shiro常用注解和过滤器,编写自定义注解实现 anon 所有人访问功能

已于 2023-11-25 23:33:36 修改
阅读量696 收藏 1
点赞数
文章标签: java 开发语言
于 2023-11-20 20:11:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45947759/article/details/134517516
版权

1. 注解

在这里插入图片描述
已登录,未记住我,重开浏览器之后,就成了未登录

@RequiresGuest:未登录可以访问;认证过或使用记住我功能拒绝访问
@RequiresAuthentication: 认证过可以访问,其他时候拒绝访问
@RequiresUser: 认证过或使用记住我功能可以访问
@RequiresPermissions(value = {“user:create”, “user:update”}, logical = Logical.AND)
同时具备2个权限才能访问
@RequiresPermissions(value = {“user:create”, “user:update”}, logical = Logical.OR)
拥有其中任意一个权限就可以访问
@RequiresRoles 跟 @RequiresPermissions 使用差不多的

2. 过滤器

在这里插入图片描述

3. 自定义注解

一般做法:ShiroFilterFactoryBean 中设置 filterChainDefinitionMap 如图:
在这里插入图片描述
一旦接口发生了变更就得重新写一下接口路径,这很麻烦,于是编写自定义注解完成这个繁琐的操作

正片开始
思路:自定义注解@Anon 通过反射获取所有标记这个注解的接口,然后加入filterChainDefinitionMap

3.1 自定义注解

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Anon {
}

3.2 JwtFilter中处理

public class JwtFilter extends BasicHttpAuthenticationFilter {

	/**
     * 执行登录认证
     *
     * 在ShiroConfig中获取全部的接口 会导致aop失效
     *    原因:controller 和 service 被提前实例化,导致这些类不会被 BeanPostProcessor 代理,从而导致部分 aop 功能失效
     *    分析:获取所有接口的目的在于判断这个接口是否标记了 Anon 注解,也就是是否能够机型匿名访问
     *         之前是提前获取接口添加到 filterChainDefinitionMap 从而实现匿名访问
     *         JwtFilter是认证的入口,并且所有请求都会到达这里,在这里进行判断就可以避免上述问题的发生
     *    解决:通过处理器适配器获取 handler 及目标类的目标方法,判断是否包含 Anon 注解
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        WebApplicationContext applicationContext = RequestContextUtils.findWebApplicationContext(httpServletRequest);
        RequestMappingHandlerMapping handlerMapping = applicationContext.getBean("requestMappingHandlerMapping", RequestMappingHandlerMapping.class);
        HandlerExecutionChain handler = null;
        try {
            handler = handlerMapping.getHandler(httpServletRequest);
            Annotation[] declaredAnnotations = ((HandlerMethod) handler.getHandler()).
                    getMethod().getDeclaredAnnotations();
            for(Annotation annotation:declaredAnnotations){
                if(Anon.class.equals(annotation.annotationType())){
                    return true;
                }
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        executeLogin(request, response);
        return true;
    }
}
脑壳疼___
关注
spring boot整合shiroshiro过滤器介绍
无名剑
08-07 1万+
过滤器链条配置说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过 3、部分过滤器可指定参数,如perms,roles Shiro内置的FilterChain anon(org.apache.shiro.web.filter.authc.AnonymousFilter):例子/admins/**=anon 没有参数,表示可以匿...
java anon,shiro anon 不生效
weixin_42348021的博客
03-19 1608
在使用springboot整合shiro的过程中,希望静态资源资源不受shiro过滤器‘authc’拦截,于是定义了“anon”,测试发现根本不生效,静态资源路径下的资源(如/js/**)依旧会被拦截并重定向到/login,以下是我的shiro javaconfigShiroConfig.java@Configurationpublic class ShiroConfig {@Value("${s...
ctfshow-WEB-web5_ctfshow web5
最新发布
2401_84240129的博客
06-19 798
ctf.show WEB模块第5关需要传递两个参数,一个字符串,一个数字,并且两个参数的md5值必须相同,我们可以利用md5的0e漏洞进行绕过0e绕过是指:0e开头的字符串在参与弱类型比较时,会被当做科学计数法,结果转换为0;我们只要传入两个md5值是以0e开头的参数,即可绕过md5加密,夺取flag页面中展示了部分源码,从源码中我们可以得知,想要夺旗需要通过GET请求传递两个参数v1和v2,并且参数v1必须是纯字母字符串,参数v2必须是数字或者数字字符串,并且两个参数的md5值必须相等。
SpringBoot 、Shiro自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro自定义注解权限控制
自定义Shiro注解
weixin_33909059的博客
04-23 550
自定义Shiro注解 顺序 创建自定义的注解 资源管理器,继承AuthorizationAttributeSourceAdvisor,添加新注解支持 AOP拦截器,继承AopAllianceAnnotationsAuthorizingMethodInterceptor 方法拦截器,继承AuthorizingAnnotationMeth...
Shiro自定义过滤器
m0_67402588的博客
03-28 1110
最近在学习shiro。 由于shiro过滤器是与的格式,在实际编辑过滤器链的时候 /admin/** = authc,roles[admin,passenger] 本意是想admin和passenger角色都能够拥有对 /admin/** 的进行访问,但是shiro内部过滤器的逻辑是与,即同时拥有admin和passenger的角色才可以对路径进行访问。 因此,需要自己定义一个过滤器实现或的逻辑,定义一个过滤器如下 public class CustomRolesAuthorizationFilter
基于shiro自定义注解扩展
chengyang1086的博客
08-07 438
基于shiro自定义注解的扩展 根据我的上一篇文章,权限设计的杂谈中,涉及到了有关于前后端分离中,页面和api接口断开表与表层面的关联,另辟蹊径从其他角度找到方式进行关联。这里我们主要采取了shiro自定义注解的方案。本篇文章主要解决以下的问题。 如何通过逻辑进行页面与api接口的关联。...
shiro基础(一)shiroFilter
qq_34573549的博客
02-18 2439
一、功能简介 shirojava的一个安全(权限)框架,不仅可以用于javaSE环境,还可以用于javaEE环境。shiro可以完成认证、授权、加密、会话管理、缓存等功能。 Authentication:身份认证/登录。 Authorization:授权,即权限验证。 Session Manager:会话管理 Crpytography:加密 Web Support:Web集成 Re...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
springboot项目中使用shiro 自定义过滤器和token的方式
a1472750149的博客
02-09 895
1. 在项目中导入maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apach...
SpringBoot集成Shiro(自定义过滤器、自定义Token、加盐加密、记住密码、自动登录、Session管理)...
海若的博客
07-10 1004
导入依赖 <!--thymeleaf集成shiro模版--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro<...
“如何避开 shiro自定义拦截和WebMvcConfigurationSupport 过滤器的各种坑!!!!!”
萝卜坑
12-24 1910
场景:因开发需要,时间有限,便在某云上下载了一个开源框架-脚手架,希望能便捷开发,提高开发效率 ps:框架是个好框架,大家也可以学习学习[springboot_v2](https://gitee.com/bdj/SpringBoot_v2) 问题描述:因为这个框架本身采用shiro 做权限拦截,本身是属于一个web管理后台框架,但是我这边需求是还需要对接手...
authc过滤器 shiro_Shiro过滤器
weixin_39609071的博客
01-26 1211
Shiro内置过滤器认证相关过滤器anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授权相关的过滤器:perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
shiro框架rule设置为anon和rlue规则说明
zj1561585178的博客
01-17 740
shiro框架源码过滤器合集:org.apache.shiro.web.filter.mgt.DefaultFilter。//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了,登出后跳转配置的loginUrl。//配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据。//除了匿名访问的资源,其它都要认证("authc")后访问。// 配置不会被拦截的链接 顺序判断。//注意过滤器配置顺序 不能颠倒。// 登录成功后要跳转的链接。
Shrio中添加自定义认证过滤器
wangdaoyin2010的专栏
03-29 691
1、添加自定义认证过滤器类 创建一个类继承与AuthenticatingFilter 2、在Shrio配置中配置ShiroFilterFactoryBean,在配置ShiroFilterFactoryBean的时候设置setFilters为过滤器。 注意:添加的自定义过滤器一定不能注入成bean,不然可能会发生No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.Thre
shiro通过注解方式自定义控制接口无需认证访问的解决过程
热门推荐
凌大大的博客
01-26 1万+
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
Shiro内置过滤器
l_cl_java的博客
05-23 6105
运行 Web 应用时,Shiro会创建一些有用的默认 Filter 实例,并自动地在 [main] 项中将它们置为可用这些可用的默认的 Filter 实例是被 DefaultFilter 枚举类定义的(枚举的名称字段就是可供配置的名称)ssl :org.apache.shiro.web.filter.authz.SslFilteruser :org.apache.shiro.web.filter....
shiro过滤器
amoscxy的博客
09-20 392
文章目录shiro过滤器 shiro过滤器 跟认证相关的过滤器 anon:不需要任何认证 authBasic:HttpBasic authc:需要认证之后才可以访问 user:当前存在用户才可以访问 logout:退出 跟事务权限相关的过滤器 perms:必须具备相关的权限才可以访问 roles:必须具备相关的角色才可以访问 ssl:安全的协议(Https)才可以访问 port:要求端口是“()”...
springMVC springBoot shiro 自定义shiro授权注解,自定义授权解析器
mxywxwk的博客
10-22 739
  shiro支持注解式的授权控制,共有5个: @RequiresAuthentication:当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。 @RequiresUser:当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest:当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles:当前 Subject 需要的角色。 @RequiresPermi
shiro开放接口权限自定义注解,并在ShiroFilterFactoryBean中添加,用java语言编写
06-03
好的,针对您的问题,您可以使用Shiro提供的权限注解 `@RequiresPermissions`,并通过自定义注解实现权限控制。 以下是一个示例代码,其实现了一个自定义注解 `@ApiPermission`,并在 `ShiroFilterFactoryBean` 中添加了该注解,用于控制开放接口的访问权限: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface ApiPermission { String[] value() default {}; } public class ApiPermissionFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { Subject subject = getSubject(request, response); String[] permissions = (String[]) mappedValue; if (permissions == null || permissions.length == 0) { return true; } for (String permission : permissions) { if (subject.isPermitted(permission)) { return true; } } return false; } } @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); Map<String, Filter> filterMap = new LinkedHashMap<>(); filterMap.put("apiPermission", new ApiPermissionFilter()); factoryBean.setFilters(filterMap); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/api/**", "apiPermission[api:read]"); filterChainDefinitionMap.put("/**", "authc"); factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } } @RestController public class ApiController { @GetMapping("/api/test") @ApiPermission("api:read") public String test() { return "Hello, World!"; } } ``` 在上述代码中,我们定义了一个 `ApiPermissionFilter`,用于判断用户是否具有访问开放接口的权限。然后,在 `ShiroFilterFactoryBean` 中添加了该过滤器,并在 `filterChainDefinitionMap` 中使用 `apiPermission[api:read]` 来控制 `/api/**` 下的所有请求的访问权限。 最后,在 `ApiController` 中使用 `@ApiPermission("api:read")` 注解来标识需要具有 `api:read` 权限才能访问的接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值