PermissionsAuthorizationFilter 自定义权限校检

最新推荐文章于 2024-01-18 00:34:28 发布
最新推荐文章于 2024-01-18 00:34:28 发布
阅读量245 收藏
点赞数
文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lao_hu_/article/details/132714635
版权

开发中遇到一个接口对应多个权限配置问题,要求权限配置中存在对应的url关系,就可以放行,一开始以为在perms数组里面直接添加一个新的权限就可以,测试发现并不成立,追踪到源码。

看源码

    public boolean isPermittedAll(PrincipalCollection principals, String... permissions) {
        this.assertRealmsConfigured();
        if (permissions != null && permissions.length > 0) {
            String[] var3 = permissions;
            int var4 = permissions.length;

            for(int var5 = 0; var5 < var4; ++var5) {
                String perm = var3[var5];
                if (!this.isPermitted(principals, perm)) {
                    return false;
                }
            }
        }

        return true;
    }

通过源码可以看出来,接口请求的url和配置的多权限是逻辑与的关系,和以为的逻辑或关系相反,直接重写了权限校检方法,代码如下

    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        String[] perms = (String[])mappedValue;
        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
            if (perms.length == 1) {
                if (!subject.isPermitted(perms[0])) {
                    isPermitted = false;
                }
            } else {
                for (int i = 0; i < perms.length; i++) {
                    if(subject.isPermitted(perms[i])){
                        isPermitted = true;
                        break;
                    }else {
                        isPermitted = false;
                    }
                }
            }
        }

        return isPermitted;
    }

lao_hu_
关注
JAVAWEB开发之权限管理(三)——shiro与企业项目整合开发(基于Spring)
07-18 9286
原理回顾 什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该 资源的访问权限才可以访问该 资源。 权限模型:标准权限数据模型包括 :用户、角色、权限(包括资源和权限)、用户角色关系、角色权限关系。
Shiro动态刷新权限配置
福荼荼的踩坑路
07-14 1191
项目环境SpringBoot+Shiro 集成方法不再赘述。 Shiro的资源路径的权限配置从数据库读取 @Autowired JurisdictionService jurisdictionService; /** * 配置资源的访问权限 * Bean name shiroFilter * @param securityManager 管理器 * @return ShiroFilterFactoryBean */ @Bean(na
java中使用Filter控制用户登录权限具体实例
09-05
java中使用Filter控制用户登录权限具体实例,需要的朋友可以参考一下
Shiro第三篇【授权过滤器、与ehcache整合、验证码、记住我】
3y
03-21 445
前言本文主要讲解的知识点有以下:一、授权过滤器测试我们的授权过滤器使用的是permissionsAuthorizationFilter来进行拦截。我们可以在applica...
shiro框架源码解析与改造(八)---PermissionsAuthorizationFilter
ljz2016的博客
08-10 2468
PermissionsAuthorizationFilter权限验证的关键过滤器。 @Override protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return this.i...
实现自定义授权过滤器
qq_60147611的博客
06-28 119
三.在Service层。1.首先创建一个类.
Shiro权限控制(二):自定义Filter
kity9420的专栏
04-07 1万+
通过自定义Filter实现权限配置,如某个URL需要某个角色的某个权限才能操作
Apache Shiro中的自定义权限过滤器
# 1. 介绍Apache Shiro ## 1.1 什么是Apache Shiro ...它是为了简化开发人员在应用程序中实现安全功能而设计...- Realm:提供与数据源进行交互的组件,用于验证用户身份和获取用户权限信息。 - Permission:表示用户可以
Shiro(4)默认鉴权与自定义鉴权
热门推荐
小9的专栏
08-15 2万+
Shiro默认采用配置的方式管理权限映射,如何自定义鉴权方式呢?
SpringBoot-Shiro整合权限管理源码
04-24
- **过滤器链**:配置了各种Shiro过滤器,如`FormAuthenticationFilter`(表单登录)和`PermissionsAuthorizationFilter`(权限控制)。 - **控制器**:`UserController.java`等展示了如何在Controller层调用Shiro的...
SSM项目中自定义Shiro权限过滤器实现多个权限的或操作
YuFeng_12138的博客
06-02 950
我在做ssm+shiro的项目过程中的学习经验,记录一下。
Shiro框架:Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
最新发布
博客园
01-18 1666
​Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下一个核心流程---用户访问控制鉴权流程进行源码解析;
Shiro中自定义Realm的作用(FormAuthenticationFilter和PermissionAuthorizationFilter)以及源码解析
oppoppoppo的专栏
02-15 2548
在使用shiro时都会自定义一个Realm,Realm的作用就是提供给shiro和数据库进行交互的一个中间层,这样shiro能够帮助我们处理登录(成功、失败),授权,访问控制等功能,但是用户登录的用户信息和用户具体的权限信息是shiro未知的,所以需要每次都请求Realm,由Realm提供 比如授权的流程 使用PermissionAuthorizationFilter 在xml中设置权限 ${
Shiro学习笔记——(7)实战之认证授权
星_陨的博客
04-06 480
一、登录认证(1)原理使用FormAuthenticationFilter过虑器实现将用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl,FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的),FormAuthenticationFilter调用realm传入一个token(...
Shiro学习
so
04-03 342
#shiro 单词概念 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的; Cryptography:加
springboot整合Shiro
zhaocuit的博客
06-21 706
Shiro与springboot整合 概述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、加密和会话管理,使用shiro可以非常方便的完成项目的权限管理模块开发 三个核心组件: Subject:当前操作用户,可以是登录用户,也可以是第三方访问程序 SecurityManager:管理所有用户的安全操作,包括执行身份验证、授权、加密和会话管理 Realms:当对用户执行认证和授权验证时,Shiro会从应用配置的Realm中查找用户及其权限信息,本质上是一个实现了查询用户权限
二、shiro授权流程
蓄势待发
04-25 240
一、基本流程概括 继承AuthorizingRealm类重写doGetAuthorizationInfo方法实现认证。 配置ShiroFilterFactoryBean中的setFilterChainDefinitionMap配置认证规则【PermissionsAuthorizationFilter路径配置权限】 二、code 配置自定义Realm public class MyShiroRealm extends AuthorizingRealm { @Autowired ICom
ShiroFilter拦截
weixin_69797860的博客
04-14 647
ShiroFilter拦截
shiro授权 shiro和企业项目整合开发
Ly
10-14 990
如果需要本篇博客内容的代码!请到我的博客下载中心去下载: https://download.csdn.net/download/qq_36125138/10720415 项目运行图: 什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以...
Shiro框架核心组件和认证过程详解
4. PermissionsAuthorizationFilter权限授权过滤器,用于处理基于权限的授权请求。 5. PortFilter:端口过滤器,用于处理基于端口的访问控制请求。 6. HttpMethodPermissionFilter:HTTP 方法权限过滤器,用于处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值