shrio实现自定义的角色自定义filter

最新推荐文章于 2023-01-15 18:34:18 发布
最新推荐文章于 2023-01-15 18:34:18 发布
阅读量333 收藏
点赞数
分类专栏: # 框架学习-权限管理 文章标签: java shiro 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Jz_Stu/article/details/119329713
版权
本文解决了使用Shiro框架配置多角色权限时遇到的问题。通过重写RolesAuthorizationFilter的isAccessAllowed方法,允许用户拥有角色列表中的任意一个角色即可访问受保护资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

bug:

使用shiro对某一个接口路径进行角色限制的时候,发现只要设置了多角色之后权限失效的问题。
shiro配置的部分代码如下:

	//DefaultFilter
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager){
        System.out.println("shiroFilter============4");
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        //配置登录、登录成功、失败等跳转接口
        bean.setLoginUrl("/login");
        bean.setSuccessUrl("/index");
        bean.setUnauthorizedUrl("/unauthorized");

        //配置权限规则
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //index的路径使用authc的权限认证(DefaultFilter,每一个都是一个拦截类)
        filterChainDefinitionMap.put("/index","authc");//需要身份认证
        filterChainDefinitionMap.put("/","authc");//需要身份认证
        filterChainDefinitionMap.put("/login","anon");//忽略
        filterChainDefinitionMap.put("/loginUser","anon");//忽略
        //RolesAuthorizationFilter,具有这个角色的用户才可以访问
        filterChainDefinitionMap.put("/search","roles[admin,user]");
        //PermissionsAuthorizationFilter,具有这个权限的用户才可以访问
        filterChainDefinitionMap.put("/edit","perms[edit]");
        filterChainDefinitionMap.put("/druid/**","anon");//将druid的请求全部放开
        filterChainDefinitionMap.put("/**","user");//当前是否登录用户
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }

配置中这一行(filterChainDefinitionMap.put("/search",“roles[admin,user]”);)如果换成单一角色可以正常使用,但是配置多角色之后会导致权限失效,进入“/unauthorized”接口

排查过程:

在网上翻了些资料,并没有找到特别合适的,基本都是在老的xml配置中进行权限角色分配,有些干脆没写。后面得到一点启发,去看了(RolesAuthorizationFilter)源码,通过debug定位到了DelegatingSubject中的hasAllRoles方法,但是遇到了一个问题,在这里记录一下,暂时走不下去了。


public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }

        Set<String> roles = CollectionUtils.asSet(rolesArray);
        return subject.hasAllRoles(roles);
    }
public boolean hasAllRoles(Collection<String> roleIdentifiers) {
        return hasPrincipals() && securityManager.hasAllRoles(getPrincipals(), roleIdentifiers);
    }
    
     protected boolean hasPrincipals() {
        return !isEmpty(getPrincipals());
    }

卡在了hasPrincipals()这个方法,按理说应该是非空的,然后走到securityManager.hasAllRoles()这个方法,但是debug走不过去,不知道是不是找错实现类的原因。

解决方法:

源码走不过去,发现不了原因,但是RolesAuthorizationFilter类中有一个isAccessAllowed()方法,大体就是判断当前用户中是否存在这个角色名称,既然发现不了问题,就绕开重写这个方法,定义一个新的规则。
1、重写拦截器代码:其中主要就是修改了最后一个步骤,直接进行角色的判断

package com.shiro.filter;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.CollectionUtils;
import org.apache.shiro.web.filter.authz.RolesAuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;
import java.util.Set;

/**
 * Created by Jzs on 2021/8/2
 * 角色过滤器
 */
public class RoleFilter extends RolesAuthorizationFilter {
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }

        Set<String> roles = CollectionUtils.asSet(rolesArray);
        for (String role : roles) {
            if(subject.hasRole(role)){
                return true;
            }
        }
        return false;
    }
}

2、将自定义的拦截器注入到shiro的配置中
修改后的配置代码:经测试可正常使用

	@Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager){
        System.out.println("shiroFilter============4");
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        // 存放自定义的filter
        LinkedHashMap<String, Filter> filtersMap = new LinkedHashMap<>();
        // 配置自定义角色认证过滤器
        filtersMap.put("roles", new RoleFilter());
        bean.setFilters(filtersMap);
        
        //配置登录、登录成功、失败等跳转接口
        bean.setLoginUrl("/login");
        bean.setSuccessUrl("/index");
        bean.setUnauthorizedUrl("/unauthorized");

        //配置权限规则
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //index的路径使用authc的权限认证(DefaultFilter,每一个都是一个拦截类)
        filterChainDefinitionMap.put("/index","authc");//需要身份认证
        filterChainDefinitionMap.put("/","authc");//需要身份认证
        filterChainDefinitionMap.put("/login","anon");//忽略
        filterChainDefinitionMap.put("/loginUser","anon");//忽略
        //RolesAuthorizationFilter,具有这个角色的用户才可以访问
        filterChainDefinitionMap.put("/search","roles[admin,user]");
        //PermissionsAuthorizationFilter,具有这个权限的用户才可以访问
        filterChainDefinitionMap.put("/edit","perms[edit]");
        filterChainDefinitionMap.put("/druid/**","anon");//将druid的请求全部放开
        filterChainDefinitionMap.put("/**","user");//当前是否登录用户
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }

猜测(待验证):

可以看到其实只是修改了代码中的hasAllRoles()方法为hasRole()方法,所以推测按照原先的代码逻辑是当前用户需要拥有角色列表中所有的角色名,才可以拥有访问权限。

shiro 自定义 用户 角色 权限 (认证与授权)按钮级控制
CaiXinXing的优快云博客
06-02 1185
ShiroConfig.javashiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
springboot+shiro实现自定义header登录认证
技术交流,共同进步
08-09 4131
springboot+shiro实现自定义header登录认证 基本配置 config子包的ShiroConfig引入了Shiro并配置了shirFilter、realm和sessionManager; shiroFilter配置只允许少量url可以匿名访问,其他url都需要登录才能访问; realm设置的是shiro子包的AdminAuthorizingRealm类,该类作用是认证和授权的功能;...
我的shiro之旅:自定义filter
zhuchunyan_aijia的博客
06-23 1万+
1. shirofilter介绍 Filter Name Class anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org
shiro自定义过滤器实现角色或关系
mark's technic world
12-02 5342
package cn.eyes.commons.context; import java.io.IOException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import org.apache.shiro.subject.Subject; import org.apache.sh
Shiro实现自定义filter
u011618818的博客
04-22 1148
概述 当用户访问匹配规则的URL时触发的过滤器,通常我们都继承如下几个类并重写方法完成自定义过滤器 AnonymousFilter 概述:这个类是游客访问即无需登录访问的资源时进入的过滤器 boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) 概述:该方法如果返回true则...
shiro自定义filter-rememberMe
qq_24903931的博客
05-15 856
shiro记住我功能原理 采用记住我功能之后,shiro会在cookie中,添加rememberMe属性值。 关闭浏览器之后,cookie信息没有清空,再次打开浏览器,进行访问。 shiro读取rememberMe,其值是用户的唯一标识进行Base64编码后的结果。 shiro对rememberMe值进行解码,解码之后,将该值添加至subject对象中。 场景 Base64编码不是加密...
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义的Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
Shiro自定义Filter实现
# 章节一:介绍Shiro自定义...自定义Filter允许开发者根据具体需求实现定制化的安全控制逻辑,扩展了Shiro框架的功能和灵活性。 ## 章节二:自定义Filter的基本实现 在本章中,我们将详细介绍如何实现自定义Filter
Springboot 集成Shiro自定义Filter
热门推荐
坤哥的博客
11-25 1万+
网上自定义Filter实现很多,这里我提供一种Springboot在代码中的实现Shiro提供的Filter我这里不一一介绍了,一般基于web会话的都是使用authc(这是FormAuthenticationFilter)。根据我无状态的登陆需求,选择了AccessControlFilter,网上也有说这个是最被广泛使用的,具体还是看自己需求吧。Filter代码:/** * @author C
Shiro权限控制(二):自定义Filter
kity9420的专栏
04-07 1万+
通过自定义Filter实现权限配置,如某个URL需要某个角色的某个权限才能操作
springmvc+shiro自定义过滤器实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
shiro角色配置
chen1218chen的专栏
07-05 5421
角色验证 数据库表 roles user indexjsp 配置文件 myRealm 角色验证数据库表 tuser:用户表 uid + uname + upassword roles:角色表 rid + rname user_to_role:用户角色表,hibernate会自动建立 user_id + role_id roles@Entity @Table(name = "roles",
Shiro自定义realm检查用户角色权限
这天有点热的博客
05-07 635
整体目录: pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://...
springboot下使用shiro自定义filter的个人经验
BHSZZY的博客
12-28 9128
在springboot中使用shiro,由于没有了xml配置文件,因此使用的方法与spring中有些区别。在踩了无数个坑后,在此将springboot下使用shiro的步骤总结如下。由于本人对shiro的了解不是很深入,在实现了工作需求后就没有继续研究了,因此可能存在遗漏的地方或有错误的地方,还请多包涵。   目标: 在springboot中使用shiro 1.实现用户的登录验证 2.对...
Shiro 学习笔记(5)—— 自定义权限解析器和角色解析器
web17535224648的博客
08-24 215
在这个接口中实现权限匹配的方法。// 这里为了说明问题,省略了 get 和 set 方法// 同时 get 和 set 方法只会在这个类的内部使用,所以其实没有必要设置和对外开放// 调用方法也会消耗更多内存}}}}}}System.out.println("实例化 MyPermission 时 => " + this.toString());}/*** 【这是一个非常重要的方法】* 由程序员自己编写授权是否匹配的逻辑,
Shiro自定义or关系的权限和角色验证,取代perms和roles
rosyouth的专栏
01-15 357
Shiro自定义or关系的权限和角色验证,取代perms和roles
shiro角色配置,一图看清楚!
neymar_jr的博客
01-07 780
看下图,配文字,说得比较清楚了。欢迎留言~
Apache Shiro 角色和权限
zhouzhiwengang的专栏
12-29 1万+
本文转载自 《跟我学Shiro》 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户
【SpringBoot整合Shiro】Demo测试项目:登录、角色、权限、MD5、排查自定义Relam后角色失效问题
Zhou_LC的博客
11-03 268
排查源码后,看到需要自定义的 Realm 属于 Authorizer 的子类才可以,而这里写的 Relam 并不是 Authorizer 的子类,所以直接走的 for 循环中的 continue,没有进行角色判断,当然也没有后续的鉴权了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jz_Stu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值