3.shiro的DelegatingFilterProxy和权限url配置

最新推荐文章于 2021-05-07 10:59:22 发布
最新推荐文章于 2021-05-07 10:59:22 发布
阅读量227 收藏
点赞数
分类专栏: Shiro
原文链接:https://blog.csdn.net/qq_29347295/article/details/79075636
版权

web.xml中的DelegatingFilterProxy
1. 配置  Shiro 的 shiroFilter.  
2. DelegatingFilterProxy 实际上是 Filter 的一个代理对象. 默认情况下, Spring 会到 IOC 容器中查找和 
<filter-name> 对应的 filter bean. 也可以通过 targetBeanName 的初始化参数来配置 filter bean 的 id. 

   

 <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
------------- 或者再加上如下,名字就成了ABC,spring容器配置那个bean的id就可写成ABC-----------
      <!-- 
          <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>ABC</param-value>
          </init-param>
       -->
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

applicationContext.xml

 3. 配置 ShiroFilter. 
    3.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.,或和web.xml中的targetBeanName一致
                      若不一致, 则会抛出: NoSuchBeanDefinitionException. 因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
    -->     
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

•   DelegatingFilterProxy 作用是自动到 Spring 容器查找名字为 shiroFilter(filter-name)的 bean 并把所有Filter 的操作委托给它。


4.权限url配置

 4.1 url匹配配置细节

4.2 url配置模式

       Ant 风格模式:

      Ant 路径通配符支持 ?、*、**,注意通配符匹配不包括目录分隔符“/”:

–?:匹配一个字符,如 /admin? 将匹配 /admin1,但不匹配 /admin 或 /admin/;

– *:匹配零个或多个字符串,如 /admin 将匹配 /admin、/admin123,但不匹配 /admin/1;

– **:匹配路径中的零个或多个路径,如 /admin/** 将匹配 /admin/a 或 /admin/a/b

4.3  url权限匹配顺序

5.shiro中默认的过滤器

默认拦截器名拦截器类说明(括号里的表示默认值)
身份验证相关的
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter基于表单的拦截器;如“/**=authc”,如果没有登录会跳到相应的登录页面登录;主要属性:usernameParam:表单提交的用户名参数名( username); passwordParam:表单提交的密码参数名(password); rememberMeParam:表单提交的密码参数名(rememberMe); loginUrl:登录页面地址(/login.jsp);successUrl:登录成功后的默认重定向地址; failureKeyAttribute:登录失败后错误信息存储key(shiroLoginFailure);
anonorg.apache.shiro.web.filter.authc.AnonymousFilter匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”
userorg.apache.shiro.web.filter.authc.UserFilter用户拦截器,用户已经身份验证/记住我登录的都可
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilterBasic HTTP身份验证拦截器,主要属性: applicationName:弹出登录框显示的信息(application);
logoutorg.apache.shiro.web.filter.authc.LogoutFilter退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/)
授权相关的
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter角色授权拦截器,验证用户是否拥有所有角色;主要属性: loginUrl:登录页面地址(/login.jsp);unauthorizedUrl:未授权后重定向的地址;示例“/admin/**=roles[admin]”
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter权限授权拦截器,验证用户是否拥有所有权限;属性和roles一样;示例“/user/**=perms["user:create"]”
portorg.apache.shiro.web.filter.authz.PortFilter
端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样
rest
org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
rest风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;示例“/users=rest[user]”,会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配(所有都得匹配,isPermittedAll);
 
sslorg.apache.shiro.web.filter.authz.SslFilterSSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;

6.拦截器配置

        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                /shiro/login = anon
                /shiro/logout = logout
                
                /user.jsp = roles[user]
                /admin.jsp = roles[admin]
                
                # everything else requires authentication:
                /** = authc
            </value>
        </property>

7. 过滤器的意义

7.1 无参:
 

/admin/** = anon :无参,表示可匿名访问

/admin/user/** = authc :无参,表示需要认证才能访问

/admin/user/** = authcBasic :无参,表示需要httpBasic认证才能访问

/admin/user/** = ssl :无参,表示需要安全的URL请求,协议为https

/home = user :表示用户不一定需要通过认证,只要曾被 Shiro 记住过登录状态就可以正常发起 /home 请求


7.2 必须认证:
 

/edit = authc,perms[admin:edit] :表示用户必需已通过认证,并拥有 admin:edit 权限才可以正常发起 /edit 请求

/admin = authc,roles[admin] :表示用户必需已通过认证,并拥有 admin 角色才可以正常发起 /admin 请求

/admin/user/** = port[8081] :当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString

/admin/user/** = rest[user] :根据请求方式来识别,相当于 /admins/user/**=perms[user:get]或perms[user:post] 等等

/admin** = roles["admin,guest"] :允许多个参数(逗号分隔),此时要全部通过才算通过,相当于hasAllRoles()

/admin** = perms["user:add:*,user:del:*"]:允许多个参数(逗号分隔),此时要全部通过才算通过,相当于isPermitedAll()

 

8. 退出登录

  • /logout = logout
qq_36468169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 框架 DelegatingFilterProxy
05-10 132
在web.xml中配置了一个DelegatingFilterProxy的一个类。如下: <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.s...
ShiroDelegatingFilterProxy
Ascend2015的博客
11-07 436
一 用途和意义 回忆一下quickStart中的配置过程不难得出结论,shiro的核心配置应当位于Spring的applicationContext中的id为shiroFilter的bean。但我们在web.xml中还有一个name为shiroFilterFilter配置,它的类型是DelegatingFilterProxy
配置ShiroFilter需要注意的问题(Shiro_DelegatingFilterProxy
qq_39354297的博客
07-11 471
ShiroFilter的工作原理 ShiroFilterDelegatingFilterProxy作用是自动到Spring 容器查找名字为shiroFilterfilter-name)的bean并把所有Filter 的操作委托给它。 问题讲解:为什么applicationContext.xml中的id必须和web.xml文件中配置DelegatingFilterProx...
权限管理系统之集成Shiro实现登录、url和页面按钮的访问控制
MarkerHub的博客
09-01 785
小Hub领读:SpringBoot整合Shiro,如何做按钮级别的控制,看完就懂了!作者:小崔笔记本https://www.cnblogs.com/5ishare/p/10461073....
Shiro源码分析之DelegatingFilterProxy
chengtaopai5214的博客
07-22 132
org.springframework.web.filter.DelegatingFilterProxy 一般情况,创建一个Filter是交给自己来实现的。基于servlet规范,在web.xml中配置,自定义filter实现Filter接口: public interface Filte...
shiro认证.docx
06-23
接着,配置 ShiroFilter,指定登录、未授权、成功登录的 URL,并定义过滤链规则: ```xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> ...
springmvc+shiro配置教程
11-16
SpringMvc和Shiro是两个widely使用的Java Web开发框架,前者是一个基于模型-视图-控制器(MVC)模式的Web应用程序框架,而后者是一个基于权限控制的安全框架。将这两个框架结合使用,可以实现一个安全、可靠、灵活的...
基于Spring框架的Shiro配置方法
09-04
3. **定义Realm**: Realm是Shiro与应用程序数据源交互的接口,用于获取用户身份和权限信息。这里创建一个名为`MyRealm`的自定义Realm,继承自`AuthorizingRealm`,并重写`doGetAuthorizationInfo`和`...
springmvc集成shiro登录权限示例代码
08-31
SpringMVC 集成 Shiro 是为了实现Web应用的安全管理,包括用户身份验证(Authentication)和权限授权(Authorization)。Shiro 提供了一套简洁而强大的安全框架,能够轻松地处理登录、权限控制、会话管理等常见的...
shiro 配置文件
01-06
Shiro 的 Web 支持通常通过 Filter 方式进行,主要涉及两个 Filter:`ShiroFilter` 和 `DelegatingFilterProxy`。`ShiroFilter` 是 Shiro 提供的核心过滤器,负责拦截请求并执行相应的安全逻辑。而 `...
SpringMVC - DelegatingFilterProxy的作用与SpringBoot环境中的用法 (【解决】shiro配置Filters时,为什么要配置代理?)
LawssssCat的博客
03-22 1131
https://www.cnblogs.com/zhanhaitao/p/7857245.html 初衷 DelegatingFilterProxy 就是一个对于servlet filter的代理 用这个类的好处主要是通过Spring容器来管理servlet filter的生命周期 还有就是如果filter中需要一些Spring容器的实例,可以通过spring直接注入 另外读取一些配置文件这些便...
shiro原理
11-19 7247
  一、web.xml中过滤器配置 1、过滤器DelegatingFilterProxy DelegatingFilterProxy做的事情是代理Filter的方法,从application context里获得bean。spring bean实现了Filter接口,但默认情况下,是由spring容器来管理其生命周期的(不是由servlet容器来管理)。如果设 置"targetFilterL...
DelegatingFilterProxy的作用与用法
u014191624的博客
05-07 2216
一、类结构   DelegatingFilterProxy类存在与spring-web包中,其作用就是一个filter的代理,用这个类的好处是可以通过spring容器来管理filter的生命周期,还有就是,可以通过spring注入的形式,来代理一个filter执行,如shiro,下面会说到;有上图我们可以看到,DelegatingFilterProxy类继承GenericFilterBean,间接实现了Filter这个接口,故而该类属于一个过滤器。那么就会有实现Filter中init、doFil...
shiroFilter进入各Filter 简单描述
ycd19880511的专栏
01-22 199
subject.execute(new Callable() { public Object call() throws Exception { updateSessionLastAccessTime(request, response); executeChain(reque...
Shiro笔记一:shiro认证、与Web集成、工作流程、DelegatingFilterProxyURL匹配顺序、认证思路与实现、Realm、Shiro密码的比对
Welcome
08-21 656
Shiro_简介 http://jinnianshilongnian.iteye.com/blog/2018936     3. Shiro_与Web集成 • Shiro 提供了与 Web 集成的支持,其通过一个ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制• ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器,是安...
shiro源码分析之shiroFilter初始化过程
光着脚丫、走的专栏
03-15 2205
shiro源码分析之shiroFilter初始化过程1、首先看使用shiro(1.3.0)框架要使用的配置配置web.xml <!-- shiro 安全过滤器滤器 start--> <!-- Make sure any request you want accessible to Shiro is filtered. /* catches all --> <!-- requests. Usu
DelegatingFilterProxy
weixin_33824363的博客
01-01 329
2019独角兽企业重金招聘Python工程师标准>>> ...
SLF4J: No SLF4J providers were found. SLF4J: Defaulting to no-operation (NOP) logger implementation SLF4J: See https://www.slf4j.org/codes.html#noProviders for further details. Exception in thread "main" org.apache.shiro.config.ConfigurationException: Unable to instantiate class [org.apache.shiro.web.mgt.DefaultWebSecurityManager] for object named 'securityManager'. Please ensure you've specified the fully qualified class name correctly. at org.apache.shiro.config.ReflectionBuilder.createNewInstance(ReflectionBuilder.java:309) at org.apache.shiro.config.ReflectionBuilder$InstantiationStatement.doExecute(ReflectionBuilder.java:927) at org.apache.shiro.config.ReflectionBuilder$Statement.execute(ReflectionBuilder.java:887) at org.apache.shiro.config.ReflectionBuilder$BeanConfigurationProcessor.execute(ReflectionBuilder.java:765) at org.apache.shiro.config.ReflectionBuilder.buildObjects(ReflectionBuilder.java:260) at org.apache.shiro.config.IniSecurityManagerFactory.buildInstances(IniSecurityManagerFactory.java:167) at org.apache.shiro.config.IniSecurityManagerFactory.createSecurityManager(IniSecurityManagerFactory.java:130) at org.apache.shiro.config.IniSecurityManagerFactory.createSecurityManager(IniSecurityManagerFactory.java:108) at org.apache.shiro.config.IniSecurityManagerFactory.createInstance(IniSecurityManagerFactory.java:94) at org.apache.shiro.config.IniSecurityManagerFactory.createInstance(IniSecurityManagerFactory.java:46) at org.apache.shiro.config.IniFactorySupport.createInstance(IniFactorySupport.java:123) at org.apache.shiro.util.AbstractFactory.getInstance(AbstractFactory.java:47) at com.xiu.Quickstart.main(Quickstart.java:26) Caused by: org.apache.shiro.util.UnknownClassException: Unable to load class named [org.apache.shiro.web.mgt.DefaultWebSecurityManager] from the thread context, current, or system/application ClassLoaders. All heuristics have been exhausted. Class could not be found. at org.apache.shiro.util.ClassUtils.forName(ClassUtils.java:152) at org.apache.shiro.util.ClassUtils.newInstance(ClassUtils.java:168) at org.apache.shiro.config.ReflectionBuilder.createNewInstance(ReflectionBuilder.java:302) ... 12 more
最新发布
06-10
3. 确认 SLF4J 的配置文件是否正确,比如 logback.xml 或者 log4j.properties 等。 如果以上步骤都没有解决问题,可以尝试修改 Shiro 的日志记录器实现类,比如使用 Logback 作为日志记录器实现: ``` # 修改 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值