shiro web 体系结构

已于 2023-04-10 17:34:08 修改
阅读量52 收藏
点赞数
分类专栏: spring 文章标签: java web安全
于 2023-03-21 15:52:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TheThirdMoon/article/details/129690422
版权
一、基本流程
  1. 主要依靠过滤器和拦截器来完全登录验证和鉴权
请求
shiro过滤器链
其他web过滤器
拦截器
controller
  1. shiro过滤器链
    每一个请求都会有自己的过滤器链,通过配置来完成
请求
过滤器1
过滤器2
过滤器n
二、shiro过滤器

在这里插入图片描述

  1. 基础过滤器:PathMatchingFilter,AdviceFilter,提供一些与具体业务无关的功能性过滤
  2. 验证过滤器:可以分为两类,
    • 是否允许进入系统:登录验证等
    • 是否允许访问controller方法:角色,权限等
  3. 常见的配置
    shiro提供的默认可以的过滤器枚举
public enum DefaultFilter {
    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);
}

一般情况的过滤器配置,anno 等就是用的上面相对应的过滤器

 - /test.json|anon
 - /perms.json|perms[admin]
 - /logout|logout
 - /login|authc
 - /**|user
  1. 常用过滤器说明
过滤器说明
FormAuthenticationFilter登录验证过滤器,接收用户名,密码完成登录验证,只用于登录请求
UserFilter验证用户有没登录。 除了一些特殊url(像登录),其他url都应走次过滤器
AnonymousFilter不做任何验证可以进入系统。主要适用于一些特殊url
LogoutFilter登出操作,只用于登出请求
RolesAuthorizationFilter验证登入用户的角色,是否可以访问url
PermissionsAuthorizationFilter验证登入用户的权限,是否可以访问url
PathMatchingFilter通过匹配url决定是否进入过滤器。
AuthenticatingFilter与登录验证相关的过滤器,定义了登录流程
AccessControlFilter定义了shiro的登录和鉴权流程,其他过滤器是其具体实现
  1. 部分过滤器源码说明
    AccessControlFilter
public abstract class AccessControlFilter extends PathMatchingFilter {
   //进入业务流程之前验证权限和登录操作
   public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
    }
    //访问控制,是否允许正常通过过滤器,如已经认证的或不需要认证的请求
    protected abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;
    //对于不允许通过过滤器的请求进行权限验证,像登录逻辑,验证通过后则可通过过滤器
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return onAccessDenied(request, response);
    }
}
三、拦截器

可以说,只用过滤器就可以完成web项目的登录和鉴权功能。拦截器可能在非web上更有用处。这里只简单总结一下

  1. 通过aop来实现对方法的拦截
  2. 通过注解来设置权限
注解作用
RequiresAuthentication要求必须是当前登录着的用户
RequiresGuest要求用户必须是访客
RequiresPermissions要求用户必须匹配相应的权限
RequiresRoles要求用户必须匹配相应的角色
RequiresUser要求必须是该系统的有效的用户(可能曾经登录过,当前并不是登录状态)
WZTTMoon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiroweb案例
03-01
shiro安全框架集成web简介,用户初步了解shiro的简单案例
shiro web 身份、权限验证流程
TheThirdMoon的博客
03-27 251
1. 权限验证更灵活的方式是使用aop和注解方式 2. 除了权限验证还有一个角色验证,流程和权限验证类似,使用了UserFilter, RolesAuthorizationFilter
Springboot之整合SSE实现消息推送
热门推荐
weixin_46082019的博客
04-10 1万+
Springboot整合SSE长链接,实现服务端主动推送消息及踩坑记录
SHIRO工作流程及原理及在Spring中集成
TOMCAT
08-18 5285
1.最近接触了Shiro这一安全的框架: 这可以帮我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro可以基本功能分为如下: Authentication:身份认证/登录,验证用户是不是拥有相应的身份;Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对
shiro web 登陆流程
weixin_34166472的博客
09-04 259
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro原理及其运行流程介绍
m0_67403076的博客
08-24 696
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。使用shiro实现系统的权限管理,有效提高开发效率,从而降低开发成本。
shiro web应用
02-01
这里是一个简单的shiroweb应用,作为一个参考
shiroweb案例2
03-01
shiro案例2,简述了url的通配符和jsp标签以及session的会话机制.对应博客:http://blog.csdn.net/qq_19558705/article/details/50725689
shiro-web-1.2.4
08-08
shiro-web-1.2.4
shiro与spring web 项目集成.pdf
08-13
shiro 与 spring web 项目集成 #资源达人分享计划 # 技术文档
(Javascript)AI数字人mp4转canvas播放并去除背景绿幕
lx_nhs的博客
06-12 527
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
探讨 MyBatis 特殊 SQL 执行技巧与注意事项
最新发布
良月柒
06-18 251
/MyBatis 作为一个灵活的持久层框架,通过提供丰富的动态 SQL 标签、SQL 片段复用、存储过程调用、复杂结果集处理、分页查询和批量操作等功能,使开发者能够高效地实现各种复杂的 SQL 操作。
【仿真建模-anylogic】FlowchartPort原理解析
zhaoyaxuan001的博客
06-14 365
FlowchartPort是流图组件端口的基类,一般不会直接使用;如果需要自行封装组件库时会用到;FlowchartPort继承Port类,并定义了一系列抽象函数;用于输入端口判定此刻是否不能接收Agent。用于输出端口判定是否有Agent准备离开。判定端口是否发生错误。
盲盒App开发时有哪些技术框架可以借鉴
bytekj的博客
06-14 609
在开发盲盒App时,可以根据项目需求和团队技术栈选择合适的技术框架。前端可以选择微信小程序框架、React Native或Vue.js等;后端可以选择Node.js或Spring Boot等;数据库可以选择MySQL或MongoDB等。同时,还需要考虑缓存、消息队列、支付和物流接口等其他技术来完善应用的功能和性能。
【Java02】Java中数组的定义与初始化
饮冰室
06-10 630
推荐第一种方式。这种方式容易让人理解,数据类型是type[],对象名称是arrayName。第二种方式有些老旧了。由于数组是一种引用变量(也就是一个指针),所以定义的时候还没有指向任何有效的内存空间,因此在定义数组的时候不能指定数组的长度,也不能直接使用。必须进行初始化。可以使用var让系统自动推断变量类型,既可以用于静态初始化,也可以用于动态初始化。
微型操作系统内核源码详解系列四(3):操作系统调度算法(FreeRTOS内核篇上)
2301_77061352的博客
06-12 851
-uxTopPriority,被设定为是代表最大优先级的数字,自减操作代表从就绪列表最后一个链表(优先级最高的链表)开始查找,直到找到任务链表不为空的优先级任务,那么这个任务肯定也是所有任务中优先级最大的任务,然后获取这个任务的TCB并更新pxCurrentTCB(切换的具体函数),最后更新uxTopReadyPriority的值。容笔者说一下个人看法,从c语言和数据结构算法的层面学习,只能说是舍本逐末,透过Freertos这个小型系统,窥见庞大的操作系统架构的一角,这才是我们学习的重点。
Invalid keystore format,获取安全码SHA1值出错
yfy1907的博客
06-11 208
Invalid keystore format 错误
【Hydro】SCS-CN方法中径流曲线数的确定(下)
```On Earth, Be Water, By Coding```
06-11 126
在[【Hydro】SCS-CN方法中径流曲线数的确定(上)](https://blog.csdn.net/qq_25262697/article/details/133796329)中已经介绍了SCS-CN在SWAT和HMS中的应用,以下会补充SCS-CN在XPSWMM、InfoWorks ICM中的应用。以及使用软件计算SCS-CN的步骤。
从零手写实现 nginx-20-placeholder 占位符 $
06-12 1157
大家好,我是老马。很高兴遇到你。我们为 java 开发者实现了 java 版本的 nginx如果你想知道 servlet 如何处理的,可以参考我的另一个项目:手写从零实现简易版 tomcatminicat除了内置变量,Nginx 还允许用户自定义变量。自定义变量可以在set指令中定义。在这个例子中,定义了一个自定义变量,其值为,并在响应中返回这个值。Nginx 支持占位符的主要目的是提供更高的灵活性和动态性,使其能够适应各种复杂的应用场景和需求。
shiro web 登录流程
06-09
Shiro Web 登录流程一般分为以下步骤: 1. 用户在 Web 页面中输入用户名和密码,提交表单至服务端。 2. 服务端接收到表单数据后,将用户名和密码封装成一个 UsernamePasswordToken 对象。 3. 然后创建一个 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值