shiro----------------3.过滤器

最新推荐文章于 2022-08-20 21:09:56 发布
最新推荐文章于 2022-08-20 21:09:56 发布
阅读量192 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/New_CJ/article/details/84655139
版权 
/**
 * anon(匿名)、logout(登出)、authc(认证)
 */
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager, ShiroService shiroService) {
    ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
    shiroFilter.setSecurityManager(securityManager);
    shiroFilter.setLoginUrl("/user/no/login");
    shiroFilter.setSuccessUrl("/user/success");
    shiroFilter.setUnauthorizedUrl("/user/fail");
    Map<String, Filter> filterMap = new LinkedHashMap<>(1);
    //自定义角色过滤器
    filterMap.put("roles", rolesAuthorizationFilter());
    shiroFilter.setFilters(filterMap);
    // 过滤链可以使用注解形式实现
    shiroFilter.setFilterChainDefinitionMap(shiroService.loadFilterChainDefinitions());
    return shiroFilter;
}

/**
 * 自定义角色过滤器
 */
@Bean
public CustomRolesAuthorizationFilter rolesAuthorizationFilter() {
    return new CustomRolesAuthorizationFilter();
}

1.创建了一个过滤器管理类FilterChainManager,该类主要管理shiro里的过滤器,里面有2个重要的属性 
1.1 filters:管理全部过滤器,包括默认的关于身份验证和权限验证的过滤器,这些过滤器分为两组,一组是认证过滤器,有anon,authcBasic,auchc,user,一组是授权过滤器,有perms,roles,ssl,rest,port。同时也包含在xml里filters配置的自定义过滤器。在其它地方使用时都是从过滤器管理类里filters里拿的。且过滤器是单例的,整个Shiro框架只维护每种类型过滤器的单例,可以自己实现过滤器,只需配置对应的过滤链来匹配。 
1.2 filterChains:过滤链。shiroService.loadFilterChainDefinitions()这里单独实现过滤链

2.将过滤器管理类设置到PathMatchingFilterChainResolver类里,该类负责路径和过滤器链的解析与匹配。根据url找到过滤器链。

重写一个角色过滤器

/**
 * 自定义角色授权过滤器
 */
public class CustomRolesAuthorizationFilter extends RolesAuthorizationFilter {

    @Override
    public boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object mappedValue) {
        Subject subject = getSubject(req, resp);
        String[] rolesArray = (String[]) mappedValue;
        //如果没有角色限制,直接放行
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        for (int i = 0; i < rolesArray.length; i++) {
            //若当前用户是rolesArray中的任何一个,则有权限访问
            if (subject.hasRole(rolesArray[i])) {
                return true;
            }
        }
        return false;
    }

    @Override
    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest servletRequest = (HttpServletRequest) request;
        HttpServletResponse servletResponse = (HttpServletResponse) response;
        boolean isAccess = isAccessAllowed(request, response, mappedValue);
        if (isAccess) {
            return true;
        }
        servletResponse.setCharacterEncoding("UTF-8");
        Subject subject = getSubject(request, response);
        PrintWriter printWriter = servletResponse.getWriter();
        servletResponse.setContentType("application/json;charset=UTF-8");
        servletResponse.setHeader("Access-Control-Allow-Origin", servletRequest.getHeader("Origin"));
        servletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        servletResponse.setHeader("Vary", "Origin");
        String respStr;
        if (subject.getPrincipal() == null) {
            respStr =JSONObject.toJSONString(KeyValue.forbidden("您还未登录,请先登录"));
        } else {
            respStr =JSONObject.toJSONString(KeyValue.forbidden("您没有此权限,请联系管理员"));
        }
        printWriter.write(respStr);
        printWriter.flush();
        servletResponse.setHeader("content-Length", respStr.getBytes().length + "");
        return false;
    }

}

采用编码式配置过滤链

/**
 * 初始化权限 anon(匿名)、logout(登出)、authc(认证)
 */
@Override
public Map<String, String> loadFilterChainDefinitions() {
    List<Authority> authorities = authorityMapper.selectAll();
    // 权限控制map.从数据库获取
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    if (!CollectionUtils.isEmpty(authorities)){
        for (Authority authority : authorities) {
            if (StringUtils.isEmpty(authority.getPermission())) {
                continue;
            }
            String uris = authority.getUri();
            List<String> uriList = Lists.newArrayList(Splitter.on(",").omitEmptyStrings().trimResults().split(uris));
            uriList.forEach(x-> filterChainDefinitionMap.put(x, authority.getPermission()));
        }
    }
    filterChainDefinitionMap.put("/user/no/login", "anon");
    filterChainDefinitionMap.put("/user/login", "anon");
    filterChainDefinitionMap.put("/user/logout", "anon");
    filterChainDefinitionMap.put("/test/*", "anon");
    filterChainDefinitionMap.put("/redis/*", "roles[admin]");
    filterChainDefinitionMap.put("/**", "authc");
    return filterChainDefinitionMap;
}

权限存储的格式:roles[admin,普通用户] 

 

 



 

牙疼疼疼疼疼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro教程(十)Shiro 权限动态加载与配置精细讲解
啊~~~ 小风车...
08-14 4612
本文转载来源:Shiro教程(十)Shiro 权限动态加载与配置精细讲解 Shiro  是一个很完美的权限控制框架,一般我们会采用 shiro  的标签,在页面判断,从而来判断一些Button ,Link Tag  的显示与否,但是仅仅这样判断是不够的,如果用户知道链接,这就一点用都没有。所以我们后台还要有一层判断。这样才安全。今天来说说 Shiro  后台判断的这点事。 s
在项目中集成shiro权限框架
Icardi9的博客
11-10 768
在项目中集成shiro权限框架(1)   Shiro是一个功能强大的轻量级权限框架,相对其它权限框架(比如spring security)来说,要易用得很,下面,我给大家讲讲如何在一个项目中简单整合shiro。 我们通常所说的权限,就是要判断某个操作者是否有操作某个资源的权限,而资源,可以是菜单、链接、功能按钮、业务方法、某类型的数据等等,根据需求,每个项目的权限可能都有所不同,通用万能权限
Nacos配置中心
Caozefei_2018的博客
08-17 157
1. 在nacos控制台创建yaml配置文件 2. springboot项目的yml文件 yml文件不能用application.yml命名,需要改为bootstrap.yml spring: profiles: active: dev application: name: service-goods cloud: nacos: config: server-addr: localhost:8848 group: .
微服务(SpringCloud)使用汇总
qq_50896786的博客
08-20 1218
微服务架构,简单的说就是将单体应用进一步拆分,拆分成更小的服务,每个服务都是一个可以独立运行的项目。服务治理是微服务架构中最核心最基本的模块。用于实现各个微服务的自动化注册与发现。服务注册:在服务治理框架中,都会构建一个注册中心,每个服务单元向注册中心登记自己提供服务的详细信息。并在注册中心形成一张服务的清单,服务注册中心需要以心跳30s 90s的方式去监测清单中 的服务是否可用,如果不可用,需要在服务清单中剔除不可用的服务。
apache shiro与spring整合、动态filterChainDefinitions、以及认证、授权
gdn_wolf的专栏
11-21 2461
原文:https://github.com/exitsoft/exit-web-framework/wiki/apache-shiro%E4%B8%8Espring%E6%95%B4%E5%90%88%E3%80%81%E5%8A%A8%E6%80%81filterChainDefinitions%E3%80%81%E4%BB%A5%E5%8F%8A%E8%AE%A4%E8%AF%81%E3%80
shiro-main.zip
09-25
Web 支持**:Shiro 提供了过滤器实现Web应用的安全控制,如登录检查、权限控制等,可以与Spring MVC等Web框架无缝集成。 在"shiro-main.zip"的源码中,你可以看到以下几个主要部分: - **core** 模块:这是Shiro...
shiro-master.zip
06-03
5. **Web支持**:Shiro可以很好地与Servlet容器集成,提供过滤器进行Web应用的安全控制。 6. **测试支持**:Shiro提供了测试类,使得在单元测试中模拟用户身份变得简单。 7. **Remember Me服务**:允许用户在退出...
Shiro-SpringBoot.整合
09-23
4. **配置过滤器链**:Shiro 通过过滤器链进行访问控制,定义哪些 URL 需要经过哪些过滤器。在 Spring Boot 的配置类中,可以通过 `@Bean` 注解配置 `ShiroFilterFactoryBean`。 5. **安全控制器**:创建带有 Shiro...
springboot-shiro-redis
02-04
整合**Spring Boot** 和 **Shiro** 的过程中,通常需要创建一个Shiro配置类,用于设置安全过滤器链、Realm(权限认证)以及其他定制化设置。例如,你需要配置一个自定义的 Realm,它与Spring的数据访问层交互,以...
springboot-07-shiro.zip
08-12
2. 配置Shiro:创建Shiro配置类,配置Realm(认证和授权信息源)、SecurityManager以及过滤器链。 3. 自定义Realm:根据实际业务需求,继承AuthorizingRealm并重写doGetAuthenticationInfo和doGetAuthorizationInfo...
Shiro重新加载权限
书香代码
06-07 1506
package com.study.shiro; import com.github.pagehelper.util.StringUtil; import com.study.model.Resources; import com.study.model.User; import com.study.service.ResourcesService; import org.apache.shir...
Shiro权限管理实现(详解)
a1050762704的博客
08-19 1220
前言 Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 功能介绍 资源-角色-权限 登录认证,密码加密(Authentication, Authorization, Cryptography) 用户角色和权限放入缓存(Caching) 会话管理(Session Management) 功能实现 实现说明 基于Spring开发Shiro的话,我们只需要实现ShiroFilterFactoryBe
自学-filterChainDefinitions的源码及和数据库进行交互-17
女神的高冷范
01-16 3255
前几节我们应该对这个filterChainDefinitions 有了解了吧!我们所有的权限设置都配置在了这个org.apache.shiro.spring.web.ShiroFilterFactoryBean这个属性中,我们可以想下,现在是有这几个权限,那加入有很多呢,如果还配置在这里是不是不太方便了,开发就是能多简便我们就怎么写对吧,根据观察我们可以发现这个属性中的值是键值对的形式而且还是有序
SpringBoot整合Shiro,权限的动态加载、更新,Shiro-Redis实现分布式Session共享,挤人功能(带后台管理界面)
热门推荐
隔壁老王的专栏
04-22 3万+
本文章是介绍SpringBoot整合Apache Shiro,并实现在项目启动时从数据库中读取权限列表,在对角色进行增删改时,动态更新权限以及在分布式环境下的Session共享,Session共享使用的是shiro-redis框架,是根据真实项目写的一个Demo。网上有很多关于Shiro相关的文章,但是大多都是零零散散的,要么就只介绍上述功能中的一两个功能,要么就是缺少配置相关的内容。所以,我整理...
Shiro动态创建filterchaindefinitions
pyzheng的专栏
11-18 629
shiro+redis+springMvc整合配置及说明[url]http://blog.csdn.net/siqilou/article/details/44194165[/url] , 有很详细的例子 原文[url]http://javawolf-1.iteye.com/blog/1913884[/url] 有时,在某些系统想通过读取数据库来定义org.apache.shir...
Shiro参数解释
qq_25635139的博客
12-12 450
/admins/**=anon # 表示该 uri 可以匿名访问 /admins/**=auth # 表示该 uri 需要认证才能访问 /admins/**=authcBasic # 表示该 uri 需要 httpBasic 认证 /admins/**=perms[user:add:*] # 表示该 uri 需要认证用户拥有 user:add:* 权限才能访问 /admins/**...
Shiro学习笔记(六)——SpringBoot整合shiro
驼君的小小博客园
02-07 563
在spring中整合shiro可以通过在xml文件中进行配置,但是在SpringBoot中,我们可以通过@Configuration注解写一个配置类来对shiro进行配置 Shiro配置文件 @Configuration @EnableConfigurationProperties(ShiroProperties.class) public class ShiroAutoConfiguration...
shiro-spring-boot-starter
最新发布
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-Starter,你可以轻松地配置和使用 Shiro,无需繁琐的手动配置。 该起步依赖提供了一些默认的配置,同时也允许你根据自己的需求进行自定义配置。它还提供了一些自动配置的功能,如自动注入 Shiro 的核心组件和自动注册 Shiro过滤器链等。 使用 Shiro-Spring-Boot-Starter,你只需要添加相应的依赖到你的项目中,并进行一些简单的配置,即可快速搭建一个安全可靠的应用程序。你可以在你的代码中使用 Shiro 的注解和 API 来进行身份认证和授权操作。 总之,Shiro-Spring-Boot-Starter 是一个方便的工具,可以简化 Shiro 在 Spring Boot 中的集成和配置过程,帮助你快速构建安全的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值