复习步骤9-获取权限数据CustomRealm提供subject桥梁,集成spring -shiro XML配置文件权限--自定义和非自定义授权过滤器

最新推荐文章于 2022-03-23 20:15:54 发布
最新推荐文章于 2022-03-23 20:15:54 发布
阅读量247 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangshuai198807/article/details/88865074
版权

项目目录结构

       非自定义授权过滤器   

         spring.xml

/testrole1=roles["admin"] <!-- 要有admin 角色才可以访问 /testrole url-->

                /testrole2=roles["admin","sjr"] <!-- 要有admin sjr 角色才可以访问 /testrole2 url 未测-->

                /testPerms1=perms["user:select"] <!-- 要有user:select 权限 才可以访问 /testPerms1 url-->

                /testPerms2=perms["user:select","user:update","user:add"] <!-- 要同时有user:select,user:update,user:add 权限 才可以访问 /testPerms2 url-->

 

            UserController.java中加

//produces = "application/json; charset=utf-8" 解决@ResponseBody 返回中文乱码

    

     /*配置文件方式 配置授权--非自定义授权过滤器  测试账号,一般为 刘少峰 123456 登录(数据存的密码事 123456 yan 加密的) */

          // 配置文件方式 配置授权--非自定义授权过滤器   spring.xml shiro  /testrole1=roles["admin"] --要有admin 角色才可以访问 /testrole1 url,登录之后有admin角色 请求 /testrole1 就可以进来了

     @RequestMapping(value="/testrole1",method=RequestMethod.GET,

            produces = "application/json; charset=utf-8")

     @ResponseBody

     public String testrole1(){

        return "admin角色,登录成功";

     }

        // 配置文件方式 配置授权--非自定义授权过滤器   spring.xml shiro /testPerms1=perms["user:select"]  --要有user:select 权限 才可以访问 /testPerms1 url,登录之后有user:select角色 请求 /testrole1 就可以进来了

     @RequestMapping(value="/testPerms1",method=RequestMethod.GET,

            produces = "application/json; charset=utf-8")

     @ResponseBody

     public String testPerms1(){

        return "user:select 权限,登录成功";

     }

    

    

         // 配置文件方式 配置授权--非自定义授权过滤器   spring.xml shiro /testPerms2=perms["user:select","user:update","user:add"]   --要同时具有user:selectuser:updateuser:add 权限 才可以访问 /testPerms2 url,登录之后 请求 /testrole2 就可以进来了

     @RequestMapping(value="/testPerms2",method=RequestMethod.GET,

            produces = "application/json; charset=utf-8")

     @ResponseBody

     public String testPerms2(){

        return "user:selectuser:updateuser:add 权限,登录成功";

     }

    

  先用 刘少峰 123456 登录

然后再 /testPerms1 /testPerms2/testrole1 测试

 

 

 

 

          //自 定义角色权限 过滤器

     自定义角色权限过滤器类

RolesOrFilter.java

 

    package com.xiangshuai.filter;

 

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

 

import org.apache.shiro.subject.Subject;

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

 

/**

 * maven 项目- 文件位置:E:\学习文档子目录压缩\框架\shiro\shiro安全框架入门\复习步骤9-获取权限数据CustomRealm提供subject桥梁,集成spring -shiro  XML配置文件权限--自定义和非自定义授权过滤器

 * 我的网盘/我的笔记/学习文档子目录压缩\框架\shiro\shiro安全框架入门\复习步骤9-获取权限数据CustomRealm提供subject桥梁,集成spring -shiro  XML配置文件权限--自定义和非自定义授权过滤器

 * 自定义filter做权限检查  rolesOR 拦截,只要 含有其中任意一个roles角色,就可以访问

 * @author lqx

 *AuthorizationFilter这个抽象类也是继承自AccessControlFilter,(其他过滤器百度),他是用于处理登陆后的权限检查

 */

public class RolesOrFilter extends AuthorizationFilter{

 

    @Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)

           throws Exception {

       Subject subject = getSubject(request, response);//filter的父类 提供了用getSubject获得主体的方法

       String[] roles=(String[]) mappedValue;//这个参数就是由 拦截器定义的 比如浏览器请求 testRoleOr1 时在 shirospring.xml中定义的rolesOR["sjr","admin"] ,那么这个mappedValue 就是["sjr","admin"]

       if(roles==null || roles.length==0){//不需要权限

           return true;

       }

       for (String role : roles) {

           if(subject.hasRole(role)){//如果subject 含有访问目标资源的权限,那么chain拦截器链就放行

              return true;

           }

       }

 

       return false;

    }

 

}

 

 

 

 

    spring.xml

<!-- 定义RolesOrFilter,让spring IOC -->

      <bean class="com.xiangshuai.filter.RolesOrFilter" id="rolesOrFilter"/>

 

       

         

 

 

   UserController.java中加

// 配置文件方式 配置授权--自定义授权过滤器  自定义  rolesOR 拦截,用户登录之后 只要 含有其中任意一个roles角色,就可以访问 spring.xml shiro /testRoleOr1=rolesOR["sjr","admin"]  /testRoleOr2=rolesOR["hehehe","test1"]-

     @RequestMapping(value="/testRoleOr1",method=RequestMethod.GET,

            produces = "application/json; charset=utf-8")

     @ResponseBody

     public String testRoleOr1(){//刘少峰 123456 含有 admin权限,所以可以访问此资源--/testRoleOr1=rolesOR["sjr","admin"]

        return "没有sjy有权限,但有admin权限,登录成功";

     }

    

     @RequestMapping(value="/testRoleOr2",method=RequestMethod.GET,

            produces = "application/json; charset=utf-8")

     @ResponseBody

     public String testRoleOr2(){//刘少峰 123456 不含有 hehehe权限,也不含有test1,所以不可以访问此资源-/testRoleOr2=rolesOR["hehehe","test1"]

        return "既没有heheh 权限,也没有哦test1权限,";

     }

 

 

     页面请求

 

 

 

 

    

 

香帅xs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ShiroSpring集成xml配置及灵活的设置权限问题
Eason_bn的博客
07-12 304
在web.xml中设置shiro过滤器 <!--设置shiro过滤器--> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy<...
Shiro学习笔记(四)--- CustomRealm
EndTheme_Xin的博客
11-08 1376
一、简介 CustomRealm自定义Realm)是通过仿造JdbcRealm,继承AuthrizingRealm, 重写doGetAuthenticationInfo(AuthenticationToken token)【认证】和 doGetAuthorizationInfo(PrincipalCollection principalCollection)【授权】方法 二、理解 自定义...
Shiro自定义Realm实现认证和授权(五)
两个蝴蝶飞
05-13 1016
>勿以恶小而为之,勿以善小而不为--------------------------刘备 >劝诸君,多行善事积福报,莫作恶 主要内容: Shiro 自定义Realm实现认证和授权
Shiro
gltncx11的博客
11-07 209
用户–角色–权限 shiro_conf.ini #对用户的信息进行配置 [users] #用户的账号和密码 zhangsan=123456 lisi=654321 AuthenticationTest public void loginTest(){ // 创建securityMangager工厂 Factory&amp;lt;SecurityManager&amp;gt; factory = new I...
13、Spring-shiro.xml
u010724583的专栏
06-03 1168
http://www.springframework.org/schema/beans"        xmlns:util="http://www.springframework.org/schema/util"        xmlns:aop="http://www.springframework.org/schema/aop"        xmlns:xsi="http
spring-shiro-demo
03-10
【标题】"spring-shiro-demo" 是一个基于Spring和Apache Shiro框架的示例项目,旨在展示如何在Java Web应用中整合这两个强大的安全框架来实现用户认证和授权。 【描述】"spring-shiro-demo" 提供了实际操作的代码,...
Springboot + shiro权限管理shiro-master.zip
最新发布
05-01
Spring Boot的配置文件`application.yml`或`application.properties`中,可以设置Shiro的基本属性,如全局过滤器、登录URL、未授权页面等。例如: ```yaml shiro: filter-chain-definition: /login=authc /...
springboot-07-shiro.zip
08-12
2. 配置Shiro:创建Shiro配置类,配置Realm(认证和授权信息源)、SecurityManager以及过滤器链。 3. 自定义Realm:根据实际业务需求,继承AuthorizingRealm并重写doGetAuthenticationInfo和doGetAuthorizationInfo...
Apache Shiro 集成-spring
04-21
2. 配置Shiro:创建Shiro配置文件(如shiro.ini或shiro.xml),定义安全策略、过滤器链等。 3. 创建安全组件:包括SubjectRealms(负责从数据获取用户信息)、Filters(过滤器)等。 4. 集成Spring:通过Spring...
Shiro 实现自定义Realm
小宋的博客
06-21 5801
本篇博客讲的是如何自定义Realm。 在 https://blog.csdn.net/weixin_42236165/article/details/92801105 该博客上改进实现。 自定义Realm 1.在main的java下创建一个com.imooc.shiro.realm包然后创建CustomRealmCustomRealm类代码: package com.imooc.shir...
springboot整合shiro 配置详解及原理分析
fl8545的博客
03-23 1745
springboot整合shiro+jwt实现前后端分离认证授权前言问题ShiroFilter什么是ShiroFilterSecurityManager什么是SecurityManager?ShiroConfig写在前面的话:ShiroConfig类:CustomRealm类:shiroConfig原理 前言 最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合到 SpringBoot
Spring Boot 使用自定义 Realm 进行认证授权(五)
深入Java世界:探索编程之美与技术深度
09-16 435
Spring Boot 使用自定义 Realm 进行认证授权概述自定义 Realm创建 CustomRealm创建 testCustomRealm 方法测试 概述 虽然 jdbcRealm 已经实现了从数据库中获取用户的验证信息,但是jdbcRealm灵活性也是稍差一些的,如果要实现自己的一些特殊应用时将不能支持,这个时候可以通过自定义realm来实现身份的认证功能。 通常自定义Realm只需要继承:AuthorizingRealm重写doGetAuthenticationInfo(用户认证)、doGetA
38集19年Shiro视频教程Springboot教程整合Shiro 权限教程微服务教程
07-22
<p><img src="https://img-bss.csdnimg.cn/202102040340365057.png" alt="" /></p> <p><img src="https://img-bss.csdnimg.cn/202102040340429666.png" alt="" /></p> <p><img src="https://img-bss.csdnimg.cn/202102040340502764.png" alt="" /></p> <p><img src="https://img-bss.csdnimg.cn/202102040340594151.png" alt="" /></p>
shiro授权自定义realm实现授权shiro与项目集成,在项目中实现认证及授权
wumengjie123的博客
11-15 6898
讲前必读 第一节:shiro授权 1. 重点:讲解授权流程并实现对用户授权。 2. 课程实际内容 a)    简介:回顾shiro架构及相关对象以及认证流程 b)    重点:shiro授权流程 c)     简介:授权方式 d)    重点:授权实现 e)    简介:测试 3. 重点:课堂总结 a)    授权实现 练习20分钟 第二节:自定义Realm实现授权 1.
springboot shiro 自定义filter调用SecurityUtils.getSubject()报UnavailableSecurityManagerException
qq_32507509的博客
02-18 3216
框架简述:springboot+shiro 问题简述:自定义filter中要调用session存储数据,供后续方法调用。 SecurityUtils.getSubject().getSession()报UnavailableSecurityManagerException 处理方法备忘: CorsFilter即为自定义的filter CorsFilter要在shirofilter之后调...
Django踩坑之后端获取不到request属性值
Sunny_Future的博客
12-10 1474
Django踩坑之后端获取不到request属性值 1、问题复盘 抓包分析web请求参数ok 后端响应请求也ok 却一直取不到request的属性值,Querydict一直为空。。。 Querydict{} 气煞老夫…… 2、解决问题 当Content-type为application/json时,Django不支持request.POST.get(),但可以通过request.body来获取string类型的参数: import json data = json.loads(request.bo
Shiro入门6:自定义realm查询数据库进行认证
热门推荐
机智猫
03-24 1万+
为什么要用Realm自定义Realm有什么作用? 将来实际开发需要realm数据库查询信息 Realm是什么? 关于Realm的作用及解释,
Spring Boot 中使用 shiro 配置自定义过滤器 UserAuthenticatingFilter extends AuthenticatingFilter以及 UserAuthenticatingOrJwtTokenFilter extends UserAuthenticatingFilter
05-23
Spring Boot中使用Shiro进行自定义过滤器配置,可以按照以下步骤进行操作: 1. 在pom.xml文件中添加Shiro的依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建自定义过滤器类UserAuthenticatingFilter和UserAuthenticatingOrJwtTokenFilter,继承自Shiro提供的AuthenticatingFilter类。 UserAuthenticatingFilter类用于实现基于表单认证的过滤器,该过滤器可以在用户访问需要身份认证的资源时进行身份认证,并将用户的登录信息保存到ShiroSubject对象中。 UserAuthenticatingOrJwtTokenFilter类用于实现基于JWT令牌认证的过滤器,该过滤器可以在用户访问需要身份认证的资源时进行身份认证,如果请求头中携带了有效的JWT令牌,则使用JWT令牌进行身份认证,否则使用基于表单的身份认证方式。 3. 在Shiro配置类中进行过滤器配置: ``` @Configuration public class ShiroConfig { // ... @Bean public UserAuthenticatingFilter userAuthenticatingFilter() { return new UserAuthenticatingFilter(); } @Bean public UserAuthenticatingOrJwtTokenFilter userAuthenticatingOrJwtTokenFilter() { return new UserAuthenticatingOrJwtTokenFilter(); } @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager, UserAuthenticatingFilter userAuthenticatingFilter, UserAuthenticatingOrJwtTokenFilter userAuthenticatingOrJwtTokenFilter) { // 创建ShiroFilterFactoryBean对象 ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); // 设置SecurityManager factoryBean.setSecurityManager(securityManager); // 设置自定义过滤器 Map<String, Filter> filters = new HashMap<>(); filters.put("userAuthenticatingFilter", userAuthenticatingFilter); filters.put("userAuthenticatingOrJwtTokenFilter", userAuthenticatingOrJwtTokenFilter); factoryBean.setFilters(filters); // 设置过滤器链 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/**", "userAuthenticatingOrJwtTokenFilter"); factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } // ... } ``` 在上述代码中,我们通过@Bean注解创建了两个自定义过滤器实例:UserAuthenticatingFilter和UserAuthenticatingOrJwtTokenFilter,然后将这两个过滤器添加到ShiroFilterFactoryBean对象中,并设置过滤器链。 4. 在Controller中使用Shiro进行身份认证: ``` @RestController public class UserController { @RequestMapping(value = "/login", method = RequestMethod.POST) public String login(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "login success"; } catch (AuthenticationException e) { return "login failed"; } } @RequestMapping(value = "/logout") public String logout() { Subject subject = SecurityUtils.getSubject(); subject.logout(); return "logout success"; } @RequestMapping(value = "/test") public String test() { return "test success"; } } ``` 在上述代码中,我们通过调用SecurityUtils.getSubject()获取当前Subject对象,然后使用UsernamePasswordToken进行身份认证。如果身份认证成功,则返回"login success"字符串;否则返回"login failed"字符串。 5. 在Postman或浏览器中访问API: - 访问/login接口进行身份认证,例如: ``` POST http://localhost:8080/login?username=admin&password=admin ``` - 访问/test接口进行访问控制,例如: ``` GET http://localhost:8080/test ``` 如果用户已经登录,则返回"test success"字符串;否则返回"401 Unauthorized"错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值