shiro 实现自定义权限规则校验

最新推荐文章于 2024-06-12 13:05:43 发布
最新推荐文章于 2024-06-12 13:05:43 发布
阅读量282 收藏
点赞数
分类专栏: java 文章标签: android java 开发语言 ubuntu hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web13085338152/article/details/126496117
版权 
<span style="font-family: Arial, Helvetica, sans-serif;">在系统中使用shiro进行权限管理,当用户访问没有权限的资源时会跳转到指定的登录url。</span>

但是如果系统中支持手机app,手机访问时没有使用session进行登录凭证管理,而是使用token,有两种解决方法:

1:支持手机客户端访问的资源在权限配置中配置成anon

2:实现自定义认证拦截器,对用户请求资源进行认证

显然第一种方法不适用,这些资源应该只能让我们自己的app进行访问。

第二中实现方式:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- 登录的页面 -->
		<property name="loginUrl" value="/login/login.jsp" />
		<property name="successUrl" value="/success.jsp" />
		<property name="unauthorizedUrl" value="/error.jsp" />
		<property name="filterChainDefinitions">
			<value>
				/android.html**=anon
				/pets/android**=android
				/pets/login/**=anon
				/**=authc
			</value>
		</property>
		<property name="filters">
			<map>
				<entry key="android">
					<bean class="com.pets.shiro.filter.MobileTokenAuthentication">
					</bean>
				</entry>
				<entry key="authc">
					<bean class="com.pets.shiro.filter.LoginAuthenticationFilter">
					</bean>
					<!-- <bean class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
					</bean> -->
				</entry>
			</map>
		</property>
	</bean>



/pets/android**=android 指定认证的拦截器,这里是自定义的拦截器

<pre name="code" class="java">/**
 * 移动设备认证基类,提供未登录用户操作认证权限
 *
 * 2014年7月8日
 */
public abstract class AbstractMobileAuthenticationFilter extends
		AuthenticationFilter {

	public static final String TOKEN = "token";
	protected Logger log = Logger.getLogger(getClass());

	@Override
	protected boolean onAccessDenied(ServletRequest request,
			ServletResponse response) throws Exception {

		log.info("安卓用户进入校验!" + getLoginUrl());

		HttpServletRequest req = (HttpServletRequest) request;

		String token = req.getParameter(TOKEN);
		if (isAccess(token)) {
			return onAccessSuccess(req, (HttpServletResponse) response);
		}

		return onAccessFail(req, (HttpServletResponse) response);
	}

	/**
	 * 判断token的合法性
	 * 
	 * @param token
	 * @return
	 */
	public abstract boolean isAccess(String token);

	/**
	 * 认证成功进行的操作处理
	 * 
	 * @param request
	 * @param response
	 * @return true 继续后续处理,false 不需要后续处理
	 */
	public abstract boolean onAccessSuccess(HttpServletRequest request,
			HttpServletResponse response);

	/**
	 * 认证失败时处理结果
	 * 
	 * @param request
	 * @param response
	 * @return true 继续后续处理,false 不需要后续处理
	 */
	public abstract boolean onAccessFail(HttpServletRequest request,
			HttpServletResponse response);

}

只需要重写 onAccessDenied方法,进行token判断!

web13085338152
关注
专栏目录
【SpringBoot】23、SpringBoot中整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目中使用过 shiro,发现 shiro权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro 中,Subje
springboot+JWT+shiro实现认证及权限校验
热门推荐
yuan_liang2的博客
04-05 2万+
1.项目环境 jdk:8 springboot:1.5.10 2.搭建项目管理 新建springboot项目,引入如下依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artif...
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
Shiro自定义权限验证
w_xy999的博客
11-17 1027
/api/permission/find/{id} 和 /api/permission/find/1进行匹配
shiro 实现自己定义权限规则校验
weixin_33711647的博客
07-26 118
&lt;span style="font-family: Arial, Helvetica, sans-serif;"&gt;在系统中使用shiro进行权限管理,当用户訪问没有权限的资源时会跳转到指定的登录url。&lt;/span&gt; 可是假设系统中支持手机app。手机訪问时没有使用session进行登录凭证管理。而是使用token,有两种解决方法: 1:支持手机client訪问...
Shiro自定义认证授权
weixin_44890199的博客
12-25 669
1 .Realm接口 最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权,通常自定义的realm继承AuthorizingRealm 2 .实现类 此时不需要写shiro.ini package com.hzt.realm; import com.domain.User; import com...
Shiro_自定义Realm完成认证和权限验证
qq_44193036的博客
03-04 576
通过前面的入门程序,我们需要对Shiro的基本API执行过程有一定的了解。 securityManager在框架中充当安全管理器的角色,Subject为实体对象,通过Subject我们可以封装前台传输的用户名和密码数据,并且将实体对象传递给securitymanager。然后securitymanager会将数据交给认证器和授权器进行认证和权限验证,而认证的依据就是通过Realm,认证完成之后将结...
vue与shiro结合实现权限按钮
12-15
同时,设置Filter Chain,使Shiro能够拦截请求并执行权限校验。 2. **自定义指令**:在Vue项目中,创建一个自定义指令(例如:`v-has-permission`),该指令接收一个权限标识符作为参数,然后在Vue实例的生命周期...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
在Springboot中集成Shiro,可以创建Filter进行登录验证和权限校验: ```java @Configuration @EnableWebSecurity public class ShiroConfig extends WebSecurityConfigurerAdapter { @Autowired private ...
springboot集成shiro、jpa实现安全登录,权限校验
12-10
在Spring Boot应用中,集成Apache Shiro或Spring Security可以实现用户认证和授权功能,而这里主要讨论的是如何结合Shiro和JPA(Java Persistence API)来构建一个安全的登录及权限校验系统。Shiro是一个轻量级的...
Shiro框架使用使用自定义的登陆验证方法实现校验------Shiro框架
春风若有怜花意,可否许我再少年
06-09 805
Shiro框架使用使用自定义的登陆验证方法实现校验------Shiro框架
shiro--自定义授权
Apple_Andy的博客
09-11 271
一.步骤总结 1.新建MyRealm类,继承AuthorizingRealm类 public class MyRealmAuthorizing extends AuthorizingRealm { 2.实现里面的两个方法: doGetAuthorizationInfo:授权的方法 1)根据principals去数据库中查询对应的角色 2)根据角色去数据库中查询对应的权限 3)新建 SimpleAuthorizationInfo,通过 SimpleAuthorizationInfo的addRoles和add
Shiro框架通过自定义的授权认证方法认证用户权限相关的信息并封装给角色------Shiro框架
最新发布
春风若有怜花意,可否许我再少年
06-12 522
Shiro框架通过自定义的授权认证方法认证用户权限相关的信息并封装给角色------Shiro框架
使用Shiro实现权限验证
m0_61083409的博客
08-28 1966
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...
Shiro 禁用session 自定义authc过滤器
vransy的博客
02-19 787
做毕设的时候遇到的禁用session 各种报错 ,所以记录一下 无状态shiro报DisabledSessionException ShiroConfig.java中 有一个坑 authc 必须认证 / 默认拦截器authc,有调运getSession()方法的,不创建session,这时就报错 ...
shiro权限认证,自定义 Realm
苏凯的博客
09-11 425
public class UserRealm extends AuthorizingRealm { private UserService userService = new UserServiceImpl(); protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {...
shiro 自定义 用户 角色 权限 (认证与授权)按钮级控制
CaiXinXing的CSDN博客
06-02 1139
ShiroConfig.javashiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
Shiro安全认证器之自定义realm
遗失的风景的博客
04-08 421
package com.baizhi.realm; import com.baizhi.dao.ResourceDao; import com.baizhi.dao.RoleDao; import com.baizhi.entity.Admin; import com.baizhi.service.AdminService; import org.apache.shiro.auth...
Apache Shiro权限控制实战,权限控制SpringMVC + Mybatis + Shiro
weixin_33781606的博客
06-29 139
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringAOP+自定义注解模拟shiro框架实现
06-06
首先,我们需要定义一个自定义注解 `@RequiresPermissions`,用于标识需要授权访问的方法,例如: ```java @Retention...这样,我们就通过 Spring AOP 和自定义注解模拟实现了类似 Shiro 权限校验的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值