shiro中的请求参数

最新推荐文章于 2022-07-29 19:17:30 发布

原创最新推荐文章于 2022-07-29 19:17:30 发布 · 1.9k 阅读

1 ·

CC 4.0 BY-SA版权

本文介绍了Apache Shiro框架中针对URL的配置，包括loginUrl、unauthorizedUrl以及不同拦截器的使用，如anon（匿名访问）、authc（身份验证）和roles、perms（角色和权限验证）。配置示例展示了如何控制不同URL的访问权限。

ini配置部分和之前的相比将多出对url部分的配置。

shiro.ini代码

[main]
#默认是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized
[users]
zhang=123,admin
wang=123
[roles]
admin=user:*,menu:*
[urls]
/login=anon
/unauthorized=anon
/static/**=anon
/authenticated=authc
/role=authc,roles[admin]
/permission=authc,perms["user:create"]

其中最重要的就是[urls]部分的配置，其格式是：

“url=拦截器[参数]，拦截器[参数]”；即如果当前请求的url匹配[urls]部分的某个url模式，将会执行其配置的拦截器。

比如anon拦截器表示匿名访问（即不需要登录即可访问）；

authc拦截器表示需要身份认证通过后才能访问；

roles[admin]拦截器表示需要有admin角色授权才能访问；

而perms["user:create"]拦截器表示需要有“user:create”权限才能访问。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

落篱

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

shiro实现请求拦截并打印日志

CheerTan is here

08-11

1905

传统方式实现HandlerInterceptor 这里代码不但实现了token的认证拦截，也在afterCompletion实现了接口请求日志打印 import org.apache.commons.lang3.StringUtils; import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; import org.linlinjava.litemall.core.annotation.Visit

shiro从1.6.0升级到1.7.1版本，请求路径中带有中文接口报400

weixin_43779793的博客

07-22

1616

shiro从1.6升级到1.7，请求路径中有中文接口报400

参与评论您还未登录，请先登录后发表或查看评论

shiro 配置参数的含义

彻底拆分，一切可控！

12-06

2942

shiro

Shiro参数解释

qq_25635139的博客

12-12

527

/admins/**=anon # 表示该 uri 可以匿名访问 /admins/**=auth # 表示该 uri 需要认证才能访问 /admins/**=authcBasic # 表示该 uri 需要 httpBasic 认证 /admins/**=perms[user:add:*] # 表示该 uri 需要认证用户拥有 user:add:* 权限才能访问 /admins/**...

浅谈关于shiro——SimpleAuthenticationInfo中的参数

热门推荐

李公子的博客

09-20

1万+

/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); ...

java 权限url权限_filter设计缺陷导致的权限绕过

weixin_39676348的博客

11-21

528

1.1 权限控制的本质一般来说，为了防止越权操作，通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理，然后判断当前URI/URL是否具有相应的业务权限。1.2 常见权限控制的实现一般情况下，通常是获取到当前URI/URL，然后跟需要鉴权的接口进行⽐对，或者直接结合startsWith()或者endsWith()方法，...

Shiro过滤器配置(ShiroFilterFactoryBean)（*）

weixin_42408447的博客

12-23

2146

/** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); // Shiro的核心安全接口,这个属性是必须的 shiroFilter.setSecurityM....

vue+axios全局添加请求头和参数操作

10-15

如果后端接受将token作为请求参数，可以在axios的拦截器中检查localStorage，获取token并将其添加到请求参数中。例如： ```javascript const service = axios.create({ baseURL: "http://XXXXXXXXX:XXXX", ...

shiro 不过滤指定的带参数url_Shiro权限管理框架（三）：Shiro中权限过滤器的初始化流程和实现原理...

weixin_39951112的博客

12-18

709

初始化流程ShiroFilterFactoryBean实现了FactoryBean接口，那么Spring在初始化的时候必然会调用ShiroFilterFactoryBean的getObject()获取实例，而ShiroFilterFactoryBean也在此时做了一系列初始化操作。关于FactoryBean的介绍和实现方式另外也记了一篇：https://www.guitu18.com/post/2...

Shiro去掉登录时url里的JSESSIONID，允许分号中文参数

不积跬步无以至千里，不积小流无以成江海。一个喜欢学习分享的程序员

07-29

1317

Shiro升级1.8之后默认不允许中文参数，以及分号(;)参数，导致系统首次打开时，因带有;JSESSIONID=参数，系统出现400错误页面。

shiro相关配置及使用

纵横江湖二十年的博客

04-03

462

注：个人记录一，shiro简介 Shiro是一个强大的简单易用的Java安全框架，主要用来更便捷的认证，授权，加密，会话管理。网上找的一幅图片通过上图可以看出shiro的四个主要功能。 1，认证：判断是否登录，shiro定义了几种状态，例如登录，记住我，未登录等几种状态。 2，授权：判断有没有权限。 3，session记录:用户登录的状态和信息。 4，shiro提供了加密的工具类。二，s...

shiro url和过滤器处理功能

臣本布衣，躬耕于南阳

03-09

8200

1、PathMatchingFilter PathMatchingFilter提供了基于Ant风格的请求路径匹配功能及拦截器参数解析的功能，如“roles[admin,user]”自动根据“，”分割解析到一个路径参数配置并绑定到相应的路径： booleanpathsMatch(Stringpath,ServletRequestrequest) booleanonPreHandl...

shiro 数据权限_SpringBoot集成Shiro 实现动态加载权限

weixin_39837352的博客

12-03

289

一、前言本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限，由前端vue在页面配置uri，Java后端动态刷新权限，不用重启项目，以及在页面分配给用户角色、按钮、uri 权限后，后端动态分配权限，用户无需在页面重新登录才能获取最新权限，一切权限动态加载，灵活配置基本环境spring-boot 2.1.7mybatis-plus 2.1.0mysql 5.7.24re...

shiro——SimpleAuthenticationInfo中的参数

渣渣

01-28

2380

/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); UsernamePasswordToken token = (UsernamePasswordToken) ar.

Shiro教程（十）Shiro 权限动态加载与配置精细讲解

啊~~~ 小风车...

08-14

4711

本文转载来源：Shiro教程（十）Shiro 权限动态加载与配置精细讲解 Shiro 是一个很完美的权限控制框架，一般我们会采用 shiro 的标签，在页面判断，从而来判断一些Button ，Link Tag 的显示与否，但是仅仅这样判断是不够的，如果用户知道链接，这就一点用都没有。所以我们后台还要有一层判断。这样才安全。今天来说说 Shiro 后台判断的这点事。 s

Shiro动态权限（整合Spring Boot）

qq_53432338的博客

06-27

2336

1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间，对用户的权限进行更改而不需要修改源码。在shiro中，实现动态权限只需要实现一个自定义的过滤器即可，这里使用的方法是继承。需要注意的是，任何的动态权限都会损耗服务器的资源，因为所谓的动态权限就是根据数据库的变化，实时的将情况反应到客户端，即每次请求都需要对数据库发送请求，因为需要的是实时的数据，所以没办法使用Redis解决这个问题，因为即使存储到Redis中，Redis也需要去向数据库发送请求来更新数据，甚至因为请求经过了Redis，

Shiro学习之过滤器详解

zkcJava的博客

09-14

5871

Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi

shiro跨域请求两次

11-16

根据提供的引用内容，可以得知在使用shiro进行跨域请求时，会出现请求两次的问题。这是因为后台采用了token检验机制，前台发送请求必须将token放到request header中，而请求头中携带自定义参数，浏览器就认为请求是复杂跨域请求，所以浏览器在真正请求之前会发送一次预检请求，检测服务器是否支持真实请求进行跨域访问。解决方案如下： 1.在后台代码中添加如下配置，允许跨域请求： ```java // 允许跨域请求 response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Authorization"); ``` 2.在shiro配置文件中添加如下配置，允许OPTIONS请求通过： ```xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login"/> <property name="successUrl" value="/index"/> <property name="unauthorizedUrl" value="/unauthorized"/> <property name="filters"> <util:map> <entry key="authc"> <bean class="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter"/> </entry> </util:map> </property> <property name="filterChainDefinitions"> <value> /login = anon /logout = logout /** = authc </value> </property> </bean> ``` 3.在前端代码中添加如下配置，允许携带自定义参数： ```javascript axios.defaults.headers.common['Authorization'] = 'Bearer ' + token; axios.defaults.headers.post['Content-Type'] = 'application/x-www-form-urlencoded'; axios.defaults.withCredentials = true; ```