shiro 内置过滤器 标签 注解

最新推荐文章于 2023-11-20 20:11:44 发布
最新推荐文章于 2023-11-20 20:11:44 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: java web 文章标签: web shiro 标签 验证
shiro提供以下内置过滤器,用于web项目资源请求验证
anon(匿名)  org.apache.shiro.web.filter.authc.AnonymousFilter
authc(身份验证)      org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic(http基本验证)   org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
logout(退出)       org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation(不创建session) org.apache.shiro.web.filter.session.NoSessionCreationFilter
perms(许可验证) org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port(端口验证) org.apache.shiro.web.filter.authz.PortFilter
rest  (rest方面) org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles(权限验证) org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl (ssl方面) org.apache.shiro.web.filter.authz.SslFilter
user (用户方面) org.apache.shiro.web.filter.authc.UserFilter


详细说明:
rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。


port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString
是你访问的url里的?后面的参数。


perms:例子/admins/user/**=perms[user:add:*],perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于
isPermitedAll()方法。

关于权限标签的 深层次方法:

Shiro提供了JSTL标签用于在JSP/GSP页面进行权限控制,如根据登录用户显示相应的页面按钮。

 

 

导入标签库

Java代码   收藏代码
  1. <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>  

标签库定义在shiro-web.jar包下的META-INF/shiro.tld中定义。

 

guest标签 

Java代码   收藏代码
  1. <shiro:guest>  
  2. 欢迎游客访问,<a href="${pageContext.request.contextPath}/login.jsp">登录</a>  
  3. </shiro:guest>   

 

用户没有身份验证时显示相应信息,即游客访问信息。

 

user标签 

Java代码   收藏代码
  1. <shiro:user>  
  2. 欢迎[<shiro:principal/>]登录,<a href="${pageContext.request.contextPath}/logout">退出</a>  
  3. </shiro:user>   

用户已经身份验证/记住我登录后显示相应的信息。

  

authenticated标签 

Java代码   收藏代码
  1. <shiro:authenticated>  
  2.     用户[<shiro:principal/>]已身份验证通过  
  3. </shiro:authenticated>   

用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的。    

 

notAuthenticated标签

<shiro:notAuthenticated>    未身份验证(包括记住我)</shiro:notAuthenticated> 

用户已经身份验证通过,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。 

 

principal标签 

<shiro: principal/>

显示用户身份信息,默认调用Subject.getPrincipal()获取,即Primary Principal。

 

Java代码 
  1. <shiro:principal type="java.lang.String"/>  

相当于Subject.getPrincipals().oneByType(String.class)。 

 

Java代码 
  1. <shiro:principal type="java.lang.String"/>  

相当于Subject.getPrincipals().oneByType(String.class)。

 

Java代码 
  1. <shiro:principal property="username"/>  

相当于((User)Subject.getPrincipals()).getUsername()。   

 

hasRole标签 

Java代码 
  1. <shiro:hasRole name="admin">  
  2.     用户[<shiro:principal/>]拥有角色admin<br/>  
  3. </shiro:hasRole>   

如果当前Subject有角色将显示body体内容。

 

hasAnyRoles标签 

Java代码 
  1. <shiro:hasAnyRoles name="admin,user">  
  2.     用户[<shiro:principal/>]拥有角色admin或user<br/>  
  3. </shiro:hasAnyRoles>   

如果当前Subject有任意一个角色(或的关系)将显示body体内容。 

 

lacksRole标签 

Java代码 
  1. <shiro:lacksRole name="abc">  
  2.     用户[<shiro:principal/>]没有角色abc<br/>  
  3. </shiro:lacksRole>   

如果当前Subject没有角色将显示body体内容。 

  

hasPermission标签

Java代码 
  1. <shiro:hasPermission name="user:create">  
  2.     用户[<shiro:principal/>]拥有权限user:create<br/>  
  3. </shiro:hasPermission>   

如果当前Subject有权限将显示body体内容。 

  

lacksPermission标签

Java代码 
  1. <shiro:lacksPermission name="org:create">  
  2.     用户[<shiro:principal/>]没有权限org:create<br/>  
  3. </shiro:lacksPermission>   

如果当前Subject没有权限将显示body体内容。

 

另外又提供了几个权限控制相关的标签:

 

导入自定义标签库 

Java代码 
  1. <%@taglib prefix="zhang" tagdir="/WEB-INF/tags" %>  

 

示例

Java代码 
  1. <zhang:hasAllRoles name="admin,user">  
  2.     用户[<shiro:principal/>]拥有角色admin和user<br/>  
  3. </zhang:hasAllRoles>  
  4. <zhang:hasAllPermissions name="user:create,user:update">  
  5.     用户[<shiro:principal/>]拥有权限user:create和user:update<br/>  
  6. </zhang:hasAllPermissions>  
  7. <zhang:hasAnyPermissions name="user:create,abc:update">  
  8.     用户[<shiro:principal/>]拥有权限user:create或abc:update<br/>  
  9. </zhang:hasAnyPermissions>   

hasAllRoles表示拥有所有相关的角色;hasAllPermissions表示拥有所有相关的权限;hasAnyPermissions表示拥有任意一个相关的权限。



roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。


anon:例子/admins/**=anon 没有参数,表示可以匿名使用。


authc:例如/admins/user/**=authc表示需要认证才能使用,没有参数


authcBasic:例如/admins/user/**=authcBasic没有参数表示httpBasic认证


ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https


user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查
 
这些过滤器分为两组,一组是认证过滤器,一组是授权过滤器。其中anon,authcBasic,auchc,user是第一组,
perms,roles,ssl,rest,port是第二组




shiro 提供的注解,提供方法安全验证,通过验证才执行
RequiresAuthentication:使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。
RequiresGuest:使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。
RequiresPermissions:当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。
RequiresRoles:当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。
RequiresUser:当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。


shiro提供的jsp标签,提供jsp上验证
首先需要在JSP引入shiro标签: <%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>  


guest标签 :
<shiro:guest>访客角色</shiro:guest>
验证当前用户是否为“访客”,即未认证(包含未记住)的用户 




认证通过或已记住的用户 :
<shiro:user>  
   用户角色  
</shiro:user> 


authenticated标签: 
已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在。 
<shiro:authenticated>  
    已认证通过的用户  
</shiro:authenticated> 


notAuthenticated标签: 
未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户。
<shiro:notAuthenticated>  
    未认证通过用户  
</shiro:notAuthenticated> 


principal 标签: 
输出当前用户信息,通常为登录帐号信息   
<shiro:principal/>


hasRole标签: 
验证当前用户是否属于该角色 
<shiro:hasRole name="角色">是角色</shiro:hasRole>


lacksRole标签: 
与hasRole标签逻辑相反,当用户不属于该角色时验证通过 
<shiro:lacksRole name="administrator">  
    Sorry, you are not allowed to administer the system.  
</shiro:lacksRole> 


hasAnyRole标签: 
验证当前用户是否属于以下任意一个角色。
<shiro:hasAnyRoles name="developer, project manager, administrator">  
    You are either a developer, project manager, or administrator.  
</shiro:lacksRole>  


hasPermission标签: 
验证当前用户是否拥有制定权限 
<shiro:hasPermission name="user:create">  
    验证当前用户是否拥有制定权限 
</shiro:hasPermission> 


lacksPermission标签:
与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过 
<shiro:hasPermission name="user:create">  
    <a href="createUser.jsp">Create a new User</a>  
</shiro:hasPermission>
ArthurKingYs
关注
专栏目录
authc过滤器 shiro_Shiro过滤器
weixin_39609071的博客
01-26 1209
Shiro内置过滤器认证相关过滤器:anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授权相关的过滤器:perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
SpringMVC整合Shiro与filterChainDefinitions过滤器配置
热门推荐
chenaini119的专栏
04-05 1万+
SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。第一步:配置web.xml<!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 --> <!-- 这里filter-name必须对应applicationContext.xml中定义的<bean id="shiroFilter"/> --> <!-- 使用[/*
常用的shiro标签
10-16 635
guest标签 用户没有身份验证时显示相应信息,即游客访问信息。 <shiro:guest> </shiro:guest> user标签 用户已经身份验证/记住我登录后显示相应的信息。 <shiro:user>   </shiro:user> authenticated标签 用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的。 <shiro:authenticated>   </shiro:authentica
shiro常用注解过滤器,编写自定义注解实现 anon 所有人访问功能
最新发布
weixin_45947759的博客
11-20 688
已登录,未记住我,重开浏览器之后,就成了未登录@RequiresGuest:未登录可以访问;认证过或使用记住我功能拒绝访问@RequiresAuthentication: 认证过可以访问,其他时候拒绝访问@RequiresUser: 认证过或使用记住我功能可以访问同时具备2个权限才能访问拥有其中任意一个权限就可以访问@RequiresRoles 跟 @RequiresPermissions 使用差不多的。
spring+shiro+自定义注解实现 数据层权限控制
weixin_34161083的博客
04-06 404
为什么80%的码农都做不了架构师?>>> ...
shiro通过注解方式自定义控制接口无需认证访问的解决过程
凌大大的博客
01-26 1万+
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
shiro入门-Shiroweb内置的Filter过滤器和配置路径讲解 [文档]
小哇
03-23 1555
核心过滤器类:DefaultFilter, 配置哪个路径对应哪个拦截器进行处理 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache...
shiro 不过滤指定的带参数url_Shiro权限管理框架(三):Shiro中权限过滤器的初始化流程和实现原理...
weixin_39951112的博客
12-18 596
初始化流程ShiroFilterFactoryBean实现了FactoryBean接口,那么Spring在初始化的时候必然会调用ShiroFilterFactoryBean的getObject()获取实例,而ShiroFilterFactoryBean也在此时做了一系列初始化操作。关于FactoryBean的介绍和实现方式另外也记了一篇:https://www.guitu18.com/post/2...
Shiro的过滤链设计机制
weixin_66107850的博客
04-12 221
如果返回true则继续拦截器链 否则中断后续的拦截器链的执行直接返回 进行预处理(如基于表单的身份验证、授权) - postHandle:类AOP后置返回增强 在拦截器链执行完成后执行 进行后处理(如记录执行时间之类的);- 如果没有登录,看看是否是登录请求,如果是get方法的登录页面请求,则继续拦截器链(到请求页面),否则如果是get方法的其他页面请求则保存当前请求并重定向到登录页面;- 如果登录成功了,且之前有保存的请求,则重定向到之前的这个请求,否则到默认的成功页面。不过目前还没有完全实现,不可用。
Apache Shiro中的自定义权限过滤器
介绍Apache Shiro ## 1.1 什么是Apache Shiro Apache Shiro是一个强大且易于使用的Java安全框架,提供了身份认证、授权、会话管理和密码加密等功能。它是为了简化开发人员在应用程序中实现安全功能而设计的。 ##...
apache shiro 自带权限过滤器及配置释义
oO粑粑ooo
05-28 437
===============其权限过滤器及配置释义=======================   anonorg.apache.shiro.web.filter.authc.AnonymousFilter   authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter   authcBasicor...
apache shiro内置过滤器 标签 注解
weixin_30530939的博客
03-02 292
内置过滤器 anon(匿名) org.apache.shiro.web.filter.authc.AnonymousFilter authc(身份验证)org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic(http基本验证) org.apache.shiro.web.filter.au...
java shirofilter_Spring项目集成ShiroFilter简单实现权限管理
weixin_36488777的博客
02-16 249
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaweb工作的,我就经常遇到需要实现权限控制的项目,之前我们都是靠查询数据获取列表拼接展示的,还有的是及时的判断权限的问题的,现在有了Shiros了,我们就可以统一的进行设置权限问题,Shrios的实现也是很简单的,下面让我们来看看具体实现步骤web.xml配置因...
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 1119
Shiro笔记五:Shiro内置Filter过滤器 shiro内置过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
shiro学习笔记十一:shiro中的jsp标签
chunlulin2540的博客
08-18 170
一、项目说明 项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2 源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms 实现目标:通过在页面使用部分shiro中jsp标签,实现相应的...
ShiroWeb集成设置与默认过滤器解析(六)
qq_37431224的博客
01-10 366
ShiroWeb集成,主要是通过配置一个ShiroFilter拦截所有URL,其中ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,是所有请求入口点,负责根据配置(如ini配置文件),判断请求进入URL是否需要登录/权限等工作。 1)创建一个web的Maven项目 2)导入Shrio相关依赖: <dependencies> ...
shiro实现HasAnyPermission 标签效果
fun
07-29 1万+
在使用shiro 的时候返现,有hasAnyRole 却没有hasAnyPermission的标签,感觉很疑惑,又是我控制页面的显示的后就是需要这种,比如:一个菜单下面有3个子菜单 |-菜单栏目一 |——-|–子栏目一 |——-|–子栏目二想这样,这时,假设子栏目一显示的条件是hasPermission p1, 子栏目二是p2,那么我们可以认为父级(菜单栏一,只需要在有p1或者p2的情况下就显
shiro默认filter
johnhuster的专栏
08-24 2664
shiro默认filter
Shiro权限框架深度解析
- SHIROFILTER: ShiroFilter 是 Web 应用中的过滤器,负责拦截请求并进行安全控制。 - WEB INI配置: ShiroWeb 环境下的特定配置。 8. 第八章 拦截器机制 - 拦截器介绍: Shiro 中的拦截器类似 Spring MVC 中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值