shiroFilter配置详解

最新推荐文章于 2024-01-12 16:22:50 发布
最新推荐文章于 2024-01-12 16:22:50 发布
阅读量890 收藏
点赞数 1
分类专栏: java 文章标签: java 数据库 spring 分布式 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web17886480312/article/details/126496220
版权

Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。

Shiro 权限配置一般使用的有两种,一种是采用注解的方式,在我们的Controller 方法上,或者Action方法上写入一些权限判断注解,具体怎么使用,我不做介绍,我主要推荐使用配置的方式。这也是我们现在要讲到的配置方式加载系统基础权限控制,采用对Url进行控制。

一、Shiro配置文件配置方式

  1. `<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">`

  2. `<property name="securityManager" ref="securityManager" />`

  3. `<property name="loginUrl" value="/u/login.shtml" />`

  4. `<property name="successUrl" value="/" />`

  5. `<property name="unauthorizedUrl" value="/?login" />`

  6. `<!-- 基本系统级别权限配置-->`

  7. `<property name="filterChainDefinitions" >`

  8. `<value>`

  9. `/page/login.jsp = anon <!-- 登录相关不拦截 -->`

  10. `/page/register/* = anon`

  11. `/page/index.jsp = authc`

  12. `/page/addItem* = authc,roles[数据管理员]`

  13. `/page/file* = authc,roleOR[普通用户,数据管理员]`

  14. `/page/listItems* = authc,roleOR[数据管理员,普通用户]`

  15. `/page/showItem* = authc,roleOR[数据管理员,普通用户]`

  16. `/page/updateItem*=authc,roles[数据管理员]`

  17. `/** = anon <!-- 其他不拦截 -->`

  18. `</value>`

  19. `</property>`

  20. `<!-- 自定义shiro 的 Filter -->`

  21. `<property name="filters">`

  22. `<util:map>`

  23. `<entry key="login" value-ref="login"></entry>`

  24. `</util:map>`

  25. `</property>`

  26. `</bean>`

主要看上面的?`filterChainDefinitions`部分,这里是配置我们的的`url`和对应的`Filter`关系配置。

**重要:**这里的加载顺序是自上而下,所以看到我们/** 写到最后,因为匹配不中最后都让这个匹配中。后面我们会讲到采用配置文件加载怎么有序加载。

二、Shiro filterChainDefinitions 中配置讲解

栗子1,带参数配置方式:

  1. /admin/ask/editor.shtml = role[2008,2009]

上面配置的意义:就是在请求/admin/ask/editor.shtml链接时候进入别名为roleShiro Filter,并且参数为数组[2008,2009],这里参数的意思是角色编号。具体这个参数怎么取,最下面的 5.2 点看代码。

栗子2,简单配置方式:

  1. `/admin/ask/editor.shtml = role`

上面的配置意义: 就是在请求`/admin/ask/editor.shtml`链接时候进入别名为`role`的`Shiro Filter`。

栗子3,多个Shiro Filter配置方式:

  1. /admin/ask/editor.shtml = login,role[2008,2009]

上面配置意义:就是在请求/admin/ask/editor.shtml链接时候先进入 别名为loginFilter,并且无参数。别名为loginFilter如果没通过,就不会走别名为roleFilter,如果别名为loginFilter返回true,则进入别名为roleFilter。也就是从前到后。

这样的场景是很正常的业务场景,就是先判断登录,再判断角色权限。

栗子4,Shiro Filter的执行顺序:

记住这句话, “ 自上而下,从左到右” 即可。如下代码:

  1. `/admin/ask/editor.shtml = login,role[2008,2009]`
  2. `/admin/ask/** = login,role[007]`

如果来了一个链接为“`/admin/ask/update.shtml`” ,先对比`/admin/ask/editor.shtml`是否匹配,如果匹配不中再走下面的通配`/admin/ask/**`匹配中了后,再执行`login Filter`,然后通过`login Filter`后再执行`role[007] Filter`。

**所以记住一点,权限为金字塔状,先精确匹配或是权限稍小在前面,权限大(模糊匹配)的在后面。**具体可以看**栗子5**.

栗子5,通配(模糊匹配):

  1. /admin/ask/** = login,role[007]
  2. /admin/** = login,role[008]
  3. /** = login

上面是一个典型的金字塔式匹配方式,/**是匹配所有,也就是如果上面的/admin/ask/**/admin/**都匹配不中的时候,才走/** = login。如果反过来配置,如下:

  1. `/** = login`
  2. `/admin/** = login,role[008]`
  3. `/admin/ask/** = login,role[007]`

这样配置的话,全部都走?`/** = login`了,下面的2个不可能会走。再看下面:

  1. /admin/** = login,role[008]
  2. /admin/ask/** = login,role[007]
  3. /** = login

这样配置的话,那就永远都不会走/admin/ask/**,因为都给/admin/**拦截了。

三、Shiro 的默认Filter 对应的类

Filter名称

类路径(点击可以进入官方介绍,强烈建议看看

anon

?org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

?org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

noSessionCreation

org.apache.shiro.web.filter.session.NoSessionCreationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

四、自定义Shiro Filter 配置

定义Shiro Filter bean,在Spring 相关配置文件中配置。

  1. `<!-- 自定义Filter bean-->`
  2. `<bean id="login" class="com.sojson.core.shiro.filter.LoginFilter">`
  3. `<property name="customShiroSessionDAO" ref="customShiroSessionDAO"/>`
  4. `</bean>`
  5. `<bean id="role" class="com.sojson.core.shiro.filter.RoleFilter"/>`
  6. `<bean id="permission" class="com.sojson.core.shiro.filter.PermissionFilter"/>`
  7. `<bean id="simple" class="com.sojson.core.shiro.filter.SimpleAuthFilter"/>`

定义`Shiro Filter Bean`对应关系。

  1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  2. ??? <!-- 省略配置,参考上面的代码 -->
  3. <!-- 自定义shiro 的 Filter -->
  4. <property name="filters">
  5. <util:map>
  6. <!-- key 定义 Filter的别名,而 value-ref 对应上面bean的id -->
  7. <entry key="login" value-ref="login"></entry>
  8. <entry key="role" value-ref="role"></entry>
  9. <entry key="simple" value-ref="simple"></entry>
  10. <entry key="permission" value-ref="permission"></entry>
  11. <entry key="kickout" value-ref="kickoutSessionFilter"></entry>
  12. </util:map>
  13. </property>
  14. </bean>

这样就配置完成了。

五、自定义Shiro Filter

上面配置了Shiro Filter,那下面举个栗子,然后以判断角色(role)Filter的代码。

5.1 摘取配置文件中对Filter的配置:

  1. `/admin/ask/editor.shtml = role[2008,2009]`

解释一下上面代码的意思,就是在请求`/admin/ask/editor.shtml`链接时候进入别名为`role`的`Shiro Filter`,并且参数为数组`[2008,2009]`,这里参数的意思是角色编号。

**5.2 Java代码,RoleFilter的定义:**

  1. package com.sojson.core.shiro.filter;

  2. import javax.servlet.ServletRequest;

  3. import javax.servlet.ServletResponse;

  4. import javax.servlet.http.HttpServletResponse;

  5. import org.apache.shiro.subject.Subject;

  6. import org.apache.shiro.util.StringUtils;

  7. import org.apache.shiro.web.filter.AccessControlFilter;

  8. import org.apache.shiro.web.util.WebUtils;

  9. /**

  10. *

  11. * 开发公司:SOJSON在线工具 <p>

  12. * 版权所有:? www.sojson.com<p>

  13. * 博客地址:http://www.sojson.com/blog/ <p>

  14. * <p>

  15. *

  16. * 角色判断校验

  17. *

  18. * <p>

  19. *

  20. * 区分 责任人 日期    说明<br/>

  21. * 创建 周柏成 2016年6月2日  <br/>

  22. *

  23. * @author zhou-baicheng

  24. * @email so@sojson.com

  25. * @version 1.0,2016年6月2日 <br/>

  26. *

  27. */

  28. public class RoleFilter extends AccessControlFilter {

  29. static final String LOGIN_URL = "http://www.sojson.com/user/open/toLogin.shtml";

  30. static final String UNAUTHORIZED_URL = "http://www.sojson.com/unauthorized.html";

  31. @Override

  32. protected boolean isAccessAllowed(ServletRequest request,

  33. ServletResponse response, Object mappedValue) throws Exception {

  34. //取到参数[2008,2009] ,强制转换判断。

  35. String[] arra = (String[])mappedValue;

  36. Subject subject = getSubject(request, response);

  37. for (String role : arra) {

  38. //判断是否有拥有当前权限,有则返回true

  39. if(subject.hasRole("role:" + role)){

  40. return true;

  41. }

  42. }

  43. return false;

  44. }

  45. @Override

  46. protected boolean onAccessDenied(ServletRequest request,

  47. ServletResponse response) throws Exception {

  48. Subject subject = getSubject(request, response);

  49. if (subject.getPrincipal() == null) {//表示没有登录,重定向到登录页面

  50. saveRequest(request);

  51. WebUtils.issueRedirect(request, response, LOGIN_URL);

  52. } else {

  53. if (StringUtils.hasText(UNAUTHORIZED_URL)) {//如果有未授权页面跳转过去

  54. WebUtils.issueRedirect(request, response, UNAUTHORIZED_URL);

  55. } else {//否则返回401未授权状态码

  56. WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);

  57. }

  58. }

  59. return false;

  60. }

  61. }

这样说的很清楚了吧。再有问题加群交流。

原文地址:https://www.sojson.com/blog/199.html

web17886480312
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro基础(一)shiroFilter
qq_34573549的博客
02-18 2404
一、功能简介 shiro是java的一个安全(权限)框架,不仅可以用于javaSE环境,还可以用于javaEE环境。shiro可以完成认证、授权、加密、会话管理、缓存等功能。 Authentication:身份认证/登录。 Authorization:授权,即权限验证。 Session Manager:会话管理 Crpytography:加密 Web Support:Web集成 Re...
Shiro的过滤链设计机制
weixin_66108666的博客
04-14 189
笔记
Shiro的常见用法
chy1984的博客
07-25 1765
新建类CustomRealm,继承AuthorizingRealm/*** 自定义的Realm/*** 授权方法,权限校验时自动调用//获取主体标识 String username =(String) principalCollection . getPrimaryPrincipal();//使用dao层,根据主体标识查询用户对应的角色、权限,此处略过 Set < String > permissions = null;
Day41项目saas-export项目-shiro认证***
翁老师的教学团队
11-09 585
Shiro过滤器&标签简介 判断 sesion中是否有 user 判断账户密码是否正确 (1)分析 需要过滤器控制 没有权限下访问链接 需要标签控制 没有权限下 界面元素的隐藏 》anon代表不认证也可以访问,通常对静态资源进行放行 》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证,Shiro会自动跳转到login.jsp页面 Shiro登陆认证-判断session中的user (1)过滤器 在项目中使用认证过滤器拦截资源(该
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3741
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
SpringBoot整合Shiro的代码详解
08-29
public ShiroFilter FactoryBean shiroFilterFactoryBean() { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager()); factoryBean....
详解spring与shiro集成
08-29
2. 在Spring的DispatcherServlet配置中,注册Shiro Filter。 3. 配置Spring的ApplicationContext,使它能够加载Shiro配置。 4. 在应用程序启动时,初始化Shiro的SecurityUtils.setSecurityManager()。 **应用实例**...
详解Spring Boot 集成Shiro和CAS
08-30
Shiro 的配置主要包括两个部分:一个是 Shiro 的配置文件,另一个是 Shiro 的 Filter 配置。Shiro 的 Filter 配置主要包括身份验证、授权、会话管理等功能。 CAS 介绍 CAS(Central Authentication Service)是一...
Spring 整合Shiro 并扩展使用EL表达式的实例详解
08-27
接下来需要在 web.xml 中定义一个 ShiroFilter,以拦截所有需要权限控制的请求。通常情况下,配置为 /* 。 ```xml <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web....
shiro学习笔记
04-03
4. **Filter 配置**:Shiro 提供了一系列的Filter,如LoginFilter、AuthcFilter等,可以方便地配置在Web.xml中。 5. **记住我(Remember Me)**:Shiro 可以实现“记住我”功能,下次登录时自动识别用户身份。 6. **...
Shiro实际使用(实现各种实用的拦截器)
qq_38053426的博客
12-12 3201
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用了shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     配置: <!-- 1. 配置 Shiro 的
Shiro登录的使用以及原理(二)----Filter过滤器原理和使用
大鹏的博客
11-27 622
在第一篇中进行的简单的介绍了Shiro的登录的实现https://blog.csdn.net/qq_38340127/article/details/109866392,因为主要为了后续的Spring结合Shiro,而Shiro通过Filer实现的,所以此篇主要讲Filter原理和使用。 一 Filter 过滤器 在web项目中Filer的主要功能就是对用户请求做预处理,接着将请求交给servlet处理并响应,然后Filter在对该相应进行后置处理。 web浏览器-------->web服务器-
Spring-shiro-Boot-1 整合shiro的配置文件1-ShiroConfig
良之才的专栏
03-04 1200
shiro是纯java的权限管理框架,可以处理认证、权限、加密等标准需求。 shiro的思路就是给控制处理。封装处理的其实很不错,使用起来很方便。 但是,使用shiro得了解一些它的基本特点。 ======================================= 一、shiro权限模型 (1)配置之前,需要知道基本的权限控制概念。这里使用数据库模型控制。【用户-角色-权限】 (2)权限表--sys_permission (3)角色表-sys_role (4)角色...
Shiro框架:Shiro内置过滤器源码解析
最新发布
博客园
01-12 1136
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
Shiro过滤器配置(ShiroFilterFactoryBean)
qq_43842093的博客
12-13 1285
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); // Shiro的核心安全接口,这个属性是必须的
Spring项目集成ShiroFilter简单配置
weixin_30869099的博客
05-18 120
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaweb工作的,我就经常遇到需要实现权限控制的项目,之前我们都是靠查询数据获取列表拼接展示的,还有的是及时的判断权限的问题的,现在有了Shiros了,我们就可以统一的进行设置权限问题,Shrios的实现也是很简单的,下面让我们来看看具体实现步骤 web.xml配...
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 1002
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
shiro与spring整合中shiroFilter配置参数loginUrl及unauthorizedUrl含义小记
TYOUKAI_的博客
03-15 7272
&nbsp;&nbsp;&nbsp;&nbsp; shiro与spring整合的时候一般会使用shiro的Filter来代理网站的Filter。网上有很多关于配置shiroFilter的例子,但是感觉都没有给出参数的具体含义。在此小小的记录一下。 shiroFilter的xml配置如下: &lt;!-- Shiro Filter --&gt; &lt;bean id="sh...
shiroconfig配置详解
04-22
Shiro 提供了一个简单的配置文件 shiro.ini ,定义了身份验证器(Authenticator)、授权器(Authorizer)、Realm 和过滤器链(Filter Chain)。shiro.ini 配置文件还包括: 1. 注释以及默认配置项 2. 不同环境下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值