shiro基于角色URL进行鉴权

最新推荐文章于 2022-04-26 07:50:00 发布
最新推荐文章于 2022-04-26 07:50:00 发布
阅读量608 收藏 1
点赞数
分类专栏: java 文章标签: shiro java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44480167/article/details/112639220
版权

前言

shiro基于URL进行鉴权,网上有很多,但是多数都是copy不排版,眼睛都看花了,还不如自己看看源码。
2021年1月14日21:23:49最新的shiro是1.7,使用时发现了首次访问的一个bug,然后我使用1.5.3
环境springboot 2.3.7.RELEASE + thymeleaf + shiro 1.5.3

	<dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring-boot-starter</artifactId>
      <version>1.5.3</version>
    </dependency>

自定义过滤
自定义过滤

一、登录

我并没有用到继承AuthorizingRealm来实现登录,自己进行手动验证、加密

  //我们不使用shiro的密码认证,在此验证
  //自己认证, 账号密码认证 采用 MD5 + 随机盐salt
  //密码加密方式:密码第二位插入盐 再md5加密,例如密码是123,盐是Po*-,那么加盐后是1Po*-23 再md5
  @ApiOperation("登录")
  @PostMapping("login")
  @ResponseBody
  public ResponseResult login(String username, String password) {
    Assert.notBlank(username, "账号不能为空!");
    Assert.notBlank(username, "密码不能为空!");
    try {
      //查询数据库
      SUser user = userService.getUserByUsername(username);
      if (user == null) {
        throw new UnknownAccountException("账号不存在");
      }
      if (user.getStatus() != 1) {
        return new ResponseResult(HttpCode.FAIL, "当前账号无效或被停止使用!");
      }
      if (!CommonUtils.passwordToMD5(password, user.getSalt()).equals(user.getPassword())) {
        throw new IncorrectCredentialsException("密码错误!");
      }

      //通过安全工具类获取主体,初始化时自定注入了
      Subject subject = SecurityUtils.getSubject();
      //创建token
      UsernamePasswordToken token = new UsernamePasswordToken(username, password);
      subject.login(token);
      //信息存会话中
      User info = new User();
      info.setId(user.getId());
      info.setUsername(user.getUsername());
      info.setNickname(user.getNickname());
      request.getSession().setAttribute("user", info);
    } catch (UnknownAccountException e) {
      log.error("账号不存在!");
      return new ResponseResult(HttpCode.FAIL, e.getMessage());
    } catch (IncorrectCredentialsException e) {
      log.error("无效的凭据,密码错误!");
      return new ResponseResult(HttpCode.FAIL, "无效的凭据,密码错误!");
    } catch (LockedAccountException e) {
      log.error("当前账号被锁定,无法登录");
      return new ResponseResult(HttpCode.FAIL, "当前账号被锁定,无法登录");
    } catch (AuthenticationException e) {
      log.error("授权过程中的异常:{}", e.getMessage());
      return new ResponseResult(HttpCode.FAIL, "登录异常" + e.getMessage());
    }

    //登录后,返回原访问页面
    SavedRequest savedRequest = WebUtils.getSavedRequest(request);
    if (savedRequest != null) {
      // 登录前url
      return new ResponseResult(HttpCode.OK, "登录成功!", savedRequest.getRequestUrl());
    }
    String referer = request.getParameter("referer");
    if (StrUtil.isBlank(referer)) {
      referer = "/";
    } else if (referer.contains("/register")) {
      referer = "/";
    }
    return new ResponseResult(HttpCode.OK, "登录成功!", referer);
  }

二、自定义过滤

查询当前URL需要哪些角色,没有就走到401返回JSON

import com.example.shirodemo.service.PermissionService;
import java.util.List;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.beans.factory.annotation.Autowired;

/**
 * @author 绫小路
 * @date 2021/1/10 19:54
 * @description
 */
public class PermissionFilter extends AccessControlFilter {

  private static final String UN_RESPONSE_MESSAGE = "{\"timestamp\":%d,\"code\":1,\"message\":\"未授权资源\"}";

  @Autowired
  private PermissionService permissionService;

  @Override
  protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    Subject subject = SecurityUtils.getSubject();
    //判断是否登录
    if (!subject.isAuthenticated()) {
      // 通过阅读源码,AccessControlFilter的protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response)
      // 才是跳转到登录的正确姿势,网上大多数姿势采用重定向,采用的重定向无法保存访问记录,登录后无法回到原访问页面
      saveRequestAndRedirectToLogin(request, response);
    }
    HttpServletRequest httpRequest = WebUtils.toHttp(request);
    String uri = httpRequest.getRequestURI();
    //获取访问此URL的角色
    List<String> roles = permissionService.getPermissionRole(uri);
    if (!roles.isEmpty()) {
      if (subject.hasRoles(roles).length > 0) {//有此角色,放行
        return true;
      }
    }

    //401 返回json数据,此处可灵活使用 HttpServletRequest HttpServletResponse 转发到你想要的页面
    HttpServletResponse httpResponse = WebUtils.toHttp(response);
    httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    httpResponse.setHeader("Content-type", "application/json;charset=utf-8");
    httpResponse.setCharacterEncoding("UTF-8");//防止中文乱码
    httpResponse.getWriter().write(String.format(UN_RESPONSE_MESSAGE, System.currentTimeMillis()));
    return false;
  }

  @Override
  protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    return false;
  }
}

三、配置

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import com.example.shirodemo.config.custom.PermissionFilter;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.Filter;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @author 绫小路
 * @date 2021/1/10 16:55
 * @description
 */
@Configuration
public class ShiroConfig {


  //1 SecurityManager 流程控制
  @Bean
  public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("customAuthorizingRealm")CustomAuthorizingRealm customAuthorizingRealm) {
    DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
    defaultWebSecurityManager.setRealm(customAuthorizingRealm);
    //do something...
    return defaultWebSecurityManager;
  }

  //2 ShiroFilterFactoryBean 请求过滤器
  @Bean
  public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
    //添加Shiro内置过滤器
    /**
     * Shiro内置过滤器,可以实现权限相关的拦截器
     *    常用的过滤器:
     *       anon: 无需认证(登录)可以访问
     *       authc: 必须认证才可以访问
     *       user: 如果使用rememberMe的功能可以直接访问
     *       perms: 该资源必须得到资源权限才可以访问
     *       role: 该资源必须得到角色权限才可以访问
     */
    Map<String, String> filterMap = new HashMap<String, String>();
    //授权过滤器
    //注意:当前授权拦截后,shiro会自动跳转到未授权页面
    //perms括号中的内容是权限的值
//    filterMap.put("/add", "perms[user:add]");
    filterMap.put("/admin/**", "authc");

    filterMap.put("/swagger-ui/**", "authc");
    filterMap.put("/v2/**", "authc");

    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

    //登录页面
    shiroFilterFactoryBean.setLoginUrl("/login");

    //自定义过滤
    Map<String, Filter> filter = new HashMap<>();
    //添加自定义过滤器
    filter.put("authc", permissionFilter());
    shiroFilterFactoryBean.setFilters(filter);
    return shiroFilterFactoryBean;
  }

  /**
   * 注入自定义过滤器
   */
  @Bean
  public PermissionFilter permissionFilter() {
    return new PermissionFilter();
  }
}
CustomAuthorizingRealm.java
import com.example.shirodemo.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

/**
 * @author 绫小路
 * @date 2021/1/10 16:58
 * @description
 */
@Component //交给spring托管
public class CustomAuthorizingRealm extends AuthorizingRealm {

  @Autowired
  private UserService userService;

  //授权,每次访问都会授权一次,不缓存会对数据库造成压力
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    System.out.println(11111);
    return null;
  }

  //认证, 账号密码认证 采用 MD5 + 随机盐salt
  //密码加密方式:密码第二位插入盐 再md5加密,例如密码是123,盐是Po*-,那么加盐后是1Po*-23 再md5
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    //因为在controller中做了认证,这里直接返回即可
    return new SimpleAuthenticationInfo(token.getPrincipal(), token.getCredentials(), this.getName());
  }
}

效果图

正常访问:
在这里插入图片描述
登录后未授权访问
在这里插入图片描述

凌康ACG
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Shiro权限管理框架
king220022的博客
04-11 1124
对于细颗粒度的权限管理不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。
http(三)接口动态鉴权
w_t_y_y的博客
05-26 7341
一、问题说明:接口如果是被同一个项目的前端项目调用,一般都是加了各种鉴权的,比如springsercurity+token安全机制,shiro 等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,肯定是不需要登录的,所以需要在自身的权限控制中放开 该接口的token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方做个鉴权; 二、鉴权方法: 鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:...
vue从url中获取token并加入到 请求头里_BATJ都会用到的接口鉴权cookie、session 和token...
weixin_42565755的博客
02-03 1170
鉴权鉴权是指验证用户是否拥有访问系统的权利—鉴定权限。cookie、session和token为什么会有cookie、session和token?1、 http是无状态协议什么是无状态呢?答:当前请求和上一次或者下一次请求是没有任何关系的,好处是速度快,坏处是无法共享信息。2、 互联网的兴起以前的网站,基本用来查看些文件或者图片,作为服务器不需要记录谁来放访问了什么文件,每次来一个新的H...
鉴权/授权】基于角色的简单授权认证
dotNET跨平台
04-26 342
微信公众号:趣编程ACE关注可了解.NET日常开发技巧。如需源码,请公众号留言 源码;上文回顾【鉴权/授权】一步一步实现一个简易JWT鉴权鉴权/授权】自定义一个身份认证Handler授权小Demo前面两篇文章中,我利用简单的小例子实现了JWT授权、自定义授权的实现(参考上文回顾)。今天我分享下如何在自定义鉴权后实现基于角色的简单授权认证。OK,上代码。。。。。1var...
shiro身份验证授权入门
fwdwqdwq的博客
04-22 542
一、 介绍: shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org/reference.html 与spring security区别,个人觉得二者的主要区别是: 1、shir
easy-shiro的登录认证、鉴权例子,
04-09
在描述中提到的"直接用SessionTokenUtils.setToken传入sessionid进行鉴权",这表明Easy-Shiro允许开发者通过SessionID进行鉴权,这在分布式环境中尤为有用,例如,当Session存储在Redis或Memcached等集中式缓存中时...
shiro:shiro基于url做的权限系统
03-11
在“shiro:shiro基于url做的权限系统”中,我们将深入探讨如何利用Shiro来实现基于URL的权限控制。 **一、Shiro简介** Apache Shiro是一个轻量级的安全框架,它不依赖于Spring等其他容器,可以独立使用。Shiro的...
基于Shiro 拦截URL,实现权限控制
08-02
1. **配置Shiro**:在Spring或者其他的配置文件中,你需要声明并配置Shiro的相关过滤器,如`authc`(用于身份验证)、`perms`(基于权限的拦截)和`roles`(基于角色的拦截)。 2. **定义角色和权限**:在提供的`...
对应本博客:shiro、基于url权限管理章节的源代码
10-14
本博客主要关注的是如何利用Shiro进行基于URL的权限管理,这对于构建一个用户友好且安全的Web系统至关重要。 **Shiro基础** 1. **身份验证(Authentication)**:这是确认用户身份的过程,通常涉及用户输入用户名...
SSM整合shiro实现角色权限
03-31
SSM整合Shiro实现角色权限是一项常见的Web应用安全实践,主要目的是为了实现用户登录认证、权限控制以及会话管理等功能。SSM框架是由SpringSpring MVC和MyBatis三个组件组成的,而Apache Shiro则是一个强大且易用...
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
Shiro-Action:基于Shiro的权限管理系统,支持Restful url授权,体验地址
03-11
Shiro-Action 本项目使用Spring Boot构造,使用加深对Spring BootShiro的学习,项目特色是支持restful风格权限控制,支持对同一URL,不同HTTP Mehtod的权限控制,适用于更多的场景。 预览地址: : 文档地址: : 默认管理员账号: admin ,密码: 123456 。 普通用户账号: user ,密码: 123456 。 为了不影响其他人的浏览体验,请尽量不要进行删除类的敏感操作。 admin为超级管理员,自动拥有全部权限。 系统特色 支持根据同URL,不同的HTTP方法来验证权限,更支持restful场景。 集成OAuth2登录,并且提供提供接口简化扩展开发。 总体异常处理。根据请求方式区分返回json数据还是错误页面。 Logback MDC支持,将当前登录人和操作者IP加入日志中。 JSR-303数据校验 运行环境 J
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1388
首先,代码核心逻辑来自https://blog.csdn.net/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
【常用功能】使用自定义注解完成URL鉴权功能
绊脚石
01-07 582
背景:用户有对应菜单的权限,但是如果用户知道了其他菜单的URL,直接访问URL的话,就可以访问用户本来并不 具有权限的菜单,所以为了避免这种越权访问现象,提出根据URL鉴权的功能。 一、新建自定义注解 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented @Inherited public @i...
shiro 从数据库中获取url 配置权限
qq_35167373的博客
07-17 2484
目标:这种配置是写死的,而我们需要做活 1、使用 perms 如:       /admins/user/**=perms[user:add:*]表示:要访问【/admins/user/**】必须具有【user:add:* 】权限       perms支持使用逗号隔开,不过需要两个权限都有才可以 2、原配置类为  ShiroFilterFactoryBean &lt;bean ...
Jfinal与shiro集成实现动态URL鉴权,不装插件只需要一个类
Joph_csu的专栏
12-30 2883
Jfinal与Shiro集成,有玛雅牛和dreamip两个Jfinal插件,但还是想以简单的方式实现动态URL鉴权。 本人的实现思路是,利用Shiro本身的过滤器扩展来实现动态通过数据库URL授权。方法如下: 1. 新建一个JFinal Maven项目 2. pom.xml中添加对Shiro的引用: org.apache.shiro
我的开源:shiro实现分布式session和url权限验证
陈海龙的格物之路
09-23 392
本文讲述了如何基于shiro实现分布式session和url权限验证。
shiro 注解鉴权
最新发布
09-29
Shiro注解鉴权是一种通过在代码中添加注解来进行权限控制和角色验证的方式。Shiro支持使用@RequiresPermissions和@RequiresRoles两个注解来实现注解鉴权。@RequiresPermissions注解用于指定访问某个方法需要的权限,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凌康ACG

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值