SSM项目中自定义Shiro权限过滤器实现多个权限的或操作

已于 2022-06-02 00:34:20 修改
阅读量923 收藏 4
点赞数 3
分类专栏: 学习经验 文章标签: java spring mvc
于 2022-06-02 00:28:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YuFeng_12138/article/details/125092508
版权

一.提出问题

因为在本项目中使用了Shiro来实现用户身份认证,权限授权,加密,会话管理等,简单说就是对页面访问权限进行控制。

Shiro权限控制是在用户登录时会在Realm中添加该用户的权限信息,在登录的时候会根据请求的url和相关的权限做映射。在用户请求具体url时,会根据url获得对应的权限,在到过滤器中做权限的校验。

然而我在页面权限配置过程中发现Shiro本身自带的权限过滤器只能实现权限之间的与操作,示例如下:

<!-- 权限配置 -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 限制权限访问 -->
                /page/**=authc,perms[common,system]
                /page/settingEdit=authc,perms[system]
                /**=authc
            </value>
        </property>

上述配置的本意是使得 /page/** 下的url只需common,system这两个权限之中任意一个即可访问,而/page/settingEdit则需要system权限进行访问,达到页面访问权限控制的效果。

但由于上面的perms是Shiro自带的PermissionsAuthorizationFilter中的权限校验规则。

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        //将配置转换为字符串数组
        String[] perms = (String[])((String[])mappedValue);
        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
            if (perms.length == 1) {
                if (!subject.isPermitted(perms[0])) {
                    isPermitted = false;
                }
            } else if (!subject.isPermittedAll(perms)) {
                isPermitted = false;
            }
        }

        return isPermitted;
    }

导致实际上/page/**下的url需要两个权限同时具备方可成功访问,于是我们需要自定义一个权限过滤器来替代Shiro原本的权限过滤器。

二.解决问题--自定义Shiro权限过滤器

1.新建一个NewPermissionsAuthorizationFilter类

package com.shiro;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.StringUtils;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class NewPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        Subject subject = this.getSubject(request, response);

        if (subject.getPrincipal() == null) {
            this.saveRequestAndRedirectToLogin(request, response);
        } else {
            // 强转为HTTP
            HttpServletRequest req = (HttpServletRequest) request;
            HttpServletResponse resp = (HttpServletResponse)response;
            // 获取响应头中ajax
            String header = req.getHeader("X-Requested-With");
            // 如果是ajax请求
            if ("XMLHttpRequest".equals(header)){
                // 设置响应头
                resp.setContentType("application/json;charset=UTF-8");
                resp.getWriter().print(false);
            }
            String unauthorizedUrl = this.getUnauthorizedUrl();
            if (StringUtils.hasText(unauthorizedUrl)) {
                WebUtils.issueRedirect(request, response, unauthorizedUrl);
            } else {
                WebUtils.toHttp(response).sendError(401);
            }
        }


        return false;
    }
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        String[] perms = (String[]) ((String[]) mappedValue);
        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
            if (perms.length == 1) {
                if (!isOneOfPermitted(perms[0], subject)) {
                    isPermitted = false;
                }
            } else if (!isAllPermitted(perms,subject)) {
                isPermitted = false;
            }
        }
        return isPermitted;
    }

    /**
     * 以“,”分割的权限为并列关系的权限控制,分别对每个权限字符串进行“|”分割解析
     * 若并列关系的权限有一个不满足则返回false
     *
     * @param permStrArray 以","分割的权限集合
     * @param subject      当前用户的登录信息
     * @return 是否拥有该权限
     */
    private boolean isAllPermitted(String[] permStrArray, Subject subject) {
        boolean isPermitted = true;
        for (int index = 0, len = permStrArray.length; index < len; index++) {
            if (!isOneOfPermitted(permStrArray[index], subject)) {
                isPermitted = false;
            }
        }
        return isPermitted;
    }

    /**
     * 判断以“|”分割的权限有一个满足的就返回true,表示权限的或者关系
     *
     * @param permStr 权限数组种中的一个字符串
     * @param subject 当前用户信息
     * @return 是否有权限
     */
    private boolean isOneOfPermitted(String permStr, Subject subject) {
        boolean isPermitted = false;
        String[] permArr = permStr.split("\\|");
        if (permArr.length > 0) {
            for (int index = 0, len = permArr.length; index < len; index++) {
                if (subject.isPermitted(permArr[index])) {
                    isPermitted = true;
                }
            }
        }
        return isPermitted;
    }

}

2.在Shiro的配置文件中注入bean

<!--自定义权限过滤器-->
    <bean id="newPermissionsAuthorizationFilter" class="com.shiro.NewPermissionsAuthorizationFilter"/>

3.在shiroFilter中添加配置

<!--配置shiro自定义过滤器-->
        <property name="filters">
            <map>
                <!--自定义过滤器名字newPerms-->
                <entry key="newPerms" value-ref="newPermissionsAuthorizationFilter"/>
            </map>
        </property>

最终效果:

  • 保持“,”表示多个权限的并列关系,每个“,”分割的字符串可能是多个“或”权限的集合,再用“|”分割字符串,“|”需要转义。即在原有的基础上增加了权限的或操作。

还有最后一步:

4.在页面权限配置中使用自定义权限过滤器newPerms

<!-- 权限配置 -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 限制权限访问 -->
                /page/**=authc,newPerms[common|system]
                /page/settingEdit=authc,newPerms[system]
                /**=authc
            </value>
        </property>

三.总结 

 只要多动手多动脑,没有什么问题是解决不了的。

  参考文章:SpringBoot-Shiro自定义过滤器实现配置多个权限

Chefng-
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot】23、SpringBoot整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目使用过 shiro,发现 shiro权限管理做的真不错,但是在 SSM 项目的配置太繁杂了,于是这次在 SpringBoot 使用了 shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro ,Subje
SSM整合shiro实现角色权限
03-31
Shiro提供了多种内置过滤器,如authc(认证过滤器)、perms(权限过滤器)等,可以根据需求进行配置: ```xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 配置...
SSM整合shiro-自定义过滤器(模板)
weixin_44257023的博客
10-30 446
有时候一个链接可能对应多个权限名称 /csdn/list.do = perms["写博客","更改博客内容"] 上面那样写shiro过滤器肯定是不行的,所以要自己自定义一个过滤器 自定义过滤器(模板) package cn.itcsdn.filter; import org.apache.shiro.subject.Subject; import org.apache.shiro.web.filter.authz.AuthorizationFilter; import javax.servlet.S
Shiro 基于角色授权的简单应用与权限过滤器配置含义
Charge8的博客
04-24 1847
一、Shiro 支持有三种方式的授权: 1、编程式:通过写 if/else 授权代码完成(不常用) 2、注解和配置式:通过执行 Java 方法上的放置的相应注释或xml 配置完成,没有权限将抛出相应异常。(小项目注解更常用,配置+数据库更灵活) 3、jsp标签式:在 jsp 页面通过相应标签完成。(主要用于对当前用户没权限访问的内容,可以通过jsp标签隐藏掉) 二、Shiro 权限...
SSM + Shiro 整合 (5)- 自定义过滤器权限解析器、介绍权限匹配流程
热门推荐
李威威的博客
09-25 1万+
关于 Shiro权限匹配器和过滤器上一节,我们实现自定义的 Realm,方式是继承 AuthorizingRealm 这个抽象类,分别实现认证的方法和授权的方法。这一节实现的代码的执行顺序 1、过滤器,在过滤器执行 Subject 对象的判断是否具有某项权限的方法 isPermitted() 传入某一个跟当前登录对象相关的特征值(这里是登录对象正在访问的 url 连接) 2、程序到自定义
SSM整合Shiro框架+Redis 实现权限管理
weweeeeeeee的博客
06-07 4618
1.Shiro概述 Apache Shiro 是一个强大易用的 Java 安全框架 Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。 简介 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境...
Shiro 安全框架 —— SpringBoot+SSM+Shiro+Thymeleaf 实现权限认证
Jsundoku的博客
05-09 596
Apache Shiro 是ASF旗下的一款开源软件(Shiro发音为“shee-roh”,日语“堡垒(Castle)”的意思),提供的一个强大而灵活的安全框架。 Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。
SSM+Shiro+Redis实现项目的权限管理
汉南最後の読書人
05-06 1102
1.Shiro介绍 Apache Shiro 是一个强大易用的 Java 安全框架 Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。 简介 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也...
SSM集成shiro权限管理
codeHaoHao的博客
10-15 5394
这几天在学习了shiro权限管理框架,在刚开始的时候学的时候因为这个配置问题困扰了我很长时间,所以在这篇文章我整合了自己用SSM搭建shiro权限框架的过程。   1.配置   1.1jar包 在项目配置开始前需要先导入shiro的相关jar包,下载地址:https://mvnrepository.com/: 如果你的项目时maven项目的话只需要在pom.xml添加以下几个依赖:...
ssm 与 shiro 下的权限管理
红衣女妖仙的博客
11-14 453
ssm 与 shiro 下的权限管理 环境:   jdk : 1.8   spring : 5.2.10   mybatis : 3.5.4   shiro : 1.6.0 关于权限管理:   关于权限管理,个人理解为分为两种,即数据级别和访问级别。实现方式一般是权限框架、加密等技术。   1. 数据级别: 即用户是否可以请求某个接口的数据(如 /admin/user/list)。这个可以用非对称加密来解决,即服务器生成公私钥对,将私钥保留,公钥发放给接口调用者,请求时携带并在服务器端验证是否合法。   2
SSM项目集成shiro搭建session共享
04-06
SSM项目集成Shiro搭建session共享是一个常见的需求,特别是在构建分布式系统时,为了实现用户登录状态在多个服务器间的一致性。在这个项目,我们使用了SpringMvc4.3、Spring4.3、Mybatis3.4作为基础框架,Shiro1.4...
SSM项目集成shiro
12-19
3. **过滤器链配置**:在Web应用的web.xml文件配置Shiro Filter,设置过滤链,定义哪些请求需要通过Shiro进行权限控制。 4. **ShiroSpring的整合**:通过Spring的Bean配置,将Shiro的相关组件如SecurityManager...
ssm整合shiro项目
04-29
在项目,每个用户可以被赋予一个或多个角色,每个角色对应一组权限权限管理使得只允许具有特定权限的用户访问特定资源。 **6. 角色管理** 角色是权限的集合,它代表了一组权限的抽象。在项目,管理员可以创建...
SSM整合shiro的简单框架搭建,JSP项目
05-21
5. 配置过滤器:在SpringMVC的web.xml配置Shiro过滤器链,拦截请求并进行权限控制。 6. 使用Shiro标签库:在JSP页面使用Shiro提供的标签,例如`<shiro:hasRole>`、`<shiro:hasPermission>`等,进行权限展示...
golang 接口
m0_70982551的博客
07-24 952
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 516
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 647
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
最新发布
訾博(ZiBo)的博客
07-27 595
Spring和Jackson框架,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
ssm项目整合shiro
11-29
SSM项目整合Shiro的步骤如下:...2. 在Spring配置文件配置Shiro的相关信息,例如Shiro的安全管理器、Shiro过滤器链等。可以在applicationContext.xml文件添加以下代码: ```xml <!-- 配置Shiro的安全管理器 --> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Chefng-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值