Shiro 改造成 Restful 风格

最新推荐文章于 2020-11-29 13:38:17 发布
最新推荐文章于 2020-11-29 13:38:17 发布
阅读量5.6k 收藏 6
点赞数 2
分类专栏: shiro Restful 文章标签: shiro Restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomer_huang/article/details/79933797
版权

Apache Shiro 具有两种认证方式:①Filter 认证方式;②注解认证方式:在需要认证的方法上添加注解 @RequiresAuthentication、@RequiresPermissions、@RequiresRoles 等等

1.针对 Filter 的认证方式

Apache Shiro 默认配置了 11 个 Filter,分别是

public enum DefaultFilter {

    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);

    private final Class<? extends Filter> filterClass;

    private DefaultFilter(Class<? extends Filter> filterClass) {
        this.filterClass = filterClass;
    }

    //......
}
  • 可以对其核心的几个 Filter 进行改写,以实现自己的需求
    1. authc,使得在用户未认证时返回 JSON 信息
    2. logout,使得在注销时返回 JSON(有BUG,一旦配置好,所有请求都会进入此Filter,即所有请求必会进行注销,放弃之)
    3. perms,使得在非法用户权限时返回 JSON
    4. roles,使得在非法用户角色时返回 JSON

项目相关参数

@Component
@ConfigurationProperties(prefix="project")
public class Project {

    //未登录
    public static final Integer NO_LOGIN_CODE = 1;
    public static final String NO_LOGIN_MESSAGE = "请先进行登录";

    //登录成功
    public static final Integer LOGIN_SUCCESS_CODE = 2;
    public static final String LOGIN_SUCCESS_MESSAGE = "登录成功";

    //登录失败
    public static final Integer LOGIN_FAILURE_CODE = 3;
    public static final String LOGIN_FAILURE_MESSAGE = "登录失败";

    //注销
    public static final Integer LOGOUT_CODE = 4;
    public static final String LOGOUT_MESSAGE = "注销成功";

    //缺少用户权限
    public static final Integer NO_AUTH_CODE = 5;
    public static final String NO_AUTH_MESSAGE = "权限不足";

    //缺少用户角色
    public static final Integer NO_ROLE_CODE = 6;
    public static final String NO_ROLE_MESSAGE = "用户角色不符合";

    public static HttpServletResponse servletResponseProcess(ServletResponse response){
        HttpServletResponse res = (HttpServletResponse)response;
        res.setContentType("application/json;charset=UTF-8");
        return res;
    }
}

由于 Apache Shiro 框架的灵活性,我们可以自定义派生类来继承这几个 Filter,并重写相关方法以实现自定义的 Restful 逻辑

1.authc,继承 FormAuthenticationFilter.class

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {

    //在用户未认证时调用
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
//        return super.onAccessDenied(request, response, mappedValue);

        HttpServletResponse res = Project.servletResponseProcess(response);
        //输出 JSON 字符串
        res.getWriter().print(
                JSON.toJSON(
                        Result.returnError(Project.NO_LOGIN_CODE, Project.NO_LOGIN_MESSAGE)));
        //中止请求,不再传给下一个Filter
        return false;
    }
}

2.logout,继承 LogoutFilter.class(配置之后出现了莫名其妙的问题,不推荐使用,建议编写代码 Subject.logout(); 手动注销)

3.perms,继承 PermissionsAuthorizationFilter.class

public class MyPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {

    //在非法用户权限时调用
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
//        return super.onAccessDenied(request, response, mappedValue);

        //获取被要求的权限
        String[] perms = (String[]) mappedValue;
        HttpServletResponse res = Project.servletResponseProcess(response);
        //输出 JSON 字符串
        res.getWriter().print(
                JSON.toJSON(
                        Result.returnError(Project.NO_AUTH_CODE,
                                Project.NO_AUTH_MESSAGE + Arrays.toString(perms))));
        //中止请求,不再传给下一个Filter
        return false;
    }
}

4.roles,继承 RolesAuthorizationFilter.class

public class MyRolesAuthorizationFilter extends RolesAuthorizationFilter {

    //在非法用户角色时调用
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
//        return super.onAccessDenied(request, response, mappedValue);

        //获取被要求的角色
        String[] rolesArray = (String[]) mappedValue;
        HttpServletResponse res = Project.servletResponseProcess(response);
        //输出 JSON 字符串
        res.getWriter().print(
                JSON.toJSON(
                        Result.returnError(Project.NO_ROLE_CODE,
                                Project.NO_ROLE_MESSAGE + Arrays.toString(rolesArray))));
        //中止请求,不再传给下一个Filter
        return false;
    }
}

最后一步,配置这几个自定义类,以覆盖默认配置,从而使得我们的代码生效(编辑Spring配置applicationContext.xml)

<!--Shiro 核心过滤器/拦截器,拦截一切请求-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>

        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="myFormAuthenticationFilter"/>
                <entry key="perms" value-ref="myPermissionsAuthorizationFilter"/>
                <entry key="roles" value-ref="myRolesAuthorizationFilter"/>
            </util:map>
        </property>

        <property name="filterChainDefinitions">
            <value>
                # some example chain definitions:
                #/admin/** = authc, roles[admin]
                #/docs/** = authc, perms[document:read]
                #/** = authc
                # more URL-to-FilterChain definitions here

                #(从上往下匹配,局部配置放顶部,全局配置放底部)
                /0/** = authc
                /1/** = roles[admin]
                /2/** = perms[user:delete]
                /3/** = perms[user:delete,user:manage,user:hello]
                /** = anon
            </value>
        </property>
    </bean>

    <!--自定义的 Filter 派生类-->
    <bean id="myFormAuthenticationFilter" class="com.cstor.safe.config.shiro.MyFormAuthenticationFilter"/>
    <bean id="myPermissionsAuthorizationFilter" class="com.cstor.safe.config.shiro.MyPermissionsAuthorizationFilter"/>
    <bean id="myRolesAuthorizationFilter" class="com.cstor.safe.config.shiro.MyRolesAuthorizationFilter"/>

打开浏览器,依次访问网站的URL: /0、/1、/2、/3,得到内容为

{"errorCode":"1","resultFlag":false,"message":"请先进行登录"}

{"errorCode":"6","resultFlag":false,"message":"用户角色不符合[admin]"}

{"errorCode":"5","resultFlag":false,"message":"权限不足[user:delete]"}

{"errorCode":"5","resultFlag":false,"message":"权限不足[user:delete, user:manage, user:hello]"}

2.针对注解的认证方式

  • 对于 @RequiresAuthentication、@RequiresPermissions、@RequiresRoles 等相关注解,Shiro 框架并未提供开发者介入的机会,一旦认证不通过,就会在注解方法处抛出异常(可以采用全局异常处理器,进行统一处理)
    • @RequiresAuthentication,如果用户未登录,抛出异常 UnauthenticatedException
    • @RequiresRoles,如果用户角色不符合,抛出异常 UnauthorizedException
    • @RequiresPermissions,如果用户权限不符合,抛出异常 UnauthorizedException
pomer_huang
关注
专栏目录
Shiro + JWT + Spring Boot Restful 简易教程
2401_83817769的博客
04-18 1023
这份文档从构建一个键值数据库的关键架构入手,不仅带你建立起全局观,还帮你迅速抓住核心主线。除此之外,还会具体讲解数据结构、线程模型、网络框架、持久化、主从同步和切片集群等,帮你搞懂底层原理。相信这对于所有层次的Redis使用者都是一份非常完美的教程了。你的支持,我的动力;祝各位前程似锦,offer不断!!!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Shiro + JWT + Spring Boot Restful 简易教程,头条三面技术四面HR
m0_54861402的博客
12-19 172
org.inlighting shiro-study 1.0-SNAPSHOT org.apache.shiro shiro-spring 1.3.2 com.auth0 java-jwt 3.2.0 org.springframework.boot spring-boot-starter-web 1.5.8.RELEASE org.springframework.boot spring-boot-maven-plugin 1.5.7.RELEASE repackage
RESTFul Shiro
weixin_34390105的博客
06-14 94
  RESTFul与服务没有关系?REST的本质是设计风格,不是技术。REST的URL还是个URL,就是个普通的URL,访问这个URL的时候,先被Servlet Filter(即Shiro 的Filter) 拦截住,判断你有没有登录,权限等,如果没有就不让访问,如果有就进入Dispatcher进入对应的处理流程。Shiro可以用在Web,非Web环境。看Shiro的例子 http://www.i...
JSON Web Token(JWT)原理和用法介绍
weixin_33913332的博客
12-26 1532
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。今天给大家介绍一下JWT的原理和用法。 官网地址:https://jwt.io/ 一、跨域身份验证 Internet服务无法与用户身份验证分开。一般过程如下。 1. 用户向服务器发送用户名和密码。 2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3. 服务器向用户返回session_id,sess...
form-data给后端传递参数_SpringBoot+JWT+Shiro+MybatisPlus 实现 Restful 快速开发后端脚手架...
weixin_39669629的博客
11-29 153
来源:lywJeecnblogs.com/lywJ/p/11252064.html一、背景二、项目特性三、程序逻辑四、运行项目一、背景前后端分离已经为互联网项目开发标准,它会为以后的大型分布式架构打下基础。SpringBoot使编码配置部署都变得简单,越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。Mybatis-Plus是一个 Mybatis 的增强工具,有...
分布式框架简介SSM组合+ springmvc+mybatis+shiro+restful+bootstrap
civtsbiqr522632413的博客
11-13 146
摘要: SpringMVC实战教程 核心框架:Spring framework 视图框架:Spring MVC 4.0 3、支持 服务器中间件:Tomcat 6、7、Jboss 7、WebLogic 10、... ...
spring boot后台管理系统,shiro权限管理, restful风格的接口
热门推荐
zwzw1219的博客
08-18 1万+
spring security版 源码地址:https://gitee.com/zhang.w/boot-security.git shiro版 源码地址:https://gitee.com/zhang.w/boot-backend.git   随着spring boot的出现,java又上升了一个层次,以往tomcat部署war的形式也改变了,现在可以直接一个jar包、一行命令,真正实现一...
基于shiro改造真正支持restful请求
tomsun28
05-15 5975
基于shiro改造真正支持restful请求 这个模块分离至上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 首先说明设计的这个安全体系是是RBAC(基于角色的权限访问控制)授权模型,即用户--角色--资源,用户不直接和权限打交道,角色拥有资源,用户拥有这个角色就有权使用角色所用户的资源。所有这里没有权限一说,签发jwt里面也就只有用户所拥...
基于shiro+jwt的真正rest url权限管理,前后端分离
findhappy117的博客
09-16 4816
代码地址如下:http://www.demodashi.com/demo/13277.html bootshiro &amp; usthe bootshiro是基于springboot+shiro+jwt的真正restful URL资源无状态认证权限管理系统的后端 usthe是restful URL资源无状态认证权限管理系统的前端,基于angular+typeScript+adm...
Spring-Boot-ShiroShiro基于SpringBoot + JWT构建简单的restful服务
02-03
Shiro + JWT + Spring Boot Restful简易教程 GitHub项目地址: : 。 序言 我也是半路出家的人,如果大家有什么好的意见或批评,请重新issue 。 如果想要直接体验,直接clone项目,运行mvn spring-boot:run命令可以进行访问。网址规则自行看教程后面。 如果想了解Spring Security可以看 (推荐) 特性 完全使用了Shiro的注解配置,保持高度的一致性。 放弃Cookie,会话,使用JWT进行鉴权,完全实现无状态鉴权。 JWT密钥支持过期时间。 对跨域提供支持。 准备工作 在开始本教程之前,请保证已经熟悉以下几点。 S
springboot的模块化开发,集shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
Shiro-Action:基于Shiro的权限管理系统,支持Restful url授权,体验地址
03-11
Shiro-Action 本项目使用Spring Boot构造,使用加深对Spring Boot与Shiro的学习,项目特色是支持restful风格权限控制,支持对同一URL,不同HTTP Mehtod的权限控制,适用于更多的场景。 预览地址: : 文档地址: : 默认管理员账号: admin ,密码: 123456 。 普通用户账号: user ,密码: 123456 。 为了不影响其他人的浏览体验,请尽量不要进行删除类的敏感操作。 admin为超级管理员,自动拥有全部权限。 系统特色 支持根据同URL,不同的HTTP方法来验证权限,更支持restful场景。 集OAuth2登录,并且提供提供接口简化扩展开发。 总体异常处理。根据请求方式区分返回json数据还是错误页面。 Logback MDC支持,将当前登录人和操作者IP加入日志中。 JSR-303数据校验 运行环境 J
简洁的SSM框架+restful风格
07-31
基于spring springMVC mybatis maven
让Struts 1焕发青春----小议对Struts的改造.
03-06
3. **RESTful API**:使Action支持RESTful风格的URL,便于前后端分离开发和API调用。 4. **单元测试**:利用JUnit和Mockito等工具,编写单元测试,保证代码质量。 5. **自动化构建**:集Maven或Gradle,实现项目...
基于vue(element ui) + ssm + shiro 的权限框架
Hoult丶吴邪
08-15 1万+
基于vue(element ui) + ssm + shiro 的权限框架。 领悟,理解,消化它! 引言 心声 现在的Java世界,各种资源很丰富,不得不说,从分布式,服务化,orm,再到前端控制,权限等等玲琅满目,网上有句话说,语言框架迭代太快了,我学不动了,不如回去搬砖吧,可是天这么热,砖烫手啊。程序搞起来很容易,就是有点头冷。 程序员的两大世界难题 ...
SpringBoot 集 Shiro 权限控制 开发 Restful API
weixin_38408945的博客
03-03 6001
shiro
shiro拦截restful的api
最新发布
04-29
要使用Shiro拦截RESTful API,可以使用Shiro的Filter机制来实现。以下是基本的步骤: 1. 创建一个类,继承Shiro的AuthenticatingFilter或AuthorizationFilter类,用于拦截RESTful API请求。 2. 在该类中实现...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值