spring boot中shiro使用自定义注解屏蔽接口鉴权

已于 2022-09-28 09:08:50 修改
阅读量2.5k 收藏 11
点赞数 5
分类专栏: java 服务器 程序员 文章标签: spring boot java spring AOP
于 2022-07-05 18:24:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LLittleF/article/details/125601583
版权
java 同时被 3 个专栏收录
29 篇文章 0 订阅
订阅专栏
程序员
20 篇文章 1 订阅
订阅专栏
服务器
14 篇文章 1 订阅
订阅专栏

2022-09-28更新:

经过后续使用发现,使用了这种办法后会导致spring boot事务失效!ApiContext会在shiro初始化过滤器的时候扫描全部的controller,这会导致controller类和controller依赖的service被提前实例化(正常情况下应该是spring实例化所有的BeanPostProcessor后再实例化业务类),然后你的启动日志里边可能会出现如下信息:

022-09-28 08:47:52.151  INFO 34092 --- [           main] trationDelegate$BeanPostProcessorChecker : Bean 'staffServiceImpl' of type [com.vanmesure.easyboot.program.service.impl.StaffServiceImpl] is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto-proxying)

这样会导致此类不会被所有的BeanPostProcessor所代理,部分AOP会失效,这里我遇到的是@Transactional失效。最近实在太忙,后续会更新一下此问题的解决方案,以下内容现在只做参考,千万不要在生产环境中使用!

参考文章:解决:is not eligible for getting processed by all BeanPostProcessors_拾年一剑的博客-CSDN博客

传统做法

spring boot整合shiro后,如果某些接口需要屏蔽鉴权的话(比如登录)接口,我们一般会这么做:

@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(org.apache.shiro.mgt.SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("authc", new CorsAuthorizationFilter());
       
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        /* -- 不去拦截的接口 --*/
        filterChainDefinitionMap.put("/statics/**", "anon");
        filterChainDefinitionMap.put("/auth/login", "anon");
        filterChainDefinitionMap.put("/auth/webLogin", "anon");
        filterChainDefinitionMap.put("/auth/loginPage", "anon");
        filterChainDefinitionMap.put("/projectTaskDefinition/list", "anon");
        /*需要拦截的接口*/
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        shiroFilterFactoryBean.getFilters().put("authc", new CorsAuthorizationFilter());
        return shiroFilterFactoryBean;
    }

但是这样做起来不是很优雅,每次编写完新的不需要鉴权的方法后需要再回来改这个地方,所以我就想能不能通过接口上加注解的方式来标识此接口是否需要屏蔽鉴权。

使用自定义注解屏蔽接口鉴权

1.首先定义一个自定义注解AnnoApi 

/**
 * 将此注解加到controller的方法上,即可将方法对应的接口地址自动添加到白名单中
 * anno是anonymous的简称
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AnnoApi {
}

因为此注解只起到标识作用,所以不需要成员属性。

2.在启动时获取全部的接口路径

为了实现这个功能我单独写了一个ApiContxt类来处理

import lombok.extern.slf4j.Slf4j;
import org.springframework.context.ApplicationContext;
import org.springframework.core.annotation.AnnotatedElementUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.*;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;

@Component
@Slf4j
public class ApiContext {

    // 接口路径--方法 映射表
    private Map<String, Method> pathToMethodMap;

    private ApplicationContext applicationContext;

    /**
     * 扫描全部接口,并将其完整请求路径(不包含server.servlet.context-path)与方法的映射保存下来
     * 此方法默认所有打上@RequestMapping注解(或其派生注解)的类或方法都必须有至少一个访问路径,留空的话会抛出异常
     * @param applicationContext
     */
    public ApiContext(ApplicationContext applicationContext) {
        this.applicationContext = applicationContext;
        // 获取全部打了@RestController注解的类
        Map<String, Object> beansWithAnnotation = applicationContext.getBeansWithAnnotation(RestController.class);
        pathToMethodMap = new HashMap<>(beansWithAnnotation.size());
        for (Map.Entry<String, Object> entry : beansWithAnnotation.entrySet()) {
            Class<?> controller = entry.getValue().getClass();
            // 获取controller上的@RequestMapping注解
            RequestMapping controllerRequestMapping = controller.getAnnotation(RequestMapping.class);
            if (controllerRequestMapping != null) {
                Method[] controllerSubMethods = controller.getMethods();
                // 遍历controller下的所有方法,搜索所有加了@RequestMapping注解的方法
                for (Method method : controllerSubMethods) {
                    RequestMapping methodRequestionMapping = AnnotatedElementUtils.findMergedAnnotation(method, RequestMapping.class);
                    if (methodRequestionMapping == null) {
                        continue;
                    }
                    // 将controller的访问路径和method的访问路径进行拼接,并保存到一个map中
                    for (String controllerPath : controllerRequestMapping.value()) {
                        if (!controllerPath.startsWith("/")) {
                            controllerPath = "/" + controllerPath;
                        }
                        for (String methodPath : methodRequestionMapping.value()) {
                            if (!methodPath.startsWith("/")) {
                                methodPath = "/" + methodPath;
                            }
                            // API完整的请求路径
                            String fullPath = controllerPath + methodPath;
                            pathToMethodMap.put(fullPath, method);
                        }
                    }
                }
            }
        }
    }

    public Map<String, Method> getPathToMethodMap() {
        return pathToMethodMap;
    }
}

大致意思就是将所有接口路径与对应方法的映射保存下来,供其他类使用。

细心的小伙伴可能会发现一个小问题,就是我在获取方法路径时取得是@RequestMapping注解的值,那么如果我的方法使用的是@PostMapping或@GetMappbing的话该怎么处理?

实际上上述代码是可以获取@GetMapping @PostMapping @PutMapping @DeleteMapping @PatchMapping @RequestMapping这些注解的路径值的,在本文最后会简单说一下里边的原理,现在暂时认为是可以全部获取的就可以了。

3.配置shiro时使用ApiContext提取的接口信息配合自定义注解来动态添加白名单

    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,
                                                         ApiContext apiContext) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);


        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        // 无需拦截的接口
        for (Map.Entry<String, Method> entry : apiContext.getPathToMethodMap().entrySet()) {
            // 判断方法上是否存在AnnoApi注解
            AnnoApi annoApi = entry.getValue().getAnnotation(AnnoApi.class);
            if (annoApi != null) {
                // 接口地址是比较敏感的信息,将这个打印到日志里边不是很安全,可以考虑关掉
                log.info("添加白名单接口:" + entry.getKey());
                filterChainDefinitionMap.put(entry.getKey(), "anon");
            }
        }
        // 需要拦截的接口
        filterChainDefinitionMap.put("/**", "authc");
        // 使用自定义拦截器
        shiroFilterFactoryBean.getFilters().put("authc", new CorsAuthorizationFilter());
        return shiroFilterFactoryBean;
    }

循环遍历ApiContext提供的所有接口路径,然后判断每一个方法上是否有@AnnoApi标识,如果有的话就将其路径添加到白名单中,大功告成!

4.使用

使用方法很简单,在需要屏蔽鉴权的方法上添加上注解就可以了

拓展内容:关于spring中的派生注解

在上边第二步时我提到过这样一个问题

细心的小伙伴可能会发现一个小问题,就是我在获取方法路径时取得是@RequestMapping注解的值,那么如果我的方法使用的是@PostMapping或@GetMappbing的话该怎么处理?

为什么我获取@RequestMapping可以捎带着将@PostMapping或@GetMappbing一并获取了呢?

简单解释就是@PostMapping,@GetMapping等注解是@RequestMapping的派生注解。我们随便点开@PostMapping方法可以看到,这个注解上边被打上了@RequestMapping注解。派生注解是spring框架中的一个概念,与java本身无关,这里我们不去探究其原理(主要是我也不会),只知道@PostMapping与@RequestMapping实际上是有关联的就可以了。这个地方为了好理解也可以简单的认为@RequestMapping相当于是@PostMapping的父注解.

而spring框架中的工具类AnnotatedElementUtils中的findMergedAnnotation()可以获取一个方法上的某个特定注解,如果没有的话该方法会尝试查找已存在注解的父注解是否满足。所以下边这行代码在打了@PostMapping注解的方法上也是有效的了。

RequestMapping methodRequestionMapping = AnnotatedElementUtils.findMergedAnnotation(method, RequestMapping.class);

另外AnnotatedElementUtils.findMergedAnnotation()还对@AliasFor注解做了处理,简单说就是你的方法上打上了@PostMapping("add"),但是你拿到的父注解@RequestMapping中是没有“add”这个值的,@PostMapping的源码中通过@AliasFor注解指定了映射关系(如下图), 

然后AnnotatedElementUtils.findMergedAnnotation()方法对其进行了处理,所以我们才能在@RequestMapping中取到路径值。 

spring中还有个类似的工具方法,AnnotationUtils.findAnnotation(),也能获取父注解,但是这个方法并没有对@AliasFor注解做处理,所以拿到的父注解是没有属性值的。

```省略部分代码

String methodRequestPath = null; // 方法路径
RequestMapping requestMapping = method.getAnnotation(RequestMapping.class);
if (requestMapping != null) {
    methodRequestPath = mapping.value()[0];
}

if (methodRequestPath == null) {
    GetMapping mapping = method.getAnnotation(GetMapping.class);
    if (mapping != null) {
        methodRequestPath = mapping.value()[0];
    }
}
if (methodRequestPath == null) {
    PostMapping mapping = method.getAnnotation(PostMapping.class);
    if (mapping != null) {
        methodRequestPath = mapping.value()[0];
    }
}
if (methodRequestPath == null) {
    PutMapping mapping = method.getAnnotation(PutMapping.class);
    if (mapping != null) {
        methodRequestPath = mapping.value()[0];
    }
}
if (methodRequestPath == null) {
    DeleteMapping mapping = method.getAnnotation(DeleteMapping.class);
    if (mapping != null) {
        methodRequestPath = mapping.value()[0];
    }
}
```省略部分代码

这个获取方法路径的方法将每个注解都判断了一下,然后取出路径,显然这个代码看着很难受。

后边修改为通过 AnnotatedElementUtils.findMergedAnnotation(method, RequestMapping.class);获取后就优雅多了。

首先需要明确的是,java中的注解是不可以继承的,所以spring中的派生注解应该是对注解继承的一个拓展。当然以上提到的注解继承、父注解等概念都是为了方便理解胡诌出来的,笔者并不保证其准确性。

傲娇的鲤鱼
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SpringBootShiro自定义注解权限控制源码下载
04-06
SpringBootShiro自定义注解权限控制
SpringBoot AOP各种注解、自定义注解鉴权使用案例(免费下载)
02-24
SpringBoot AOP各种注解、自定义注解鉴权使用案例SpringBoot AOP各种注解、自定义注解鉴权使用案例SpringBoot AOP各种注解、自定义注解鉴权使用案例
使用 spring 拦截器和自定义注解进行接口鉴权、登录校验
DONGHONGBAI的专栏
03-01 3186
项目涉及到接口鉴权和登录超时判断等校验,所以研究下强大spring的拦截器功能,如下转载、学习几篇不错博文,在此先谢过原作者的分享。 https://www.jianshu.com/p/97362fdf039e http://www.scienjus.com/restful-token-authorization/ 一、写注解 编写一个自定义注解:用于需要鉴权或者登录校验功能的接口(方法上) ...
shiro通过注解方式自定义控制接口无需认证访问的解决过程
凌大大的博客
01-26 9898
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
springboot使用shiro框架实现在controller层加注解来权限控制
weixin_42759398的博客
04-09 998
2. 配置Shiro的安全管理器和其他必要的组件,比如Realm、CacheManager等。// 从数据库或其他数据源获取用户的角色和权限信息,并添加到AuthorizationInfo。以上就是使用Shiro框架在Spring Boot进行权限控制的基本操作,希望能够对你有所帮助。// 获取用户输入的账号密码。// 模拟数据库的账号密码。return "用户列表";return "添加用户";return "删除用户";// 获取用户身份信息。// 实现用户认证逻辑。// 实现用户授权逻辑。
shiro常用注解和过滤器,编写自定义注解实现 anon 所有人访问功能
最新发布
weixin_45947759的博客
11-20 608
已登录,未记住我,重开浏览器之后,就成了未登录@RequiresGuest:未登录可以访问;认证过或使用记住我功能拒绝访问@RequiresAuthentication: 认证过可以访问,其他时候拒绝访问@RequiresUser: 认证过或使用记住我功能可以访问同时具备2个权限才能访问拥有其任意一个权限就可以访问@RequiresRoles 跟 @RequiresPermissions 使用差不多的。
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 集成 Shiro使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro 时,需要...
Spring BootShiro实现权限管理
11-12
要将Spring BootShiro整合,我们首先需要在项目引入Shiro的依赖。在`pom.xml`文件,添加如下Maven依赖: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring <version>1.7.2 ``` 接着,我们...
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括...
Spring Boot集成Shiro并利用MongoDB做Session存储的方法详解
08-28
配置完成后,要在Spring Boot的启动类启用Shiro,可以使用`@EnableWebMvcSecurity`和`@Configuration`注解,并创建一个安全配置类,如`ShiroConfig`,在这里配置Shiro过滤器链和其他设置。 总结起来,Spring Boot...
spring_boot_shiro
10-23
2. 权限控制:在Controller或Service使用@RequiresPermissions或@RequiresRoles注解进行权限校验。 3. 未授权处理:自定义未授权页面,当用户没有权限访问某个资源时,跳转到该页面。 4. 退出登录:提供退出登录...
spring-boot-shiro-demo
04-22
Spring Boot简化了Shiro的集成过程,我们可以在配置文件添加Shiro的依赖,并通过自定义Shiro配置类来配置过滤器链。Shiro的核心组件包括Subject、SecurityManager、Realm等,它们负责处理用户的登录、权限验证以及...
如何在Spring boot加入shiro支持
08-25
最后,确保在Spring Boot的主配置类加载这个XML配置,可以使用`@ImportResource`注解: ```java @SpringBootApplication @ImportResource(locations = {"classpath:spring-shiro.xml"}) public class Application...
spring boot 集成 shiro 自定义密码验证 自定义freemarker标签根据权限渲染不同页面(推荐
08-26
最后,需要在 Controller 使用 Shiro 的注解来保护资源,例如: ```java @RestController @RequestMapping("/admin") public class AdminController { @GetMapping("/index") @RequiresPermissions("admin:...
spring-boot+shiro+jpa
07-12
在这个"spring-boot+shiro+jpa"的项目,前端页面使用了Layui,这是一款轻量级的前端UI框架,提供了丰富的组件和样式,帮助开发者快速构建美观的管理界面。项目结构可能包括以下部分: 1. **启动类**:这是Spring ...
Shiro 不走鉴权方法并且,There is no session with id
热门推荐
superzsen的专栏
09-20 1万+
Shiro 不走鉴权方法并且,There is no session with idbackground:spring4 , mvc ,shiro1.3probelm:发现不走鉴权方法,并且there is no session with id,解决步骤-**输入session和cookie信息 request.getHeader(“Cookie”); session.getId(); 发现
spring boot 关闭鉴权(不用登陆即可访问)
Tom_sensen的博客
03-16 2467
1、pom.xml文件添加坐标 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、Application启动类注解修改 原注解:@SpringBootApplication(exclude = {DataSo
请求时不带JSESSIONID导致shiro总是鉴权失败
xurk0922的博客
09-16 1312
框架 Spring + Shiro 问题详细描述 项目是通过ajax去进行登录校验,当检验成功后在前端页面使用window.location = “main”跳转到主页。主页相关的Controller使用了@RequiresAuthentication(使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session已经过认证。),在某些条件下,登录步骤正确完...
Shiro配置跳过权限验证
m0_67393295的博客
08-30 2223
跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件写一个开关,最后通过Aop注入进去就大功告成.首先在spring的配置加入 spring.profiles.active ,同时配置 xfs.shiro.skipShiro为true.因为在开发环境,测试环境,有时候需要跳过shiro的权限验证.所以想写个简单的配置跳过shiro的权限验证.既然找到了实现的方法,那么注入一个自己实现类就可以跳过shiro的权限了.覆写的类.我准备将它替换成log日志....
Spring Boot 使用shiro配置自定义过滤器
09-06
Spring Boot 使用 shiro 配置自定义过滤器需要以下几个步骤: 1. 引入 shiro-spring-boot-starter 依赖: ``` <groupId>org.apache.shiro <artifactId>shiro-spring-boot-starter <version>1.7.1 ``` 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值