Shiro笔记七:自定义Shiro Filter过滤器

最新推荐文章于 2023-12-14 08:54:17 发布
最新推荐文章于 2023-12-14 08:54:17 发布
阅读量2.3k 收藏 6
点赞数 1
分类专栏: 【springBoot+shiro】 文章标签: 自定义过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33322074/article/details/106033799
版权

Shiro笔记七:自定义Shiro Filter过滤器

shiro自带的Filter的问题
  1. shiro有自带的过滤器在DefaultFilter里面,但是有个问题。

filterChainDefinitionMap.put("/admin/**",“roles[admin,root]”);//中括号里面的是角色的名字

这里面的问题是:只有当用户属于admin和root角色时,才能访问这个路径,如果只有root角色或者只有admin角色,是不能访问的。相当于hasAllRole()

  1. 现在的需求是:只需要有其中一个角色就能满足访问。这就需要自定义Filter

自定义Filter,继承AuthorizationFilter,重写里面的isAccessAllowed方法。

public class CustomRolesOrAuthorizationFilter extends AuthorizationFilter {

    public CustomRolesOrAuthorizationFilter(){

    }

    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        //获取当前访问路径所需要的角色集合
        String[] rolesArray = (String[])((String[])mappedValue);
        if (rolesArray != null && rolesArray.length != 0) {
            Set<String> roles = CollectionUtils.asSet(rolesArray);
            //当前subject是roles中的任意一个,则有权访问。
            for(String role:roles){
                if(subject.hasRole(role)){
                    return true;
                }
            }
            return false;
        } else {
            return true;
        }
    }
}
  1. 修改调用的过滤器链
filterChainDefinitionMap.put("/admin/**","roleOrFilter[admin,root]");//中括号里面的是角色的名字。
使用Redis整合CacheManager
  1. 使用redis原因

授权的时候每次都去查询数据库,对于频繁访问接口,性能和响应速度比较慢,使用缓存代替之。

  1. 解决方案:

一是:在业务代码查询数据库的时候,添加进程缓存。

二是:使用Redis缓存。

  1. 使用Redis缓存步骤:

1、添加依赖,shiro+redis的缓存插件

<!-- shiro+redis缓存插件 -->
<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis</artifactId>
    <version>3.1.0</version>
</dependency>
  1. 编写redis配置类
/**
     * 配置RedisManager
     * @return
     */
public RedisManager getRedisManager(){

    RedisManager redisManager=new RedisManager();
    redisManager.setHost("localhost");
    redisManager.setPort(6379);
    redisManager.setDatabase(1);
    return redisManager;

}
  1. 将Redis配置整合到Shiro的CacheManager
/**
     * 配置CacheManager的具体实现类
     * @return
     */
public RedisCacheManager cacheManager(){//RedisCacheManager实现了CacheManager的接口
    RedisCacheManager redisCacheManager=new RedisCacheManager();
    redisCacheManager.setRedisManager(getRedisManager());
    //设置过期时间20s
    redisCacheManager.setExpire(20);
    return redisCacheManager;

}

4、让整合redis的cacheManager作为shiro的缓存方案。在SecurityManager里面配置

@Bean
public SecurityManager securityManager(){
    DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
    securityManager.setSessionManager(sessionManager());
    //使用自定义的cacheManager
    securityManager.setCacheManager(cacheManager());//此处添加缓存配置。
    //推荐放到最后,不然某些版本不生效
    securityManager.setRealm(customRealm());

    return securityManager;
}
使用Redis整合SessionManager
  1. 为什么要对Session持久化

重启应用,用户无感知,可以继续以原先的状态继续访问。

  1. 持久化

1、使用Redis持久化,结合Shiro的RedisSessionDAO进行持久化

2、使用RedisSessionDAO加载Redis组件。

3、使用SessionManager加载RedisSessionDao。

4、注意实体类要进行序列化

/**
     * 自定义redis持久化
     * @return
     */
public RedisSessionDAO redisSessionDAO(){
    RedisSessionDAO redisSessionDAO=new RedisSessionDAO();
    redisSessionDAO.setRedisManager(getRedisManager());
    redisSessionDAO.setExpire(20);
    return redisSessionDAO;
}

SessionManager加载RedisSessionDao

/**
     * 设置会话,自定义Session
     * @return
     */
@Bean
public SessionManager sessionManager(){
    CustomSessionManager customSessionManager=new CustomSessionManager();
    //设置会话超时时间,单位是毫秒,默认是30分钟
    //customSessionManager.setGlobalSessionTimeout(200000);
    //配置session持久化
    customSessionManager.setSessionDAO(redisSessionDAO());
    return customSessionManager;
}
ShiroConfig中常用Bean类配置
  1. LifecycleBeanPostProcessor

作用:管理shiro一些bean的生命周期 即bean初始化 与销毁,注意管理的只是Shiro的Bean.

/**
     * 作用:管理shiro一些bean的生命周期 即bean初始化 与销毁
     * @return
     */
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
}
  1. AuthorizationAttributeSourceAdvisor

作用:加入注解的使用,不加入这个AOP注解不生效(shiro的注解 例如 @RequiresGuest)

/**
     * 作用:加入注解的使用,不加入这个AOP注解不生效(shiro的注解 例如 @RequiresGuest)
     * @return
     */
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
    return authorizationAttributeSourceAdvisor;
}
  1. DefaultAdvisorAutoProxyCreator

作用: 用来扫描上下文寻找所有的Advistor(通知器), 将符合条件的Advisor应用到切入点的Bean中,需
要在LifecycleBeanPostProcessor创建后才可以创建

/**
     * 作用: 用来扫描上下文寻找所有的Advistor(通知器), 将符合条件的Advisor应用到切入点的Bean中,需
     * 要在LifecycleBeanPostProcessor创建后才可以创建
     * @return
     */
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
    defaultAdvisorAutoProxyCreator.setUsePrefix(true);
    return defaultAdvisorAutoProxyCreator;
}
¥诸葛村夫¥
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 之 封装filterChainDefinitionMap
Dusty丶one的博客
11-11 2万+
shiro 之 封装 filterChainDefinitionMap在我们之前的学习中有接触过 Shiro 的 DefaultFilter 在整个 Shiro 架构中的作用便是用来拦截所有请求。在 Shiro DefaultFilter 中我们配置了 filterChainDefinitions 属性。filterChainDefinitions 的作用便是对所有被Shiro 拦截的请求做声明,下
springmvc+shiro定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
FilterChainDefinitionMap_参数说明
热门推荐
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
shiro安全认证之FilterChainDefinitionMap
xiguaxiansheng的博客
08-03 3306
shiro安全认证之FilterChainDefinitionMap
shiro动态配置过滤器
yaoct的博客
05-14 3667
在创建AbstractShiroFiltershiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
apache shiro与spring整合、动态filterChainDefinitions、以及认证、授权
gdn_wolf的专栏
11-21 2461
原文:https://github.com/exitsoft/exit-web-framework/wiki/apache-shiro%E4%B8%8Espring%E6%95%B4%E5%90%88%E3%80%81%E5%8A%A8%E6%80%81filterChainDefinitions%E3%80%81%E4%BB%A5%E5%8F%8A%E8%AE%A4%E8%AF%81%E3%80
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
shiro-example:《跟我学shiro》学习笔记
05-18
项目介绍《跟我学shiro》学习笔记参照着张开涛老师的博客进行Shiro学习,然后自己写博客记录一下学习中的知识点,一来可以加深理解,二来以后遗忘了可以查阅。本项目是学习过程中的代码。:beaming_face_with_smiling...
Shiro简易实例:HelloWorld
11-03
1. **配置Shiro**:创建一个`shiro.ini`配置文件,这是Shiro的主要配置源,用于定义 Realm(认证和授权信息来源)、过滤器链等。 2. **创建Realm**: Realm是Shiro与应用数据源交互的接口,你可以自定义 Realm 来...
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
快速上手Shiro拦截器、认证、授权功能
piaolaoshi的博客
03-20 8245
快速实现shiro拦截器授权认证等功能
shiro过滤器
qq_35366466的博客
01-06 1344
ShiroFilterFactoryBean实现FactoryBean,说明他是shiroFilter工厂类,他是怎么初始化能很好的工作呢?该类的入口方法是createInstance(),该方法实现了几个功能 1、创建了一个过滤器管理类FilterChainManager,该类主要管理shiro里的过滤器,里面有两个重要的属性 1.1 filters:管理全部过滤器,包括默认的身份验证和权限验证的过滤器,这些过滤器分为两组,一组是认证过滤器,有anon,authenBasic,auchc,user,一
带你深入使用shiro,自定义token过滤器
UnicornRe_xiabin_无聊的时候,喜欢去超市买一大瓶纯牛奶,喝个精光
05-19 2090
文章目录依赖ShiroAuthFilter定义过滤器ShiroAuthRealmShiroAuthToken 自定义tokenShiroBeanConfigUserUtil 用户获取工具方法loginController测试controller 依赖 shiro定义请求头token,实现权限过滤 废话不多说,直接上代码,如果不了解shiro的基本使用,建议先入门shiro <dependency> <groupId>org.apache.shiro</grou
Shiro权限控制(二):自定义Filter
kity9420的专栏
04-07 1万+
通过自定义Filter实现权限配置,如某个URL需要某个角色的某个权限才能操作
Shiro定义过滤器
m0_67402588的博客
03-28 1039
最近在学习shiro。 由于shiro过滤器是与的格式,在实际编辑过滤器链的时候 /admin/** = authc,roles[admin,passenger] 本意是想admin和passenger角色都能够拥有对 /admin/** 的进行访问,但是shiro内部过滤器的逻辑是与,即同时拥有admin和passenger的角色才可以对路径进行访问。 因此,需要自己定义一个过滤器,实现或的逻辑,定义一个过滤器如下 public class CustomRolesAuthorizationFilter
shiro
weixin_50204197的博客
03-26 960
shiro,认证
Shiro(八):shiro 通过实例工厂方法的方式封装filterChainDefinitionMap
12程序猿的博客
10-26 811
shiro 动态配置filterChainDefinitionMap 在之前的学习中,项目中Shiro拦截所有请求的配置是默认配置在 applicationContext.xml文件中的。shiroFilter过滤器中的定义filterChainDefinitions。 权限管理filterChainDefinitions过滤器配置: <!-- 6.配置ShiroFilter 6.1 id必须和web.xml文件中配置的DelegatingFilterProxy的&lt
Shiro学习记录
多思考思考
08-25 408
难度系数 :5 知识点有点琐碎 建议耐下性子来学习 第一部分:代码示例: (因为知识点比较杂所以直接上代码,有注释) 目录 FilterChainDefinitionMapBuilder.java package com.atguigu.shiro.factory; import java.util.LinkedHashMap; public class FilterChainDefinitionMapBuilder { public LinkedHashMap<Strin..
FilterChain过滤器
最新发布
weixin_74484843的博客
12-14 699
FilterChain:在处理某些复杂的业务时,一个过滤器不够,可以设计多个过滤器共同完成过滤任务,形成过滤器链。
Apache Shiro入门教程:过滤器详解与核心概念
Shiro提供了多种过滤器,如`authc`用于表单认证,`perms`和`roles`分别用于权限和角色的检查。 会话管理(Session Management)允许在非服务器会话环境中(如CS程序)使用会话功能,而加密(Cryptography)则简化了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值