Shiro教程(十)Shiro 权限动态加载与配置精细讲解

最新推荐文章于 2023-01-15 12:18:42 发布
最新推荐文章于 2023-01-15 12:18:42 发布
阅读量1k 收藏 1
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_37366055/article/details/88072143
版权

Shiro  是一个很完美的权限控制框架,一般我们会采用 shiro  的标签,在页面判断,从而来判断一些ButtonLink Tag  的显示与否,但是仅仅这样判断是不够的,如果用户知道链接,这就一点用都没有。所以我们后台还要有一层判断。这样才安全。今天来说说 Shiro  后台判断的这点事。

shiro一般是这样配置。



 
  1. <property name="filterChainDefinitions" >
  2. <value>
  3. /** = anon
  4. /page/login.jsp = anon
  5. /page/register/* = anon
  6. /page/index.jsp = authc
  7. /page/addItem* = authc,roles[数据管理员]
  8. /page/file* = authc,roleOR[普通用户,数据管理员]
  9. /page/listItems* = authc,roleOR[数据管理员,普通用户]
  10. /page/showItem* = authc,roleOR[数据管理员,普通用户]
  11. /page/updateItem*=authc,roles[数据管理员]
  12. </value>
  13. </property>

这样配置有什么问题?

shiro  加载配置,或者说校验配置,是从上而下的,也就是向上面的配置,其实是有问题的。可能不仔细看你没看出来,/** = anon  ,如果把这个配置在第一行,其实下面的配置都没用。因为是从上往下去匹配,只要匹配中了,就不匹配了,这个是重点,所以要有序

其次,我们知道,这样配置有一个问题,就是维护起来费劲,它不如单独的配置文件,比如我们常用properties 配置文件来配置一些经常修改的值。如:jdbc.properties 会配置一些数据库的链接,帐号、密码等。

说到这里,有的同学就会想,那么我们就用 properties

properties 我们来看看有什么问题?

properties 配置,其实是没问题,问题就出在读取 properties 配置上。我们一般读取,或者说常用读取properties 配置文件,都是用相对应的 Java   JDK   自带提供java.util.Properties 工具类,我们可以看到这个工具类的情况。



 
  1. public class Properties extends Hashtable<Object,Object> {
  2. //Do some thing
  3. }

它继承了 Hashtable ,这就是出现了一个问题,Hashtable 是无序的。这就是关键点。

Shiro 权限拦截动态配置方案

1.重写java.util.Properties  工具类 ,继承 LinkedHashMap<K, V>()  ,LinkedHashMap()  是有序的。

2.自己写一个读取文件的工具类也可以解决。

我的实现是用ini配置文件,自己写了一个读取的工具类,已经封装好,欲知详情或者下载请点击:http://www.sojson.com/blog/139.html

里面有工具类的下载,本站的实现,以及本站发布的开源Demo项目:SpringMVC + Mybatis + Shiro + Redis

这个 Demo  里的配置文件:



 
  1. [base_auth]
  2. /u/**=anon
  3. /user/**=simple,login
  4. /js/**=anon
  5. /css/**=anon
  6. /open/**=anon
  7. #不用校验地址是否有权限
  8. /permission/selectPermissionById.shtml=simple,login
  9. /member/onlineDetails/**=simple,login
  10. /role/mypermission.shtml=simple,login
  11. /role/getPermissionTree.shtml=simple,login
  12. /role/selectRoleByUserId.shtml=simple,login
  13. #需要根据地址校验有无权限
  14. /permission/**=simple,login,permission
  15. /role/**=simple,login,permission
  16. /member/**=simple,login,permission
  17. /**=simple,login

配置文件加载类:



 
  1. package com.sojson.core.shiro.service.impl;
  2. import java.io.IOException;
  3. import java.util.Map;
  4. import java.util.Set;
  5. import javax.annotation.Resource;
  6. import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
  7. import org.apache.shiro.web.filter.mgt.DefaultFilterChainManager;
  8. import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;
  9. import org.apache.shiro.web.servlet.AbstractShiroFilter;
  10. import org.springframework.core.io.ClassPathResource;
  11. import com.sojson.common.utils.LoggerUtils;
  12. import com.sojson.core.config.INI4j;
  13. import com.sojson.core.shiro.service.ShiroManager;
  14. /**
  15. *
  16. * 开发公司:SOJSON在线工具 <p>
  17. * 版权所有:© www.sojson.com<p>
  18. * 博客地址:http://www.sojson.com/blog/ <p>
  19. * <p>
  20. *
  21. * 动态加载权限 Service
  22. *
  23. * <p>
  24. *
  25. * 区分 责任人 日期    说明<br/>
  26. * 创建 周柏成 2016年6月2日  <br/>
  27. *
  28. * @author zhou-baicheng
  29. * @email so@sojson.com
  30. * @version 1.0,2016年6月2日 <br/>
  31. *
  32. */
  33. public class ShiroManagerImpl implements ShiroManager {
  34. // 注意/r/n前不能有空格
  35. private static final String CRLF = "\r\n";
  36. @Resource
  37. private ShiroFilterFactoryBean shiroFilterFactoryBean;
  38. @Override
  39. public String loadFilterChainDefinitions() {
  40. StringBuffer sb = new StringBuffer();
  41. sb.append(getFixedAuthRule());//固定权限,采用读取配置文件
  42. return sb.toString();
  43. }
  44. /**
  45. * 从配额文件获取固定权限验证规则串
  46. */
  47. private String getFixedAuthRule(){
  48. String fileName = "shiro_base_auth.ini";
  49. ClassPathResource cp = new ClassPathResource(fileName);
  50. INI4j ini = null;
  51. try {
  52. ini = new INI4j(cp.getFile());
  53. } catch (IOException e) {
  54. LoggerUtils.fmtError(getClass(), e, "加载文件出错。file:[%s]", fileName);
  55. }
  56. String section = "base_auth";
  57. Set<String> keys = ini.get(section).keySet();
  58. StringBuffer sb = new StringBuffer();
  59. for (String key : keys) {
  60. String value = ini.get(section, key);
  61. sb.append(key).append(" = ")
  62. .append(value).append(CRLF);
  63. }
  64. return sb.toString();
  65. }
  66. // 此方法加同步锁
  67. @Override
  68. public synchronized void reCreateFilterChains() {
  69. // ShiroFilterFactoryBean shiroFilterFactoryBean = (ShiroFilterFactoryBean) SpringContextUtil.getBean("shiroFilterFactoryBean");
  70. AbstractShiroFilter shiroFilter = null;
  71. try {
  72. shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean.getObject();
  73. } catch (Exception e) {
  74. LoggerUtils.error(getClass(),"getShiroFilter from shiroFilterFactoryBean error!", e);
  75. throw new RuntimeException("get ShiroFilter from shiroFilterFactoryBean error!");
  76. }
  77. PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter
  78. .getFilterChainResolver();
  79. DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver
  80. .getFilterChainManager();
  81. // 清空老的权限控制
  82. manager.getFilterChains().clear();
  83. shiroFilterFactoryBean.getFilterChainDefinitionMap().clear();
  84. shiroFilterFactoryBean.setFilterChainDefinitions(loadFilterChainDefinitions());
  85. // 重新构建生成
  86. Map<String, String> chains = shiroFilterFactoryBean
  87. .getFilterChainDefinitionMap();
  88. for (Map.Entry<String, String> entry : chains.entrySet()) {
  89. String url = entry.getKey();
  90. String chainDefinition = entry.getValue().trim().replace(" ", "");
  91. manager.createChain(url, chainDefinition);
  92. }
  93. }
  94. public void setShiroFilterFactoryBean(
  95. ShiroFilterFactoryBean shiroFilterFactoryBean) {
  96. this.shiroFilterFactoryBean = shiroFilterFactoryBean;
  97. }
  98. }
谱写
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
主要给大家介绍了关于Spring Boot集成Shiro实现动态加载权限的完整步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Shiro动态权限(整合Spring Boot)
qq_53432338的博客
06-27 2058
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户的权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求都需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
SpringBoot 整合Shiro实现动态权限加载更新+Session共享+单点登录
z_ssyy的博客
01-15 1657
ADMIN这个号现在没有sys:info:all这个权限的,所以无法访问getInfoAll接口,我们要动态分配权限后,要清掉缓存,在访问接口时候,Shiro会去重新执行授权方法,之后再次把权限和角色数据放入缓存中。Shiro是一个安全框架,项目中主要用它做认证,授权,加密,以及用户的会话管理,虽然Shiro没有SpringSecurity功能更丰富,但是它轻量,简单,在项目中通常业务需求Shiro也都能胜任.再次访问getInfoAll接口,因为缓存中没有数据,Shiro会重新授权查询权限,拦截通过。
Shiro笔记(三)----Shiro配置文件ini详解
热门推荐
fendo
07-09 3万+
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 要使用Shiro必须在web
SpringBoot整合shiro实现细粒度动态权限
人生就像一场戏
11-05 941
1.前言 本文主要介绍使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例。 使用技术:SpringBoot、mybatis、shiro、freemarker、pagehelper、Mapper插件、druid、 开发工具:intellij idea 数据库:mysql、redis 开发环境 工具 版本或描述 OS Windows 7 JDK 1.8+ IDE IntelliJ IDEA 2017.3 Maven 3.3.1
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
最新发布
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Spring与Shiro整合及加载权限表达式问题
08-25
Spring与Shiro整合及加载权限表达式问题 Spring与Shiro整合是一种常见的身份验证和授权机制,Shiro提供了强大的权限控制机制,而Spring是一个流行的Java框架。这篇文章主要介绍了如何将Spring与Shiro整合,並加载...
Shiro权限框架由浅入深讲解教程课件
01-07
Shiro是一个强大且易用的Java平台的开源权限框架,用于身份验证、授权、加解密和会话管理,它使用简单,可以快速、轻松地让任何应用程序获得如下需求的支持: (1)用户,角色,权限,资源; (2)用户分配角色,...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
Springboot+Shiro 基于URL 动态控制权限
Joe_elena的博客
08-13 1万+
前言:    权限控制有 注解的方式,jsp shiro标签的方式,还有url 动态控制的方式。这里我使用最后一种方式来控制权限 思路: 0.利用  PathMatchingFilter 拦截器 1.根据用户名 来查询角色, 2.根据角色查询权限 3.获取请求的url  4判断 根据用户名查询的权限 是否包括 请求的url 5.如果包括 则 放行,不包括重定向到 未授权界面 p...
shiro 动态修改资源权限不需要重启项目或者重新登录用户
绿眼加菲的博客
09-08 1万+
shiro权限控制的时候,变更用户或者角色的权限后刷新界面不会重新加载权限,需要重启tomcat或者用户重新登录,特别的不人性化,通过下面的方式可以解决这个问题,但仅仅针对于单机,对集群来说就不太清楚,以后有了更好的方法再去使用(菜鸟级别,还需要学习很多): 代码使用: 工具类中: /** * * @Title: clearAuth * @Description: TODO
利用shiro实现权限动态控制
hao_hl1314的博客
09-18 2676
使用shiro对登陆进行权限验证,以及实现权限动态管理。 shiro配置文件     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"     xmlns:context="http://www.springframewo
Shiro学习(四)——认证与授权(ini文件配置与数据库配置方式)
sadoshi的专栏
09-02 781
前言 安全框架最基本的两个功能是认证和授权。在系列第一篇文章《Shiro学习(一)——Shiro配置与快速开始》中,我们已经通过login验证了其认证功能。本篇主要讲讲授权功能。 另外也想讲讲通过数据库方式进行授权的管理。网上搜索以及很多例子基本都是以ini文件配置为主,即使个别使用数据库管理的,也讲得不清不楚,希望这篇文章能让大家搞明白。 ini文件配置方式 还是先以ini文件配置方式讲起,我们新建文件shiro.ini [users] zhang=123,role1 wang=456,r
Shiro动态修改权限
m0_67402235的博客
08-24 230
通过修改shiroFilter的class来实现。通过继承org.apache.shiro.spring.web.ShiroFilterFactoryBean类,并把继承类配置shiro配置文件中既可。shiro部分配置文件。
SpringBoot 整合 Shiro 实现动态权限加载更新+ Session 共享 + 单点登录
z_ssyy的博客
12-26 1114
一.说明二.项目环境二.编写项目基础类三.编写Shiro核心类四.实现权限控制五.POSTMAN测试六.项目源码。
shiro进行登录认证和授权
shenhy95的博客
04-15 6296
1.Shiro核心架构 三个常用过滤器 anno:不需要任何权限即可访问资源 authc:需要登录的权限才可以访问资源 perms:需要指定的权限才能访问目标资源
shiro拦截url动态配置在数据库
Java Programming
03-28 394
核心思想: 1:对 org.apache.shiro.web.filter.mgt.DefaultFilterChainManager.filterChains 执行清空,它维护的是个map.否则原先的没有被覆盖的filterChains还会存在! 2:对org.apache.shiro.web.filter.PathMatchingFilter.appliedPaths执行清空,它维护的...
shiro 实例 拦截之基础篇
zmq52007的博客
12-22 277
1、NameableFilter NameableFilter 给 Filter 起个名字,如果没有设置默认就是 FilterName;还记得之前的如 authc 吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例; 2、OncePerRequestFilter OncePerRequestFilter 用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;另外提供
SpringBoot与Shiro整合.docx
02-09
本课程主要介绍了如何使用Spring Boot与Shiro进行整合,实现强大的用户权限管理。课程内容包括Spring Boot与Shiro框架的简介、Spring Boot的快速入门、Spring Boot与Shiro整合实现用户认证和用户授权、以及thymeleaf...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值