Shiro学习第六天

最新推荐文章于 2021-05-24 22:48:52 发布
最新推荐文章于 2021-05-24 22:48:52 发布
阅读量168 收藏
点赞数
分类专栏: shiro学习记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu__jiang/article/details/93035222
版权

Shiro学习第六天

有时候在实际业务过程中Shiro框架本身给我们提供的过滤条件可能不是我们想要的,那么我们又该如何自定义自己的过滤条件呢???

        <property name="filterChainDefinitions">
            <value>
                /login=anon
                /gologin=anon
                /index = authc
                /role=authc,roles[admin]
                /menu/** = authc,roles[admin,test]
            </value>
        </property>

这段代码是我们在配置文件当中配置的,假如说我们要访问menu菜单下的一些页面及其子页面我们就必须得同时具备admin和test两种角色,如果我们只具备一种单一角色我们是不能访问的,因为在Shiro filterChainDefinitions中 roles默认是and, 比如:roles[admin,test],表示同时需要“admin”和“test” 2个角色(权限)才通过认证,缺一不可。但是在实际业务中,一个端口往往同时对几个角色开放。比如管理员账号拥有访问所有端口的权限。那么此时的and显然是不合时宜的,与之替代的是or。

一、重新实现AuthorizationFilter类

/**
 * 
 * @author liujiang
 * @Description:支持多角色验证
 * 由于Shiro filterChainDefinitions中 roles默认是and,
 * = user,roles[system,general]
 * 比如:roles[test,admin] ,表示同时需要“test”和“admin” 2个角色才通过认证
 * 但是在实际业务中,一个端口的权限往往对多个角色开放(比如管理员可以使用一切权利)
 * 
 * 2019年6月19日
 * 
 */
public class MyShiroFilter extends AuthorizationFilter {

	//
	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object object) throws Exception {
		// TODO Auto-generated method stub
		//拿到当个会话的subject
		Subject subject=getSubject(request, response);
		String[] roles=(String[])object;
		if(roles==null || roles.length==0){
			return true;
		}
		for(String role:roles){
			if(subject.hasRole(role)){
				return true;
			}
		}
		return false;
	}

}

二:在spring和shiro整合的配置文件中进行配置

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/gologin"/>
        <property name="successUrl" value="/index"/>
        <property name="unauthorizedUrl" value="/error"/>
        <property name="filterChainDefinitions">
            <value>
                /login=anon
                /gologin=anon
                /index = authc
                /role=authc,roles[admin]
                /menu/** = authc,roles[admin,test]
            </value>
        </property>
        <property name="filters">
           <map>
             <entry key="roles">
               <bean class="com.shiro.test.mvc.filter.MyShiroFilter"/>
             </entry>
           </map>
        </property>
    </bean>

这样我们就实现了一个自定义的过滤规则。

下面我们再说说如何动态添加验证规则,在实际开发过程中我们有些权限是从数据库读取出来自动添加给用户的,而不是通过配置文件进行手动配置的而Shiro  filterChainDefinitions配置的权限信息只在容器启动的第一次有效,之后如果更改就必须得重新启动容器 ,造成了一定的局限性。

一:自定义MyShiroFilterFactoryBean继承ShiroFilterFactoryBean因为我们容器在启动时是从ShiroFilterFactoryBean中读取验证信息进行安全拦截的,关于这部分是如何工作的这里可参考一位牛人的解析https://blog.csdn.net/u012345283/article/details/44199791非常清楚。

import java.text.MessageFormat;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;

import org.apache.shiro.config.Ini;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.util.CollectionUtils;
import org.apache.shiro.web.filter.mgt.DefaultFilterChainManager;
import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;
import org.apache.shiro.web.servlet.AbstractShiroFilter;

public class MyShiroFilterFactoryBean extends ShiroFilterFactoryBean {
	//0代表占位符
	private static final String ROLE_STRING = "roles[{0}]";
    private String filterChainDefinitions;

    @Override
    public void setFilterChainDefinitions(String definitions) {
        filterChainDefinitions = definitions;
        Ini ini = new Ini();
        ini.load(definitions);
        Ini.Section section = ini.getSection("urls");
        if (CollectionUtils.isEmpty(section)) {
            section = ini.getSection("");
        }
        //模拟从数据库中读取的数据
        Map<String, String[]> permsMap = new HashMap<String, String[]>();
        permsMap.put("/dotest1", new String[]{"test"});
        permsMap.put("/dotest2", new String[]{"test", "guest"});
        //permsMap.put("/dotest3.html", new String[]{"admin"});

        for (String url : permsMap.keySet()) {
            String[] roles = permsMap.get(url);
            StringBuilder sb = new StringBuilder();
            for (String role : roles) {
                sb.append(role).append(",");
            }
            //截取掉最后一个","
            String str = sb.substring(0, sb.length() - 1);
            //roles[test,guest]
            //将上面定义的常量子符串中的占位符0替换成我们添加的角色信息
            section.put(url, MessageFormat.format(ROLE_STRING, str));
        }
        this.setFilterChainDefinitionMap(section);
    }
	//在执行过程中动态添加
    public void update() {
        synchronized (this) {
            try {
                AbstractShiroFilter shiroFilter =
                        (AbstractShiroFilter) this.getObject();
                PathMatchingFilterChainResolver resolver =
                        (PathMatchingFilterChainResolver) shiroFilter.getFilterChainResolver();
                DefaultFilterChainManager manager = (DefaultFilterChainManager) resolver.getFilterChainManager();
                manager.getFilterChains().clear();
                this.getFilterChainDefinitionMap().clear();

                this.setFilterChainDefinitions(" /dotest3= authc,roles[admin,test]");

                Map<String, String> chains = this.getFilterChainDefinitionMap();
                if (!CollectionUtils.isEmpty(chains)) {
                    Iterator var12 = chains.entrySet().iterator();

                    while (var12.hasNext()) {
                        Map.Entry<String, String> entry = (Map.Entry) var12.next();
                        String url = (String) entry.getKey();
                        String chainDefinition = (String) entry.getValue();
                        manager.createChain(url, chainDefinition);
                    }
                }

            } catch (Exception ex) {
                ex.printStackTrace();
            }
        }
    }

}

二:在配置文件中将ShiroFilterFactoryBean替换成我们自定义的MyShiroFilterFactoryBean,这时容器启动时就会从我们自定义的过滤器中去读取安全验证信息。

  不再赘述,上述配置文件自行替换成自己的 

 <bean id="shiroFilter" class="com.shiro.test.mvc.filter.MyShiroFilterFactoryBean">

三:在控制器中写代码 进行验证

 @RequestMapping("do{path}")
    public String page(@PathVariable(name="path") String path,Model model){
		model.addAttribute("path",path);
    	return "test";
    }

可以发现当我们使用test用户登陆时,都dotest1和dotest2都可以访问,用guest用户登陆时只能访问dotest2不能访问dotest1,其他所有do开头的都可以访问

@Autowired
    private MyShiroFilterFactoryBean shiroFilterFactoryBean;

    @RequestMapping("update")
    public String update() {
        shiroFilterFactoryBean.update();
        return "index";
    }

当我们调用update方  ↵

用guest用户访问,显示权限不足,而test和admin用户可以访问,至此我们就完成了动态添加验证信息的过程。

liu__jiang
关注
专栏目录
shiro 权限框架
qq_45939159的博客
03-01 4392
shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权,加密,会话管理。 二 shiro 能干什么 shiro 四个主要的功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,判断某个已经认证过的用户是否拥有某些权限访问某些资源,一般授权会有角色授权和权限授权; SessionManager:会话管理,即用户登录后就是一次..
spring mybatis shiro 共6天 8部分 第8部分 传智 燕青主讲 非常好
04-11
spring mybatis shiro 共6天 8部分 第8部分 传智 燕青主讲 非常好
第六天--Shiro安全框架
酿油的小孩纸的博客
10-08 139
1
shiro笔记
TYM112的博客
05-24 154
shiro权限 使用url配置控制鉴权授权: 配置缩写 功能 anon 指定url可以匿名访问 authc 指定url需要form表单登录,注销不关闭浏览器也会清除session authcBasic 指定url需要basic登录,注销不关闭浏览器就不清除session logout 登出过滤器,配置指定url就可以实现退出功能 noSessionCreation 禁止创建会话 roles 需要指定角色才能访问 perms 需要指定权限才能访问 port
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
Shiro学习第一式身份验证1(HelloWorld)
02-23
在“Shiro学习第一式身份验证1(HelloWorld)”中,我们将探讨如何通过 Shiro 进行基本的身份验证设置,实现一个简单的 "Hello, World!" 示例。 1. **Shiro 框架介绍**: Apache Shiro 是一款轻量级的安全框架,它...
Shiro学习第一式身份验证2
02-25
"Shiro学习第一式身份验证2"着重讲解了Shiro的身份验证过程,包括单个Realm、多个Realm以及JDBC Realm的使用。 1. **身份验证(Authentication)**:身份验证是验证用户是否为他们声称的那个用户的过程。在Shiro中...
学习shiro中的加密程序
04-05
4. **非对称加密与解密**:对于需要安全传输的密钥或者不信任第三方持有密钥的情况,Shiro的`org.apache.shiro.crypto.asymmetric.AsymmetricCipherService`提供了非对称加密,如RSA、DSA算法。非对称加密的安全性更...
Shiro+Spring Security学习文档
07-23
在IT安全领域,Apache Shiro和Spring Security是两个非常重要的框架,它们主要用于应用程序的安全管理,包括身份验证、授权、会话管理和加密等。本学习文档集合了这两个框架的相关知识,旨在帮助开发者深入理解和...
Shiro动态修改权限部分
zzhao114的博客
02-20 5599
简介 通过修改shiroFilter的class来实现。通过继承org.apache.shiro.spring.web.ShiroFilterFactoryBean类,并把继承类配置shiro配置文件中既可。 FilterChainDefinitionsService.java package com.shiro; import java.util.Map; import
Shiro的两种配置方式
随心而笑
01-10 7227
Apache Shiro是一款Java 安全框架,可以用于完成认证、授权、加密、会话管理、与Web集成、缓存等功能。根据官方文档,我这里列举出两种常用的配置方式,一是ini文件配置,二是spring xml文件的配置方式。 二者的配置,基本都是针对Shiro的以下几个常用组件:securityManager,cachManager,Realm,以及对应的链接拦截规则(urls)。 1.
详解登录认证及授权--Shiro系列(一)
李秀才的博客
06-03 3万+
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情: 验证用户来核实他们的身份 对用户执行访问控制,如: 判断用户是否被分配了一个确定的安全角色。 判断用户是否被允许做某事。 在任何
这里只介绍spring配置模式
何成俭的博客
08-09 3195
转自:http://blog.csdn.net/clj198606061111/article/details/24185023 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1
解决:集成shiro框架后,login界面无法加载静态文件
qq_39847344的博客
01-04 598
如果不设置将静态文件开发的话,login界面将无法加载出静态文件的内容。 在shiro配置文件:ShiroConfig中,设置将静态文件开发即可。 // 设置拦截器 Map&lt;String, String&gt; filterChainDefinitionMap = new LinkedHashMap&lt;&gt;(); //游客,开发权...
shiroanon配置不生效
dxyzhbb的博客
07-21 3355
配置shiro的时候,如下代码要注意: 1、下述代码中必须是LinkedHashMap 而不能是HashMap。 2、anon定义必须在authc之前 否则anon定义不生效 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){ ShiroFilterFactoryBean factoryBean = new ShiroF
菜鸟级别的Shiro配置、使用案例(一)
陈小默的博客
05-14 1万+
菜鸟级别的Shiro配置、使用案例(一)菜鸟级别的Shiro配置使用案例一 一配置环境 1使用Java SE环境的配置此 2使用Java EE环境的配置此 3不会使用maven的看我上一篇教程 4懒得配置的自己去官网下jar包 二配置文件 Shiroini 1Shiro使用ini作为配置文件 2注册Shiro 三使用Shiro 1完善配置文件 2登录 2注销 结束语 一、配置环境我这里使用的是mav
shiro中多用户的登陆页面(multiple login pages)配置
臣本布衣,躬耕于南阳
03-08 1万+
<bean id="membersAuthc" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter"> <property name="loginUrl" value="${frontPath}/loginl" /> <property name="successU...
FastReport 模版打印如何实现
最新发布
09-20
FastReport 模版打印如何实现
Shiro权限系统详尽学习教程:从入门到实战
第六章专门讨论REALM及相关对象,如AUTHENTICATIONTOKEN、AUTHENTICATIONINFO、PRINCIPALCOLLECTION和AUTHORIZATIONINFO,以及如何构建和使用SUBJECT。第七章着重于Shiro与Web应用的集成,包括环境准备和SHIROFILTER...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值