我的shiro之旅: 四 自定义filter

最新推荐文章于 2022-04-27 09:39:25 发布
最新推荐文章于 2022-04-27 09:39:25 发布
阅读量7.9k 收藏 6
点赞数 4
分类专栏: shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LHacker/article/details/12049103
版权

博客已移至 http://blog.gogl.top

上一篇文章对shiro的filter作了一些简单的介绍,接一下写写息自定义shiro的filter。使用shiro的时候,比较常用的filter有anon,authc,roles和perms。当我们想定义某个链接是拥有某些权限的用户才可以访问的时候,我们可以这样定义。/xx = roles[A,B]。在shiro中,表示当前用户同时拥有A,B两种角色才可以访问/xx这个链接,是一种&&(与)的关系,我们可以看看源码。在shiro-web-xx.jar的org.apache.shiro.web.filter.authz包下有RolesAuthorizationFilter这样一个类,这个类就是定义roles的filter。

 

public class RolesAuthorizationFilter extends AuthorizationFilter {

    //TODO - complete JavaDoc

    @SuppressWarnings({"unchecked"})
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }

        Set<String> roles = CollectionUtils.asSet(rolesArray);
        return subject.hasAllRoles(roles);
    }

}


上面定义了subject.hasAllRoles(roles);就是当前用户必须拥有定义的所有角色才会返回true。但有时候,我们需要当前用户拥有定义的其他一个角色就可以访问,那就需要写自己的filter。也很简单,代码以下:

 

 

public class AnyRolesAuthorizationFilter extends AuthorizationFilter {

	
	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {

		Subject subject = getSubject(request, response);
		String[] rolesArray = (String[]) mappedValue;

		if (rolesArray == null || rolesArray.length == 0) {
			// no roles specified, so nothing to check - allow access.
			return true;
		}

		Set<String> roles = CollectionUtils.asSet(rolesArray);
		for (String role : roles) {
			if (subject.hasRole(role)) {
				return true;
			}
		}
		return false;
	}

}


从上面的代码可以看到,当遍历,发现当前用户拥有定义的其中一个角色就立刻返回true,否则返回false。

 

定义好filter,只需要代码默认的roles即可。

 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/security/login.html" />
		<property name="successUrl" value="/home.html" />
		<property name="unauthorizedUrl" value="/security/unauthorized.html" />
		<property name="filters">
			<map>
				<entry key="anyRoles" value-ref="anyRolesAuthorizationFilter" />
			</map>
		</property>
		<property name="filterChainDefinitions">
			<value>
                                /admin = anyRoles[admin1,admin2]
				/** = anon
			</value>
		</property>
	</bean>

perms的filter也同理。看看源码:

 

 

public class PermissionsAuthorizationFilter extends AuthorizationFilter {

    //TODO - complete JavaDoc

    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] perms = (String[]) mappedValue;

        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
            if (perms.length == 1) {
                if (!subject.isPermitted(perms[0])) {
                    isPermitted = false;
                }
            } else {
                if (!subject.isPermittedAll(perms)) {
                    isPermitted = false;
                }
            }
        }

        return isPermitted;
    }
}


自定义的filter:

 

 

public class AnyPermissionsAuthorizationFilter extends AuthorizationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
		Subject subject = getSubject(request, response);
		String[] perms = (String[]) mappedValue;

		for (String perm : perms) {
			if (subject.isPermitted(perm)) {
				return true;
			}
		}
		
		return false;
	}

}


配置使用自定义filter

 

 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/security/login.html" />
		<property name="successUrl" value="/home.html" />
		<property name="unauthorizedUrl" value="/security/unauthorized.html" />
		<property name="filters">
			<map>
				<entry key="anyPerms" value-ref="anyPermissionsAuthorizationFilter" />
			</map>
		</property>
		
			<value>
				/admin/add = anyPerms["admin:delete","admin:add"]
				/** = anon
			</value>
		</property>
	</bean>


当用户请求/admin/add时,就会调用自定义的AnyPermissionsAuthorizationFilter来执行。

 

shiro的filter大概讲到这里,相信读者对shiro的filter有更深的认识。
 

LHacker
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
我的shiro之旅: 五 shiro与普通web项目集成
Dylan的博文
09-26 5772
博客已移至 http://blog.gogl.top 在第二篇文章讲了shiro与web项目集成,其中只要是与spring项目的集成。公司有些旧项目,是用servlet写的,并不适合用第二篇文章去搭建shiro。这里想讲讲shiro与普通的项目集成。与普通的web项目集成,shiro只需要两个依赖包,在项目的pom.xml下加入以下依赖:   &lt;dependency&gt; ...
Spring Boot之旅Java安全框架Apache Shiro基本配置(一)
qq_31591883的博客
08-02 546
第一步:准备开发环境 Spring Boot 版本:1.5.4.RELEASE Shiro 版本:1.3.2 Thymeleaf 版本:  3.0.7.RELEASE 第二步:Spring Boot+Shiro+Thymeleaf配置集成 (1)在pom.xml配置文件中引入相关依赖如下: org.springframework.boot spring-boot-start
我的shiro之旅:自定义filter
zhuchunyan_aijia的博客
06-23 1万+
1. shirofilter介绍 Filter Name Class anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org
自定义shiro Filter
FrankWeizq的博客
07-12 626
=============自定义shiro Filter。解决问题: ==一个action对应多个权限: ====添加分区时,不仅要有分区subArea权限,还要有区域Area的权限。 ===findAll()下拉框选择 分区所属的区域。 ===于是Spring配置shiro:如下: /areaAct...
我的shiro之旅-session共享-redis
zhuchunyan_aijia的博客
06-29 6040
基于redis缓存的session共享 结合上面的 MSM 思想,由 redis负责 session 数据的存储,而我们自己实现的 session manager 将负责 session 生命周期的管理。    此架构存在着当redis master故障时, 虽然可以有一到多个备用slave,但是redis不会主动的进行master切换,这时session服务中断。
Shiro的简单学习之旅
weixin_42496678的博客
11-01 297
Shiro是什么 • Apache ShiroJava 的一个安全(权限)框架。 (spring中提供的是springsecurity) • Shiro 可以非常容易的开发出足够好的应用,其不仅可以用JavaSE 环境,也可以用在 JavaEE 环境。 • Shiro 可以完成:认证(登录判断)、授权(把用户的权限授予用户)、加密、会话管理、与Web 集成、缓存 等。 • 下载地址:htt...
### shiro自定义filter【解决某个请求 需要同时拥有多种权限】
全力以赴烂口发_青春饭耗不起
11-09 2816
=============自定义shiro Filter。解决问题: ==一个action对应多个权限: ====添加分区时,不仅要有分区subArea权限,还要有区域Area的权限。 ===findAll()下拉框选择 分区所属的区域。 ===于是Spring配置shiro:如下: /areaAction_findAll.action = perms["areaAction","s
spring中 shiro logout 配置方式
m0_67401920的博客
04-27 1647
有两种方式实现logout 1. 普通的action中 实现自己的logout方法,取到Subject,然后logout 这种需要在ShiroFilterFactoryBean 中配置 filterChainDefinitions 对应的action的url为anon # some example chain definitions: /index.htm = anon /logout = anon /unauthed = anon /console/** = anon /css/** = anon /
Apache Shiro ⒉认证和授权逻辑概述
O_o
06-17 817
Apache Shiro 的认证和授权流程概述.
shiro_demo:郎学习演示
05-17
Shiro 提供了一系列 Filter,例如 FormAuthenticationFilterAuthorizationFilter 等,它们可以直接在 Web 应用中使用,实现基于 URL 的访问控制。项目可能包含了如何配置这些过滤器,并在 Web 应用中实现拦截和...
Shiro简易实例:HelloWorld
11-03
这个简单的实例主要展示了Shiro的基础用法,实际项目中,你可能还需要处理更多复杂情况,如记住我功能、密码策略、角色和权限的细粒度控制等。通过深入学习Shiro,你可以构建出更强大、更安全的应用程序。
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
grails-shiro-ui:Grails Shiro UI 插件
07-12
2. 配置Shiro:在`Config.groovy`文件中配置Shiro的设置,包括安全 Realm、认证策略、授权规则等。 3. 配置URL映射:在`UrlMappings.groovy`文件中定义安全相关的URL映射,例如登录页面、注销链接等。 4. 自定义...
shiro-biz:Shiro 扩展实现
04-10
###Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;###Authrizer:授权器,...
我的shiro之旅: 十五 shiro 登录成功后,跳转到登录前的页面
热门推荐
Dylan的博文
03-04 3万+
博客已移至 http://blog.gogl.top 很多时候,我们需要做到,当用户登录成功后,跳转回登录前的页面。如果用户是点击"登录"链接去到登录页面进行登录的,我们很容易跟踪用户的登录前的页面。比如,在"登录"链接后加一个url参数,如:http://www.xxx.com/login.html?url=http://www.xxx.com/xx.html,这个url就是当前页面。用户浏览...
我的shiro之旅: 九 shiro 清理缓存的权限信息
Dylan的博文
02-17 2万+
博客已移至 http://blog.gogl.top 在文章八讲到了shiro缓存权限信息然后达到共享目的,不过存在一个问题,当用户的权限发生改变的时候,需要用户重新登录,从新缓存用户权限信息。这篇文章将介绍在改变用户的权限时,如何清理用户的权限。我这里写了一个帮助类,先贴也代码。   package com.concom.security.infrastructure.helper; ...
我的shiro之旅: 十 自定义shiro的SessionIdCookie
Dylan的博文
02-17 2万+
博客已移至 http://blog.gogl.top 在使用shiro的时候,曾经有段时间很苦恼,因为我cookie的sessionId经常无故被改,然后抛There is no session with id [xxxx]的异常。我们知道,当请求过来,shiro创建session后,会把sessionId写回到客户端的cookie中。每二个请求过来时,shiro会拿到这个cookie里的ses...
我的shiro之旅: 十二 shiro 踢出用户(同一用户只能一处登录)
Dylan的博文
03-04 2万+
博客已移至 http://blog.gogl.top 看了一下官网,没有找到关于如何控制同一用户只能一处登录的介绍,网上也没有找到相关的文章。可能有些人会记录用户的登录信息,然后达到踢出用户的效果。这里介绍一个更简单的方法。 如果我们跟shiro的源码,我们可以看到。当用户登录成功后,shiro会把用户名放到session的attribute中,key为DefaultSubjectContex...
Shiro入门指南:身份验证、授权与Web集成详解
"跟我学Shiro"是一篇详细的教程,旨在帮助读者理解和学习Apache Shiro安全框架。Shiro是一个强大的轻量级安全访问控制库,用于简化Java应用的安全性管理。本文档按照章节结构展开,包括以下几个关键知识点: 1. **...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值