shiro注解@RequiresRoles()、@RequiresPermissions()不生效,以及静态资源被拦截

最新推荐文章于 2024-08-01 07:45:00 发布
最新推荐文章于 2024-08-01 07:45:00 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46303407/article/details/104348862
版权

shiro在使用前需要配置,其中就会有一个名叫ShiroConfig的类

···

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
@Bean
MyRealm myRealm() {
return new MyRealm();
}

@Bean
SecurityManager securityManager() {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    manager.setRealm(myRealm());
    return manager;
}

@Bean
ShiroFilterFactoryBean shiroFilterFactoryBean() {
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(securityManager());
    bean.setLoginUrl("/login");
    bean.setSuccessUrl("/dept");
    bean.setUnauthorizedUrl("/unauthorizedurl");



    Map<String, String> map = new LinkedHashMap<>();
    map.put("/lib/**", "anon");
    map.put("/dologin", "anon");
    map.put("/**", "authc");
    bean.setFilterChainDefinitionMap(map);
    return bean;
}


@Bean
@ConditionalOnMissingBean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
    defaultAAP.setProxyTargetClass(true);
    return defaultAAP;
}



@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}

}

···

其中

···
@Bean
@ConditionalOnMissingBean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
defaultAAP.setProxyTargetClass(true);
return defaultAAP;
}

@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
···

1、这两个如果不加上的话,就会导致@RequiresRoles()、@RequiresPermissions()等注解失效

2、一般情况,我们会将css文件和js文件等静态资源放到一个名为static的文件夹下面,如果没有配置的话,可能就会出现这些静态资源被拦截。

如果这些文件放置在static/lib下面,因为static是默认扫描的,所以static文件夹下面的文件在访问时路径不必加static。所以我们就需要在ShiroConfig类中加上代码 map.put("/lib/**", “anon”);

在这里插入图片描述

这样,这个文件夹下面的文件就不会被拦截

weixin_46303407
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot的Shiro使@RequiresPermissions失效,@Transactional无效,404异常
qq_37893888的博客
12-12 1833
最近在做Spring boot的shrio集成,关于怎么集成网上有很多例子,不过不知那不对,总不能一次性的完成,导致在使用的时候坑就特别多 shiro集成进来后,调用API直接404异常。 部分代码如下: @ApiOperation(&quot;文章页&quot;) @GetMapping(value = &quot;&quot;) @RequiresPermissions(&quot;systemUserAdd&quot;) pu..
shiro 开启 @RequiresRoles, @RequiresPermissions 注解
weixin_44730681的博客
12-03 1459
首先说明,本文springboot 整合 shiro,使用的是starter,shiro-spring-boot-web-starter 如果使用这个starter,shiro 已经默认开启了 @RequiresRoles, @RequiresPermissions 注解支持,不需要在shiroConfig 中配置了 所以,你不需要以下配置了: /** * 开启Shiro注解(如@RequiresRoles,@RequiresPermissions), * 需借助SpringAO
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro、 自定义注解权限控制
shiro的@RequiresPermissions,@RequiresRoles解析流程
qq_61592687的博客
08-11 4111
全网最新讲解shiro的@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
使用RequiresRoles注解介绍、应用场景和示例代码
a_beiyo的博客
08-01 178
是 Apache Shiro 提供的注解之一,用于在方法或类级别上指定需要的角色。当方法或类被标记为时,Shiro 将检查当前用户是否具有指定的角色,如果不具备则访问会被拒绝。
shiro添加注解@RequiresPermissions不起作用
qq_41183828的博客
11-11 350
这是因为没有开启spring拦截器, 在spring-mvc.xml中加入以下代码就可以了(一定要写在最先加载的xml中,写在后面加载的xml中也不起作用) <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" /> <bean class="org.apache.shir
springboot使用shiro的@Requiresroles注解不起作用(解决方法)
weixin_45947759的博客
05-21 689
shiro的视频发现@Requiresroles不生效 解决方法:spring容器中 @Bean public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() { DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator(); advisorAutoProxyCreator.
shiro的@RequiresPermissions不生效和无权限跳异常而不是shiro指定的无权页面
老王的博客
06-06 5869
shiro和springmvc结合时需要关注的2个问题一个是shiro的@RequiresPermissions不生效一个是无权限跳异常而不是shiro的无权指定页面错误页面 applicationContext-shiro.xml中的关于过滤链的配置: 一、 shiro的@RequiresPermissions不生效产生原因:由于fillter是在spring容器中,而不是在springmvc容...
@RequiresRoles使用
qq_41212530的博客
09-24 2万+
前提:使用这两个注解的前提是会进入到Realm的doGetAuthorizationInfo()授权方法中。 一 @RequiresRoles 1、授权方法中给用户添加角色 2、 controller中注解的书写 首先是有super角色的管理员访问,显示请求成功 非super角色的管理员登录 ...
“如何避开 shiro自定义拦截和WebMvcConfigurationSupport 过滤器的各种坑!!!!!”
萝卜坑
12-24 1865
场景:因开发需要,时间有限,便在某云上下载了一个开源框架-脚手架,希望能便捷开发,提高开发效率 ps:框架是个好框架,大家也可以学习学习[springboot_v2](https://gitee.com/bdj/SpringBoot_v2) 问题描述:因为这个框架本身采用shiro 做权限拦截,本身是属于一个web管理后台框架,但是我这边需求是还需要对接手...
Shiro第十九章-动态url权限控制、拦截器自定义
海恩的博客
04-30 1904
简介 即访问url时进行权限匹配,如果没有权限则直接跳到错误页面。 在Shiro中,更多的是通过AOP进行方法级别的权限控制,而通过url进行权限控制是一种集中的权限控制。 示例 拦截器:如authc、anon等字符串为一个拦截器;拦截器链:url=authc为一条拦截器链;拦截器链集合:url1=authc,url2=anon为拦截器链集合。 仿chapter16的示...
JAVAWEB开发之权限管理(三)——shiro与企业项目整合开发(基于Spring)
07-18 9279
原理回顾 什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该 资源的访问权限才可以访问该 资源。 权限模型:标准权限数据模型包括 :用户、角色、权限(包括资源和权限)、用户角色关系、角色权限关系。
Shiro权限管理
ycfxhsw的博客
04-25 688
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
shiro权限鉴定框架
yu_kang的博客
08-07 1377
如果你看到这篇文章,你一定知道shiro是干嘛用的,如果真的真的不知道。。。 那么请先移步:shiro 。 。 。 好了,聪明的你现在一定知道shiro是干嘛用的了,你应该知道,shiro不是web框架,所有你要先搭建好一个web项目,我这里用的是ssm,你也可以用比好好玩的jFianl或者nutz。那么怎么去用呢。 maven示例 springMVC配置文件 web.xml ...
shiro见招拆招(其一): (已解决)shiro权限注解@RequireRole和 @RequiresPermissions使用无效解决方案
浮-沉
07-29 2061
shiro见招拆招: @RequiresRoles和 @RequiresPermissions使用无效解决方案前言场景再现-- @RequiresRoles失效场景再现-- @RequiresPermissions失效其他原因未完待续 前言 最近笔者在做 CMS系统 的时候, 针对安全框架进行选型, 其实说白了就是对shiro和security进行筛选, 百度一圈, 知乎一圈敲定使用shiro作为安全框架, 和很多人一样, 第一次使用shiro 自然师从涛哥, 从shiro讲解上 涛哥无疑 NO.1(这真
shiroRequiresPermissions注解用法
热门推荐
01-15 3万+
RequiresPermissions的作用 RequiresPermissionsshiro提供的一个注解类。主要是用作权限校验的一种方式。 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RequiresPermissions { ...
shiro使用经验总结:【同时实现url和按钮的拦截,只能用配置文件。不需要用注解!!!已多次测试=@RequiresPermissions不能拦截url直接访问。只能拦截标签(鸡肋,不要用!!)
全力以赴烂口发_青春饭耗不起
01-11 1246
shiro使用经验总结: 【同时实现url和按钮的拦截,只能用配置文件。不需要用注解!!!已多次测试 ====@RequiresPermissions不能拦截url直接访问。只能拦截标签(鸡肋,不要用!!)
springboot shiro 中@RequiresRoles使用(简单明了!!好文章!!)
HD243608836的博客
05-24 2419
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userNa
Shiro中@RequiresRoles使用
程序新视界
01-27 5159
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userName =
shiro的@RequiresPermissions注解value格式
最新发布
08-07
`@RequiresPermissions` 是 Apache Shiro 中的一个权限检查注解,用于标记需要特定权限才能访问的方法或控制器。它的 `value` 参数通常采用字符串数组的形式,用于指定所需的权限列表。例如: ```java @RequiresPermissions("role:admin,action:viewUser") public void adminAction() { // 只有拥有 "admin" 角色并且具有 "viewUser" 权限的用户可以访问这个方法 } ``` 这里的 `value` 属性值 `"role:admin,action:viewUser"` 表示这个方法需要同时具备 `admin` 角色和 `viewUser` 权限。每个权限项由两部分组成,第一部分是角色名(role),第二部分是动作名(action)。你可以根据实际需求设置多个权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值