Shiro-1.2.2内置的FilterChain

最新推荐文章于 2022-09-26 14:35:18 发布
最新推荐文章于 2022-09-26 14:35:18 发布
阅读量1.9w 收藏 46
点赞数 26
分类专栏: JavaWeb 文章标签: shiro filterchain SpringSecurity 权限 权限过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jadyer/article/details/12172839
版权
完整版见 https://jadyer.github.io/2013/09/30/springmvc-shiro/ 




/**
 * Shiro-1.2.2内置的FilterChain
 * @see =============================================================================================================================
 * @see 1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时)
 * @see   故filterChainDefinitions的配置顺序为自上而下,以最上面的为准
 * @see 2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用
 * @see   自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称
 * @see   anon---------------org.apache.shiro.web.filter.authc.AnonymousFilter
 * @see   authc--------------org.apache.shiro.web.filter.authc.FormAuthenticationFilter
 * @see   authcBasic---------org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
 * @see   logout-------------org.apache.shiro.web.filter.authc.LogoutFilter
 * @see   noSessionCreation--org.apache.shiro.web.filter.session.NoSessionCreationFilter
 * @see   perms--------------org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter
 * @see   port---------------org.apache.shiro.web.filter.authz.PortFilter
 * @see   rest---------------org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
 * @see   roles--------------org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
 * @see   ssl----------------org.apache.shiro.web.filter.authz.SslFilter
 * @see   user---------------org.apache.shiro.web.filter.authz.UserFilter
 * @see =============================================================================================================================
 * @see 3)通常可将这些过滤器分为两组
 * @see   anon,authc,authcBasic,user是第一组认证过滤器
 * @see   perms,port,rest,roles,ssl是第二组授权过滤器
 * @see   注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的
 * @see                      user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe
 * @see                      说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc
 * @see =============================================================================================================================
 * @see 4)举几个例子
 * @see   /admin=authc,roles[admin]      表示用户必需已通过认证,并拥有admin角色才可以正常发起'/admin'请求
 * @see   /edit=authc,perms[admin:edit]  表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起'/edit'请求
 * @see   /home=user                     表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起'/home'请求
 * @see =============================================================================================================================
 * @see 5)各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)
 * @see   /admins/**=anon             无参,表示可匿名使用,可以理解为匿名用户或游客
 * @see   /admins/user/**=authc       无参,表示需认证才能使用
 * @see   /admins/user/**=authcBasic  无参,表示httpBasic认证
 * @see   /admins/user/**=user        无参,表示必须存在用户,当登入操作时不做检查
 * @see   /admins/user/**=ssl         无参,表示安全的URL请求,协议为https
 * @see   /admins/user/**=perms[user:add:*]
 * @see       参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"]
 * @see       当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法
 * @see   /admins/user/**=port[8081]
 * @see       当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString
 * @see       其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数
 * @see   /admins/user/**=rest[user]
 * @see       根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等
 * @see   /admins/user/**=roles[admin]
 * @see       参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles["admin,guest"]
 * @see       当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法
 * @see =============================================================================================================================
 * @create Sep 29, 2013 5:24:49 PM
 * @author 玄玉<http://blog.csdn.net/jadyer>
 */
玄玉
关注
  • 26
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
shiro-core-1.2.2.jar
04-14
shiro-core-1.2.2.jar
shiro中的过滤
最新发布
boker123的博客
08-08 945
当我们需要使用 spring 中的过滤器时,通常通过继承 filter 接口或者使用@Webfilter注解实现。shiro过滤器实现也是通过实现filter接口实现的,shiro中整个filter类结构如下图所示,最顶层的AbstractFilter 实现了filter接口。在DefaultFilter 枚举类中列出了shiro中常用的filter这个类重写了dofilter方法,用来保证每个请求只会被一个filter过滤一次,不会重复过滤 如果当前filter没有执行过过滤,默认会进入第二个if(那两
Shiro内置过滤器没有生效
m0_54853420的博客
08-24 874
在学习shiro时,对某些访问路径设置过滤器,如。但是设置好后没有生效,没有拦截成功,后来发现是类。交给spring管理,加上该注解,拦截成功。
SpringBoot+Shiro瞎折腾——不使用ShiroFilter模式
pur_e的专栏
11-05 3563
文章目录一、总结:Subject其实是绑定线程的二、手写实现简单验证1. Shiro配置2.使用三、再总结 &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp; &amp;amp;nbsp;想要实现基于SpringBoot+Shiro+Vue的前后端分离技术,网上教程还是不少的,在实现成功后,多问了个问题,就有了这篇文章。问题如标题,如果不使用Shiro提供的Filter模式会怎么样: 前后端分离,如果没用RESTf...
解决Shiro+SpringBoot自定义Filter不生效问题
weixin_30907523的博客
12-13 1037
SpringBoot+Shiro实现安全框架的时候,自定义扩展了一些Filter,并注册到ShiroFilter,但是运行的时候发现总是在ShiroFilter之前就进入了自定义Filter,结果当然是不对的。 <!--自定义登陆拦截器,支持Ajax--> <bean id="smartfxLoginFilter" class="com.smartdata360.s...
转义字符串中的'&', '<', '>', '"', "'", "`" 字符为HTML实体字符
Wangdanting123的博客
08-06 903
/** * 转义字符串中的'&', '<', '>', '"', "'", "`" 字符为HTML实体字符 * **注意:** 不会转义其他字符 * Converts the characters '&', '<', '>', '"', "'", "`" in `string` to their corresponding HTML entities...
shiro-all-1.2.2.jar
05-03
shiro-all-1.2.2.jar
shiro-web-1.2.2.jar
04-14
shiro-web-1.2.2.jar
shiro-spring-1.2.2.jar
04-14
shiro-spring-1.2.2.jar
shiro-quartz-1.2.2.jar
04-14
shiro-quartz-1.2.2.jar
Shiro:中的filterChainDefinitions详解。
m0_67393413的博客
08-30 501
springrain使用shiro控制权限,配置filterChainDefinitions结合数据库校验权限。我们在web.xml中配置一个全局过滤器,也就是在springrain配置的是一个spring bean的“shiroFilter“,在这个bean中可以根据访问路径在配置不同的过滤器,其中shiro默认自带的过滤器如下:Class説明anon任何人都可以访问authc必须是登录之后才能进行访问,不包括remember meauthcBasiclogoutperms。...
Filter概述、执行流程、拦截路径配置及过滤器链
m0_61961937的博客
05-25 1173
Filter概述、执行流程、拦截路径配置及过滤器链示例
shiro动态配置过滤
yaoct的博客
05-14 3456
在创建AbstractShiroFiltershiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
【JavaWeb】Filter快速入门、执行流程、拦截路径配置、过滤器链
Zh0uKal1的博客
07-21 874
【转载黑马教学文档】【JavaWeb】Filter快速入门、执行流程、拦截路径配置、过滤器链
shiro——拦截器Filter
dgh112233的博客
08-22 2290
1. Filter接口(拦截器) shiro的拦截器是对Javax.servlet.Filter接口的扩展。本文的拦截器讲解是根据下图的继承顺序来讲的。 Filter源码如下:三部分,初始化、执行过滤、销毁。将var1 请求url放到FilterChain过滤链中去过滤。 public interface Filter { default void init(FilterCon...
Shiro学习】FilterChainManager源码分析
fxkcsdn的博客
10-13 472
FilterChainManager是shiroFilter链管理器,主要的功能包括2个: 1.维护filter列表:维护shiro的默认filter,并维护用户配置的filter,统一管理。 2.路径映射:为每一个filter配置过滤路径chainName和对应的过滤配置chainSpecificFilterConfig。并把同一个请求chainName对应的filter组装成filte...
Shiro创建FilterChain过程详解
镜水灵动
03-24 2006
Shiro中,无认是认证还是权限控制都是通过过滤器来实现的,在应用中可能会配置很多个过滤器,但对于不同的访问请求所需要经过的过滤器肯定是不一样的,那么当发起一个请求时,到底会应用上哪些过滤器,对于我们使用Shiro就显示得格外重要;下面就来讲讲一个请求到底会经过哪些过滤器。 在Shiro中,确证一个请求会经过哪些过滤器是通过org.apache.shiro.web.filter.m...
shiro历史漏洞分析—CVE-2020-11989/CVE-2020-13933
include_voidmain的博客
09-26 1452
shiro历史漏洞分析—CVE-2020-11989/CVE-2020-13933
shiro-550和shiro-721漏洞的异同点
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。该漏洞可被用于在目标服务器上执行任意命令,获取敏感信息等。 Shiro-721漏洞是Apache Shiro框架中的一种权限绕过漏洞,攻击者可以通过构造特定的请求,来绕过Shiro框架的权限控制,从而访问未经授权的资源或执行未经授权的操作。该漏洞可被用于获取未经授权的访问权限,访问敏感信息等。 因此,Shiro-550和Shiro-721漏洞的主要区别在于漏洞类型和漏洞影响。建议开发者及时升级Shiro框架版本或者关闭相关功能以避免此类漏洞的风险。同时,建议对请求参数进行严格的过滤和验证,避免恶意请求的输入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值