在SpringBoot下结合shiro对静态资源实现认证访问权限控制

Ethe'

已于 2023-07-07 14:33:58 修改

阅读量862

点赞数 1

分类专栏： JAVA 文章标签： spring boot 后端 java

于 2023-07-07 14:25:10 首次发布

本文链接：https://blog.csdn.net/u010667710/article/details/131596112

版权

JAVA 专栏收录该内容

16 篇文章 0 订阅

订阅专栏

文章讲述了如何通过Shiro和SpringBoot对本地或云存储的静态资源进行权限控制。当文件存储在本地时，可以通过SpringBoot的资源配置结合Nginx的反向代理来访问；如果文件在云服务器，也可以直接配置SpringBoot映射资源路径。在所有情况下，都会通过Shiro进行认证判断，未授权访问会被重定向到登录页面。

摘要由CSDN通过智能技术生成

错误示例

1、我们通过localhost/profile/girl.jpg可以访问到美女图片，假设图片是存储在我们的服务器的/home/data目录下，我们可以通过nginx的反向静态资源代理可以直接将profile的请求文件转入到/home/data下去读取图片文件。
2、我们可以将图片直接存储至云服务器，或者一个外网访问地址例如：https://yunurl/profile/girl.jpg。这种情况我们无需配置nginx代理。
以上两种情况都是在用户未认证，拿到地址即可访问文件

解决方案

引入shiro，springboot对文件的请求路径增加映射时shiro进行认证权限判断。
我们同样分两种情况
1、文件存储在本地，即与应用在同一服务器，例如我们的文件是在/home/data目录下，我们可以通过此配置来映射
添加pom依赖

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
  <version>2.1.1.RELEASE</version>
</dependency>

 
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
 
@Configuration
public class SongConfig implements WebMvcConfigurer {
 
 
    @Value("${songPic.path}")
    private String songPicPath;
 
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        //加载文件资源
        registry.addResourceHandler("/songPic/**").addResourceLocations("file:"+songPicPath);
    }
}

以上配置使得访问localhost/profile/girl.jpg时会映射至本地路径下去查找文件，并且shiro会先对此请求进行认证的权限访问，如果没有登录访问此链接则会跳转至登录页面。
2、对于存储在云端的文件，我们同样也需要对其进行认证校验，而做法如上一致，结合addResourceLocations的源码我们分析

 /**
     * Add one or more resource locations from which to serve static content.
     * Each location must point to a valid directory. Multiple locations may
     * be specified as a comma-separated list, and the locations will be checked
     * for a given resource in the order specified.
     * <p>For example, {{@code "/"}, {@code "classpath:/META-INF/public-web-resources/"}}
     * allows resources to be served both from the web application root and
     * from any JAR on the classpath that contains a
     * {@code /META-INF/public-web-resources/} directory, with resources in the
     * web application root taking precedence.
     * <p>For {@link org.springframework.core.io.UrlResource URL-based resources}
     * (e.g. files, HTTP URLs, etc) this method supports a special prefix to
     * indicate the charset associated with the URL so that relative paths
     * appended to it can be encoded correctly, e.g.
     * {@code [charset=Windows-31J]https://example.org/path}.
     * @return the same {@link ResourceHandlerRegistration} instance, for
     * chained method invocation
     */
    public ResourceHandlerRegistration addResourceLocations(String... resourceLocations) {
        this.locationValues.addAll(Arrays.asList(resourceLocations));
        return this;
    }

静态资源的映射支持类路径、本地文件、并且支持url方式的路径映射，因此假设文件存储在https://yunurl/profile/girl.jpg此云路径下。
我们可以同样来通过此方法来映射

 @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry)
    {
        registry.addResourceHandler("/profile/**").addResourceLocations("https://yunurl/profile");
    }

shiro对于请求路径的拦截是默认在authc过滤级别下，因此只要保证我们的项目请求能够并shiro拦截，并且路径能映射到静态资源文件，则可以满足静态文件的访问权限控制

Ethe'

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
在SpringBoot下结合shiro对静态资源实现认证访问权限控制

1、我们通过localhost/profile/girl.jpg可以访问到美女图片，假设图片是存储在我们的服务器的/home/data目录下，我们可以通过nginx的反向静态资源代理可以直接将profile的请求文件转入到/home/data下去读取图片文件。2、我们可以将图片直接存储至云服务器，或者一个外网访问地址例如：https://yunurl/profile/girl.jpg。这种情况我们无需配置nginx代理。以上两种情况都是在用户未认证，拿到地址即可访问文件。
复制链接

扫一扫

专栏目录