Shiro权限控制(二):自定义Filter

最新推荐文章于 2024-09-18 16:21:52 发布
最新推荐文章于 2024-09-18 16:21:52 发布
阅读量1w 收藏 9
点赞数 3
分类专栏: Shiro 文章标签: 自定义Filter Shiro Filter Shiro权限配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kity9420/article/details/89067794
版权

一、目标
通过自定义Filter实现权限配置,如某个URL需要某个角色的某个权限才能操作

二、前言
在前面的一篇博文《Shiro权限控制(一):Spring整合Shiro》中,介绍了如何在Spring MVC中整合Shiro权限框架,其中在spring-shiro-web.xml配置文件中,有个 id="shiroFilter"的bean org.apache.shiro.spring.web.ShiroFilterFactoryBean,在这个bean中,定义了URL的访问规则,这些访问规则,就是通过Shiro的Filter实现的,下面就来介绍如何实现自定义的Filter来实现访问控制

三、Shiro内置Filter
在Shiro框架中,已经提供了很多内置的Filter,其中常见的有anon,authc,perms,roles,如下列表
在这里插入图片描述
在没有自定义的情况下,默认如
anon表示使用org.apache.shiro.web.filter.authc.AnonymousFilter处理
authc表示使用org.apache.shiro.web.filter.authc.FormAuthenticationFilter处理

如果想实现自定义Filter,就需要覆盖Shiro中内置的Filter,如何实现呢?

四、自定义Filter

上面说到在spring-shiro-web.xml配置文件中,有个 id="shiroFilter"的bean org.apache.shiro.spring.web.ShiroFilterFactoryBean,在这个Bean中有两个非常重要的属性filterChainDefinitions和filters

filterChainDefinitions:定义了URL的访问规则,从源码中可以看到,这些规则最后存储在ShiroFilterFactoryBean的filterChainDefinitionMap属性中,key值是URL规则,value值是filter的引用,表示使用哪些Filter处理URL

filters:属性filters是一个Map集合,key值是Filter Name,value值是具体的Filter类

下面我们自定义一个perms的Filter,来处理 /user/deleteUser/**,需要USER角色的删除权限才可以访问,如下配置

    <!-- 自定义登录验证过滤器 -->
    <bean id="loginCheckPermissionFilter" class="com.bug.filter.LoginCheckPermissionFilter"></bean>
    
    <!-- 自定义权限认证器 -->
    <bean id="permissionsAuthorizationFilter" class="com.bug.filter.PermissionsAuthorizationFilter"></bean>
   
    <!-- Shiro的web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    	<property name="securityManager" ref="securityManager"></property>
    	<!-- <property name="unauthorizedUrl" value="/index.jsp"></property> -->
    	<property name="filters">
    		<map>
    			<entry key="authc" value-ref="loginCheckPermissionFilter"></entry>
    			<entry key="perms" value-ref="permissionsAuthorizationFilter"></entry>
    		</map>
    	</property>
    	<property name="filterChainDefinitions">
    		<value>
                /user/queryUserInfo = authc
                /user/deleteUser/** = perms[USER:DELETE]
    		</value>
    	</property>
    </bean>

上面的配置, 在filterChainDefinitions中配置了/user/deleteUser/**=perms[USER:DELETE],表示需要有USER角色的删除权限才能访问,而perms又指向了filters中定义的perms,该perms使用permissionsAuthorizationFilter处理,从而覆盖了默认的 org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter,默认的PermissionsAuthorizationFilter,继承了AuthorizationFilter,并重写isAccessAllowed方法,源码如下
在这里插入图片描述

因此我们自定义的permissionsAuthorizationFilter,也需要继承AuthorizationFilter,并重写isAccessAllowed方法,如下

package com.bug.filter;

import java.io.IOException;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import com.bug.common.JSONParseUtils;
import com.bug.model.common.ResponseVO;

/**
 * 权限校验过滤器
 * @author longwentao
 *
 */
public class PermissionsAuthorizationFilter extends AuthorizationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
		Subject subject = getSubject(request, response);
		String[] perms = (String[]) mappedValue;

		boolean isPermitted = true;
		if (perms != null && perms.length > 0) {
			if (perms.length == 1) {
				if (!subject.isPermitted(perms[0])) {
					isPermitted = false;
				}
			} else {
				if (!subject.isPermittedAll(perms)) {
					isPermitted = false;
				}
			}
		}
		return isPermitted;
	}

	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
		HttpServletResponse httpServletResponse = (HttpServletResponse) response;
		httpServletResponse.setHeader("Content-Type", "application/json;charset=UTF-8");
		ResponseVO<String> responseVO = new ResponseVO<String>();
		responseVO.setStatus(ResponseVO.failCode);
		responseVO.setMessage("没有权限,请联系管理员");
		
		byte[] bytes = JSONParseUtils.readJson2Byte(responseVO);
		httpServletResponse.getOutputStream().write(bytes);
		return false;
	}
}

到此,自定义Filter已经完成了,下面补充一下如何将权限给Shiro框架

可以在用户身份证验证通过后,从DB中获得用户的角色权限放到AuthorizationInfo中,并返回给Shiro框架,该代码是在自定义的Realm中实现的,可参考前面的文章《Shiro权限控制之整合Spring(一)》

@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String username = (String)principals.getPrimaryPrincipal();
		if(username == null) {
			throw new BugException("未登录");
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		Set<String> roles = new HashSet<String>();
		Set<String> stringPermissions = new HashSet<String>();
		roles.add("USER");
		stringPermissions.add("USER:DELETE");//角色:权限
		
		info.setRoles(roles);
		info.setStringPermissions(stringPermissions);
		
		return info;
	}
longwentao1999
关注
专栏目录
springmvc+shiro自定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
shiro-1:springmvc+shiro 代码级别的权限控制
06-03
shiro-1-master”项目可能包含了实际应用示例,包括 Shiro 相关配置文件、自定义 Realm 类、控制器方法上的权限注解等。通过分析这个项目,你可以了解如何在实际项目中整合 Shiro 实现代码级别的权限控制。 通过...
我的shiro之旅:自定义filter
热门推荐
zhuchunyan_aijia的博客
06-23 1万+
1. shirofilter介绍 Filter Name Class anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org
Shiro框架
最新发布
云扬的博客
09-18 988
本文主要介绍了Shiro框架的概念与使用,包括权限管理、Shiro框架简介、Shiro配置、认证业务、认证后获得用户信息、登出、Handler方法与权限等内容。供个人学习使用。
shiro学习系列:shiro自定义filter过滤器
ITxiaofeixiang的博客
01-18 2033
shiro学习系列:shiro自定义filter过滤器 自定义JwtFilter的hierarchy(层次体系) 上代码 package com.finn.springboot.common.config.shiro.filters; import com.alibaba.fastjson.JSON; import com.finn.springboot.common.api.vo.Result; import com.finn.springboot.common.config.shiro.JwtTok
细说shiro自定义filter
weixin_30363817的博客
11-16 240
写在前面 我们知道,shiro框架在Java Web应用中使用时,本质上是通过filter方式集成的。 也就是说,它是遵循过滤器链规则的:filter的执行顺序与在web.xml中定义的顺序一致,如下所示: <filter> <filter-name>securityFilter</filter-name> <filter-class&g...
shiro自定义filter
qq_43077857的博客
06-28 717
这里我们来做一个需求 我们在shiroconfigrution里面定义了我们的角色权限 这个意思是角色只有包含base和admin这两个角色的时候,我们才能访问/dd这个url /dd这个url只是一个简单的字符串返回 我们先在我们自定义的realm中加上这两个角色 照常理我们登陆后,访问/dd是可以得到数据得 的确成功了 然后我们在realm中去掉一个角色试试 将刚刚得去掉了 我们再登...
Shiro权限控制详解:从入门到实战
Shiro权限控制是Java安全框架Apache Shiro的核心功能之一,它帮助开发者在Web应用程序中实现用户身份验证和访问控制。本指南旨在逐步介绍如何使用Shiro进行身份验证、授权、配置、编码/加密以及与Web和Spring框架的...
Shiro自定义Filter详解:实现细粒度的访问控制
# 一、介绍 ## 1.1 什么是Shiro自定义Filter ...在实际项目中,可能会存在一些特殊的安全控制需求,而Shiro框架提供的默认Filter无法完全满足,这时候就需要自定义Filter来实现特定的安全控制逻辑。自定义Filte
Shiro权限全面指南:从入门到集成实战
9. **JSP标签**:介绍了如何在JSP页面上使用Shiro提供的标签来简化权限控制的编程。 10. **会话管理**:涉及会话的创建、存储、监听和验证,以及SESSIONFACTORY(会话工厂)在维护会话状态中的作用。 11. **缓存...
Shiro权限管理详解:从基础到实战应用
3. **手写filter实现权限管理**:虽然Shiro提供了一套完整的权限管理框架,但理解基础的URL权限管理原理有助于我们更好地理解其原理。开发者可能需要编写自定义过滤器来检查用户是否有访问特定URL的权限。 4. **...
Shiro笔记七:自定义Shiro Filter过滤器
公子&小白的博客
05-10 2448
Shiro笔记七:自定义Shiro Filter过滤器 shiro自带的Filter的问题 shiro有自带的过滤器在DefaultFilter里面,但是有个问题。 filterChainDefinitionMap.put("/admin/**",“roles[admin,root]”);//中括号里面的是角色的名字 这里面的问题是:只有当用户属于admin和root角色时,才能访问这个路径,如果只有root角色或者只有admin角色,是不能访问的。相当于hasAllRole() 现在的需求是:只
Shiro实现自定义filter
u011618818的博客
04-22 1129
概述 当用户访问匹配规则的URL时触发的过滤器,通常我们都继承如下几个类并重写方法完成自定义过滤器 AnonymousFilter 概述:这个类是游客访问即无需登录访问的资源时进入的过滤器 boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) 概述:该方法如果返回true则...
Shiro第三篇【授权过滤器、与ehcache整合、验证码、记住我】
3y
03-21 455
前言本文主要讲解的知识点有以下:一、授权过滤器测试我们的授权过滤器使用的是permissionsAuthorizationFilter来进行拦截。我们可以在applica...
shiro自定义filter-rememberMe
qq_24903931的博客
05-15 828
shiro记住我功能原理 采用记住我功能之后,shiro会在cookie中,添加rememberMe属性值。 关闭浏览器之后,cookie信息没有清空,再次打开浏览器,进行访问。 shiro读取rememberMe,其值是用户的唯一标识进行Base64编码后的结果。 shiro对rememberMe值进行解码,解码之后,将该值添加至subject对象中。 场景 Base64编码不是加密...
shiro自定义filter 以及调用
Mr丶Yang
03-31 2533
1.首先在web.xml里面配置 shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true
shiro 自定义认证filter
xiaoliuliu2050的专栏
02-08 3911
比如说我想 加一个验证码 认证,原来的userNamePasswordToken 就不够用了,我需要自定义一个新的token. public class SecurityToken extends UsernamePasswordToken { /** * 验证码 */ private String captcha; /** * 系统生
shrio实现自定义的角色自定义filter
Jz_Stu的博客
08-02 308
bug: 使用shiro对某一个接口路径进行角色限制的时候,发现只要设置了多角色之后权限失效的问题。 shiro配置的部分代码如下: //DefaultFilter @Bean("shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager){ System.out.println("shiroFilt
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 1723
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值