shiro 同时实现url和按钮的拦截_shiro自定义过滤器对restful风格实现拦截的问题

最新推荐文章于 2022-02-04 08:27:59 发布
最新推荐文章于 2022-02-04 08:27:59 发布
阅读量301 收藏
点赞数
文章标签: shiro 同时实现url和按钮的拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39752788/article/details/111525418
版权

重写了PathMatchingFilterChainResolver的getChain方法:

public class RestPathMatchingFilterChainResolver extends PathMatchingFilterChainResolver {

private static final Logger log = LoggerFactory.getLogger(RestPathMatchingFilterChainResolver.class);

public RestPathMatchingFilterChainResolver() {

super();

}

public RestPathMatchingFilterChainResolver(FilterConfig filterConfig) {

super(filterConfig);

}

@Override

public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {

FilterChainManager filterChainManager = getFilterChainManager();

if (!filterChainManager.hasChains()) {

return null;

}

String requestURI = getPathWithinApplication(request);

String[] urls = null;

for (String pathPattern : filterChainManager.getChainNames()) {

urls = pathPattern.split("--");

if (urls.length == 2) {

// 分割出url+httpMethod,判断httpMethod和request请求的method是否一致,不一致直接false

if (WebUtils.toHttp(request).getMethod().toUpperCase().equals(urls[1].toUpperCase())) {

pathPattern = urls[0];

}

}

if (pathMatches(pathPattern, requestURI)) {

if (log.isTraceEnabled()) {

log.trace("Matched path pattern [" + pathPattern + "] for requestURI [" + requestURI + "]. " +

"Utilizing corresponding filter chain...");

}

if (urls.length == 2) {

pathPattern = pathPattern.concat("--").concat(WebUtils.toHttp(request).getMethod().toUpperCase());

}

return filterChainManager.proxy(originalChain, pathPattern);

}

}

return null;

}

}

重写了ShiroFilterFactoryBean的createInstance方法:

public class RestShiroFilterFactoryBean extends ShiroFilterFactoryBean {

private static final Logger logger = LoggerFactory.getLogger(RestShiroFilterFactoryBean.class);

public RestShiroFilterFactoryBean() {

super();

}

@Override

protected AbstractShiroFilter createInstance() throws Exception {

logger.debug("Creating Shiro Filter instance.");

SecurityManager securityManager = this.getSecurityManager();

String msg;

if (securityManager == null) {

msg = "SecurityManager property must be set.";

throw new BeanInitializationException(msg);

} else if (!(securityManager instanceof WebSecurityManager)) {

msg = "The security manager does not implement the WebSecurityManager interface.";

throw new BeanInitializationException(msg);

} else {

FilterChainManager manager = this.createFilterChainManager();

RestPathMatchingFilterChainResolver chainResolver = new RestPathMatchingFilterChainResolver();

chainResolver.setFilterChainManager(manager);

return new RestShiroFilterFactoryBean.SpringShiroFilter((WebSecurityManager)securityManager, chainResolver);

}

}

private static final class SpringShiroFilter extends AbstractShiroFilter {

protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {

super();

if (webSecurityManager == null) {

throw new IllegalArgumentException("WebSecurityManager property cannot be null.");

}

setSecurityManager(webSecurityManager);

if (resolver != null) {

setFilterChainResolver(resolver);

}

}

}

}

然后更改shiro配置文件使用自定义的RestShiroFilterFactoryBean:

/api/user/test--POST=anon

/api/**=jwt

/**=anon

在这里由于我是写在配置文件中的,所以==的格式不行,换成了--的格式.测试了两个方法,/api/user/test分别有get和post请求,然后post添加不用认证,如上xml配置文件所示,测试通过,暂时只用到认证,以上可以解决认证的问题.

看基于shiro的改造集成真正支持restful请求还重写了RestPathMatchingFilter的pathsMatch方法,在他的文章中这个类主要是给BJwtFilter继承做授权使用,我现在暂时只用到认证,所以还没有深入了解.

以上已经能够解决同一个url不同的httpMethod请求时的授权问题,如有什么问题,还请大家指出.

weixin_39752788
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro学习笔记:整合spring之拦截器链执行流程
Boone的博客
02-18 3302
一、环境准备搭建好spring + shiro整合环境(本文环境Spring 4.3.10.RELEASE + Shiro 1.4.0)后,编写登录页面如下:<html> <head> <title>登录页</title> </head> <body> <div style="color:red;"&
shiro 同时实现url按钮拦截_shiro教程(1)-基于url权限管理
weixin_39897505的博客
12-19 152
shiro教程系列一、 权限管理1.1什么是权限管理基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。1.2用户身份认证1.2.1...
Shiro 改造成 Restful 风格
pomer_huang的博客
04-13 5648
Apache Shiro 具有两种认证方式:①Filter 认证方式;②注解认证方式:在需要认证的方法上添加注解 @RequiresAuthentication、@RequiresPermissions、@RequiresRoles 等等 1.针对 Filter 的认证方式 Apache Shiro 默认配置了 11 个 Filter,分别是 public enum Defaul...
Shiro + JWT + Spring Boot Restful
qq_24692021的博客
11-23 212
特性 完全使用了 Shiro 的注解配置,保持高度的灵活性。 放弃 Cookie ,Session ,使用JWT进行鉴权,完全实现无状态鉴权。 JWT 密钥支持过期时间。 对跨域提供支持。 准备工作 在开始本教程之前,请保证已经熟悉以下几点。 Spring Boot 基本语法,至少要懂得Controller、RestController、Autowired等这些基本注释。其实看看官方的 Getting-Start 教程就差不多了。 JWT...
Spring Shiro基础组件 FilterChainResolver
我家有猫已长成的博客
02-04 183
Spring Shiro基础组件 FilterChainResolver 简介。
shiro 同时实现url按钮拦截_十分钟带你轻松入门Shiro
weixin_39541844的博客
12-31 153
首先集成Spring、SpringMVC和Shiroorg.springframeworkspring-context4.3.18.RELEASEorg.springframeworkspring-webmvc4.3.18....
shiro 拦截未登录的ajax_shiro自定义未登录返回状态
weixin_39621774的博客
12-19 285
在用shiro做登陆的时候,如果访问的地址没有登陆,会自定义返回到Web工程根目录下的"/login.jsp"页面,而这个不是我想要的,所以需要自定义登陆页面。shiroFilterFactoryBean.setLoginUrl("/h/login");通过这样的设置,就能让未登录的用户,跳转到自定义的登陆页面了。但是,这里主要讲的是前后端分离情况下,前端通过ajax的形式来访问数据,后端java...
shiro 实现多种方式登录_前后端分离架构使用shiro框架进行登录的两种实现
weixin_39832348的博客
12-28 459
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny():...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
`CustomShiroFilter`是自定义过滤器实现具体的权限控制逻辑。 通过以上步骤,我们可以构建出一个基于Springboot+Vue+Shiro的前后端分离应用,实现了权限控制,同时解决了跨域问题。这种架构不仅提高了开发效率...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
4. **拦截器或过滤器**:在SpringBoot中,可以创建一个Shiro拦截器或过滤器,对每个请求进行检查,确保请求带有有效的JWT。如果令牌无效或过期,Shiro将阻止请求并返回相应的错误信息。 5. **授权策略**:Shiro支持...
springboot_thymeleaf_shiro.zip
07-05
- 配置Shiro过滤器链,定义哪些URL需要进行权限校验。 - 实现登录页面,处理用户登录请求,通过Shiro完成身份验证。 以上就是"springboot_thymeleaf_shiro.zip"项目中涉及的核心技术和整合流程。通过这样的...
shiro安全框架扩展教程--如何动态修改资源权限不需要重启项目
dawuafang
09-02 337
大家好,感觉好长时间没有上来更新博客的样子,因为上段时间都忙着泡妞,请见谅,最后妞没泡到,只能继续伤心研究代码,之后的几个文章都是关于shiro框架的,网上关于这个框架的资料都是泛泛而谈,没有跟实际应用结合到一起,然后我把自己的一些应用心得,以及如何扩展该框架适用于我们应用项目的做法,分享给大家...大家贱笑了 不说笑了,言归正传,我不说如何配置基本的架子了,这个大家自行去看吧,网上太多...
关于shiro拦截filterChainDefinitions的设置及使用过程源码分析
热门推荐
平凡的世界
05-14 1万+
shiro源码分析,查了些资料,针对于在shiro框架中设置filterChainDefinitions遇到的小问题,做一下分析备忘记录。问题描述:在设置filterChainDefinitions的时候,如果/k/**设置在/k/index之前,那么/k/index将不会生效,有规则说:拦截器的优先级是从上到下,从左到右,如果有匹配的拦截器就会阻断并返回。源码分析filterChainDefin...
shiro如何拦截restful风格的api
stay hungry ! stay foolish!
05-01 5220
shiro如何拦截restful风格的apirest 风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;示例 “/users=rest[user]”,会自动拼出“user:read,user:crea...
基于shiro的改造集成真正支持restful请求
tomsun28
05-15 5973
基于shiro的改造集成真正支持restful请求 这个模块分离至上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 首先说明设计的这个安全体系是是RBAC(基于角色的权限访问控制)授权模型,即用户--角色--资源,用户不直接和权限打交道,角色拥有资源,用户拥有这个角色就有权使用角色所用户的资源。所有这里没有权限一说,签发jwt里面也就只有用户所拥...
JSON Web Token(JWT)原理和用法介绍
weixin_33913332的博客
12-26 1530
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。今天给大家介绍一下JWT的原理和用法。 官网地址:https://jwt.io/ 一、跨域身份验证 Internet服务无法与用户身份验证分开。一般过程如下。 1. 用户向服务器发送用户名和密码。 2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3. 服务器向用户返回session_id,sess...
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
最新发布
09-06
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
shiro过滤器如何拦截url
04-22
Shiro过滤器可以通过配置拦截指定的URL路径,当请求的URL与配置的路径匹配时,Shiro会调用相应的过滤器...通过这样的配置,Shiro可以自动拦截相应的URL路径,并根据配置的过滤器进行处理,从而实现URL的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值