Springsecurity改造Shiro项目踩坑

最新推荐文章于 2023-01-07 17:59:48 发布
原创 最新推荐文章于 2023-01-07 17:59:48 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring cloud #云原生 #cloud native

在将后台管理端从SpringBoot升级到SpringCloud的过程中,遇到SpringSecurity鉴权未生效的问题。原本使用Shiro进行鉴权,现改为SpringSecurity。发现所有接口可以直接访问,SS鉴权未起作用。经调试发现,问题在于请求路径未被SS配置覆盖。通过添加`.antMatchers(/sys/**).authenticated()`,将管理员服务纳入SS权限管理,解决了问题。

为了快速开发,借助一套快速框架做了后台管理端。由于我采取的鉴权是SpringSecurity(下称SS),而快速框架用的是Shiro,所以要对原本的Shiro框架进行舍弃,统一使用SS。

问题:

在统一鉴权方式的时候遇到了一个坑,特此记录。由于原本的管理端采用的只是单纯的springboot,以此为admin服务搭建了一套springcloud项目,另有一个自己搭建的app服务。在调试的过程中发现,app服务比较好的集成了jwt+SS鉴权,在不带token的情况下,直接访问app的接口会报错。

 但是在把admin服务引入springcloud框架以后,第一步先把原来的Shiro权限访问代码全部注释。按理来说是要全部走SS鉴权的,但在之后在访问的过程中,发现admin的所有接口都可以被外部直接访问到,SS鉴权一直没有生效。

最后把admin服务的所有config配置都关了,发现依然如此。

经过逐行调试源代码,发现在AbstractSecurityInterceptor类有一个方法

beforeInvocation(Object object)中通过
Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);

 obtainSecurityMetadataSource()来获取SS的配置文件:

这些配置文件返回一个集合,如果请求的路径不在这个集合中,那么即使有SS也是可以无限制访问后台的;如果在集合中,则会根据集合的配置来判断这个请求是否有访问权限。

由于admin工程的管理端后台是以sys/**来做的根路径没有被SS的配置包含进去,所以导致SS鉴权一直不成功。经过修改加入了

.antMatchers("/sys/**").authenticated()

之后,便把admin服务正式的纳入了SS的权限管控范围。

 

 

SpringBoot整合框架——集成SpringSecurityshiro
m0_61506558的博客
11-04 1011
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
若依源码学习2:shiro配置及登入登出
小宇哥x的博客
04-10 5784
1、Shiro 配置 shiro: user: # 登录地址 loginUrl: /login # 权限认证失败地址 unauthorizedUrl: /unauth # 首页地址 indexUrl: /index # 验证码开关 captchaEnabled: true # 验证码类型 math 数组计算 char 字符 captchaType: math cookie: # 设置Cookie的域名 默认空,.
Java学习之Shiro基本使用笔记+Security的简单使用
qq_45031575的博客
08-06 603
Shiro 的基本使用笔记 学习链接 目录结构 划红线的是Shiro 需要用到的类 shiro的简易工作流程 user(用户) –> Token(UsernamePasswordToken,令牌,Shiro 用来封装用户登录信息,使用用户的登陆信息来创建令牌Token) –> Subject(Shiro的一个抽象概念,包含了用户信息) –> SecurityManager(Shiro 的 核心部分,负责安全认证和授权) –> [{AuthenticationInfo}
一篇文章轻松搞定SpringSecurity权限框架!
路漫漫其修远兮,吾将上下而求索
01-07 3029
Spring Security是非常流行的安全(权限)框架,Web应用框架。主要有两大作用:一个是认证,一个是授权。本质上,它就是Filter过滤器。而且是过滤器链。SpringSecurityShiro的区别Spring Security的特点:Spring家族的,能很好的整合Spring。专门为Web应用开发设计的。提供专业全面的权限。重量级的。依赖于很多其他组件。在SSM中整合比Shiro麻烦。但在springboot中提供了自动配置方案。
SpringBoot整合Shiro/Security
weixin_43885216的博客
01-15 758
1.添加依赖
Springboot自定义注解实现简单的接口权限控制,替代Shiro/SpringSecurity
weixin_42822484的博客
08-09 4752
       我们知道权限控制是不能交给前端去做的,因为一但后端的接口所暴露,是十分危险的一件事,所以前端发起的请求的安全性无从考证,最终的权限控制还是要交给后端去判断。        ShiroSpringSecurity是都具备权限控制的两个框架,但是如果自己的小项目在权限控制方面要求比较简单,那么这两个框架就显得有些“重”,而且SpringSecurity配置起
Spring SecurityShiro的相同点不同点整理
08-25
综上所述,选择Spring Security还是Shiro取决于具体项目的需求和团队的技术栈。对于大型企业级项目,尤其是已经深度使用Spring项目Spring Security可能是更好的选择。而对于简单应用或者希望快速实现安全功能,...
spring securityshiro的安全处理
qq_41743601的博客
12-28 2298
spring securityshiro的安全处理 文章目录spring securityshiro的安全处理依赖视图配置用户认证和授权注销及权限控制记住我及首页地址 依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-
springsecurityshiro
05-27
在实际应用中,选择Spring Security还是Shiro取决于项目需求。如果需要深度定制、全面的安全管理,Spring Security是理想选择;而如果追求简洁快速的安全实现,Shiro可能是更好的选项。 配置这两个框架通常涉及以下...
Spring Boot 整合 Spring Security Shiro 以及两者的介绍使用
Ironhide的博客
06-02 2023
Spring Security 介绍 Spring Security是一个功能强大、高度可定制性的身份验证和访问控制的框架。它能够保护基于Spring框架的应用程序。 Spring Security是一个专注于为 Java 应用程序提供身份验证和授权的框架。所有Spring项目一样,Spring安全的真正威力在于它可以很容易地被扩展以满足需求。 整合流程 简单介绍整合流程: 本文案例使用 Spring Boot 集成 Spring Security。首先导入 security 的启动包,创建 securi
Shiro Or Spring Security
qq_24920043的博客
11-26 882
前言:公司想要把之前的框架重新弄一下,然后这边让我和另外一位同事负责搭建框架部分和基础数据部分,这边按照要求对两大权限框架啊做一个比较,也是记录下来,方便以后查阅。 Shiro: http://shiro.apache.org/ 是Shiro的官网     这是shiro官方对于shiro的的介绍。以下是Shiro官方对于Shiro大概功能的介绍: 这边我们结合Spring Se...
Spring Boot 整合 Shiro ,两种方式全总结!
田维常
06-20 339
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。今天松哥就来和大家聊...
SpringBoot整合SpringSecurityShiro
390396010
08-29 3382
ShiroSpringSecurity
安全框架ShiroSpringSecurity
qiuboshi_的博客
06-01 678
两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD Shiro 首先Shiro较之 Spring SecurityShiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。 Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Java Security API; 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory
ShiroSpringSecurity
温室的侠客的博客
09-04 1390
Shiro有很多地方都比Spring Security方便简单直接,比起Spring Security的庞大模式更容易理解和切入一些,而Spring SecurityShiro功能上要多一点,再就是和spring框架的无缝对接,比如支持spel等,有时候比Shiro更方便灵活。2.Spring Security 基于Spring开发,项目若使用Spring作为基础,配合Spring Security 做权限更便捷,而Shiro需要和Spring 进行整合开发;Shiro则是一个轻量级的安全管理框架。
springboot+shiro/SpringSecurity登陆验证
m0_47637225的博客
08-26 1153
springboot+shiro登陆验证
spring securityshiro简单使用
持续努力,一定会有好结果
01-14 1998
spring security 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写配置类 package com.config; import
为什么要用shiro框架_web应用安全框架选型:Spring SecurityApache Shiro
weixin_39924329的博客
12-04 286
一、 SpringSecurity 框架简介官网:https://projects.spring.io/spring-security/源代码: https://github.com/spring-projects/spring-security/Spring Security 是强大的,且容易定制的,基于Spring开发的实现认证登录资源授权的应用安全框架。SpringSecurity 的核心...
spring securityshiro的异同
weixin_34267123的博客
03-01 598
spring securityshiro的异同相同点1、认证功能2、授权功能3、加密功能4、会话管理5、缓存支持6、rememberMe功能不同点1、Spring Security 基于Spring 开发,项目若使用 Spring 作为基础,配合 Spring Security 做权限更加方便,而 Shiro 需要和 Spring 进行整合开发;2、Spring Secur...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值