springboot整合shiro之——拦截路径

已于 2024-04-12 14:46:13 修改
阅读量475 收藏 3
点赞数 3
分类专栏: shiro 文章标签: spring boot java spring
于 2024-04-12 14:42:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58341172/article/details/137680156
版权
本文介绍了Shiro在SpringBoot项目中的应用,涉及身份认证、授权、加密、会话管理,以及如何配置URL过滤规则,包括自定义数据源Realm和ShiroFilter的使用实例。
摘要由CSDN通过智能技术生成

简介Shiro:

1.基本功能

        身份认证、授权、加密、会话管理

        Web支持、缓存、多线程、测试、允许一个用户假装为另一个用户的身份进行访问、记住我

2. 执行过程

分为五步:

  • Subject

    用户主体:请求的发起者,即访问应用的用户

  • Security Manager

    安全管理器:Shiro的核心,用来分发请求,对Shiro中的其他对象进行管理

  • Authenticator

    认证器:用来进行认证操作

  • Authentication Strategy

    认证策略 :对于多个realm,可以对认证realm的个数进行配置

    三种认证策略:AtLeastOneSuccessfulStrategy、FirstSuccessfulStrategy、AllSuccessfulStrategy

  • Realm

    安全数据源:用来进行数据匹配的,可以通过多种数据源进行匹配认证,如文件、数据库、QQ、微信、手机号等

3. url过滤

场景:有些url的访问需要登录才能访问,如后台管理界面,未登录时不允许访问,自动跳转到登录页面

解决:使用Shiro过滤器,配置url过滤规则

常用的过滤规则:

  • anon 表示url不需要验证

  • authc 表示url需要登录验证,如果未登录,默认跳转到/login.jsp,参考FormAuthenticationFilter类

  • roles 表示url需要角色验证

  • perms 表示url需要权限验证

  • logout 配置url实现退出登录

注:默认所有url都不需要验证,相当于是anon

应用spring boot实例:

创建一个springboot项目添加依赖:Lombok、Web

<!--jsp-->
<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-jasper</artifactId>
</dependency>

注意:一定要配置jsp的依赖包,否则,在浏览器中访问jsp界面,默认访问文件(下载),不能解析为浏览器dom元素 

 配置properties.yml

server:
  port: 8080
  servlet:
    context-path: /shiro

spring:
  mvc:
    view:
      prefix: /
      suffix: .jsp

在webapp文件夹中创建index.jsp和login.jsp

要求webapp要与resource为同级

编写自定义数据源Realm:

/**
 * 自定义Realm ,继承AuthorizingRealm
 */
public class ShiroRealm extends AuthorizingRealm {

    /**
     * 认证
     * Authentication 证明真实性,鉴定;身份验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }

    /**
     * 授权
     * Authorization 批准书,授权书;批准
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }
}

编写shiro配置:

@Configuration
public class ShiroConfig {

    /**
     *  获得认证的数据源
     *  realm 领域、范围
     *  @return
     */
    @Bean
    public Realm getRealm() {
        ShiroRealm realm = new ShiroRealm();
        return realm;
    }

    /**
     * 创建安全管理器 类似于: 自定义XXService
     * 自定义的Realm交给SecurityManager管理
     * @param realm
     * @return
     */
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(Realm realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }

    /**
     * ShiroFilter ,对资源进行过滤处理
     * 将SecurityManager交给ShiroFilterFactoryBean管理
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        //设置过滤路径 anon 默认 authc 认证 roles perms 授权 logout 退出
        Map<String,String> map = new LinkedHashMap<>();
        map.put("/index.jsp","authc");
        map.put("/login.jsp","anon");
        //设置安全管理器
        filterFactoryBean.setSecurityManager(securityManager);
        filterFactoryBean.setFilterChainDefinitionMap(map);
        filterFactoryBean.setLoginUrl("/login.jsp");
        return filterFactoryBean;
    }
}

运行程序:

输入网址:http://localhost:8080/shiro/index.jsp

回车之后(成功被拦截到login.jsp):

袅沫
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
shiro二,集成web时url过滤
gcc_java的博客
01-23 906
话不多说直接上代码:&lt;!-- 自定义Realm --&gt; &lt;bean id="myRealm" class="com.gcc.realm.MyRealm"/&gt; &lt;!-- 安全管理器 --&gt; &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSe
悬剑武器库之5种工具学习(shiro检测插件、子域名、信息收集、暴力破解等)
zhangge3663的博客
01-18 8563
工具目录 1.BurpShiroPassiveScan是一款基于BurpSuite的被动式shiro检测插件2.reconftw是对具有多个子域的目标执行全面检查的脚本3.CTFR是一款不适用字典攻击也不适用蛮力获取的子域名的工具4.JR-scan是一款一键实现基本信息收集,支持POC扫描,支持利用AWVS探测的工具5.dirsearch-Web是一种成熟的命令行工具,旨在暴力破解Web服务器中的目录和文件 1.BurpShiroPassiveScan 介绍 BurpShiroPassiveScan
Shiro配置URL过滤
Lv_cha19的博客
01-10 135
常用过滤器: anon不需要认证 authc需要认证 user验证通过或RememberMe登录的都可以 URL说明: /admin?=authc 表示可以请求以admin开头的字符串,如xxx/adminfefe,但无法匹配多个,即xxx/admindf/admin是不行的 /admin*=authc 表示可以匹配零个或者多...
shiro学习笔记——shiro拦截器与url匹配规则
m0_67402341的博客
08-24 896
过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤。
Spring boot 集成 shiro,anon(匿名)失效
siweikongjian_1的博客
04-01 5476
Spring boot 集成 shiro,anon(匿名)失效 shiro xml方式: xml的配置文件中在“filters”标签的“filterChainDefinitions”属性中添加值为anon的url; 代码方式: filterMap.put("/user/home", “anon”); filterMap.put("/user/home", “anon”); filterFactor...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
shiro框架rule设置为anon和rlue规则说明
zj1561585178的博客
01-17 632
shiro框架源码过滤器合集:org.apache.shiro.web.filter.mgt.DefaultFilter。//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了,登出后跳转配置的loginUrl。//配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据。//除了匿名访问的资源,其它都要认证("authc")后访问。// 配置不会被拦截的链接 顺序判断。//注意过滤器配置顺序 不能颠倒。// 登录成功后要跳转的链接。
Spring Boot框架中使用拦截器实现URL限制
canduecho的专栏
08-02 1358
通过调用`addInterceptor`方法将其添加到`InterceptorRegistry`中,并使用`addPathPatterns`方法指定要拦截URL模式(在此示例中,拦截所有URL)。在`preHandle`方法中,您可以读取限制URL列表的JSON文件,并在请求到达时进行匹配检查。在您的配置类(通常是一个继承自`WebMvcConfigurerAdapter`的类)中,重写`addInterceptors`方法,并添加您的拦截器。限制URL列表的JSON格式可以根据您的需求进行定义。
关于shiro拦截路径配置问题
test_00的博客
08-18 825
前言 搞了两天半,说句实话,我也是摸着石头过河,之前在https://www.iteye.com/blog/jinnianshilongnian-2019547上看了一遍,实战还是出问题啊 关于网上doGetAuthorizationInfo认证方法不执行问题,我是没遇到, 我没有使用@RequestPermission注解,也没有引用如下两个jar包之一 <!--这两个包我都没有引用,据说是用来解决doGetAuthorizationInfo不执行的方式之一。我引入过shiro-spring-boo
spring boot使用JWT登录验证
最新发布
learnC_的博客
03-03 748
所有的接口请求均需要通过拦截器的拦截,除了配置拦截路径中excludePathPatterns("/api/user/login");在application.yml中添加参数,设置加密方式、年轻token时间和老年token时间。加密:使用Jwt工具类将用户的账号、角色、时间封装起来,根据某种加密算法进行加密。解密:对加密过后的信息使用DecodedJWT中的getClaim方法进行解密。login模块查询数据库中的用户信息,进行加密,发放token。下面的代码是我暂未使用过的token过期,没用上。
Shiro+SpringBoot 时,anon配置的匿名路径拦截
qq_36662478的博客
01-21 1万+
Shiro+SpringBoot 时,anon配置的匿名路径拦截 主要原因:配置过滤器集合时使用了HashMap @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { //1.创建过滤器工厂 ShiroFilterFactoryBean f...
shiro setFilterChainDefinitionMap 多个路径不生效问题
热门推荐
woaiqianzhige的博客
11-30 1万+
shiro setFilterChainDefinitionMap 多个路径不生效问题 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put("/cms/admin/**", "perms[admin]"); map.put("/cms/appeal/**", "perms[appeal]");
shiro的过滤器和权限控制
weixin_44044929的博客
07-21 2542
shiro的过滤器配置、权限控制
springboot整合shiro拦截某个请求
09-06
Spring Boot中,可以通过整合Shiro来实现对请求的拦截和权限控制。如果不希望Shiro拦截某个请求,可以通过配置Shiro的过滤器链来实现。 首先,在Spring Boot的配置类中,需要注入一个FilterRegistrationBean对象来配置Shiro的过滤器链。然后,通过调用FilterRegistrationBean的addInitParameter方法,设置Shiro过滤器的init参数。 在设置Shiro过滤器的init参数时,可以通过使用Shiro内置的过滤器来达到不拦截某个请求的目的。其中,"anon"代表不需要认证即可访问,"authc"代表需要认证才能访问。 示例代码如下: @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<DelegatingFilterProxy> shiroFilterRegistration() { FilterRegistrationBean<DelegatingFilterProxy> registration = new FilterRegistrationBean<>(); registration.setFilter(new DelegatingFilterProxy("shiroFilter")); Map<String, String> initParameters = new LinkedHashMap<>(); // 不拦截某个请求 initParameters.put("anon", "/path/to/skip"); // 其他需要认证的请求 initParameters.put("authc", "/path/to/authenticate"); registration.setInitParameters(initParameters); registration.setOrder(1); registration.addUrlPatterns("/*"); return registration; } // 其他Shiro配置省略... } 在上述代码中,通过设置initParameters来指定需要不拦截的请求与需要认证的请求。其中,"/path/to/skip"代表不需要进行认证和授权的请求路径。 通过以上配置,可以实现Spring BootShiro整合,并使得Shiro拦截某个特定的请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值