Springboot集成shiro过滤器拦截策略配置

最新推荐文章于 2024-04-14 13:35:31 发布
最新推荐文章于 2024-04-14 13:35:31 发布
阅读量933 收藏 1
点赞数
分类专栏: 后端 跨域 文章标签: spring boot filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t_t2_3/article/details/118158273
版权

依赖

            <!-- shiro 认证与授权 -->
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-core</artifactId>
                <version>${shiro.version}</version>
            </dependency>
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-spring</artifactId>
                <version>${shiro.version}</version>
            </dependency>

放行接口的配置类

import com.datacvgproject.gsrobot.modules.oauth.app.oauth2.AppOAuth2Filter;
import com.datacvgproject.gsrobot.modules.oauth.app.oauth2.AppOAuth2Realm;
import com.datacvgproject.gsrobot.modules.oauth.sys.oauth2.OAuth2Filter;
import com.datacvgproject.gsrobot.modules.oauth.sys.oauth2.OAuth2Realm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.*;

/**
 * Shiro配置
 * @author Gangster
 */
@Configuration
public class SysShiroConfig {

    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm, AppOAuth2Realm appOAuth2Realm) {

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        //设置校验器
        securityManager.setAuthenticator(authenticator());

        List<Realm> realms = new ArrayList<>();
        realms.add(oAuth2Realm);
        realms.add(appOAuth2Realm);

        securityManager.setRealms(realms);
//        securityManager.setRememberMeManager(null);



        return securityManager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //oauth过滤
        Map<String, Filter> filters = new HashMap<>();
        filters.put("app", new AppOAuth2Filter());
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = new LinkedHashMap<>();
        //放行接口
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/aaa.txt", "anon");

        //对图片的放行处理 todo:
        filterMap.put("/**/**/**/*.png", "anon");

        filterMap.put("/sys/**", "oauth2");
        filterMap.put("/console/**", "oauth2");

        //应用系统登录放行
        filterMap.put("/app/login", "anon");
        filterMap.put("/app/loginWithPhoneNumber", "anon");
        filterMap.put("/decode/wxapp/phone", "anon");
        filterMap.put("/app/loginWithWatchCode", "anon");

        //websocket 长连接
        filterMap.put("/websocket/**", "anon");

		//需要过滤的接口
        filterMap.put("/app/**", "app");
        filterMap.put("/applets/**", "app");






        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {

        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }


    @Bean
    public CustomModularRealmAuthenticator authenticator(){
        CustomModularRealmAuthenticator authenticator = new CustomModularRealmAuthenticator();
        return authenticator;
    }

}

过滤器,放行政策-请求头是否含有token

import com.datacvgproject.gsrobot.common.constant.CommonConstant.LoginType;
import com.datacvgproject.gsrobot.common.utils.HttpContextUtils;
import com.datacvgproject.gsrobot.common.utils.ResultMap;
import com.datacvgproject.gsrobot.modules.oauth.common.oauth2.OAuth2Token;
import com.google.gson.Gson;
import org.apache.commons.lang.StringUtils;
import org.apache.http.HttpStatus;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * oauth2过滤器
 * @author Gangster
 */
public class AppOAuth2Filter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token
        String token = getRequestToken((HttpServletRequest) request);

        if (StringUtils.isBlank(token)) {
            return null;
        }

        return new OAuth2Token(token, LoginType.SYS.getType());
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

        if (((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())) {
            return true;
        }

        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());

            String json = new Gson().toJson(ResultMap.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"));

            httpResponse.getWriter().print(json);

            return false;
        }

        return executeLogin(request, response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {

        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
        try {
            //处理登录失败的异常
            Throwable throwable = e.getCause() == null ? e : e.getCause();
            ResultMap resultMap = ResultMap.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());

            String json = new Gson().toJson(resultMap);
            httpResponse.getWriter().print(json);
        } catch (IOException e1) {

        }

        return false;
    }

    /**
     * 获取请求的token
     */
    private String getRequestToken(HttpServletRequest httpRequest) {
        //从header中获取token
        String token = httpRequest.getHeader("token");

        //如果header中不存在token,则从参数中获取token
        if (StringUtils.isBlank(token)) {
            token = httpRequest.getParameter("token");
        }

        return token;
    }


}

认证

import com.datacvgproject.gsrobot.modules.console.pojo.entity.UserEntity;
import com.datacvgproject.gsrobot.modules.oauth.app.pojo.entity.AppUserTokenEntity;
import com.datacvgproject.gsrobot.modules.oauth.app.service.AppShiroService;
import com.datacvgproject.gsrobot.modules.oauth.common.enums.LockStatuEnum;
import com.datacvgproject.gsrobot.modules.oauth.common.oauth2.OAuth2Token;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.Set;

/**
 * 认证
 * @author Gangster
 */
@Component
public class AppOAuth2Realm extends AuthorizingRealm {

    @Autowired
    private AppShiroService appShiroService;

    @Override
    public boolean supports(AuthenticationToken token) {

        return token instanceof OAuth2Token;
    }

    @Override
    public String getName() {
        return "appUserRealm";
    }



    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        UserEntity user = (UserEntity) principals.getPrimaryPrincipal();

        String userId = user.getUserId();

        //用户权限列表
        Set<String> permsSet = appShiroService.getAppUserPermissions(userId);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        String accessToken = (String) token.getPrincipal();

        //根据accessToken,查询应用用户信息
        AppUserTokenEntity tokenEntity = appShiroService.queryByToken(accessToken);

        //token失效
        if (tokenEntity == null || tokenEntity.getExpireTime().getTime() < System.currentTimeMillis()) {
            throw new IncorrectCredentialsException("token失效,请重新登录");
        }

        //查询用户信息
        UserEntity user = appShiroService.queryAppUser(tokenEntity.getUserId());

        //账号锁定
        if (LockStatuEnum.LOCK.getStatu().equals(user.getLockStatus())) {
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, accessToken, getName());
        return info;
    }

}
商朝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro简单使用
tangyue99的博客
06-09 609
自定义realm 添加shiro配置 1、配置安全管理器 2、配置shiro过滤器 这里拦截了所有路径并放行了登录接口路径 此时使用Postman测试可以发现登录接口可正常访问,删除接口返回以下信息 说明删除接口被正常拦截,需要登录才能访问只需在登录接口使用subject.login()即可将认证交给realm 修改登录接口如下: 修改认证方法如下: 此时,再次测试发现,直接调用删除接口一样出现此前的信息,这时只需要先调用登录接口,再调用删除接口即可正常返回信息,测试结果如下: 5、自定义授权方法 授
Shiro 放行Swagger
Thinkingcao的专栏
12-27 2078
一、前言 最近在研究Shiro,遇到一个棘手的问题:SpringBoot 集成Shiro后, Swagger接口得登陆才能访问,找了一下问题,记在这里。 二、Shiro放行Swagger 在 Shiro配置文件中找到拦截器,将Swagger接口的路径放行即可 //放行Swagger2页面,需要放行这些 filterChainDefinitionMap.put("/swagger-ui...
SpringBoot整合Shiro(一) 拦截与放行
YUEXILIULI的博客
03-29 3470
SpringBoot整合Shiro 拦截与放行 一、目录结构: 二、详细代码 helloController.java package com.example.shiro.controller; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.Get...
Shiro安全框架——【快速入门、登录拦截、用户认证,2024年最新你还看不明白
最新发布
2401_83973943的博客
04-14 874
/退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBootShiro 整合包的依赖SpringBootShiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
添加shiro拦截器之后,放行无效
weixin_52798101的博客
08-23 816
添加shiro拦截器之后,放行无效。
关于shiro放开某个接口或者某个html权限
gaochenglong1的博客
07-16 5199
如果对你有用,请帮忙点一个赞。 1、找到shiroConfig配置文件 2、找到这个配置文件里的Shiro过滤器配置 3、在这个方法里加上你需要放开的权限 4、测试访问
ShiroFilter拦截
weixin_69797860的博客
04-14 612
ShiroFilter拦截
SpringBoot集成Shiro、Jwt和Redis
10-24
配置过滤器链,定义哪些URL需要拦截并进行权限校验。 3. 实现Jwt:创建Token生成和验证服务,设置密钥,处理JWT的签发和解析。 4. 集成Redis:配置Redis的连接池,设置Session的Redis序列化方式,并在Shiro配置中...
springboot 集成shiro代码实例
08-28
5. **实战示例**:`spring-boot-shiro`这个文件可能包含了完整的集成示例,包括配置文件、 Realm实现、Shiro过滤器配置以及相关的业务逻辑代码。分析这些代码可以帮助理解ShiroSpringBoot的整合过程。 6. **注意...
SpringBoot整合Shiro+JWT
05-15
3. **创建过滤器链**:定义Shiro过滤器链,例如`authc`(认证过滤器)和`perms`(权限过滤器)。过滤器链将决定哪些请求需要用户认证,哪些需要特定的权限。 4. **JWT生成与验证**:在用户成功登录后,使用JWT库...
springboot集成shiro demo
04-13
SpringBoot集成Shiro是一个常见的后端安全控制框架的实践,它可以帮助开发者轻松地实现用户认证、授权以及自定义拦截等功能。下面将详细讲解这个主题的相关知识点。 首先,**SpringBoot** 是一个基于Spring框架的...
springboot集成shiro,附带sql
07-04
SpringBoot集成Shiro是将Apache Shiro安全框架与SpringBoot框架结合使用,以实现Web应用的安全管理。Shiro提供了一套简洁且强大的API,用于处理认证、授权、会话管理和安全加密等任务。SpringBoot则简化了Spring应用...
SpringBoot+Shiro实现登陆拦截功能
loliDapao的博客
04-01 443
上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。 首先介绍下Shiro:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架: Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义...
若依shiro添加对外开放的接口
baidu_39212797的博客
11-24 3816
若依对外开放接口
如何放开Shiro对OPTIONS请求的拦截
sebeefe的博客
04-28 655
如何放开Shiro对OPTIONS请求的拦截 最近出现前台访问后端接口预请求,返回302重定向到shiro的登录地址的bug。定位好久后发现是OPTIONS请求的时候没有带token,导致shiro认为是未登录状态,然后重定向到登录地址。所以我们现在的解决方法就是放开shiro对所有OPTIONS的拦截。 首先确定后端是否配置好跨域,允许所有请求方式跨域访问。然后建立ShiroUserFilter。 package com.jokerliu.config.shiro; import com.jokerli
Shiro的authc过滤器的执行流程
likunpeng6656201的博客
07-30 3207
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题? 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问...
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3389
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
Shiro+Jwt实现多Realm跨域登录认证
木子人弋山
01-04 4854
因公司项目需求,做一个微服务项目,相比于单体架构,难免涉及到跨域登录的问题,你可能是在一个模块写了登录操作,但是其他模块的请求未进行拦截,或者是拦截了请求,老是提示未登录,这个时候就需要进行多realm登录认证(同事说security+Oauth2也可以解决,不过我对这个不是很熟悉,就用的shiro) 使用多Realm登录认证的时候首先要明白一个问题,什么时候走哪个realm,比如,用户直接登录...
Shiro的登录拦截和用户认证
m0_46388866的博客
02-09 345
Shiro的登录拦截和用户认证 登录拦截需要使用ShiroFilterFactoryBean的setFilterChainDefinitionMap(Map<String, String> filterChainDefinitionMap)来进行对我们输入的map进行拦截。其中key就是需要拦截的对象,value是拦截的处理方式。所以登录拦截非常简单只需要在我们添加的组件里面增加一些简单的方法就可以了。 用户认证也非常简单。我们使用的也是ShiroFilterFactoryBean也就是用户,需
springbootshiro过滤器不生效
05-21
如果你的Spring Boot项目中Shiro过滤器不生效,可以按照以下步骤进行排查: 1. 确认Shiro依赖是否正确引入,可以在`pom.xml`文件中查看是否引入了Shiro相关依赖。 2. 确认Shiro配置文件是否正确,可以检查`shiro.ini`或`shiro.yml`文件中的配置是否正确。 3. 确认Shiro过滤器链是否配置正确,可以在`ShiroConfig.java`文件中检查过滤器链是否正确配置。 4. 如果是Web项目,需要确保Shiro过滤器在`FilterRegistrationBean`中注册,可以在`WebAppConfig.java`文件中检查是否正确注册。 如果以上步骤都没有问题,可以通过在代码中打断点进行调试,查看Shiro过滤器是否被正确执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

商朝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值