Shiro使用过滤器拦截用户的请求

最新推荐文章于 2024-04-28 17:17:13 发布
最新推荐文章于 2024-04-28 17:17:13 发布
阅读量7.2k 收藏 4
点赞数 1
分类专栏: Shiro安全框架学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37745470/article/details/85108592
版权

Shiro使用过滤器拦截用户的请求

拦截配置信息在spring.xml配置文件中配置

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"></property>
        <property name="loginUrl" value="login.html"></property>
        <property name="unauthorizedUrl" value="403.html"></property>
        <property name="filterChainDefinitions">
            <value>
                /login.html=anon
                /userLogin=anon
                /testRoleByFilter=roles["admin"]
                /testRole1ByFilter=roles["admin","admin1"]
                /testPermissionByFilter=perms["user:select"]
                /testPermission1ByFilter=perms["user:select","user:update"]
                /*=authc
            </value>
        </property>
    </bean>

拦截的url在controller编写

    //过滤器的使用
    @RequestMapping(value = "testRoleByFilter",method = RequestMethod.GET)
    @ResponseBody
    public String testRoleByFilter(){
        return "testRoleByFilter";
    }
    //过滤器的使用
    @RequestMapping(value = "testRole1ByFilter",method = RequestMethod.GET)
    @ResponseBody
    public String testRole1ByFilter(){
        return "testRoleByFilter";
    }
    //过滤器的使用
    @RequestMapping(value = "testPermissionByFilter",method = RequestMethod.GET)
    @ResponseBody
    public String testPermissionByFilter(){
        return "testPermissionByFilter";
    }
    //过滤器的使用
    @RequestMapping(value = "testPermission1ByFilter",method = RequestMethod.GET)
    @ResponseBody
    public String testPermission1ByFilter(){
        return "testPermission1ByFilter";
    }

自定义的Filter

自定义的Filter,编写过滤只含有其中任意的role就可以访问,需要继承AuthorizationFilter,并实现接口方法

public class RolesOrFilter extends AuthorizationFilter {
    @Override
    protected boolean isAccessAllowed(javax.servlet.ServletRequest request, javax.servlet.ServletResponse response,
              Object o) throws Exception {
        //获得主体
        Subject subject = getSubject(request,response);
        String [] roles = (String[]) o;
        //如果不需要任何role,则直接返回true
        if (roles == null || roles.length == 0) {
            return true;
        }
        //如果含其中一role,则直接返回true
        for (String role:roles){
            if (subject.hasRole(role)){
                return true;
            }
        }
        //都没有返回false
        return false;
    }
}

在speing.xml文件中配置自定义的Filter Bean

    <!--配置自定义的FilterBean-->
    <bean id="rolesOrFilter" class="com.jiuyue.filter.RolesOrFilter"></bean>

在shiroFilter中配置自定义的Filetr

        <property name="filters">
            <util:map>
                <entry key="rolesOr" value-ref="rolesOrFilter"/>
            </util:map>
        </property>

配置需要过滤的url请求, /testRole1ByFilter=rolesOr[“admin”,“admin1”],使用自定义的Filter角色中只含有admin,admin1其中之一就可以访问。testRole2ByFilter=roles[“admin”,“admin1”],需要请求主体同时满足admin和admin2才可以访问。

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"></property>
        <property name="loginUrl" value="login.html"></property>
        <property name="unauthorizedUrl" value="403.html"></property>
        <property name="filterChainDefinitions">
            <value>
                /login.html=anon
                /userLogin=anon
                <!--/testRoleByFilter=roles["admin"]-->
                <!--/testRole1ByFilter=roles["admin","admin1"]-->
                <!--/testPermissionByFilter=perms["user:select"]-->
                <!--/testPermission1ByFilter=perms["user:select","user:update"]-->
                /testRole1ByFilter=rolesOr["admin","admin1"]
                /testRole2ByFilter=roles["admin","admin1"]

                /*=authc
            </value>
        </property>
        <property name="filters">
            <util:map>
                <entry key="rolesOr" value-ref="rolesOrFilter"/>
            </util:map>
        </property>
    </bean>
jiuyueblog
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro安全框架——【快速入门、登录拦截用户认证、请求授权】
2401_83817843的博客
04-18 616
做任何事情都要用心,要非常关注细节。看起来不起眼的、繁琐的工作做透了会有意想不到的价值。当然要想成为一个技术大牛也需要一定的思想格局,思想决定未来你要往哪个方向去走, 建议多看一些人生规划方面的书籍,多学习名人的思想格局,未来你的路会走的更远。更多的技术点思维导图我已经做了一个整理,涵盖了当下互联网最流行99%的技术点,在这里我将这份导图分享出来,以及为金九银十准备的一整套面试体系,上到集合,下到分布式微服务《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
shiro核心拦截ShiroFilter工作原理
安分_pingping
05-16 2056
ShiroFilter工作原理:* Shiro提供了与Web集成,其通过ShiroFilter入口来拦截需要安全控制的url,然后进行相应的权限控制。* ShiroFilter类似于Struts2/SpringMVC这种Web前端框架的前端控制器,是安全控制的入口点,其负责是读取配置(如ini文件),然后判断权限是否需要登录/权限等工。1).因为我们在applicationContext.xml中...
Shiro安全框架——【快速入门、登录拦截用户认证
最新发布
2401_84281638的博客
04-28 734
Apache Shiro是一个Java的安全(权限)框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。shiro功能:Authentication:身份认证、登录,验证用户是不是拥有相应的身份;
Spring-shiro-Boot-1 整合shiro的配置文件1-ShiroConfig
良之才的专栏
03-04 1208
shiro是纯java的权限管理框架,可以处理认证、权限、加密等标准需求。 shiro的思路就是给控制处理。封装处理的其实很不错,使用起来很方便。 但是,使用shiro得了解一些它的基本特点。 ======================================= 一、shiro权限模型 (1)配置之前,需要知道基本的权限控制概念。这里使用数据库模型控制。【用户-角色-权限】 (2)权限表--sys_permission (3)角色表-sys_role (4)角色...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro+SpringBoot】JWT+Shiro安全的解决用户授权认证地址过滤问题
芒果味的博客
12-05 642
JWT的应用场景 关于JWT是什么,可理解为使用带签名的token来做用户和权限验证,现在流行的公共开放接口用的OAuth 2.0协议基本也是类似的套路。这里只是说下选择使用jwt不用session的原因。 首先,是要支持多端,一个api要支持H5, PC和APP三个前端,如果使用session的话对app不是很友好,而且session有跨域攻击的问题。 Shir...
springmvc+shiro自定义过滤器的实现代码
08-26
在本文中,我们使用Shiro的自定义过滤器来实现用户登录后的跳转回之前页面的功能。 3. HttpSession HttpSession是服务器端的会话技术,可以用来存储用户的会话信息。在本文中,我们使用HttpSession来存储用户的...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
基于Shiro 拦截URL,实现权限控制
08-02
1. **配置Shiro**:在Spring或者其他的配置文件中,你需要声明并配置Shiro的相关过滤器,如`authc`(用于身份验证)、`perms`(基于权限的拦截)和`roles`(基于角色的拦截)。 2. **定义角色和权限**:在提供的`...
过滤器使用.rar
06-19
7. **第三方过滤器组件**:除了自定义过滤器,还有一些成熟的第三方组件,如Shiro、Spring Security,它们提供了更高级别的安全过滤器,简化了权限控制的实现。 通过"过滤器使用.rar"中的JDBC三层项目,你可以...
SpringBoot 整合Shiro 实现登录验证拦截功能
12-21
当尝试访问受保护的`/test`接口时,如果没有登录,Shiro拦截请求并重定向到登录页面。 总结来说,通过以上步骤,SpringBoot结合Shiro 可以构建一个完整的用户身份验证和权限控制体系,提供登录验证、拦截未授权...
shiro授权和认证(一)
weixin_46403305的博客
10-28 487
shiro是什么 shiro一个授权和认证的这样一个框架 简单的给你说、就是以前咋们认证和授权的所有代码、shiro都给咋们写好了、而且封装好了、我们只需要按照这个框架提供的API来简单的集成到咋们的项目中就可以了 1、shiro能干什么 认证、授权、Cache的管理、Session的管理、rememberMe功能的实现、登陆、退出… 2、shiro的整体架构是什么 3、shiro的第一个helloworld程序 3.1、导包 <!--导入shiro的包--> <de
ShiroFilterFactoryBean源码及拦截原理深入分析
懒人的博客
03-12 3万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。而要在Spring中使用Shiro的话,可在web.xml中配置一个DelegatingFil
使用shiro实现登录拦截请求拦截)和用户认证(登录)
kitahiragawa的博客
02-04 2837
上一篇已经将shiro和springboot整合起来了,这里就直接开始写功能了 一、登录拦截请求拦截) 这个功能在shiro配置类里写,拦截哪些页面,什么情况下拦截拦截后要不要跳转,都写在注释里 @Configuration public class ShiroConfig { //ShiroFilterFactoryBean @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("secur
shiro框架如何设置不过滤指定url
u012131610的博客
09-04 1万+
不过滤指定url意思就是遇到指定的url直接放行,不跳转到登录页面,比如通过调某一个方法检测服务是否正常就需用用到该配置。 配置方式也比较简单,shiro.xml中添加相应的配置即可 比如遇到path为“/e74050c07f7d315d3ffc73df398ff9c5”的请求直接放行,可以如下配置: <!-- Shiro Filter --> <bean id="sh...
Shiro的authc过滤器的执行流程
qq_28000789的博客
01-19 1万+
Shiro的authc过滤器的执行流程 1.先執行isAccessAllowed(),通過subject.isAuthenticated()判斷當前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 **问题?:
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1264
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
shiro过滤器如何拦截url
04-22
Shiro过滤器可以通过配置拦截指定的URL路径,当请求的URL与配置的路径匹配时,Shiro会调用相应的过滤器进行处理。常用的过滤器包括:anon(匿名访问)、authc(身份认证)、roles(角色授权)和perms(许可授权)。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值