ShiroFilter拦截

最新推荐文章于 2024-04-12 14:42:56 发布
最新推荐文章于 2024-04-12 14:42:56 发布
阅读量641 收藏
点赞数
文章标签: java servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69797860/article/details/130152494
版权
文章详细介绍了ShiroFilter如何定义和管理拦截器,包括anon,authc,logout,roles和perms等拦截器的作用,以及url匹配规则如/**的使用。此外,提出了使用FilterChainResolver和静态工厂方法实现拦截器链的动态配置,以解决硬编码问题,最后展示了修改applicationContext.xml文件的示例。
摘要由CSDN通过智能技术生成

ShiroFilter拦截

上面的ShiroFilter中有如下图的代码


这主要是用来定义ShiroFilter拦截哪些请求,以及怎么拦截请求的。

拦截器链

在上图中,左边是url,右边是拦截器。
常见的拦截器有:

  • anon:任何人都可以访问
  • authc:只有认证后才可以访问
  • logout:只有登录后才可以访问
  • roles[角色名]:只有拥有特定角色才能访问,例如/admin.jsp = roles[user]
  • perms["行为"]:只有拥有某种行为的才能访问,例如/admin/deluser = prems["user:delete"]
  • 想了解更多拦截器,可以参考shiro.apache.org/web.html#default-filters

url匹配

  • 在上图中,有用到/**,这是代表所有请求,是为了拦截其余未定义拦截规则的请求。
  • 其实这透露了url匹配是从上到下的,比如login.jsp由于前面定义了/login.jsp = anon,所以就不会交给/**来拦截了。
  • 另外,是可以有多个拦截器的,所以/admin/** = authc, roles[administrator]也是可以的。

url属性

上面的ShiroFilter还配置了下图的属性,这是用来定义发生一些情况时跳转到哪个页面的。

  • 比如配置了loginUrl,那么发起未认证的请求都会跳转到loginUrl
  • successUrl是用来定义登录成功后调整到哪个页面(如果controller跳转了视图那么这个失效)
  • unauthorizedUrl是用来定义访问不是自己权限的时跳转到哪个页面(普通的authc不会触发,roles会触发。)。

拦截器链的自定义

在上面都是使用硬编码的方式来定义拦截器链。下面将解决这个硬编码问题
一种方法是使用FilterChainResolver来处理,这里使用map的方式来处理。
定义一个类,核心方法是返回一个LinkedHashMap【有序是为了确保从上到下匹配】:

复制代码

package com.progor.utils;
import java.util.LinkedHashMap;

public class FilterChainMap {
    // 使用静态工厂
    public static LinkedHashMap<String, String> getFilterChainMap(){
        LinkedHashMap<String, String> map = new LinkedHashMap<>();
        // 下面的数据可以从数据库中查询出来。
        map.put("/login.jsp", "anon");
        map.put("/shiro/login", "anon");
        map.put("/shiro/logout", "logout");
        map.put("/admin.jsp", "authc");
        map.put("/**", "authc");
        return map;
    }
}

修改applicationContext.xml:

复制代码

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/list.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <property name="filterChainDefinitionMap" ref="filteChainMap"></property>
        <!--去掉filterChainDefinitions-->
    </bean>
    <!--核心是获取这个map,由于使用了静态工厂,所以这样定义这个bean-->
    <bean id="filteChainMap"  class="com.progor.utils.FilterChainMap" factory-method="getFilterChainMap" ></bean>

补充:

上面讲述了ShiroFilter的配置,解决了请求的拦截问题。

小璨神
关注
Shiro实现登录拦截与用户认证
Healerjy的博客
05-18 471
测试结果:用户名和密码输入都正确则进入首页,并且能够具有add、update的权限,如果用户名或密码输入错误则有相应的提示。编写Shiro配置类 UserRealm类同上。新建一个login.html作为拦截后跳转的登录页面。测试结果:没有权限将会跳转到登录页面。编写controller接口。配置UserRealm类。修改登录页面部分代码。
shiro核心拦截ShiroFilter工作原理
安分_pingping
05-16 2072
ShiroFilter工作原理:* Shiro提供了与Web集成,其通过ShiroFilter入口来拦截需要安全控制的url,然后进行相应的权限控制。* ShiroFilter类似于Struts2/SpringMVC这种Web前端框架的前端控制器,是安全控制的入口点,其负责是读取配置(如ini文件),然后判断权限是否需要登录/权限等工。1).因为我们在applicationContext.xml...
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml配置shiros的过滤拦截。正常情况下,我们需要将shirofilter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
Shiro拦截ajax请求
大宇的博客,欢迎访问
03-28 3752
        今天又发现了一个新的问题,Shiro拦截器不能够拦截ajax请求,需要自定义一个拦截器来拦截ajax请求。 package com.ssi.domains.secutity; import org.apache.shiro.SecurityUtils; import org.apache.shiro.subject.Subject; import org.apache.sh...
shiro Filter--拦截
weixin_30530523的博客
11-22 758
shiro自带的filter:下面主要叙述顺序是 NameableFilter-》OncePerRequestFilter-》AdviceFilter-》PathMatchingFilter-》AuthenticationFilter(AuthenticatingFilter)-》FromAuthenticationFilter ①NameableFilter有一个name属性,定...
SpringBoot+Shiro实现登陆拦截功能
loliDapao的博客
04-01 464
上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。 首先介绍下Shiro:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架: Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro是一个接口,接口定义...
Shiro拦截器的使用-yellowcong
12-17 957
第一种方式,就是写死在代码的方式,第二种方式,是通过查询数据的方式,动态设定权限内容。第二种方式,在实际的工作,用得比较的多 源码下载地址https://gitee.com/yellowcong/shior-dmeo/tree/master/test第一种:写死在配置文件ShiroFilterFactoryBeanfilterChainDefinitions,直接在xml文件配置死了
shiro过滤html页面,SpringBoot:集成Shiro拦截配置
weixin_39555179的博客
06-04 542
前言前面的几篇博客都是说的用户如何认证,如何授权,那么用户认证授权之后,我们该如何使用这些信息呢?这里我们就需要使用到Shiro框架拦截器功能.通过拦截器功能实现用户权限和角色的应用,下面我们就来看一下我们如何使用拦截器实现用户权限认证的应用.拦截器分类说明在配置拦截器之前,我们需要先了解Shiro本身给我们提供的拦截器都有什么,都有着什么样的特点.下面我们就来用表格的形式来看一下各种拦截器的...
shiro登录拦截校验demo
07-19
- ShiroFilter拦截请求,通过`Subject.login()`方法进行身份验证。 - Shiro会调用Realm获取并验证用户凭证,成功则登录成功,失败则抛出异常。 5. **权限拦截**: - Shiro Filter可以设定访问控制规则,如基于...
shiro拦截Filter,整合jwt,token校验
weixin_46164384的博客
01-19 1924
请求声明其拦截
02.Shiro实现登录拦截
qq_56403015的博客
11-07 647
在完成了对Shiro的基本配之后,我们就可以进行对我们的网页使用Shiro进行登录拦截
shiro框架 01.使用shiro框架进行认证拦截(也就是进行url访问时候的拦截)
qq_38757863的博客
06-28 932
这里需要配置一个配置类,使用的注解是@Configuration,这表示修饰的类会有多个注解@bean来修饰的方法,而@bean修饰的方法通常用于构造一个对象,并且交给spring容器进行。第三步:在 Shiro 配置添加 ShiroFilterFactoryBean 对象的配置。通过此对象设置资源匿名访问、认证访问。在/templates/pages/添加一个 login.html 页面,然后将项目部署到 web 服务器,并启动测试运行。//除了匿名访问的资源,其它都要认证(“authc”)后访问。
springboot整合shiro之——拦截路径
最新发布
qq_58341172的博客
04-12 616
身份认证、授权、加密、会话管理Web支持、缓存、多线程、测试、允许一个用户假装为另一个用户的身份进行访问、记住我。
Shiro使用过滤器拦截用户的请求
September的博客
12-19 7252
Shiro使用过滤器拦截用户的请求 拦截配置信息在spring.xml配置文件配置 &lt;bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"&gt; &lt;property name="securityManager" ref="securityManager...
Shiro页面权限拦截
qq_36008278的博客
01-07 2860
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); Users users=UserUtil.getUser(); String userType=users.getUserType(); authoriz
关于shiro拦截路径配置问题
test_00的博客
08-18 836
前言 搞了两天半,说句实话,我也是摸着石头过河,之前在https://www.iteye.com/blog/jinnianshilongnian-2019547上看了一遍,实战还是出问题啊 关于网上doGetAuthorizationInfo认证方法不执行问题,我是没遇到, 我没有使用@RequestPermission注解,也没有引用如下两个jar包之一 <!--这两个包我都没有引用,据说是用来解决doGetAuthorizationInfo不执行的方式之一。我引入过shiro-spring-boo
shiro配置拦截
分享日常bug
11-10 709
如果你是从第一节配置shiro过来的!记得在ShiroFilterFactoryBean 上面添加@Bean注解。
shiro 拦截
zsg88的专栏
07-08 452
Shiro使用了与Servlet一样的Filter接口进行扩展 1、NameableFilter NameableFilterFilter起个名字,如果没有设置默认就是FilterName;还记得之前的如authc吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;   2、OncePerRequestFilter OncePerRequestFilter用于防止多次执
如何放开Shiro对OPTIONS请求的拦截
JokerLiu的博客
03-19 6621
如何放开Shiro对OPTIONS请求的拦截 最近出现前台访问后端接口预请求,返回302重定向到shiro的登录地址的bug。定位好久后发现是OPTIONS请求的时候没有带token,导致shiro认为是未登录状态,然后重定向到登录地址。所以我们现在的解决方法就是放开shiro对所有OPTIONS的拦截。 首先确定后端是否配置好跨域,允许所有请求方式跨域访问。然后建立ShiroUserFilter...
shiro登录拦截
08-23
Shiro登录拦截器是Shiro框架的一个组件,用于实现用户登录的拦截和控制。它可以在用户请求到达后台之前拦截请求,并根据用户的登录状态进行处理。 通常,Shiro登录拦截器的配置需要在Shiro配置文件进行。在配置文件,你可以指定需要进行登录拦截的URL路径,以及登录成功后的跳转页面等信息。 在Shiro框架,一般会使用一个自定义的拦截器类来实现登录拦截器的逻辑。这个拦截器类需要继承Shiro提供的`org.apache.shiro.web.filter.authc.FormAuthenticationFilter`类,并重写其的方法,以实现自定义的登录逻辑。 具体来说,你可以在自定义拦截重写`onAccessDenied`方法,在该方法判断用户是否已经登录,如果未登录,则进行登录操作;如果已经登录,则放行请求。 除了自定义拦截器外,你还需要在Shiro配置文件将该拦截配置为过滤器链的一部分,以便在请求到达时触发拦截器的逻辑。 总结一下,Shiro登录拦截器是用于实现用户登录拦截和控制的组件,需要在Shiro配置文件配置,并通过自定义拦截器类实现具体的登录逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值