Shiro - 自定义filterChainDefinitions和Realm

最新推荐文章于 2022-09-05 08:51:43 发布
转载 最新推荐文章于 2022-09-05 08:51:43 发布 · 205 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/kavlez/p/4063885.html
文章标签:

#数据库 #java

在Spring Context中定义shiroFilter(org.apache.shiro.spring.web.ShiroFilterFactoryBean)时需要为其filterChainDefinitions property赋值,这个属性是个chainName-to-chainDefinition map of chain definitions,用于为URL定义过滤策略。

比如:

/404.htm = anon
/main!main.html = anon
/**.html = perms[myPerm_1]

 


rest:比如/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中method为post,get,delete等。

port:比如/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString是你访问的url里的?后面的参数。

perms:比如/admins/user/**=perms[user:add:*],perms参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,比如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

roles:比如/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,比如/admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

anon:比如/admins/**=anon 没有参数,表示可以匿名使用。
authc:比如/admins/user/**=authc表示需要认证才能使用,没有参数
authcBasic:比如/admins/user/**=authcBasic没有参数表示httpBasic认证
ssl:比如/admins/user/**=ssl没有参数,表示安全的url请求,协议为https
user:比如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

 

一般情况下,我们可以将模块作为一个粒度,例如:

/blog!**.html = user

 

偶尔也会有将每一个URL作为一个授权单位进行控制,例如:

/blog!doAddNewArticle.html = authc,perms[addArticle]

 

但是URL的数量让人头疼,也许可以每开发一个功能的时候打开XML文件写入URL然后同步到SVN,或者我们也可以找一个人专门做这些事情,无论是添加、删除功能还是修改方法名都通知这个人去做...换位思考一下,我不希望我是这个人...

所以我要把这些URL放在数据库进行管理。我要把他们统统Query出来放到filterChainDefinitions里。
我需要装配一个Bean,实际上他是一个org.springframework.beans.factory.FactoryBean<Section>的实现。

<bean id="chainFilterBuff"   class="king.common.ChainFilterBuff">
    <property name="filterChainDefinitions">
    /404.htm = anon
    /main!main.html = anon
    </property>
</bean>

 

然后将其注入:

<bean id="shiroFilter1" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager" />
    <property name="loginUrl" value="/main!main.html" />
    <property name="successUrl" value="/main!main.html" />
    <property name="unauthorizedUrl" value="/unAuthorized.htm" />
    <property name="filterChainDefinitionMap" ref="chainFilterBuff" />
</bean>

 

Java代码中implements FactoryBean<Ini.Section>并实现需要Override的method,关键是getObject这个method:

private String filterChainDefinitions;
@Override
public Section getObject() throws Exception {
    Ini ini = new Ini();
    ini.load(filterChainDefinitions);   //先载入XML中定义好的chain
    Ini.Section section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
    /*
     *  省略读取步骤
     *  继续加入数据库中的chain
     *  section.put("/**", "authc, roles[admin]");
     */

    return section;
}

 

等等,这些仅仅是定义了权限。
我们需要在用户访问这些URL的时候去验证一下用户是否具备当前URL权限。
所以我定义了(事实上我们必须定义一个Realm,ShiroFilterFactoryBean需要SecurityManager,而我们使用的SecurityManager的实现类DefaultWebSecurityManager则需要一个Realm!):

<bean id="shiroDataBaseRealm" class="king.security.KingMainRealm">

 

并且Override了接口定义的method:

public class KingMainRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo( //授权
            PrincipalCollection principals) {
        UserBean _user = (UserBean) principals.fromRealm(getName()).iterator().next();
        SimpleAuthorizationInfo authInfo = new SimpleAuthorizationInfo();
        /*
         * 省略
         */
        return authInfo;
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo( //认证
            AuthenticationToken token) throws AuthenticationException {
        UserBean user = new UserBean();
        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        user.setUserName(userToken.getUsername());
        user.setPassword(userToken.getPassword());
                                                                                                                            
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }
}

 

若已定义了需要请求的URL,用户登录时doGetAuthorizationInfo会被调用,剩下的就是为每一个用户管理这些权限了。
也许我们可以创建角色关联多个权限,用户关联多个角色,类似这样的设置不同的层次。
按自己喜欢的方式去做吧 :)

 

转载于:https://www.cnblogs.com/kavlez/p/4063885.html

遇到问题----shrio------shiro自定义filters无效
直到世界的尽头
03-08 1万+
shiro  自定义filters无效需要注意filterChainDefinitions中的顺序,roles等应放在authc的前面。
Shiro --- shiro认证-SSM
ty0714的博客
04-18 424
重要: 在 shiro 中,用户需要提供principals (身份)credentials(凭证)给shiro,从而应用能验证用户身份-------------------------即 帐号 / 密码 1.导入基于Shiro数据库脚本 t_sys_user:用户信息表,例如:zs/ls/ww t_sys_role:用户角色表,例如:管理员/普通员工/部门经理/技术总监/CEO t_sys_permission:权限信...
创建ShiroConfig类,将FilterRealm添加到Shiro框架
晓梦林的博客
09-28 540
开发前后端分离架构的项目,往往调试后端Web接口需要用到POSTMAN工具。 虽然POSTMAN工具的功能非常强大,但是请求参数很多的情况下,我们手写这些参数数据还是非常麻烦的。 因此我们需要一个调试后端Web接口更加简便的方法。 恰好Swagger提供了RESTAPI调用方式,我们不需要借助任何工具的情况下,访问Swagger页面,就可以对Web接口进行调用调试,这种调试方式的效率要远超POSTMAN软件。 一、添加依赖库 在pom.xml文件中添加Swagger依赖库,这里我们使用的是Swa
Shiro框架 filter&realm绑定 多登陆入口,区分前后台
Yihy的博客
08-20 8265
# Shiro框架 filter&realm绑定这种实现方式有问题,会影响到后续的角色验证。不建议看了新的实现方式 : 自定义Token shiro filter与Realm绑定 使用Spring整合Shiro 多登陆入口,成功后跳转到不同地址 - 重写Realm获取方式 最近在项目中使用了apache的轻量级Shiro框架进行权限管理,使用了多个filter,Shiro会默认迭代Realm进行
shrio 权限管理filterChainDefinitions过滤器配置
落叶翩翩的优快云博客
06-01 1571
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配成功
单点登录sso-shiro-cas-maven
10-19
其中QueryDatabaseAuthenticationHandler这个类是自定义构建的,在cas/WEB-INF/lib/cas-jdbc-1.0.0.jar里面,有兴趣的同学可以发编译看下,关于几个属性的说明 1. dataSource: 数据源,配置MySQL的连接信息 2. ...
Shiro - Web.Maven项目使用Shiro进行登录认证
江南烟雨却痴缠丶
09-09 645
登录认证 一、添加pom依赖 <!-- Shiro --> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version&gt...
SSM下Shiro自定义JWT实现
u011478348的博客
01-31 1223
SSM下Shiro自定义JWT实现 前言 随着大部分的验证改为Token验证方式,那能否改写Shiro的验证方式,实现自己定义的角色授权请求拦截呢? JWT实现产生使用方式见上一篇 以下内容基于自己搭的SSM实现,不同方式搭建的可能有些不一样,提供思路用 1.配置Shiro 这里由于要实现自己的验证方式,平时的配置有点不一样 按照惯例,导入Maven依赖 <!--shiro与jwt权...
Shiro 中 filter与realm的区别
xieximing_java的专栏
05-28 1309
过滤器 是Web中所特有的。 RealmShiro架构本身的。 例如:表单验证过滤器,仅是判断是否是表单,而后调用Subject.login方法,如果成功就跳往成功页面,不成功,则跳回登录页。 在调用subject.login方法时,就应用到了Realm.如果将用户名密码写在ini文件中,则先调用的是iniRealm。 同理,logout过滤器,则仅是获取当前的subject,然后调用...
shiro 之 封装filterChainDefinitionMap
qq_34589867的博客
07-15 1799
原文地址: https://blog.youkuaiyun.com/u012437781/article/details/78505113#commentBox filterChainDefinitionMap 属性factorymethod 改成factory-method 即可,亲测有效
apache shiro与spring整合、动态filterChainDefinitions、以及认证、授权
hybaym的专栏
03-02 1073
apache shiro是一个安全认证框架,spring security相比,在于他使用了比较简洁易懂的认证授权方式。其提供的native-session(即把用户认证后的授权信息保存在其自身提供Session中)机制,这样就可以HttpSession、EJB Session Bean的基于容器的Session脱耦,到客户端应用、Flex应用、远程方法调用等都可以使用它来配置权限认证
关于shiro拦截器filterChainDefinitions的设置及使用过程源码分析
平凡的世界
05-14 1万+
shiro源码分析,查了些资料,针对于在shiro框架中设置filterChainDefinitions遇到的小问题,做一下分析备忘记录。问题描述:在设置filterChainDefinitions的时候,如果/k/**设置在/k/index之前,那么/k/index将不会生效,有规则说:拦截器的优先级是从上到下,从左到右,如果有匹配的拦截器就会阻断并返回。源码分析filterChainDefin...
shiro 中的filterChainDefinitions详解
热门推荐
bug_404的博客
05-27 4万+
springrain使用shiro
SpringMVC整合ShirofilterChainDefinitions过滤器配置
m0_67401270的博客
08-25 1611
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString。* @see 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等。
Shiro:中的filterChainDefinitions详解。
m0_67393413的博客
08-30 837
springrain使用shiro控制权限,配置filterChainDefinitions结合数据库校验权限。我们在web.xml中配置一个全局过滤器,也就是在springrain配置的是一个spring bean的“shiroFilter“,在这个bean中可以根据访问路径在配置不同的过滤器,其中shiro默认自带的过滤器如下:Class説明anon任何人都可以访问authc必须是登录之后才能进行访问,不包括remember meauthcBasiclogoutperms。...
浅析ShiroSecurity的核心模块以及两者的区别
m0_71392708的博客
09-05 316
主体,这个对象是 Shiro 中最核心的对象,它是主体的抽象,代表了用户,包括用户的身份信息一些行为(认证、注销、授权校验、获取 Session 等),认证其实就是登录的意思。默认 Web 安全管理器,它是 SecurityManager(安全管理器) 的实现,同样负责管理 Web 方面的安全认证授权,我们写好的 Realm 需要放到这个管理器中。Shiro 过滤器,这个对象中包含了两个重要的功能(认证授权),但它是一个空的对象,需要我们自己根据项目的需求,在这个过滤器中编写认证授权的逻辑代码。
自定义realm交给spring进行管理
最新发布
06-18
### 自定义Realm在Spring中的集成与管理 在Spring框架中集成管理自定义Realm,主要是通过配置`SecurityManager`并将自定义Realm注入其中来实现。以下是具体实现方式的详细说明: #### 1. 创建自定义Realm类 首先需要创建一个继承`AuthorizingRealm`或`CachingAuthenticatingRealm`的类,并重写其认证授权逻辑。例如: ```java public class MyShiroRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现授权逻辑 String username = (String) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); // 根据用户名查询权限信息 info.addRole("admin"); info.addStringPermission("user:read"); return info; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现认证逻辑 UsernamePasswordToken userToken = (UsernamePasswordToken) token; if ("admin".equals(userToken.getUsername())) { return new SimpleAuthenticationInfo( userToken.getUsername(), "123456".toCharArray(), // 密码 getName() ); } return null; } } ``` 此代码片段展示了如何自定义Realm类以处理用户认证授权[^1]。 #### 2. 配置Spring Bean 为了将自定义Realm集成到Spring中,需要在配置类中声明该Realm为一个Bean,并将其注入到`SecurityManager`中。以下是一个示例配置: ```java @Configuration public class ShiroConfig { @Bean public MyShiroRealm myShiroRealm() { return new MyShiroRealm(); // 返回自定义Realm实例 } @Bean public SecurityManager securityManager(MyShiroRealm myShiroRealm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(myShiroRealm); // 设置自定义Realm return securityManager; } } ``` 在此配置中,`myShiroRealm()`方法返回自定义Realm的实例,并通过依赖注入的方式传递给`securityManager()`方法[^2]。 #### 3. 配置过滤器链 为了确保请求能够正确地被拦截并进入Realm进行认证,需要配置Shiro的过滤器链。以下是一个典型的配置示例: ```xml <property name="filterChainDefinitions"> <value> /login.jsp = anon /login.action = authc /** = authc </value> </property> ``` 上述配置放过了`/login.jsp`页面的拦截,仅对其他请求进行认证,避免了死循环问题[^3]。 #### 4. 缓存与会话管理(可选) 如果需要支持缓存或会话管理,可以进一步扩展配置。例如: ```java @Bean public CacheManager cacheManager() { return new EhCacheManager(); // 使用EhCache作为缓存管理器 } @Bean public SessionManager sessionManager() { DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); sessionManager.setGlobalSessionTimeout(1800000); // 设置会话超时时间(毫秒) return sessionManager; } @Bean public SecurityManager securityManager(MyShiroRealm myShiroRealm, CacheManager cacheManager, SessionManager sessionManager) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(myShiroRealm); securityManager.setCacheManager(cacheManager); securityManager.setSessionManager(sessionManager); return securityManager; } ``` 此部分代码展示了如何添加缓存管理会话管理功能[^2]。 ### 注意事项 - 确保自定义Realm类被正确声明为Spring Bean。 - 在`SecurityManager`中设置Realm时,推荐使用依赖注入而非直接实例化Realm对象。 - 正确配置过滤器链以避免不必要的拦截导致死循环。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值