Shiro Filters

最新推荐文章于 2022-08-30 08:38:48 发布
最新推荐文章于 2022-08-30 08:38:48 发布
阅读量196 收藏
点赞数
分类专栏: Shiro 文章标签: Shiro过滤器 Shiro过滤器详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Technoboy/article/details/84427108
版权
1. Overview
对于web应用,Shiro提供了认证和授权的过滤器实现。

2. Architecture
[img]http://dl.iteye.com/upload/attachment/0083/9506/b022d723-8c47-3c5b-98d4-87d210448a4c.jpg[/img]
a. ServletContextSupport
提供了对ServletContext访问的支持。
b. AbstractFilter
提供了对过滤器初始化的配置。如果想在过滤器初始化时添加逻辑,可通过覆写onFilterConfigSet方法。
c. NameableFilter
提供了重命名过滤器的单一功能。过滤器默认的名字为web.xml中配置的filter-name,可通过NameableFilter的name属性设置一个新的名字。
d. OncePerRequestFilter
每次请求,过滤器需要依次执行,OncePerRequestFilter保证了每次请求时,每个过滤器只执行一次。实际的业务逻辑,由子类通过doFilterInternal方法实现。
e. AdviceFilter
覆写了OncePerRequestFilter的doFilterInternal方法,将过滤操作细化为前置处理,后置处理以及清理操作。只有前置方法preHandle返回true时,才会调用下一个过滤器。
f. PathMatchingFilter
支持Ant风格路径匹配。如果请求的路劲与配置的路径匹配,由onPreHandle方法决定该请求将如何处理。对于过滤器AnonymousFilter的实现,onPreHandle方法总是返回true。对于过滤器AccessControlFilter,需要由isAccessAllowed和onAccessDenied方法共同决定。所有的认证和授权过滤器都继承AccessControlFilter类。

3. Authentication Filters
[img]http://dl.iteye.com/upload/attachment/0083/9776/6fd354ed-e40c-30f6-9b87-03b41d02ce5d.jpg[/img]
AuthenticationFilter为所有认证过滤器的基类,默认的isAccessAllowed方法返回subject.isAuthenticated的值。也就是说,如果请求的路径配置了authc过滤器,需要当前的subject被认证过。如果当前的subject没有被认证过,不同的实现,执行的操作有所不同。BasicHttpAuthenticationFilter实现会根据请求的头信息自动执行一次认证操作,如果认证失败,请求返回401代码。FormAuthenticationFilter实现会根据当前的请求路径与登陆路径匹配,如果为登陆请求,尝试执行一次认证操作,如果不为登陆请求,请求调转到登陆页。

3.1 AnonymousFilter
AnonymousFilter主要用于那些不需要认证即可访问的资源。 

[urls]
/user/signup/** = anon
/user/** = authc

对于/user/signup,任何用户都可以访问。对于/user/,需要当前的subject已认证过。

3.2 UserFilter
如果配置了UserFilter,表示请求的Subject已认证过或被"remember me"记忆: 

[urls]
/news/**=user

对于/news/下的所有资源,只要用户登录过即可访问。

3.3 FormAuthenticationFilter
FormAuthenticationFilter需要当前的Subject必须被认证过,否则流程将跳转到设置的登陆url(通过setLoginUrl方法)。 

[urls]
/news/**=authc


3.4 BasicHttpAuthenticationFilter
如果请求的Subject.isAuthenticated方法返回false,BasicHttpAuthenticationFilter将通过HTTP基础认证方式进行认证(关于HTTP基础认证,请查阅相关资料): 

[urls]
/news/**=authcBasic

如果请求/news/,程序会执行Subject.isAuthenticated方法,如果返回false,执行HTTP基础认证。

4. Authorization Filters
[img]http://dl.iteye.com/upload/attachment/0083/9953/5e3c8290-48de-3482-8615-88b4d238c113.jpg[/img]
AuthorizationFilter为所有授权过滤器的基类。默认的onAccessDenied方法中逻辑为,如果当前的Subject没有绑定任何标识信息,将请求转向登陆页面。如果Subject绑定了标识信息并且配置了unauthorizedUrl,请求将转向unauthorizedUrl,否则返回401代码。

4.1 PermissionsAuthorizationFilter
常用的AuthorizationFilter实现为PermissionsAuthorizationFilter,支持以权限的形式配置资源: 

[urls]
/system/getUsers=perms[0]

如果请求的路径为/system/getUsers,需要当前的Subject具有权限"0"(调用subject的isPermitted或isPermittedAll方法),才允许访问资源,否则不允许访问。

4.2 RolesAuthorizationFilter
RolesAuthorizationFilter过滤器支持以角色的形式配置资源: 

[urls]
/system/getUsers=roles[admin]

如果请求的路径为/system/getUsers,只有当前的Subject具有"admin"角色(调用subject的hasAllRoles方法),才允许访问资源,否则不允许访问。

4.3 PortFilter
PortFilter支持以端口的形式配置资源: 

[urls]
/some/path/** = port
/another/path/** = port[8080]

如果请求的端口号与配置的资源映射端口号相同,则允许对资源进行访问。否则请求将被转向为对应资源映射端口的路劲。比如:如果请求地址为/another/path/test1,端口为9090,由于/another/path/test1需要8080端口才能够访问,那么请求将会被转向:http://localhost:8080//another/path/test1,亦即被转向了正确的url路劲。

4.4 HostFilter
HostFilter支持以主机的形式控制对资源的访问,Shiro1.1还没有完全实现对这种形式的支持。其isAccessAllowed方法将返回UnsupportedOperationException异常。

4.5 SslFilter
SslFilter支持以ssl的形式配置资源: 

[urls]
/secure/getUser = ssl

如果要访问资源/secure/getUser,需要请求的地址相同且必须为https,端口为443才允许访问。

4.6 HttpMethodPermissionFilter
HttpMethodPermissionFilter支持以HTTP请求方法的方式配置资源。其内部将HTTP请求方法转义为对应的HTTP操作,对应关系如下:
[table]
|head | read
|get | read
|put | update
|post | create
|mkcol | create
|options | read
|trace | read
[/table]
以下是一个例子: 

[urls]
/user/** = rest[user]

如果使用GET方法访问/user/1234,由于GET方法对应着"read"操作,最后会转义为:Subject.isPermitted("user:read")。也就是说,当前的Subject必须具有user的read权限才允许对资源的访问。如果使用POST请求/user,会转义为Subject.isPermitted("user:create"),即当前Subject必须具有user的create权限。
Technoboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro讲解之 Shiro Filter
Dusty丶one的博客
10-26 1154
shiro讲解之 Shiro Filter本章节将详细说明Shiro Filter。概念 什么是Shiro FilterShiro 提供了与 Web 集成的支持,其通过一个ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制。 ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器,是安全控制的入口点,其负责读取配置(如ini 配置文件
shiro(五)默认拦截器
ljxbbss的博客
09-05 2366
默认拦截器 Shiro 内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考 org.apache.shiro.web.filter.mgt.DefaultFilter 中的枚举拦截器:  默认拦截器名 拦截器类 说明(括号里的表示默认值) 身份验证相关的     authc
Shiro filters
wwq518的博客
05-09 380
shiro filter
Shiro中的filter
chennei5176的博客
04-08 477
DefaultFilter shiro中提供的默认filter FilterChainManager 通过配置创建对应的filterChain Shiro通过此配置可初始化FilterChainManager中的filterChain,结构为 url ->filter列表...
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shirofilter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
Shiro教程Shiro
05-01
- **Filters**:Shiro提供了一系列过滤器,用于实现Web安全控制。 3. **Shiro的核心组件** - **Authenticator**:负责身份验证,验证用户提供的凭证是否有效。 - **Authorizer**:负责授权,确定用户是否有执行...
Shiro1.3.2 source
09-18
1. **Filters**: Shiro提供了一系列预定义的过滤器,如`authc`(认证)、`perms`(权限)、`roles`(角色),这些过滤器可以在Web应用的过滤器链中配置。 2. **Web Session**: 与标准的Servlet会话兼容,同时提供了会话...
ShiroSpring
08-05
- **Filters**:Shiro通过过滤器链来处理HTTP请求,实现身份验证和授权。 3. **Spring集成Shiro**: - **Spring Beans配置**:Shiro可以通过Spring的Bean配置进行管理,将 Realm、SecurityManager 等组件注入到...
shiro登录拦截校验demo
07-19
- **Filters**:Shiro通过Filter链进行请求拦截,实现权限控制。 3. **Shiro的配置**: - **shiro.ini或Java配置**:定义Subject的行为,包括Realm配置、安全约束等。 - **Web.xml配置**:设置Shiro Filter链,...
SpringBoot整合Shiro
12-28
SpringBoot整合Shiro是一个常见的Java Web安全框架集成实践,它使得在SpringBoot应用中实现用户认证和授权变得简单。Shiro框架提供了丰富的功能,包括身份验证、授权、会话管理和安全控制,为开发者构建安全的应用...
shiro+cas单点登录技术分析
05-30
分析shiro框架+cas单点登录系统的技术分析,解析了相关的技术难点
shiro原理的分析,系统权限管理以及 运行流程分析
lilong329329的博客
11-23 5242
一、概述 1、shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 2、(1)spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。      (2) shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
springboot(十四):springboot整合shiro-登录认证和权
weixin_34337265的博客
01-11 1949
这篇文章我们来学习如何使用Spring Boot集成Apache Shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,这篇文章会先介...
Spring MVC过滤器-HiddenHttpMethodFilter
孤云博客
08-10 1527
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 from:https://blog.csdn.net/geloin/article/details/7444321 浏览器form表单只支持GET与POST请求,而DELETE、PUT等method并不支持,s...
HiddenHttpMethodFilter过滤器
阿颜的博客
02-07 269
HiddenHttpMethodFilter过滤器 作用:由于浏览器form表单只支持get与post请求,而default、put等method并不支持, spring3.0添加了一个过滤器,可以将浏览器请求改为指定的请求方式, 发送给我们的控制器方法,使得支持get、post、put与delete请求 使用方法: 第一步:在web.xml中设置过滤器 第二步:请求方式必须使用post请求 第三步:按照要求提供_method请求参数,该参数的取值就是我们需要的请求方式 ...
7.Shiro授权1_授权,授权方式和Permissions
T_P_F的博客
04-26 425
一 、授权 1.授权:也叫访问控制,就是在应用中控制谁能访问那些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 2.主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。 3.资源(Resourc...
shiro 如何对非url内容授权
zn0315的专栏
02-14 657
使用shiro对非url部分内容授权
shiro中使用自定义filter后,anon不生效解决方案
m0_67391683的博客
08-30 2162
参考:https://stackoverflow.com/questions/51552021/adding-custom-filter-apache-shiro-spring-boot。使用了LinkedHashMap,但配置了anon的接口还是会通过JwtFilter。改写后 配置了anon的接口不会再通过jwtFilter
shiro 结合 jwt
最新发布
12-07
Shiro可以与JWT(JSON Web Token)结合使用来实现认证和授权功能。具体步骤如下: 1.编写JWT工具类,用于生成和验证JWT token。 2.编写JWTToken,继承Shiro的AuthenticationToken接口,用于封装JWT token。 3.编写JWTFilter,继承Shiro的AuthenticatingFilter类,用于在请求中验证JWT token。 4.编写JWTRealm,继承Shiro的AuthorizingRealm类,用于从JWT token中获取用户信息并进行授权。 5.编写Shiro配置类,配置JWTFilter和JWTRealm。 下面是一个简单的示例代码: ```java // JWT工具类 public class JWTUtil { // 生成JWT token public static String createToken(String username, String secret) { Date now = new Date(); Date expireDate = new Date(now.getTime() + 3600 * 1000); // 过期时间为1小时 return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expireDate) .signWith(SignatureAlgorithm.HS256, secret) .compact(); } // 验证JWT token public static boolean verifyToken(String token, String username, String secret) { try { Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); return claims.getSubject().equals(username) && !claims.getExpiration().before(new Date()); } catch (Exception e) { return false; } } } // JWTToken public class JWTToken implements AuthenticationToken { private String token; public JWTToken(String token) { this.token = token; } @Override public Object getPrincipal() { return token; } @Override public Object getCredentials() { return token; } } // JWTFilter public class JWTFilter extends AuthenticatingFilter { @Override protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception { String token = getRequestToken((HttpServletRequest) request); if (StringUtils.isBlank(token)) { return null; } return new JWTToken(token); } @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { String token = getRequestToken((HttpServletRequest) request); if (StringUtils.isBlank(token)) { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setHeader("Access-Control-Allow-Credentials", "true"); httpResponse.setHeader("Access-Control-Allow-Origin", ((HttpServletRequest) request).getHeader("Origin")); httpResponse.setCharacterEncoding("UTF-8"); httpResponse.setContentType("application/json"); httpResponse.getWriter().print("{\"code\":401,\"msg\":\"未登录\"}"); return false; } return executeLogin(request, response); } private String getRequestToken(HttpServletRequest request) { String token = request.getHeader("Authorization"); if (StringUtils.isBlank(token)) { token = request.getParameter("token"); } return token; } } // JWTRealm public class JWTRealm extends AuthorizingRealm { @Override public boolean supports(AuthenticationToken token) { return token instanceof JWTToken; } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = JWTUtil.getUsername(principals.toString()); // 根据用户名获取用户角色和权限信息 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.setRoles(user.getRoles()); info.setStringPermissions(user.getPermissions()); return info; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException { String token = (String) auth.getCredentials(); String username = JWTUtil.getUsername(token); // 根据用户名获取用户信息 if (user == null) { throw new UnknownAccountException("用户不存在"); } if (!JWTUtil.verify(token, username, user.getPassword())) { throw new IncorrectCredentialsException("token无效"); } return new SimpleAuthenticationInfo(token, token, "jwtRealm"); } } // Shiro配置类 @Configuration public class ShiroConfig { @Bean public JWTFilter jwtFilter() { return new JWTFilter(); } @Bean public JWTRealm jwtRealm() { return new JWTRealm(); } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(jwtRealm()); return securityManager; } @Bean public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager, JWTFilter jwtFilter) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); Map<String, Filter> filters = new HashMap<>(); filters.put("jwt", jwtFilter); shiroFilter.setFilters(filters); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/**", "jwt"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; } } // 异常处理类 @RestControllerAdvice public class ExceptionHandler { @ExceptionHandler(UnknownAccountException.class) public Result handleUnknownAccountException(UnknownAccountException e) { return Result.error("用户不存在"); } @ExceptionHandler(IncorrectCredentialsException.class) public Result handleIncorrectCredentialsException(IncorrectCredentialsException e) { return Result.error("密码错误"); } @ExceptionHandler(AuthenticationException.class) public Result handleAuthenticationException(AuthenticationException e) { return Result.error("认证失败"); } @ExceptionHandler(Exception.class) public Result handleException(Exception e) { return Result.error("系统异常"); } } // Controller @RestController public class UserController { @PostMapping("/login") public Result login(String username, String password) { // 根据用户名和密码验证用户信息 String token = JWTUtil.createToken(username, password); return Result.success(token); } @GetMapping("/user") public Result getUser() { // 获取当前用户信息 return Result.success(user); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值