shiro 实现自己定义权限规则校验

最新推荐文章于 2023-05-06 21:48:08 发布
最新推荐文章于 2023-05-06 21:48:08 发布
阅读量112 收藏
点赞数
文章标签: 移动开发 java 

<span style="font-family: Arial, Helvetica, sans-serif;">在系统中使用shiro进行权限管理,当用户訪问没有权限的资源时会跳转到指定的登录url。

</span>

可是假设系统中支持手机app。手机訪问时没有使用session进行登录凭证管理。而是使用token,有两种解决方法:

1:支持手机client訪问的资源在权限配置中配置成anon

2:实现自己定义认证拦截器,对用户请求资源进行认证

显然第一种方法不适用,这些资源应该仅仅能让我们自己的app进行訪问。

第二中实现方式:

 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- 登录的页面 -->
		<property name="loginUrl" value="/login/login.jsp" />
		<property name="successUrl" value="/success.jsp" />
		<property name="unauthorizedUrl" value="/error.jsp" />
		<property name="filterChainDefinitions">
			<value>
				/android.html**=anon
				/pets/android**=android
				/pets/login/**=anon
				/**=authc
			</value>
		</property>
		<property name="filters">
			<map>
				<entry key="android">
					<bean class="com.pets.shiro.filter.MobileTokenAuthentication">
					</bean>
				</entry>
				<entry key="authc">
					<bean class="com.pets.shiro.filter.LoginAuthenticationFilter">
					</bean>
					<!-- <bean class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
					</bean> -->
				</entry>
			</map>
		</property>
	</bean>

/pets/android**=android 指定认证的拦截器,这里是自己定义的拦截器
<pre name="code" class="java">/**
 * 移动设备认证基类。提供未登录用户操作认证权限
 *
 * 2014年7月8日
 */
public abstract class AbstractMobileAuthenticationFilter extends
		AuthenticationFilter {

	public static final String TOKEN = "token";
	protected Logger log = Logger.getLogger(getClass());

	@Override
	protected boolean onAccessDenied(ServletRequest request,
			ServletResponse response) throws Exception {

		log.info("安卓用户进入校验!

" + getLoginUrl()); HttpServletRequest req = (HttpServletRequest) request; String token = req.getParameter(TOKEN); if (isAccess(token)) { return onAccessSuccess(req, (HttpServletResponse) response); } return onAccessFail(req, (HttpServletResponse) response); } /** * 推断token的合法性 * * @param token * @return */ public abstract boolean isAccess(String token); /** * 认证成功进行的操作处理 * * @param request * @param response * @return true 继续兴许处理。false 不须要兴许处理 */ public abstract boolean onAccessSuccess(HttpServletRequest request, HttpServletResponse response); /** * 认证失败时处理结果 * * @param request * @param response * @return true 继续兴许处理。false 不须要兴许处理 */ public abstract boolean onAccessFail(HttpServletRequest request, HttpServletResponse response); }


仅仅须要重写 onAccessDenied方法,进行token推断! 
 
  
 
  
 
  

 
  

 
  

 
  

 
 
 


                

        

        




    




            

                    
            

    

      

        

            

              
                
                  weixin_33711647
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
shiroFilter权限验证

				
			

			

				

					09-24
				

			

		

		

			
				
web.xml配置
因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml
这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义shiroFilter
  
        <!-- Shiro的核心安全接口,这个属性是必须的 -->  
          
        <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 -->  
          
        <!-- 登录成功后要跳转的连接 -->  
        
        <!-- 用户访问未对其授权的资源时,所显示的连接 -->  
        <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp -->  
          
        <!-- Shiro连接约束配置,即过滤链的定义 -->  
        <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 -->  
        <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->  
        <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->  
        <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->  
          
            
                /statics/**=anon
                /login.html=anon
                /sys/schedule.html=perms[sys:schedule:save]
                /sys/login=anon
                /captcha.jpg=anon
                /**=authc
            
        
    

			
		

	



                

              
                



	

		

			

				
					
shiro 实现定义权限规则校验

				
			

			

				

					aaronyan1990的博客
				

				

					07-10
					
					252
					
				

			

		

		

			
				
<span style="font-family: Arial, Helvetica, sans-serif;">在系统中使用shiro进行权限管理,当用户访问没有权限的资源时会跳转到指定的登录url。</span>
但是如果系统中支持手机app,手机访问时没有使用session进行登录凭证管理,而是使用token,有两种解决方...

			
		

	



                


  
              

                


	

		

			

				
					
Shiro定义权限验证

				
			

			

				

					w_xy999的博客
				

				

					11-17
					
					1003
					
				

			

		

		

			
				
/api/permission/find/{id}  和 /api/permission/find/1进行匹配

			
		

	





	

		

			

				
					
spring shiro权限注解方式验证;

					
热门推荐

				
			

			

				

					huzheaccp的专栏
				

				

					04-30
					
					3万+
					
				

			

		

		

			
				
第一种使用shiro的注解方式:

			
		

	



		

			
		



	

		

			

				
					
SSM+Shiro+Redis实现项目的权限管理

				
			

			

				

					05-06
				

			

		

		

			
				
在`ShiroTest`这个文件中,可能包含了测试Shiro权限控制的代码,例如设置安全配置、创建安全管理器、定义权限规则、模拟用户登录以及进行权限验证的测试用例。这些测试有助于确保权限管理功能的正确性和稳定性。  ...

			
		

	





	

		

			

				
					
shiro登录拦截校验demo

				
			

			

				

					07-19
				

			

		

		

			
				
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization...通过这个demo,开发者能够快速上手Shiro,并将其应用于自己的Java Web项目中,实现高效安全的用户管理和权限控制。

			
		

	





	

		

			

				
					
shiro-jwt-oauth权限认证

				
			

			

				

					11-11
				

			

		

		

			
				
通过这两个模块,开发者可以学习如何在实际项目中集成和配置Shiro、JWT以及OAuth2.0,以实现安全且灵活的权限认证。这不仅有助于提高系统的安全性,还能提升用户体验,因为用户只需要登录一次即可访问多个受保护的...

			
		

	





	

		

			

				
					
spring boot shiro demo项目

				
			

			

				

					04-03
				

			

		

		

			
				
 - 配置Shiro Filter,定义过滤规则,如登录拦截、权限拦截等。Shiro Filter Chain 配置决定了哪些URL需要经过哪些Filter处理。  - 编写登录和登出接口,调用Shiro提供的API进行操作。  - 如果使用Web环境,可以配置...

			
		

	





	

		

			

				
					
shiro中session的共享问题与完成前后端权限校验

					
最新发布

				
			

			

				

					07-11
				

			

		

		

			
				
3. 接着,Shiro会根据请求的URL或操作,匹配预先定义权限规则(如 interceptors 或 filters)。 4. 如果用户具有执行该操作所需的权限,请求继续处理;反之,Shiro将抛出异常,返回未授权的响应。  在Spring Boot...

			
		

	





	

		

			

				
					
java的细粒度权限shiro权限校验 ssh

				
			

			

				

					11-22
				

			

		

		

			
				
java的细粒度权限shiro权限校验 Spring + Struts + hibernate

			
		

	





	

		

			

				
					
shiro 权限校验

				
			

			

				

					qq_3297的博客
				

				

					02-06
					
					426
					
				

			

		

		

			
				
applicationContext 中配置 


    
    <!-- 用户授权信息Cache:缓存控制器,来管理如用户、角色、权限等的缓存的;
  	 		因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能  --> 
    
   
      
    
    		
    	 	 
     
  
    <!-- 这里主要是设置自定义的单Realm应用,若有多

			
		

	





	

		

			

				
					
使用Shiro实现权限验证

				
			

			

				

					m0_61083409的博客
				

				

					08-28
					
					1867
					
				

			

		

		

			
				
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...

			
		

	





	

		

			

				
					
Shiro_自定义Realm完成认证和权限验证

				
			

			

				

					qq_44193036的博客
				

				

					03-04
					
					559
					
				

			

		

		

			
				
通过前面的入门程序,我们需要对Shiro的基本API执行过程有一定的了解。
securityManager在框架中充当安全管理器的角色,Subject为实体对象,通过Subject我们可以封装前台传输的用户名和密码数据,并且将实体对象传递给securitymanager。然后securitymanager会将数据交给认证器和授权器进行认证和权限验证,而认证的依据就是通过Realm,认证完成之后将结...

			
		

	





	

		

			

				
					
Shiro权限控制(三):Shiro注解权限验证

				
			

			

				

					kity9420的专栏
				

				

					04-10
					
					1万+
					
				

			

		

		

			
				
一、目标
通过注解方式实现URL的权限验证
二、前言
在前面的一篇博文中《Shiro权限控制之自定义Filter(二)》,我们的权限验证是配置在shiro配置文件中的,即在spring-shiro-web.xml中的ShiroFilterFactoryBean的filterChainDefinitions属性中,如下
    <!-- Shiro的web过滤器 -->
    <...

			
		

	





	

		

			

				
					
Shiro注解权限验证方式

				
			

			

				

					AsShadow的博客
				

				

					02-25
					
					432
					
				

			

		

		

			
				
Shiro验证权限
shiro常用的注解验证权限方式
@RequiresAuthentication

表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated()返回true。
@RequiresUser

表示当前Subject已经身份验证或者通过记住我登录的。
@RequiresGuest

表示当前Subject没有身份验证或通过记住我登...

			
		

	





	

		

			

				
					
Shiro 权限处理(自我学习版)

				
			

			

				

					m0_56532446的博客
				

				

					05-06
					
					1196
					
				

			

		

		

			
				
Shiro初步学习了解基础理论以及和SpringBoot整合

			
		

	





	

		

			

				
					
Shiro 身份验证和权限认证

				
			

			

				

					AdamShyly的博客
				

				

					05-16
					
					240
					
				

			

		

		

			
				
Spring Boot整合Shiro实现用户身份认证和权限认证_齐天小圣^O^的博客-CSDN博客_shiro怎么实现身份和权限认证


			
		

	





	

		

			

				
					
【SpringBoot框架篇】15.使用shiro对web应用进行权限认证

				
			

			

				

					皓亮君的博客
				

				

					07-08
					
					2287
					
				

			

		

		

			
				
使用shiro对web应用进行权限认证

			
		

	





	

		

			

				
					
JavaEE Shiro框架实现用户权限管理

				
			

			

				

					
				

			

		

		

			
				
"这篇文档主要介绍了如何初始化和简单使用Apache Shiro框架,涵盖了用户认证流程、权限分配的JavaEE实现以及Springboot与Shiro的初步整合。"  Apache Shiro是一个强大的安全框架,它提供了身份验证(Authentication...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值