shiro过滤器

最新推荐文章于 2024-01-12 16:22:50 发布
最新推荐文章于 2024-01-12 16:22:50 发布
阅读量453 收藏 3
点赞数 1
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhf852963/article/details/117082192
版权

一、背景

       主要讲一下在 ShiroConfig shiroFilterFactoryBean() 的方法中的一些过滤条件配置和注意事项,shiro 支持自定义过滤器,我们下面会讲,先看下原生支持的一些标签。

 二、配置

       配置主要分为两类,第一类设置一些界面跳转的地址,第二类是设置一些过滤器的配置

// Filter工厂,设置对应的过滤条件和跳转条件
	@Bean
	public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
		// Shiro的核心安全接口,这个属性是必须的
		shiroFilter.setSecurityManager(securityManager);
		
		//身份认证失败,则跳转到登录页面的配置 没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,
        //不输入地址的话会自动寻找 /login 对应的 controller 的地址
		shiroFilter.setLoginUrl("/login");

		//登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。
		//shiroFilter.setSuccessUrl("/");
		
		//没有权限默认跳转的页面
		//shiroFilter.setUnauthorizedUrl("");
		
		//filterChainDefinitions的配置顺序为自上而下,以最上面的为准
		//shiroFilter.setFilterChainDefinitions("");

        //当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,
        //并自动地在[main]项中将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称

         /**
         * anon---------------没有参数,表示可以匿名使用
         * 		org.apache.shiro.web.filter.authc.AnonymousFilter
         * 
         * authc--------------表示需要认证(登录)才能使用,没有参数
         * 		org.apache.shiro.web.filter.authc.FormAuthenticationFilter
         * 
         * authcBasic---------没有参数表示httpBasic认证
         * 		org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
         * 
         * logout-------------退出的Filter实例
         * 		org.apache.shiro.web.filter.authc.LogoutFilter
         * 
         * noSessionCreation--未创建session的Filter实例
         * 		org.apache.shiro.web.filter.session.NoSessionCreationFilter
         * 
         * perms--------------参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],
         * 					      当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。
         * 		org.apache.shiro.web.filter.authz.PermissionAuthorizationFilter
         * 
         * port---------------当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,
         * 					  serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。
         * 		org.apache.shiro.web.filter.authz.PortFilter port[8081]
         * 
         * rest---------------根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。
         * 		org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
         * 
         * roles--------------参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],
         * 					      每个参数通过才算通过,相当于hasAllRoles()方法。
         * 		org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
         * 
         * ssl----------------没有参数,表示安全的url请求,协议为https
         * 		org.apache.shiro.web.filter.authz.SslFilter
         * 
         * user---------------没有参数表示必须存在用户,当登入操作时不做检查
         * 		org.apache.shiro.web.filter.authz.UserFilter 
         */

        /**
         * 可将上面的过滤器分为认证过滤器和授权过滤器。
         * 第一组认证过滤器:anon,authc,authcBasic,user
         * 第二组授权过滤器:perms,port,rest,roles,ssl

         * 注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的
         * user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe 说白了,
         * 以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc
         */

       /**
         * 举几个例子
         *  /admin=authc,roles[admin]
         *  	表示用户必需已通过认证,并拥有admin角色才可以正常发起'/admin'请求
         *  
         *  /edit=authc,perms[admin:edit]
         *  	表示用户必需已通过认证,并拥有admin:edit权限才可以正常发起'/edit'请求
         *  
         *  /home=user
         *  	表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起'/home'请求
         */

        /**
         * 各默认过滤器常用如下(注意URL Pattern里用到的是两颗星,这样才能实现任意层次的全匹配)
         *  /admins/**=anon
         * 		无参,表示可匿名使用,可以理解为匿名用户或游客
         * 
         *  /admins/user/**=authc
         *  	无参,表示需认证才能使用
         *  
         *  /admins/user/**=authcBasic
         *  	无参,表示httpBasic认证
         *  
         *  /admins/user/**=ssl
         *  	无参,表示安全的URL请求,协议为https
         *  
         *  /admins/user/**=perms[user:add:*]
         *  	参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"]。
         *  	当有多个参数时必须每个参数都通过才算通过,相当于isPermitedAll()方法
         *  
         *  /admins/user/**=port[8081]
         *  	当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString。
         *  	其中schmal是协议http或https等,serverName是你访问的Host,8081是Port端口,queryString是你访问的URL里的?后面的参数
         *  
         *  /admins/user/**=rest[user]
         *  	根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等。
         *  
         *  /admins/user/**=roles[admin]
         *  	参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如:/admins/user/**=roles["admin,guest"]。
         *  	当有多个参数时必须每个参数都通过才算通过,相当于hasAllRoles()方法
         *
         */

        // Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时),配置不会被拦截的链接 顺序判断
		Map<String, String> map = new LinkedHashMap<>();		
		// 不能对login方法进行拦截,若进行拦截的话,这辈子都登录不上去了,这个login是LoginController里面登录校验的方法
		map.put("/login", "anon");
        // 对静态资源添加过滤
		map.put("/static/**", "anon");		
		//对所有请求添加验证
		map.put("/**", "authc");
        shiroFilter.setFilterChainDefinitionMap(map);
		return shiroFilter;

 

快乐的小三菊
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
springmvc+shiro自定义过滤器的实现代码
08-26
SpringMVC+Shiro自定义过滤器的实现代码 itle"springmvc+shiro自定义过滤器的实现代码"所涉及的知识点如下: 1. SpringMVC拦截器 在SpringMVC中,拦截器(Interceptor)是一种特殊的Bean,它可以在请求处理之前、...
shiro动态配置过滤器
yaoct的博客
05-14 3666
在创建AbstractShiroFilter(shiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
shiro
weixin_50204197的博客
03-26 960
shiro,认证
shiro setFilterChainDefinitionMap 多个路径不生效问题
热门推荐
woaiqianzhige的博客
11-30 1万+
shiro setFilterChainDefinitionMap 多个路径不生效问题 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put("/cms/admin/**", "perms[admin]"); map.put("/cms/appeal/**", "perms[appeal]");
shiro过滤器和权限控制
weixin_44044929的博客
07-21 2548
shiro过滤器配置、权限控制
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求过滤。自定义了relam和过滤器来实现这些功能
shiro_springboot
10-04
4. **过滤器配置**:配置 Shiro 过滤器,如 `authc` 过滤器用于处理登录请求,`perms` 过滤器用于权限控制。 5. **Spring Boot 配置**:在 `WebSecurityConfigurerAdapter` 的子类中,将 Shiro过滤器链注册到 ...
shiro整合SpringBoot
10-14
- 创建 `ShiroConfig` 类,用于配置 Shiro 过滤器链。在这里,我们将定义哪些 URL 需要通过 Shiro 进行拦截和处理。 - 配置 Realm(域),这是 Shiro 进行身份验证和授权的核心组件。你需要实现 `AuthorizingRealm...
解决springboot+swagger+shiro过滤器执行顺序的问题
weixin_38405770的博客
12-17 1146
1、首先说问题吧,springboot整合swagger+shiro在访问http://localhost:8080/swagger-ui.html时被拦截了,但是配置的拦截链是放行的,好像没有起作用,拦截器配置代码如下 @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager, ..
Shiro学习(3)shiroConfig配置类
m0_67403240的博客
08-24 1896
配置原理:对SecurityManager来说他管理了所有的Realm,通过这些代码获取了Realm管理信息。注意SecurityManager导包,是shiro的SecurityManager。可以直接创建CustonRealm这个对象,也可以通过Realm创建。在web程序中,shiro进行权限控制是通过一组过滤器集合进行的操作。3、通用配置(跳转登录页面,为授权跳转的页面)4、开启对shiro注解的支持。3、配置shiro过滤器工厂。
Shiro动态修改权限部分
zzhao114的博客
02-20 5587
简介 通过修改shiroFilter的class来实现。通过继承org.apache.shiro.spring.web.ShiroFilterFactoryBean类,并把继承类配置到shiro的配置文件中既可。 FilterChainDefinitionsService.java package com.shiro; import java.util.Map; import
Shiro框架:Shiro内置过滤器源码解析
最新发布
博客园
01-12 1163
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
快速上手Shiro拦截器、认证、授权功能
piaolaoshi的博客
03-20 8244
快速实现shiro拦截器授权认证等功能
关于实现shiro权限拦截遇到的一些坑
lao_hu_的博客
11-24 1013
shiro自定义拦截时,响应json格式数据
shiro基础(一)shiroFilter
qq_34573549的博客
02-18 2408
一、功能简介 shiro是java的一个安全(权限)框架,不仅可以用于javaSE环境,还可以用于javaEE环境。shiro可以完成认证、授权、加密、会话管理、缓存等功能。 Authentication:身份认证/登录。 Authorization:授权,即权限验证。 Session Manager:会话管理 Crpytography:加密 Web Support:Web集成 Re...
ShiroShiroFilterFactoryBean(*)
weixin_42408447的博客
11-16 2497
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { # 创建ShiroFilterFactoryBean对象 ShiroFilterFactor
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 1023
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
shiro过滤器如何拦截url
04-22
Shiro过滤器可以通过配置拦截指定的URL路径,当请求的URL与配置的路径匹配时,Shiro会调用相应的过滤器进行处理。常用的过滤器包括:anon(匿名访问)、authc(身份认证)、roles(角色授权)和perms(许可授权)。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快乐的小三菊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值