shiro动态配置过滤器

最新推荐文章于 2024-03-06 01:54:28 发布
最新推荐文章于 2024-03-06 01:54:28 发布
阅读量3.4k 收藏 2
点赞数 1
分类专栏: 框架阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaoct/article/details/116793500
版权

在创建AbstractShiroFilter(shiro过滤器)时,可以配置过滤器,比如:

@Bean("shiroFilter")
    @DependsOn({"securityManager"})
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilter  = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        // 拦截器,放在其他地方任意配置
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 验证码允许匿名访问
        filterChainDefinitionMap.put("/**/test1", "anon");
        filterChainDefinitionMap.put("/**", "anon");
        filterChainDefinitionMap.put("/**/test2/**", "roles[admin,user]");
        filterChainDefinitionMap.put("/**/test2/**", "perms[admin,user],roles[admin,user]");

        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);

        //自定义filter
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("loginFilter", new LoginFilter());
        shiroFilter.setFilters(filters);

        //未授权界面;
        //shiroFilter.setUnauthorizedUrl("/unauthorized");

        return shiroFilter;
    }

但有时需要在AbstractShiroFilter创建之后,任意时刻配值。因为权限过滤器中的权限是在数据库中配置的,在修改数据库中的配置时,也要动态修改内存中的过滤器配置。

在ShiroFilterFactoryBean创建AbstractShiroFilter进入该方法:

org.apache.shiro.spring.web.ShiroFilterFactoryBean#getObject  ====>org.apache.shiro.spring.web.ShiroFilterFactoryBean#createInstance====>org.apache.shiro.spring.web.ShiroFilterFactoryBean#createFilterChainManager

可见该方法拿到了配置的过滤器map,最后还设置了默认路径的过滤器。

 

在shiro最主要的类过滤器管理器DefaultFilterChainManager中

可见filters是过滤器名和过滤器的映射,filterChains是路径和过滤器名的映射。配置过滤器主要就是这2个map

 

回到org.apache.shiro.spring.web.ShiroFilterFactoryBean#createInstance

可见DefaultFilterChainManager存在了PathMatchingFilterChainResolver中,PathMatchingFilterChainResolver又存在了SpringShiroFilter中,

所以拿到DefaultFilterChainManager在修改里面的filterChains就能随时修改资源和过滤器的映射,注意还要设置默认路径/**。

 

结合https://blog.csdn.net/yaoct/article/details/115947781第4节,特别注意org.apache.shiro.web.filter.mgt.DefaultFilterChainManager#applyChainConfig中会在每个过滤器中添加路径,所以每次更新,清空过滤器的配置路径,否则会产生冗余数据

appliedPaths默认不可访问,所以通过反射修改。

参考org.apache.shiro.spring.web.ShiroFilterFactoryBean#createFilterChainManager中的代码,重置访问映射

package com.zjzy.runner;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.zjzy.dao.servicebase.SysPermissionServiceBase;
import com.zjzy.dao.servicebase.SysResourcePermissionServiceBase;
import com.zjzy.model.po.SysDept;
import com.zjzy.model.po.SysLog;
import com.zjzy.model.po.SysPermission;
import com.zjzy.model.po.SysResourcePermission;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.util.CollectionUtils;
import org.apache.shiro.web.filter.PathMatchingFilter;
import org.apache.shiro.web.filter.mgt.*;
import org.apache.shiro.web.servlet.AbstractShiroFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.boot.ApplicationArguments;
import org.springframework.boot.ApplicationRunner;
import org.springframework.stereotype.Component;

import javax.servlet.Filter;
import java.lang.reflect.Field;
import java.util.*;

@Slf4j
@Component
public class ShiroRunner implements ApplicationRunner {
    
    @Autowired
    SysResourcePermissionServiceBase sysResourcePermissionServiceBase;

    @Autowired
    SysPermissionServiceBase sysPermissionServiceBase;

    @Autowired
    ShiroFilterFactoryBean shiroFilterFactoryBean;

    @Autowired
    @Qualifier("shiroFilter")
    AbstractShiroFilter abstractShiroFilter;
    
    @Override
    public void run(ApplicationArguments args) throws Exception {

        PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver)abstractShiroFilter.getFilterChainResolver();
        DefaultFilterChainManager manager = (DefaultFilterChainManager)filterChainResolver.getFilterChainManager();
        Map<String, Filter> filters = manager.getFilters();
        //清空appliedPaths
        for(Filter filter:filters.values()){
            if(filter instanceof PathMatchingFilter){
                Class<PathMatchingFilter> pathMatchingFilterClass = PathMatchingFilter.class;
                Class<? extends Filter> aClass = filter.getClass();
                Field[] declaredFields = aClass.getDeclaredFields();
                Field appliedPaths=null;
                try{
                    appliedPaths=PathMatchingFilter.class.getDeclaredField("appliedPaths");
                }catch (Exception e){
                    continue;
                }
                if(appliedPaths!=null){
                    appliedPaths.setAccessible(true);
                    if(appliedPaths.getType().isAssignableFrom(Map.class)){
                        appliedPaths.set(filter,new LinkedHashMap<String,Object>());
                    }
                    appliedPaths.setAccessible(false);
                }
            }
        }

        manager.setFilterChains(new LinkedHashMap<>());
        // 路径匹配器
        Map<String, String> filterChainDefinitionMap = getFilterChainDefinitionMap();

        //参考org.apache.shiro.spring.web.ShiroFilterFactoryBean#createFilterChainManager
        if (!CollectionUtils.isEmpty(filterChainDefinitionMap)) {
            for (Map.Entry<String, String> entry : filterChainDefinitionMap.entrySet()) {
                String url = entry.getKey();
                String chainDefinition = entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }
        Map<String, NamedFilterList> filterChains = manager.getFilterChains();
        // create the default chain, to match anything the path matching would have missed
        manager.createDefaultChain("/**"); // TODO this assumes ANT path matching, which might be OK here
    }

    public Map<String,String> getFilterChainDefinitionMap(){
        //匹配数据库
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        List<SysPermission> sysPermissions = sysPermissionServiceBase.list();
        List<SysResourcePermission> sysResourcePermissions = sysResourcePermissionServiceBase.list(new LambdaQueryWrapper<SysResourcePermission>().
                orderByDesc(SysResourcePermission::getMatchOrder, SysResourcePermission::getOperateTime, SysResourcePermission::getId));
        HashMap<Integer,SysPermission> permissionMap=new HashMap<>();
        for(SysPermission sysPermission:sysPermissions){
            Integer id=sysPermission.getId();
            permissionMap.put(id,sysPermission);
        }
        for(SysResourcePermission sysResourcePermission:sysResourcePermissions){
            String path=sysResourcePermission.getPath();
            String permissionIds = sysResourcePermission.getPermissionIds();
            if(filterChainDefinitionMap.containsKey(path)||permissionIds==null){
                continue;
            }
            StringBuilder sb=new StringBuilder();
            String[] split = permissionIds.split(",");
            for(String str:split){
                try{
                    Integer num=Integer.valueOf(str);
                    SysPermission sysPermission = permissionMap.get(num);
                    if(sysPermission!=null){
                        sb.append(sysPermission.getCode()+",");
                    }
                }catch (Exception e){
                }
            }
            if(sb.length()>0){
                sb.deleteCharAt(sb.length()-1);
                filterChainDefinitionMap.put(path,"loginFilter,perms["+sb.toString()+"]");
            }
        }
        return filterChainDefinitionMap;
    }
    
}

 

SomeOtherTime
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
service-shiro.zip
02-07
关键shiro的授权流程 1.环境搭建(主要是在springcloud基础上添加shiro包) 2.完成核心代码编写   2.0 shiro配置java类(      主要配置 内容        安全管理器 SecurityManager;        过滤器工厂  ShiroFilterFactoryBean(设置自定义过滤器和设置哪些路径是允许匿名访问);       自定义realm(数据源,从数据库获得真实用户信息(密码权限),并封装成AuthenticationInfo认证信息 和 AuthorizationInfo授         权信息     自定义拦截器(也用Bean 配置是为了可以在拦截器里可以用@Autowird 获得容器里的bean ,比如UserService)      题外话:过滤器先于spring容器启动,所以直接@Autowird拿到的对象是空的,所以考虑将过滤器也交给spring管理 )
shiro setFilterChainDefinitionMap 多个路径不生效问题
woaiqianzhige的博客
11-30 1万+
shiro setFilterChainDefinitionMap 多个路径不生效问题 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put("/cms/admin/**", "perms[admin]"); map.put("/cms/appeal/**", "perms[appeal]");
踩坑:SpringBoot集成Shiro无法注入shiroFilterFactoryBean
最新发布
chuge1215的博客
03-06 762
本文仅记录适用于自己解决有关Shiro无法注入“shiroFilterFactoryBean”的问题,也是给自己留个坑,有时间深究是否为SpringBoot3修改了有关Shiro整合的问题...如果有了解的大佬麻烦可以告知我!
shiro过滤器
qq_35366466的博客
01-06 1055
ShiroFilterFactoryBean实现FactoryBean,说明他是shiroFilter工厂类,他是怎么初始化能很好的工作呢?该类的入口方法是createInstance(),该方法实现了几个功能 1、创建了一个过滤器管理类FilterChainManager,该类主要管理shiro里的过滤器,里面有两个重要的属性 1.1 filters:管理全部过滤器,包括默认的身份验证和权限验证的过滤器,这些过滤器分为两组,一组是认证过滤器,有anon,authenBasic,auchc,user,一
spring boot中shiro使用自定义注解屏蔽接口鉴权
LLittleF的博客
07-05 2475
spring boot整合shrio后,所有接口都需要在鉴权通过后才能使用。某些接口(比如登录接口)是不需要鉴权的,就需要手动配置一下。本文介绍了一种通过自定义注解,实现屏蔽接口鉴权的功能的方法,这样在需要屏蔽接口鉴权的时候,就不用反复修改shiro配置了。...
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1250
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
FilterChainDefinitionMap_参数说明
热门推荐
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
shiro安全认证之FilterChainDefinitionMap
xiguaxiansheng的博客
08-03 3261
shiro安全认证之FilterChainDefinitionMap
Shiro安全框架
m0_46525448的博客
10-31 342
1 Shiro安全框架简介 1.1 Shiro概述 Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 1.2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所
shiro 之 封装filterChainDefinitionMap
Dusty丶one的博客
11-11 2万+
shiro 之 封装 filterChainDefinitionMap在我们之前的学习中有接触过 Shiro 的 DefaultFilter 在整个 Shiro 架构中的作用便是用来拦截所有请求。在 Shiro DefaultFilter 中我们配置filterChainDefinitions 属性。filterChainDefinitions 的作用便是对所有被Shiro 拦截的请求做声明,下
Shiro四种权限控制方式
sinat_19594515的博客
10-21 650
@Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryB.
springmvc+shiro自定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
Apache Shiro 使用手册(五) Shiro 配置说明
01-09
对象和属性的定义与配置URL的过滤器配置静态用户配置静态角色配置其中,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。 Apache Shiro的大多数组件是基于POJO的,因此我们可以...
spring+shiro+ehcache例子
06-23
在web.xml中配置shiro过滤器 4:项目post乱码处理 在web.xml中配置字符过滤器 5:项目运行信息查看 在web.xml中配置log4j信息打印 (需要自己将log4j的配置文件给打开) 三: 配置文件 查看/src/config/ ...
shiro-spring-boot-starter:该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成到SpringBoot应用中
05-14
码云:我的博客:自制的小工具,欢迎使用和Star,如果使用过程中遇到问题,可以提出Issue,我会尽力完善该工具功能介绍修改Shiro默认Authc过滤器,增加在前后台分离项目架构下,配置未登录时跳转路径功能,做未登录...
单点登录sso-shiro-cas-maven
10-19
最后我们还需要在/spring-node-1/src/main/webapp/WEB-INF/web.xml 文件中配置相关的过滤器拦截全部请求 ``` xml <filter-name>shiroFilter <filter-class>org.springframework.web.filter....
shiroFilter权限验证
09-24
首先我们在web.xml配置过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <bean id="shiroFilter" class="org.apache.shiro.spring.web....
jfinal_mongodb_shiro:基于Jfinal实现非关系型数据库整合Shiro
02-04
使用非关系型数据库实现角色权限控制* 密码加密加盐校验* 密码错误计数累计5次锁定账户* 自动登录(并非真正的意义上的自动登录,只是配合过滤器可以允许一些浅权限。)* 在线会话管理* 强制踢出会话未来将要实现的*...
在 Spring Boot 中使用shiro配置自定义过滤器
09-06
### 回答1: 在 Spring Boot 中使用 shiro 配置自定义过滤器需要以下几个步骤: 1. 引入 shiro-spring-boot-starter 依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建自定义过滤器: ``` public class CustomFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 在这里实现自定义的过滤逻辑,返回 true 表示通过过滤器,返回 false 表示未通过过滤器 return true; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果 isAccessAllowed 返回 false,则会进入到这里,可以在这里处理未通过过滤器的情况 return false; } } ``` 3. 配置 shiroFilterChainDefinition: ``` @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition(); // 添加自定义过滤器,其中 key 是过滤器名称,value 是该过滤器对应的路径 chainDefinition.addPathDefinition("/custom/**", "custom"); return chainDefinition; } ``` 4. 配置自定义过滤器: ``` @Bean("custom") public CustomFilter customFilter() { return new CustomFilter(); } ``` 5. 配置 shiro 的注解支持: ``` @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } ``` 完成以上步骤后,就可以在 Spring Boot 中使用 shiro 配置自定义过滤器了。 ### 回答2: 在 Spring Boot 中使用 Shiro 配置自定义过滤器分为三个步骤。 第一步,创建自定义过滤器类。可以通过实现 ShiroFilter 接口来创建自定义过滤器。在自定义过滤器中需要实现过滤规则,并对请求进行相应的处理。 第二步,配置 Shiro 过滤器链。在 Spring Boot 的配置类中,通过创建 ShiroFilterFactoryBean 对象来配置 Shiro过滤器链。可以使用 ShiroFilterChainDefinitionMap 对象来配置过滤器链,然后将该对象设置给 ShiroFilterFactoryBean。 第三步,启用 Shiro 过滤器。在 Spring Boot 的配置类中,通过创建 DefaultFilterChainManager 对象,并将该对象设置给 ShiroFilterFactoryBean,启用自定义过滤器。 有了以上三步,就可以在 Spring Boot 中使用 Shiro 配置自定义过滤器了。可以通过在自定义过滤器中实现过滤规则来对请求进行拦截或处理,然后在 Shiro 过滤器链中配置过滤器,最后启用该过滤器。这样就可以实现对请求的自定义过滤器处理。 值得注意的是,在使用 Shiro 进行自定义过滤器配置时,需要保证 Shiro配置文件中已经进行了相应的配置,包括认证和授权等相关配置。只有在正确配置的前提下,才能正确使用 Shiro 进行自定义过滤器配置。 ### 回答3: 在Spring Boot中使用Shiro配置自定义过滤器通常需要以下几个步骤: 1. 引入Shiro和Spring Boot依赖。在pom.xml文件中添加Shiro和Spring Boot Starter依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 创建自定义过滤器类。可以通过实现`javax.servlet.Filter`接口或者继承`org.apache.shiro.web.servlet.OncePerRequestFilter`类来创建自定义过滤器。例如,创建一个名为`CustomFilter`的自定义过滤器类: ``` public class CustomFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 过滤器逻辑处理 // ... filterChain.doFilter(request, response); } } ``` 3. 在Shiro配置类中注册自定义过滤器。创建一个Shiro配置类,并使用`@Configuration`注解标记为配置类。通过`@Bean`注解将自定义过滤器注册到Shiro过滤器链中。例如,在配置类`ShiroConfig`中注册`CustomFilter`: ``` @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<CustomFilter> customFilterRegistrationBean() { FilterRegistrationBean<CustomFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new CustomFilter()); registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 过滤器执行顺序 registrationBean.addUrlPatterns("/*"); // 过滤器路径 return registrationBean; } } ``` 4. 配置Shiro的过滤规则。在Shiro配置文件中,可以设置自定义过滤器的拦截规则。例如,在`shiro.ini`配置文件中,设置自定义过滤器的拦截规则: ``` [urls] /** = customFilter // 对所有请求都使用自定义过滤器 ``` 通过以上步骤,在Spring Boot中使用Shiro配置自定义过滤器就可以实现对特定请求的拦截和处理。在`CustomFilter`类的`doFilterInternal`方法中编写自定义的过滤器逻辑,例如鉴权、权限验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值