Shiro:中的filterChainDefinitions详解。

于 2020-07-30 19:22:02 发布
阅读量3.5k 收藏 7
点赞数 3
分类专栏: Shiro 文章标签: shiro
原文链接:https://blog.csdn.net/fanfanzk1314/article/details/72780923
版权

springrain使用shiro控制权限,配置filterChainDefinitions结合数据库校验权限。

我们在web.xml中配置一个全局过滤器,也就是在springrain配置的是一个spring bean的“shiroFilter“,在这个bean中可以根据访问路径在配置不同的过滤器,其中shiro默认自带的过滤器如下:

Filter Name   Class説明
anon                  org.apache.shiro.web.filter.authc.AnonymousFilter任何人都可以访问
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter必须是登录之后才能进行访问,不包括remember me
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter 
logout org.apache.shiro.web.filter.authc.LogoutFilter 
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter 
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter指定过滤规则,这个一般是扩展使用,不会使用原生的
portorg.apache.shiro.web.filter.authz.PortFilter 
rest                    org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter 
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter 
ssl org.apache.shiro.web.filter.authz.SslFilter 
user org.apache.shiro.web.filter.authc.UserFilter登录用户才可以访问,包含remember me

我们平时使用就是anno,任何人都可以访问;authc:必须是登录之后才能进行访问,不包括remember me;user:登录用户才可以访问,包含remember me;perms:指定过滤规则,这个一般是扩展使用,不会使用原生的;其中filterChainDefinitions 就是指定过滤规则的,一般公共配置使用配置文件,例如jss css img这些资源文件是不拦截的,相关业务的url配置到数据库,有过滤器查询数据库进行权限判断。

例:springrain的配置如下图:

拦截器的优先级:从上到下,从左到右,如果有匹配的拦截器就会阻断并返回,例如:访问js/a.js,第一个拦截器anon符合,就返回true了,不在往下进行匹配了,注意最后一个拦截最后一句是 /**=user,frameperms 意思就是除了上面的那些,其他的所有都要经过 ,user和frameperms.如果没有登陆 user就会阻断,不会执行到frameperms.frameperms 就是我们自定义实现的过滤器,从数据库中查询用户的权限,判断当前用户是否有权限访问拦截的url.

拦截的工作流程

  • 认证和授权的 realm.例如springrain扩展的shiroDbRealm,在doGetAuthorizationInfo授权方法里
 // 添加角色及权限信息
SimpleAuthorizationInfo sazi = new SimpleAuthorizationInfo();
try {
	sazi.addRoles(userRoleMenuService.getRolesAsString(userId));
	sazi.addStringPermissions(userRoleMenuService
			.getPermissionsAsString(userId));
} catch (Exception e) {
	logger.error(e);
}
 
return sazi;
  • sazi.addRoles:获取当前用户所有的角色,用于依据角色判断权限的shiro过滤器,springrain中没有使用
  • sazi.addStringPermissions:获取当前用户的所有权限,springrain中的权限就是url,所以在springrain中这就是一个url的集合
  • 我们的拦截器每次校验权限都会调用doGetAuthorizationInfo,获取当前用户的所有权限.
  • 我们的权限拦截器 只要判断当前用户访问的url是否在他的权限集合内就可以了,例如 springrain中frameperms 的校验url权限:
//会调用realm的doGetAuthorizationInfo授权方法
permitted= subject.isPermitted(uri);

 

软件求生
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于shiro拦截器filterChainDefinitions的设置及使用过程源码分析
平凡的世界
05-14 1万+
shiro源码分析,查了些资料,针对于在shiro框架设置filterChainDefinitions遇到的小问题,做一下分析备忘记录。问题描述:在设置filterChainDefinitions的时候,如果/k/**设置在/k/index之前,那么/k/index将不会生效,有规则说:拦截器的优先级是从上到下,从左到右,如果有匹配的拦截器就会阻断并返回。源码分析filterChainDefin...
shiro filterChainDefinitions详解
热门推荐
bug_404的博客
05-27 4万+
springrain使用shiro
shrio 权限管理filterChainDefinitions过滤器配置
qq635708614的专栏
12-16 7390
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配成功
Shiro 权限管理filterChainDefinitions过滤器配置
萝卜
08-20 3万+
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配
shiro filterChainDefinitions
sdaujsj1的博客
03-18 343
shiro filterChainDefinitions https://blog.csdn.net/fanfanzk1314/article/details/72780923
Shiro:实验性 C++ 库
06-12
constexpr auto ct = shiro::make_tuple( 1 , ' a ' , true , /* arguments... */ , 0 ); static_assert (shiro::get(ct) == 1, ""); static_assert (shiro::get(ct) == 'a', ""); static_assert (shiro::get(ct) ==...
shiro:Apache Shiro
02-03
阿帕克史郎 是一个功能强大且易于使用的Java安全框架,它执行身份验证,授权,... 使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。 文档和示例 讲解 执照
imooc-shiro:四郎泉
05-19
在这个"imooc-shiro:四郎泉"的学习资源,我们将深入理解Shiro的核心概念以及如何在Java项目有效地使用它。 1. **Shiro 框架基础** - **认证**:Shiro 提供了简单的认证机制,包括用户身份验证,如用户名和密码...
shiro:shiro示范项目
05-09
在这个名为"shiro:shiro示范项目"的压缩包,我们可以推测它是一个使用Apache Shiro进行权限管理的示例项目,适合初学者学习和理解Shiro的用法。 Shiro的主要组件包括: 1. **认证(Authentication)**:这是验证...
shiro 之 封装filterChainDefinitionMap
Dusty丶one的博客
11-11 2万+
shiro 之 封装 filterChainDefinitionMap在我们之前的学习有接触过 Shiro 的 DefaultFilter 在整个 Shiro 架构的作用便是用来拦截所有请求。在 Shiro DefaultFilter 我们配置了 filterChainDefinitions 属性。filterChainDefinitions 的作用便是对所有被Shiro 拦截的请求做声明,下
Shiro配置filterChainDefinitions
huanghuadong527的博客
05-20 1026
anon:例子/admins/**=anon 没有参数,表示可以匿名使用。 authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数 roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"
ShirofilterChainDefinitions参数说明
hello_0723的博客
01-25 3740
      filterChainDefinitions参数说明,注意其验证顺序是自上而下      anon        org.apache.shiro.web.filter.authc.AnonymousFilter    authc       org.apache.shiro.web.filter.authc.FormAuthenticationFilter    authcBasic...
Shiro - 自定义filterChainDefinitions和Realm
qq_35919264的博客
04-21 230
传送门
apache shiro与spring整合、动态filterChainDefinitions、以及认证、授权
gdn_wolf的专栏
11-21 2461
原文:https://github.com/exitsoft/exit-web-framework/wiki/apache-shiro%E4%B8%8Espring%E6%95%B4%E5%90%88%E3%80%81%E5%8A%A8%E6%80%81filterChainDefinitions%E3%80%81%E4%BB%A5%E5%8F%8A%E8%AE%A4%E8%AF%81%E3%80
shirofilterChainDefinitions
weixin_30564901的博客
05-08 123
anno:对所有请求放行 logout:立刻退出当前登录用户,并重定向到指定redirectUrl,如果没有指定redirectUrl,貌似是默认重定向到登录页面。 authc:当访问需要通过权限验证的资源但是没有登录时,跳转到<property name="unauthorizedUrl" value="/shiro-unauthorized.jsp" />指定的页面或url,...
shiro:hasPermission
最新发布
08-03
shiro:hasPermission是Apache Shiro框架的一个标签,用于在JSP页面进行权限控制。[1]当展示一个JSP页面时,如果遇到shiro:hasPermission标签,Shiro会调用Realm获取数据库的权限信息,然后判断该权限是否在权限数据存在。如果权限存在,则授权通过,允许用户访问相应的内容;如果权限不存在,则拒绝用户访问。[2] 关于权限标识的名字,一般情况下不是乱取的。通常,权限标识的名字是根据实际业务需求和系统设计来定义的,用于标识不同的权限操作。在使用shiro:hasPermission标签时,需要确保该权限标识的名字在权限数据存在,才能执行相应的操作。[3]具体的判断逻辑由Shiro框架内部实现,开发者无需手动判断权限标识的存在与否。 总结来说,shiro:hasPermission标签用于在JSP页面进行权限控制,通过判断权限标识的名字是否在权限数据存在来决定是否授权通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值