shrio自定义realm,权限拦截

最新推荐文章于 2022-07-08 14:39:43 发布
最新推荐文章于 2022-07-08 14:39:43 发布
阅读量299 收藏
点赞数
分类专栏: Spring 开源应用 文章标签: json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyzheng/article/details/84761656
版权
[url]http://my.oschina.net/sheldon1/blog/603351[/url]

一,自定义realm,重写认证,授权,验证权限三个方法 
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private SysUserService userService;

    @Autowired
    private UserAuthService userAuthService;

    private Logger logger = LoggerFactory.getLogger(this.getClass());

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        SysUser user = (SysUser) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(userAuthService.findStringRoles(user.getId()));
        authorizationInfo.setStringPermissions(userAuthService.findStringPermissions(user.getId()));

        return authorizationInfo;
    }

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        logger.info("----------------认证----------------");

        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername().trim();
        String password = "";
        if (upToken.getPassword() != null) {
            password = new String(upToken.getPassword());
        }
        SysUser user = userService.login(username, password);

        if (user != null) {
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password.toCharArray(), getName());
            return info;
        }
        return null;
    }

    //重写权限判断方法,加入正则判断
    @Override
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        AuthorizationInfo info = getAuthorizationInfo(principals);
        Collection<String> permissions = info.getStringPermissions();
        return permissions.contains(permission) || patternMatch(permissions, permission);
    }

    /**
     * 正则
     * @param patternUrlList
     * @param requestUri
     * @return
     */
    public boolean patternMatch(Collection<String> patternUrlList, String requestUri) {
        boolean flag = false;
        for (String patternUri : patternUrlList) {
            if (StringUtils.isNotEmpty(patternUri)) {
                Pattern pattern = Pattern.compile(patternUri);
                Matcher matcher = pattern.matcher(requestUri);
                if (matcher.matches()) {
                    flag = true;
                    break;
                }
            }
        }
        return flag;
    }

二、授权filter

isAccessAllowed,拦截方法,返回true表示通过验证,返回false会执行onAccessDenied方法。 
public class LoginCheckPermissionFilter extends AuthorizationFilter {

    public Logger logger = LoggerFactory.getLogger(getClass());

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String url = httpServletRequest.getRequestURI();
        try {
            Subject user = SecurityUtils.getSubject();

            return user.isPermitted(url);
        } catch (Exception e) {
            logger.error("check permission error", e);
        }
        return true;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        Subject subject = getSubject(request, response);
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        String method = httpServletRequest.getMethod();
        if (subject.getPrincipal() == null) {
            saveRequestAndRedirectToLogin(request, response);
        } else {
            String unauthorizedUrl = getUnauthorizedUrl();
            if (StringUtils.hasText(unauthorizedUrl)) {
                if (method.equals("POST")) {
                    httpServletResponse.setHeader("Content-Type", "application/json;charset=UTF-8");
                    String result = JSON.toJSONString(new BaseResp("没有权限,请联系管理员!", BizConstants.FAIL));
                    httpServletResponse.getWriter().write(result);
                } else {
                    WebUtils.issueRedirect(request, response, unauthorizedUrl);
                }
            } else {
                WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
            }
        }
        return false;
    }
}

三、shiro部分配置 
 <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login"/>
    <!--<property name="successUrl" value="/loginOK" />-->
    <property name="unauthorizedUrl" value="/noPermission"/>
    <property name="filters">
        <map>
            <entry key="perms" value-ref="loginCheckPermissionFilter"/>
            <entry key="user" value-ref="myUserFilter"/>
        </map>
    </property>

    <property name="filterChainDefinitions">
        <value>
            /favicon.ico = anon
            /resources/** = anon
            /PoiTemplate/** = anon
            /login = anon
            /logout = user
            /** = user,perms
        </value>
    </property>
</bean>
不净之心
关注
专栏目录
遇到问题----shrio------shiro自定义filters无效
直到世界的尽头
03-08 1万+
shiro  自定义filters无效需要注意filterChainDefinitions中的顺序,roles等应放在authc的前面。
拦截器中保存用户登录信息
weixin_34503526的博客
01-03 1190
1.新增登录用户对象UserInfo @Data public class UserInfo implements Serializable { private Long id; private Long userId; private String nickname; private String mobile; } 2.新增当前线程对象UserContext public class UserContext { private static T..
吃透Shiro源码6----AuthorizingRealm
大宇的博客,欢迎访问
12-23 1055
文章目录技术手法(1)AuthorizingRealm设计思路重点研究类 技术手法 (1)AuthorizingRealm设计思路 AuthorizingRealm这个类的大致设计思路与AuthenticationRealm一致。暂时学到的最核心的方法就是通过 凭证对象PrincipalCollection对象获取缓存中的AuthorizationInfo对象。其核心思想就是如何缓存。 publi...
shiro之自定义Realm之继承AuthorizingRealm(*)
weixin_42408447的博客
11-16 1769
一.Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继承AuthorizingRealm,能够继承到认证与授权功能。它需要强制重写两个方法: public class DefaultRealm extends Autho
自定义realm检查用户拥有权限
qq_44971387的博客
04-06 214
编写shiro-permission-realm.ini配置文件 [main] #声明一个realm myReal= com.feng.realm.PermissionRealm #指定securityManager的realms实现 securityManager.realms=$myReal 自定义Realm,重写授权方法 public class PermissionRealm exten...
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
3. **Shiro的集成**:研究如何在SpringBoot应用中配置Shiro,包括安全配置、 Realm(认证和授权信息提供者)的实现以及自定义注解的编写和使用。 4. **Shiro的权限控制**:掌握如何使用Shiro的注解进行权限判断,如@...
spring boot 整合redis+shiro在自定义Realm不能使用@Autowired注解
浪丶荡
09-13 2095
刚开始spring boot 整合shiro缓存使用的是ehcache,自动注入userService如下,没有问题 @Autowired @Lazy private SysUserService userService; 当将缓存换成了redis后,该注解无效,一直空指针,大概是因为 Spring 加载顺序等原因 解决方案是在自定义Realm中不直接使用@Autowired,而是将user...
shiro 自定义 用户 角色 权限 (认证与授权)按钮级控制
CaiXinXing的CSDN博客
06-02 1139
ShiroConfig.java(shiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
vue与shiro结合实现权限按钮
12-15
1. **配置Shiro**:在后端服务器上,我们需要配置Shiro的Web环境,包括 Realm(域)的实现,用于从数据库或其他数据源加载用户、角色和权限信息。同时,设置Filter Chain,使Shiro能够拦截请求并执行权限校验。 2. ...
【shiro从入门到实战教程】第四章 Realm解析
波哩个波的博客
07-08 925
Realm概述 IniRealm、JdbcRealm自定义Realm Shiro认证和授权流程的源码解读
Shiro 六 自定义realm检查用户角色权限
这天有点热的博客
05-07 601
整体目录: pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://...
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功
stay hungry ! stay foolish!
04-24 3856
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功转载:https://blog.csdn.net/ahou2468/article/details/69949092https://blog.csdn.net/CmdSmith/article/details/53838220https://blog.csdn.net/u013354696/ar...
shiro权限框架学习三(授权、自定义realm授权)
踟蹰千年的博客
12-24 637
1.授权流程 2 .三种授权方法 Shiro 支持三种方式的授权: 编程式:通过写if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的Java方法上放置相应的注解完成: @...
spring+shiro 整合之自己注册会话和自写realm
爬虫 的博客
07-08 6365
Apache Shiro是java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比SPRing Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。   因为我总结的是使用SpringMVC和Apache Shiro整合,注重的是整合和使用,至于基础,我
将 Shiro 作为应用的权限基础 二:shiro 认证
445822357
10-31 164
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。 一、认证过程 1、收集实体/凭据信息 Java代码 UsernamePasswordToken token = new UsernamePasswordToken(userna...
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
热门推荐
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
shiro权限拦截的实现
最新发布
05-29
Shiro权限拦截的实现主要分为两个部分,一是定义自己的Realm实现类,二是在Shiro的配置文件中配置过滤器链。 1. 定义自己的Realm实现类 在自定义Realm实现类中,需要重写doGetAuthorizationInfo方法来授权用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值