shiro框架源码解析与改造(八)---PermissionsAuthorizationFilter

最新推荐文章于 2024-01-18 00:34:28 发布
最新推荐文章于 2024-01-18 00:34:28 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljz2016/article/details/81564445
版权

PermissionsAuthorizationFilter是权限验证的关键过滤器。

@Override
    protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return this.isAccessAllowed(request, response,mappedValue) || this.onAccessDenied(request, response,mappedValue);
    }

具体验证方法如下:
委托subject验证,subject又委托authleam数据源进行验证,

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = this.getSubject(request, response);
        String[] perms = (String[])mappedValue;
        boolean isPermitted = true;
        if(perms != null && perms.length > 0) {
            if(perms.length == 1) {
                if(!subject.isPermitted(perms[0])) {
                    isPermitted = false;
                }
            } else if(!subject.isPermittedAll(perms)) {
                isPermitted = false;
            }
        }

        return isPermitted;
    }

 @Override
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        this.assertRealmsConfigured();
        Iterator var3 = this.getRealms().iterator();

        Realm realm;
        do {
            if(!var3.hasNext()) {
                return false;
            }

            realm = (Realm)var3.next();
        } while(!(realm instanceof Authorizer) || !((Authorizer)realm).isPermitted(principals, permission));

        return true;
    }

这里调用AuthenAuthorityRealm的验证方法,AuthorizationInfo info = this.getAuthorizationInfo(principals);会调用用户自定义的数据源获取权限信息。

public boolean isPermitted(PrincipalCollection principals, String permission){
        Permission p = this.getPermissionResolver().resolvePermission(permission);
        AuthorizationInfo info = this.getAuthorizationInfo(principals);
        Collection<Permission> perms = this.getPermissions(info);
        if(perms != null && !perms.isEmpty()) {
            Iterator var4 = perms.iterator();

            while(var4.hasNext()) {
                Permission perm = (Permission)var4.next();
                if(perm.implies(p)) {
                    return true;
                }
            }
        }

        return false;
    }

而上面的this.onAccessDenied(request, response,mappedValue);这个方法则会在无权限的时候调用。
无权限时,则会重定向到无权限路径。

 protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        if(subject.getPrincipal() == null) {
            this.saveRequestAndRedirectToLogin(request, response);
        } else {
            String unauthorizedUrl = this.getUnauthorizedUrl();
            HttpServletRequest httpRequest=WebUtils.toHttp(request);
            if (httpRequest.getHeader("X-Requested-With") == null || !httpRequest.getHeader("X-Requested-With").equals("XMLHttpRequest")) {
                if(StringUtils.hasText(unauthorizedUrl)) {
                    WebUtils.issueRedirect(request, response, unauthorizedUrl);
                } else {
                    WebUtils.toHttp(response).sendError(401);
                }
            }else {
                WebUtils.toHttp(response).sendError(401,"没有权限");
            }

        }

        return false;
    }
ljz2016
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro使用更改过滤拦截器的方法完成认证授权返回json格式信息
醉死梦红尘的博客
08-18 688
先介绍一下常用的拦截器 有关认证的拦截器: 拦截器名 默认拦截器类 说明 authc FormAuthenticationFilter 需要认证才可以访问–主要属性:loginUrl:登录的url,默认login.jsp,如果被这个过滤器拦截后,会重定向这个url,successUrl:登录成功后重定向的url user UserFilter 需要认证或记住我才可以访问 logout LogoutFilter 退出url主要属性:redirectUrl:退出后重定向的url,默认"/
Shiro中自定义Realm的作用(FormAuthenticationFilter和PermissionAuthorizationFilter)以及源码解析
oppoppoppo的专栏
02-15 2533
在使用shiro时都会自定义一个Realm,Realm的作用就是提供给shiro和数据库进行交互的一个中间层,这样shiro能够帮助我们处理登录(成功、失败),授权,访问控制等功能,但是用户登录的用户信息和用户具体的权限信息是shiro未知的,所以需要每次都请求Realm,由Realm提供 比如授权的流程 使用PermissionAuthorizationFilter 在xml中设置权限 ${
Shiro第三篇【授权过滤器、与ehcache整合、验证码、记住我】
3y
03-21 437
前言本文主要讲解的知识点有以下:一、授权过滤器测试我们的授权过滤器使用的是permissionsAuthorizationFilter来进行拦截。我们可以在applica...
PermissionsAuthorizationFilter 自定义权限校检
lao_hu_的博客
09-06 241
自定义权限校检
shiro自定义权限过滤器
chengmi6360的博客
03-31 2392
1.创建一个类继承PermissionsAuthorizationFilter public class AiSellPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter { @Overri...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro的安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
shiro源码shiro-root-1.8.0-source-release.zip)
03-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它既适用于传统的Web应用,也适用于现代的Java EE和Android应用。现在我们来深入...
shiro源码shiro-root-1.10.0-source-release.zip)
10-13
在`shiro-root-1.10.0-source-release.zip`压缩包中,我们可以找到以下源码结构: - **core**:Shiro的核心模块,包含`Subject`、`Realm`、`Session`等基础组件的实现。 - **cryptography**:包含各种加密和哈希...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
在"shiro-root-1.2.3-source-release zipa包"中,包含了Shiro框架的核心源代码,允许开发者深入理解其内部工作原理,进行定制化开发或者调试。而相关的jar包则提供了运行时所需的依赖,使得我们可以直接在项目中使用...
shiro-spring-boot-web-starter-1.4.0.jar
02-26
java运行依赖jar包
java中使用Filter控制用户登录权限具体实例
09-05
java中使用Filter控制用户登录权限具体实例,需要的朋友可以参考一下
shiro学习28-shiro提供的filter-PermissionAuthyorizationFilter
iteye_14612的博客
02-18 155
上一节说的是基于角色的权限验证,这一节介绍基于权限的角色验证类——PermissionAuthorizationFilter 这个类和前面的基于角色的判定一样,不过使用的权限而已,在配置shiroFilterFactoryBean的时候每一个filter后面的[permission1,permission2]表示的是权限,而且是或的关系,只要一个满足即可。 public boolean i...
SSM项目中自定义Shiro权限过滤器实现多个权限的或操作
YuFeng_12138的博客
06-02 943
我在做ssm+shiro的项目过程中的学习经验,记录一下。
Shiro权限控制(二):自定义Filter
热门推荐
kity9420的专栏
04-07 1万+
通过自定义Filter实现权限配置,如某个URL需要某个角色的某个权限才能操作
Shiro框架Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
最新发布
博客园
01-18 1599
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下一个核心流程---用户访问控制鉴权流程进行源码解析
shiro权限框架
qq_40108680的博客
04-11 251
shiro权限框架 1.shiro依赖包 <!-- shiro的支持包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.4.0</ve...
shiro 重写AuthorizationFiltershiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6157
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json中的数据后前端做跳转到403页面 找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAc...
springmvc整合shiro权限控制
日拱一卒
12-11 9167
一、什么是Shiro  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro要简单的多。
shiro 自定义拦截器配置多个权限实现
why154285的博客
08-30 1万+
一、问题产生 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,网上关于shiro的使用和实现原理也比较全面。这里不做详细介绍,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器的规则。 二、具体场景 自定义的拦截器没有重写PermissionsAuthorizationFilter的isA...
shiro-redis-spring-boot-starter
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存数据库,其具有快速的数据存取能力和持久化支持。 shiro-redis-spring-boot-starter提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易。通过使用该Starter,我们可以方便地将Shiro的会话管理功能存储到Redis中,从而支持分布式环境下的会话共享和管理。 使用shiro-redis-spring-boot-starter可以带来以下好处: 1. 分布式环境的会话共享:通过将Shiro的会话数据存储到Redis中,不同的应用节点可以共享同一个会话,从而实现分布式环境下的会话管理和跨节点的身份验证和授权。 2. 高可用性和性能:Redis作为一个高性能的内存数据库,具有出色的数据读写能力和持久化支持,可以提供可靠的会话存储和高性能的数据访问能力。 3. 简化配置和集成:shiro-redis-spring-boot-starter提供了封装好的配置和集成方式,减少了我们自己实现集成的复杂性和工作量。 总结来说,shiro-redis-spring-boot-starter为我们提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易和高效。通过它,我们可以实现分布式环境下的会话共享和管理,提供高可用性和性能的数据存取能力,同时简化了配置和集成的复杂性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值