基于注解使用AOP,实现实时刷新Shiro 过滤器链,验证用户每次访问API接口权限

最新推荐文章于 2022-08-28 01:14:43 发布
最新推荐文章于 2022-08-28 01:14:43 发布
阅读量605 收藏 1
点赞数 1
分类专栏: Java # shiro # spring 文章标签: shiro更新过滤器链 用AfterReturning shiro核心组件 url和权限映射 API访问权限认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/as4589sd/article/details/106553915
版权
Java 同时被 3 个专栏收录
107 篇文章 0 订阅
订阅专栏
spring
15 篇文章 0 订阅
订阅专栏
shiro
6 篇文章 0 订阅
订阅专栏

前言:

后端接口的调用,必须受到用户权限的限制,对某个用户是否有权限访问该接口,其角色,部门,等都是影响因素,还有一个用户的状态,也是变化的等,需要做到每次调用接口,都要实时刷新一下,该用户是否有权限访问?

步骤:

从需求出发,既然是需要做到每次调用接口,都要实时刷新一下,该用户是否有权限访问?肯定要用注解!

建自定义注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface RefreshFilterChain {
}

凡是标记该注解,均会引发 Shiro 过滤器链的变化, 将刷新过滤器链.

建AOP刷新切面类

@Aspect
@Component
public class RefreshFilterChainAspect {

    @Resource
    private ShiroService shiroService;

    @Pointcut("@annotation(aaaa.bbbb.common.annotation.RefreshFilterChain)")
    public void updateFilterChain() {}

    @AfterReturning("updateFilterChain()")
    public void doAfter() {
        shiroService.updateFilterChain();
    }

}

建AOP的刷新切面类,便于以后注解到各个API上,实现更新过滤器链!

在shiro服务类ShiroService,加入实现

public void updateFilterChain() {
	synchronized (shiroFilterFactoryBean) {
		AbstractShiroFilter shiroFilter;
		try {
			shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean.getObject();
		} catch (Exception e) {
			throw new ShiroException("get ShiroFilter from shiroFilterFactoryBean error!");
		}
		PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter.getFilterChainResolver();
		DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver.getFilterChainManager();
		// 清空老的权限控制
		manager.getFilterChains().clear();
		shiroFilterFactoryBean.getFilterChainDefinitionMap().clear();
		shiroFilterFactoryBean.setFilterChainDefinitionMap(getUrlPermsMap());
		userNameRealm.clearAllAuthCache();

		// 清除每个 Filter 中的 appliedPaths 信息
		for (Map.Entry<String, Filter> filterEntry : manager.getFilters().entrySet()) {
			if (filterEntry.getValue() instanceof PathMatchingFilter) {
				PathMatchingFilter filter = (PathMatchingFilter) filterEntry.getValue();
				Map<String, Object> appliedPaths = (Map<String, Object>) ReflectUtil.getFieldValue(filter, "appliedPaths");
				synchronized (appliedPaths) {
					appliedPaths.clear();
				}
			}
		}

		// 重新构建生成
		Map<String, String> chains = shiroFilterFactoryBean
				.getFilterChainDefinitionMap();
		for (Map.Entry<String, String> entry : chains.entrySet()) {
			String url = entry.getKey();
			String chainDefinition = entry.getValue().trim().replace(" ", "");
			manager.createChain(url, chainDefinition);
		}

		log.info("更新 Shiro 过滤器链");
	}
}

在shiroService实现updateFilterChain()方法,实现清空老的权限控制,清除每个 Filter 中的 appliedPaths 信息,重新构建生成权限控制,从而实现更新 Shiro 过滤器链

在Controller中的crud的API方法上加上@RefreshFilterChain

@OperationLog("新增菜单")
@RefreshFilterChain
@PostMapping
@ResponseBody
public ResultBean add(Menu menu) {
	menuService.insert(menu);
	return ResultBean.success();
}

这样就可以安全的开放接口,给别人,防止自己的接口,被恶搞了!

总结:

以上是一种思路,从需求出发,进而展开,对代码的编写,涉及到很多知识点,如:

spring的aop的运用

  • Pointcut:Pointcut定义时,还可以使用&&、||、! 这三个运算。进行逻辑运算。可以把各种条件组合起来使用
  • AfterReturning:使用@AfterReturning注解时,指定了一个returning属性,该属性值为rvt,这表明允许在Advice方法(log()方法)中定义名为rvt的形参,程序可通过rvt形参来访问目标方法的返回值

shiro的三个核心组件:Subject, SecurityManager 和 Realms.

  • Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
  • SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
  • Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

在ShiroFilterFactoryBean中,createFilterChainManager方法比较重要,包含以下必要操作:

  • DefaultFilterChainManager对象的创建
  • defaultFilters的获取和相关url的填充
  • 自定义filters的获取和相关url的填充
  • 获取FilterChainDefinitionMap (这个就是配置文件中的filterChainDefinitions的映射关系)
  • 对url和权限的映射关系作处理

DefaultFilterChainManager,是路径和filter的管理类filterChainManager的实现类,用于管理我们在shiroFilterFactoryBean中配置的过滤器和模板,以及配置的参数

  • 获得spring中的所有filters,都被放入到这个类(filterChainManager)中
  • filter根据pathPattern(路径模板)进行分类,方便再查找某个路径的对应的filterChain时,采取的提前分类处理。
阿啄debugIT
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于注解实现SpringAop
12-15
基于注解实现SpringAop基于注解实现SpringAop基于注解实现SpringAop
Java之Spring AOP 实现用户权限验证
08-31
本篇文章主要介绍了Java之Spring AOP 实现用户权限验证用户登录、权限管理这些是必不可少的业务逻辑,具有一定的参考价值,有兴趣的可以了解一下。
springboot注解+aop实现接口限流
09-07
springboot框架中使用自定义注解,配合切面实现接口限流,增加ip黑名单功能,可实现ip+账号+接口进黑名单,也可以实现账号+ip进黑名单及禁用账号; 可以学会自定义注解使用、自定义响应码枚举及使用、自定义异常类及使用aop使用、自定义动态配置全局配置项及使用、ip解析工具、自定义redis缓存key枚举及使用
08 基于注解AOP实现.rar
最新发布
04-10
基于注解AOP实现
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java api安全验证_java登录安全认证shiro
weixin_30969227的博客
02-16 501
shiro:安全(权限)框架,【用途】:1)验证用户2)对用户执行访问控制,如: 判断用户是否拥有角色admin;判断用户是否拥有访问权限3)在任何环境下使用 Session API,可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库4)单点登录(SSO)功能,“Remember Me”服务 ,类似购物车的功能,shiro官方建议开启s【shiro的4大API】Au...
模仿shiro接口鉴权,自定义注解+spring aop实现用户访问接口权限校验
Apollo
11-27 840
目录目的or背景码代码的工具人---is me1. 自定义一个校验权限注解2. 码好咱们的切面3. 搞个api4. postman测试4.1 看书api4.2 添加书api 目的or背景 shiro有个注解是@RequiresPermissions,接口方法加上这个表示需要有指定权限才能访问,不然提示无权限访问等类似信息,这个吧,有点意思,没玩过,所以就来简单模仿下,自己自定义一个注解,具备指定权限才可调通。 码代码的工具人—is me 接下来就是demo实现 1. 自定义一个校验权限注解 packa.
SpringBoot学习笔记32——整合Shiro完成接口权限验证
月月大王的博客
02-28 1507
整合Shiro完成接口权限验证
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
热门推荐
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
Shiro ShiroFilterFactoryBean
weixin_38982591的博客
08-25 1497
首先看下继承关系,实现了FactoryBean,BeanPostProcessor两个接口 BeanPostProcessor 接口 @Override public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException { if (bean instanceof Filter) { log.debug("Found filter chain candidate .
使用Shiro实现权限验证
m0_61083409的博客
08-28 1712
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...
Shiro系列(三)--- Shiro身份验证和授权
FAIRYTAIL的博客
08-20 847
继续我们shiro系列博客相关的学习笔记,各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! 身份验证 身份验证是身份验证的过程 - 也就是说,证明用户实际上是他们所说的人。为了让用户证明他们的身份,他们需要提供一些识别信息t以及系统理解和信任的某种身份证明。 通常提供用户的principals 和credentials 给shiro来进行身份的验证。最常见的 principals 和 credentials 组合就是用户名 / 密码了。 princ
shiro 退出过滤器 logout ---退出清除HTTPSession数据
weixin_30363509的博客
07-05 2246
重写LogouFilter类 import org.apache.shiro.web.filter.authc.LogoutFilter; public class ShiroLogoutFilter extends LogoutFilter { @Override protected boolean preHandle(ServletRequest reque...
shiro学习一 (开涛的跟我学系列 ) 身份验证
ahaha413525642的博客
10-27 3763
shiro
shiro的一次认证多次授权
weixin_38040972的博客
10-18 2529
shiro的一次认证多次授权 springboot整合shiro使用@Bean注解的形式配置javabean) 1.先在pom文件中引入shiro的jar包; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-all&lt;/artifactId&gt; ...
api 接口 shiro 权限控制 springmvc
lvzhyt的专栏
07-31 7755
  采用前后端分离的方式,前端api接口访问,后端通过shiro权限控制。 设置跨域访问后,ajax携带cookie需要设置允许的access-orign。 可通过如下设置动态的。 // filter 中设置 if(request.getHeader("Origin").contains("mydomain.com")) { response.setHeader("Access-...
spring boot中shiro使用自定义注解屏蔽接口鉴权
LLittleF的博客
07-05 2468
spring boot整合shrio后,所有接口都需要在鉴权通过后才能使用。某些接口(比如登录接口)是不需要鉴权的,就需要手动配置一下。本文介绍了一种通过自定义注解实现屏蔽接口鉴权的功能的方法,这样在需要屏蔽接口鉴权的时候,就不用反复修改shiro配置了。...
SpringBoot 集成 Shiro 权限控制 开发 Restful API
weixin_38408945的博客
03-03 5911
shiro
shiro实战:接口权限控制,shiro解决数据平行越权安全漏洞
penggerhe的博客
09-01 5029
昨天被网安大队扫描安全漏铜,提到有个致命的安全漏洞:数据平行越权,要求半个月内整改完毕。数据平行越权用大白话说就是:我先用超级管理员登录后台系统,然后我记住了菜单A对应的URL。我在用普通管理员登录,但是没有菜单A的权限,但是我可以直接通过菜单A的URL进行访问。 数据平行越权的漏洞最根本问题是,系统没有针对接口级别的权限控制。好多系统都是所有接口做个拦截器,只校验了是否登录,并没有把用户、角色权限接口给关联起来。 以下讲下java web框架的解决思路。
对比基于XML的AOP实现和基于注解AOP实现之间的差异及其优缺点。
04-23
基于XML的AOP实现与基于注解AOP实现之间的主要差异是,前者的配置信息需要通过XML文档进行定义和管理,而后者则是通过注解标注在代码中来实现。 基于XML的AOP实现的优点是,具有更高的可配置性和可扩展性,可以灵活地对切面、通知和切点进行管理和配置。同时,由于配置信息明确且具有一定的可读性,因此也更容易进行维护和调试。 基于注解AOP实现则更加简洁和直观,无需通过XML文档进行配置。相对于XML配置,注解标注在代码中更加紧凑,因此也更容易阅读和理解。此外,注解也可以减少代码的冗余,提高代码的可读性和可维护性。 不过,基于注解AOP实现也存在一些缺点。首先,注解使用可能会导致代码的可读性下降,特别是当切面和通知的数量较多时。其次,注解使用可能会使得代码的耦合度增加,因为AOP逻辑与业务逻辑混合在一起,很难分离开来进行单独维护。最后,注解使用也可能会导致代码的灵活性降低,因为修改注解需要重新编译代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿啄debugIT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值