR</dispatcher>
    </filter-mapping>

4. resource目录下新增配置文件shiro.ini 

[main]
shiro.loginUrl = /auth/login
jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm
dataSource = com.mysql.jdbc.jdbc2.optional.MysqlDataSource
dataSource.serverName = localhost
dataSource.user = root
dataSource.password = root
dataSource.databaseName = jinlu
jdbcRealm.dataSource = $dataSource
jdbcRealm.authenticationQuery = SELECT password  FROM sec_user WHERE status=1 AND username = ?
jdbcRealm.userRolesQuery = SELECT r.role_name FROM sec_role AS r, sec_user_role AS ur WHERE r.id = ur.role_id AND r.status=1 AND ur.user_id = (SELECT id FROM sec_user WHERE username = ?)
jdbcRealm.permissionsQuery = SELECT p.permission FROM sec_permission AS p, sec_role_permission AS rp WHERE p.id = rp.permission_id AND rp.role_id = (SELECT id FROM sec_role WHERE role_name = ?)
jdbcRealm.permissionsLookupEnabled = true
securityManager.realms = $jdbcRealm
passwordMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
passwordMatcher.hashAlgorithmName=MD5
jdbcRealm.credentialsMatcher=$passwordMatcher

#cache
shiroCacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
shiroCacheManager.cacheManagerConfigFile = classpath:ehcache.xml
securityManager.cacheManager = $shiroCacheManager
 
#session
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionDAO.activeSessionsCacheName = shiro-activeSessionCache
sessionManager.sessionDAO = $sessionDAO
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.globalSessionTimeout = 3600000

[filters]
urlFilter=com.ziyTech.framework.interceptor.ShiroPathMatchFilter

#这里的规则,web.xml中的配置的ShiroFilter会使用到。
[urls]
/=anon
/img/**=anon
/js/**=anon
/css/**=anon
/fonts/**=anon
/uploader/**=anon
/uploads/**=anon
/auth/**=anon
/msg/**=anon
/api/**=anon
/test/*=anon
/**=urlFilter
其中[main]节中,jdbcRealm定义一个数据库认证域,根据那几个SQL,可以构造出相应的数据表。定义了一个MD5的密码加密算法,在[filters]节自定义了一个过滤ShiroPathMatchFilter,并且在[urls]节将其它非开放的URL鉴权都指向它。

5. ShiroPathMatchFilter实现对URL进行过滤

package com.ziyTech.framework.interceptor;

import com.google.common.collect.ArrayListMultimap;
import com.google.common.collect.ImmutableListMultimap;
import com.google.common.collect.Multimap;
import com.jfinal.log.Log;
import com.jfinal.plugin.activerecord.Db;
import com.jfinal.plugin.activerecord.Record;
import com.ziyTech.framework.service.Conf;
import com.ziyTech.framework.model.SecRole;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.util.*;

public class ShiroPathMatchFilter extends AccessControlFilter {
    private static final Log log =  Log.getLog(Conf.class);
    private static Multimap<String,String> allPermissions = ArrayListMultimap.create();
    private static List<String> allRoles = new ArrayList<String>();

    public static void initUrlMaps(){

        log.info("start initializing permission maps.");
        // 缓存所有角色
        allRoles.clear();
        List<SecRole> secRoles =SecRole.dao.findAll();
        for(SecRole secRole:secRoles){
            allRoles.add(secRole.getStr("role_name"));
        }
        // 缓存所有权限
        allPermissions.clear();
        List<Record> rolePermissions = Db.find("select r.role_name,p.permission " +
                "from sec_role r,sec_permission p,sec_role_permission rp " +
                "where rp.role_id=r.id and rp.permission_id=p.id and permission is not null ");
        for(Record rolePermission :rolePermissions){
            allPermissions.put(rolePermission.getStr("role_name"),rolePermission.getStr("permission"));
        }
        log.info("finished permissions map with entries:" + allPermissions.size());
    }

    public boolean isAccessAllowed(Subject subject,String path){
        if(allPermissions.isEmpty()){
            initUrlMaps();
        }
        for(String role : allRoles){
            if(subject.hasRole(role)){
                for(String url:allPermissions.get(role)){
                    if(pathsMatch(url, path)){
                        return true;
                    }
                }
            }
        }
        return false;
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object o) throws Exception {
        if(allPermissions.isEmpty()){
            initUrlMaps();
        }
        Subject subject = getSubject(request, response);
        for(String role : allRoles){
            if(subject.hasRole(role)){
                for(String url:allPermissions.get(role)){
                    if(pathsMatch(url, request)){
                        return true;
                    }
                }
            }
        }
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        log.info("onAccessDenied");
        setLoginUrl("/auth/login");
        redirectToLogin(request,response);
        return false;
    }

}

上述代码中静态变量allPermissions为MultiMap, 引这Google guava。有静态方法initUrlMaps,可在其它地方对授权信息进行初始化,如用户更改了角色,角色更改了权限时。


6. 我的鉴权相关数据库定义:

CREATE TABLE  sec_user (
        id INT NOT NULL AUTO_INCREMENT,
        username VARCHAR(50),
        password VARCHAR(50),
        email VARCHAR(100),
        mobile VARCHAR(20),
        avatar VARCHAR(200),
        full_name VARCHAR(100),
        status INT DEFAULT '1' NOT NULL,
        created_at TIMESTAMP NULL,
        updated_at TIMESTAMP NULL,
        deleted_at TIMESTAMP NULL,
        PRIMARY KEY (id)
    )
    ENGINE=InnoDB DEFAULT CHARSET=utf8

CREATE TABLE sec_role  (
        id INT NOT NULL AUTO_INCREMENT,
        role_name VARCHAR(50),
        description VARCHAR(200),
        status INT DEFAULT '1' NOT NULL,
        created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE
        CURRENT_TIMESTAMP,
        updated_at TIMESTAMP NULL,
        deleted_at TIMESTAMP NULL,
        PRIMARY KEY (id)
    )
    ENGINE=InnoDB DEFAULT CHARSET=utf8

CREATE TABLE sec_permission  (
        id INT NOT NULL AUTO_INCREMENT,
        permission VARCHAR(50) NOT NULL,
        description VARCHAR(200) NOT NULL,
        status INT DEFAULT '1' NOT NULL,
        category VARCHAR(50),
        name VARCHAR(50),
        url VARCHAR(50),
        PRIMARY KEY (id)
    )
    ENGINE=InnoDB DEFAULT CHARSET=utf8

CREATE TABLE sec_user_role  (
        id INT NOT NULL AUTO_INCREMENT,
        user_id INT NOT NULL,
        role_id INT NOT NULL,
        PRIMARY KEY (id)
    )
    ENGINE=InnoDB DEFAULT CHARSET=utf8

CREATE TABLE sec_role_permission (
        id INT NOT NULL AUTO_INCREMENT,
        role_id INT NOT NULL,
        permission_id INT NOT NULL,
        PRIMARY KEY (id)
    )
    ENGINE=InnoDB DEFAULT CHARSET=utf8

7. 使用方法

7.1 sec_permission表中,如图定义权限,指定URL pattern

7.2 通过sec_role_permission将多个权限赋予一个角色

7.3 通过sec_user_role给用户赋予角色,以实现授权

Joph_csu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
jfinal 集成shiro jar包
05-31
jfinal 3.0以上 集成shiro 的jar 包组合,放心下载使用,实测可以完成集成以及权限拦截
JfinalShiro整合
赖进杰的专栏
10-12 552
第一步、环境配置         1、普通项目                 官方下载shiro相应jar,地址:http://shiro.apache.org/download.html          2、maven项目                 去官方赋值对应的dependency,地址:http://shiro.apache.org/downl
jfinal结合shiro
最新发布
weixin_42370032的博客
05-27 207
【代码】jfinal结合shiro
Jfinal整合shiro
m0_67391377的博客
08-18 404
进入shiro官网下载对应的jar包,放在WebRoot/WEB-INF/lib文件下。更为完善的角色模型:用户—角色—权限—部门—资源。注:要在所有监听器和拦截器的最前方配置。一般常用的角色模型:用户—角色—权限。最简单的角色模型:用户—权限。...
[Java实战]jfinal集成shiro样例
学生董格
10-18 940
之前看了一篇博客介绍的jfinal2.0集成shiro的,我仿照那个写了一个jfinal3.4集成shiro的,简单集成,样例 目录结构图: jar包目录: web.xml &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-ins...
jfinal 整合shiro下载即用
07-26
具体使用步骤会在jfinal官网项目中发表,感谢使用
jfinal-shiro:jfinal shiro插件
05-21
jfinal shiro plugin 最简单,最灵活的权限框架实现,查看其他插件-> maven 引用 ${jfinal-shiro.version}替换为相应的版本如:0.2 <groupId>cn.dreampie</groupId> <artifactId>jfinal-shiro ${jfinal-shiro....
JFinal-Shiro-JDBC-Demo-master.zip_DEMO_jfinal_shiro
09-21
JFinal-Shiro-JDBC-Demo:一个整合JFinalShiro的安全管理示例》 在软件开发领域,尤其是在Web应用程序中,安全控制是至关重要的。JFinal-Shiro-JDBC-Demo是一个基于JFinal框架,并集成了Apache Shiro安全框架的...
jfina_shiro_jfinal+shiro_fromjh1_shiro_
10-04
《jfina_shiro_jfinal+shiro_fromjh1_shiro_》是一个关于集成JFinal和Apache Shiro的项目实例,旨在构建一个具备权限管理功能的Web应用。在这个项目中,JFinal作为轻量级Java Web开发框架,负责处理HTTP请求、路由和...
jfinal+shiro整合的一个例子
08-19
3. **JFinal拦截器集成**:利用JFinal的拦截器机制,我们可以将Shiro的过滤器链集成JFinal的路由中,实现权限控制。拦截器可以检查用户是否已经登录,未登录的用户会被重定向到登录页面。 4. **Shiro的认证与授权...
玩转AgileCDN(九)——鉴权url介绍
Agilewing的博客
03-17 813
点击编辑鉴权URL行为 点击编辑,弹出框包含公钥ID以及私钥文件
JFinal2.0整合shiro权限框架,简单好用
05-12
综合网上资料,完成JFinal2.0整合shiro权限框架的demo,demo完整,简单好用
jfinal整合shiro权限控制(从数据库读取配置信息)
04-20
NULL 博文链接:https://fengzgxing.iteye.com/blog/1884466
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
09 路由守卫对url鉴权
g759780748的博客
02-16 1746
登陆后,从后台加载出当前登录用户的信息 1 登录信息实体 package com.grm.entity; import java.io.Serializable; import java.util.List; /** * 登录用户信息(用户名+头像,菜单列表) * * @author gaorimao * @date 2022/02/10 */ public class LoginUserInfo implements Serializable { /** * 用户名
浅谈 URL 解析与鉴权中的陷阱
有价值炮灰
07-31 435
说到 URL 解析,想必关注 Web 安全的朋友们都看过 Orange 那篇,其中对不同语言中的 URL Parser 做了较为详尽的分析。该议题主要关注不同 Parser 处理 URL 时的域名部分,以实现针对 SSRF 的绕过和后利用。本文的关注点则有所不同,主要是针对 URL 解析的路径部分。因为 URL 的路径部分通常涉及到资源和服务的路由,以及对应的鉴权校验。通常我们在漏洞挖掘和渗透测试时都收集过一些鉴权绕过的 “Tricks”,但很多时候并不了解其所以然,每每测试结束后总觉得缺少了些什么。
JFinal 调用HttpKit通过URL获取其他网站的数据
zerovpp的博客
05-27 1914
日常服务,特别是企业大了,各种异构系统存在,需要相互之间进行交互,有直接查表的,最常见也最安全通过HTTP从接口获取数据或服务。 Jfinal通过URL获取其他系统数据,用HttpKit工具方法get或post,具体如下: //GET方法 public static String get(String url, Map<String, String> queryPa...
java jfinal 权限控制_Jfinal配合Shiro进行权限控制
weixin_32572673的博客
02-27 802
web项目总免不了用户的管理与注册,需求稍微再多一点儿,就涉及用户的角色及权限管理了,下面根据自己项目的实际经验,介绍如何在Jfinal项目中使用Shiro来进行简单的登陆及权限管理。主角简介Jfinal 位居开源中国年度热门开源项目前列,简单好用快速的java web开发框架,用过就知道。Shiro Apache基金会顶级项目,所以你懂得。java安全框架里的主流选择,号称相当简单,但是我至今其...
Shiro动态权限(整合Spring Boot)
qq_53432338的博客
06-27 2068
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户的权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
jfinal集成shiro
04-11
JFinal是一款基于Java的轻量级Web开发框架,而Shiro一个强大且易用的Java安全框架。集成JFinalShiro可以为你的应用程序提供更好的安全性和权限控制。 要在JFinal集成Shiro,你需要进行以下步骤: 1. 添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值