直捣黄龙,我直接攻破公司的认证框架调用系统的接口

最新推荐文章于 2025-12-05 17:02:52 发布
原创 最新推荐文章于 2025-12-05 17:02:52 发布 · 198 阅读 · 0 ·
CC 4.0 BY-SA版权
本内容最终版权归csdn博主掉头发的王富贵所有,本文为博主原创文章,未经博主允许不得转载。
文章标签:

#java #安全 #服务器

本文介绍如何在使用Shiro安全架构时,通过创建自定义AuthFilter实现免登录功能,仅凭账号访问特定接口,同时利用JWT为请求添加权限验证。作者详细讲解了Filter的工作原理和关键代码实现。

公司使用的安全架构是Shiro,所以每访问一个请求都需要带一个令牌去访问这个接口,否则就是被拦截,其实我们可以在配置类中把要访问的接口给放开,允许通行:

public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
    
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();


        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
     
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
   
        filterChainDefinitionMap.put("/user_curriculum_vitae/pull", "anon");


        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

类似上面这样我们就把user_curriculum_vitae这个接口给放开了。
但是!!这就意味着他获取不到令牌了,没有令牌只有也意味着获取不到用户的信息,这样系统在进行用户信息的时候就会报错,这样我们有什么更好的方法呢?类似想实现一个免登录的功能?只需要账号即可跳过验证,拿到用户的信息。
这里我们就要请出今天的主角:Filter
这里类是在javax.servlet包下,也就是说是java提供的最原始的过滤器接口,所以我们可以实现这个接口:


@WebFilter
@Component
public class AuthFilter implements Filter {

    @Autowired
    private CmcServerFeigin cmcServerFeigin;

    /**
     * 要拦截的请求
     *
     * @Param:
     * @return:
     * @Author: MaSiyi
     * @Date: 2022/2/11
     */
    private final String[] filter = {
            "/ddqr/autoCreatedFlow",
            "/autoCreateFlow/handleCreateFlow",
            "/autoCreateFlow/normalCreateFlow"
    };

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String requestURI = request.getRequestURI();

        List<String> list = Arrays.asList(filter);

        if (list.contains(requestURI)) {
            filterChain.doFilter(setKeyId(request), response);
        } else {
            filterChain.doFilter(request, response);
        }
    }

    /**
     * 往请求头添加 keyId
     *
     * @param request
     * @return
     */
    public RHttpServletRequest setKeyId(HttpServletRequest request) {
        RHttpServletRequest rHttpServletRequest = new RHttpServletRequest(request);
        //获取
        JSONObject obj = new JSONObject();
        ResultUtils res;
        String psnCode = rHttpServletRequest.getHeader("psnCode");
        if (!StringUtils.isEmpty(psnCode)) {
            obj.put("signature", psnCode);
        }
        res = cmcServerFeigin.getToken(obj);
        String keyId = "";
        if (CodeEnums.SUCCESS_CODE.getCode().equals(res.getCode())) {
            JSONObject jsonObject = JsonUtils.toJsonObject(res.getData());
            String token = jsonObject.getString("token");
            keyId = token == null ? jsonObject.getString("keyId") : token;
        } else {
            System.out.println("获取keyId失败:" + JsonUtils.toJsonObject(res));
        }
        rHttpServletRequest.addHeader("keyId", keyId);

        return rHttpServletRequest;
    }

    @Override
    public void destroy() {

    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

}

这里我们一个要实现三个抽象方法:

doFilter //过滤器 destroy //销毁的时候调用 init // 初始化的时候调用

在doFilter方法中我们,可以对请求头和返回体做响应,其实可以理解为一个拦截器
而在

    private final String[] filter = {
            "/autoCreateFlow/handleCreateFlow",
            "/autoCreateFlow/normalCreateFlow"
    };

这个数组中,我们可以理解他为过滤器,这里有一个面试官常常问的问题:

你了解过拦截器和过滤器吗?

其实按照我的理解就是拦截器就是对请求在进入方法之前我们可以对他们进行一些特殊的操作,例如修改请求体等等,而过滤器呢就是可以过滤掉一些请求去访问我们的方法,例如过滤掉某些不需要认证的接口,如springsecurity中放行的接口。

所以上面这个类的作用就是,凡是在我filter数组中的请求我们就可以对他们进行一些操作,这里的操作就是在他们的request中添加对应的授权信息,这样就使得别人调用接口的时候就可以实现权限的认证了。

但是!在上面的HttpServletRequest类中他是没有添加请求头的方法的,所以这里我们要重写一个类用来给请求头添加信息:


public class RHttpServletRequest extends HttpServletRequestWrapper {

    private Map<String, String> headerMap = new HashMap<>();

    public RHttpServletRequest(HttpServletRequest request) {
        super(request);
    }


    @Override
    public String getParameter(String name) {
        return super.getParameter(name);
    }

    /**
     *
     * 添加具有给定名称和值
     * @param name
     * @param value
     */
    public void addHeader(String name, String value) {
        headerMap.put(name, value);
    }

    @Override
    public String getHeader(String name) {
        String headerValue = super.getHeader(name);
        if (headerMap.containsKey(name)) {
            headerValue = headerMap.get(name);
        }
        return headerValue;
    }

    @Override
    public Enumeration<String> getHeaderNames() {
        List<String> names = Collections.list(super.getHeaderNames());
        for (String name : headerMap.keySet()) {
            names.add(name);
        }
        return Collections.enumeration(names);
    }

    @Override
    public Enumeration<String> getHeaders(String name) {
        List<String> values = Collections.list(super.getHeaders(name));
        if (headerMap.containsKey(name)) {
            values = Arrays.asList(headerMap.get(name));
        }
        return Collections.enumeration(values);
    }

}

这样就能够实现对于请求头的相关操作啦!
如果你看到这里,希望给博主一个点赞收藏加关注哦!!

超级指标直捣黄龙通达信指标公式源码.doc
07-30
文档"超级指标直捣黄龙通达信指标公式源码.doc"主要介绍了一种自定义技术分析指标,用于股票市场交易决策。这个指标是为通达信(TongDaXin)交易平台定制的,通达信是中国流行的一款股票分析软件。指标公式包括多个...
精品指标,直捣黄龙通达信指标公式源码.doc
08-11
精品指标,直捣黄龙通达信指标公式源码.doc
shiro通过注解方式自定义控制接口无需认证访问的解决过程
凌大大的博客
01-26 1万+
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
如何放开Shiro对OPTIONS请求的拦截
sebeefe的博客
04-28 768
如何放开Shiro对OPTIONS请求的拦截 最近出现前台访问后端接口预请求,返回302重定向到shiro的登录地址的bug。定位好久后发现是OPTIONS请求的时候没有带token,导致shiro认为是未登录状态,然后重定向到登录地址。所以我们现在的解决方法就是放开shiro对所有OPTIONS的拦截。 首先确定后端是否配置好跨域,允许所有请求方式跨域访问。然后建立ShiroUserFilter。 package com.jokerliu.config.shiro; import com.jokerli
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 4650
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
drf框架接口认证
Allen
02-24 871
文章目录drf框架接口认证项目初始化接口注册接口用户中心接口图书资源接口认证认证组件重点自定义认证类权限组件重点自定义权限类jwt认证示意图认证权限配置jwt签发校验规则jwt算法:签发与校验签发校验drf项目的jwt认证开发流程(重点)drf-jwt框架的简单使用安装(终端)签发token(登录接口):视图类已经写好了,配置一下路由就行(urls.py)校验token(认证组件):认证类已经...
SpringCloud确保服务只能通过gateway转发访问,禁止直接调用接口访问
Hpsyche的博客
11-06 2万+
前言 在微服务体系架构中,网关承担着重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙,所以,在分布式架构中,我们需要有一定的防范,来确保各个服务相互之间安全调用。 正文 思路 1、在网关中给所有请求加上一个请求密钥 2、在服务添加过滤器,验证密钥 首先在网关服务(gateway)中添加过滤器,给放行的请求头上加上判断...
SpringCloud确保服务只能通过gateway转发访问,禁止直接调用接口访问【转载】
weixin_41464742的博客
02-22 1758
前言 在微服务体系架构中,网关承担着重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙,所以,在分布式架构中,我们需要有一定的防范,来确保各个服务相互之间安全调用。 正文 思路 1、在网关中给所有请求加上一个请求密钥 2、在服务添加过滤器,验证密钥 首先在网关服务(gateway)中添加过滤器,给放行的请求头上加上判断 package com.hpsyche.hpsychegatewayserver.filter; impor
使用darknet训练自己的数据集以及对python接口调用
weixin_43871135的博客
03-30 2万+
一、使用labelimg标注自己的数据集 labelimg百度网盘链接 大概12.5M,下载完成之后可以直接点击labelImg.exe进行使用 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown ...
直捣黄龙题解
qq_35838922的博客
04-17 309
【代码】直捣黄龙题解。
直捣黄龙造句.docx
12-01
直捣黄龙造句.docx
MVP改成MVVM模式
u014035162的专栏
12-05 837
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据和业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图与数据的绑定。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
最新发布
Dxxyyyy的博客
12-05 921
文件在程序中是以流的形式来操作的流:数据在数据源(文件)和程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
基于Springboot2+Vue2的旅游景点购票系统
自学网站s.jf3q.com,菜鸟的成长之路
12-02 750
系统是一个集旅游景点信息展示、在线购票、用户游记分享与互动交流于一体的综合性平台。核心价值在于提供便捷的景点门票预订服务,同时构建活跃的旅游社区,促进用户间的经验分享。
Java 缓冲区优化
qq_43427354的博客
12-02 771
Java 中,缓冲区(Buffer) 是一块用于临时存储数据的内存区域,核心作用是协调数据生产者和消费者的速度差异,减少频繁 I/O 操作或数据拷贝的开销,提升程序性能。它本质是 “数据中转站”,避免了直接对原始数据源(如文件、网络流、数组)的频繁读写,通过 “批量处理” 优化效率。
Drools规则引擎实战指南
qq_41262225的博客
12-05 495
Drools规则引擎实战指南摘要 Drools是一款开源的Java业务规则管理系统(BRMS),通过将业务逻辑与代码分离,提高系统灵活性。本文介绍了Drools的核心架构,包括KieBase知识库、KieSession工作内存和规则执行队列Agenda。实战部分展示了Maven依赖配置、项目结构设计,以及实体模型定义方法。通过规则引擎,业务人员可直接维护业务规则,无需修改代码即可实现业务逻辑变更,显著提升系统可维护性。文章还提供了Spring Boot集成方案和规则文件组织结构,帮助开发者快速上手Drool
Java---集合
2301_80275859的博客
12-04 534
本文介绍了Java集合框架的核心概念和使用方法。主要内容包括:1)集合的基本概念和分类(单列集合Collection和双列集合Map);2)Collection接口的常用方法(add、remove、contains等)和两种遍历方式(迭代器和增强for循环);3)List接口特点(有序、可重复)及其实现类ArrayList、LinkedList和Vector的对比;4)Set接口特点(无序、不可重复)及其实现类HashSet和LinkedHashSet;5)底层数据结构分析,包括数组、链表和红黑树的应用场景
【开题答辩全过程】以 基于Javaweb的电动汽车充电桩管理系统为例,包含答辩的问题和答案
shiji9932的博客
12-03 466
本文介绍了一位14年经验的技术专家可提供的毕设支持服务,包括Java、Python等多语言项目开发与答辩指导。重点展示了一个"电动汽车充电桩管理系统"的答辩案例,详细说明了系统功能(预约管理、费用计算等)、技术实现(SpringBoot+Vue+MySQL)及关键问题解决方案(如预约冲突处理、断电检测机制)。文中提供了答辩问答实录,展现了从选题背景到技术细节的完整答辩过程,并附有评委的正面评价。最后建议学生可参考往届真实开题报告,提供选题指导、源码参考等服务,强调独立完成的重要性,同时表
直捣黄龙pta
11-27
直捣黄龙”是PTA(Programming Teaching Assistant,程序设计类课程辅助教学平台)上的一道题目,以下是对该题目的相关分析: ### 题目描述 本题是关于图的路径搜索问题,背景设定为岳飞带领岳家军直捣黄龙府。给定一张地图,地图上有多个城市,城市之间有道路相连且每条道路有一定的距离。需要从起点“临安”出发,找到一条满足特定条件的路径到达“黄龙”。 ### 条件要求 1. **最短路径**:在所有从起点到终点的路径中,优先选择总距离最短的路径。 2. **最多杀敌数**:如果存在多条最短路径,选择路径上经过的城市中杀敌总数最多的路径。 3. **平均杀敌数最多**:若还有多条路径满足上述条件,选择路径上平均每个城市杀敌数最多的路径(平均杀敌数 = 总杀敌数 / (路径上城市数 - 1))。 ### 解题思路 1. 构建图:使用邻接表或邻接矩阵来表示城市之间的连接关系和距离。 2. 深度优先搜索(DFS)或迪杰斯特拉(Dijkstra)算法:用于寻找最短路径。 3. 记录路径信息:在搜索过程中,记录每条路径的总距离、总杀敌数和经过的城市。 4. 筛选最优路径:根据题目要求的条件,筛选出最优路径。 ### 代码示例(Python) ```python import heapq from collections import defaultdict # 读取输入 n, k = map(int, input().split()) cities = input().split() city_index = {city: i for i, city in enumerate(cities)} enemies = list(map(int, input().split())) # 构建图 graph = defaultdict(list) for _ in range(k): u, v, d = input().split() u_index = city_index[u] v_index = city_index[v] d = int(d) graph[u_index].append((v_index, d)) graph[v_index].append((u_index, d)) start = city_index["临安"] end = city_index["黄龙"] # 迪杰斯特拉算法 dist = [float('inf')] * n dist[start] = 0 ways = [0] * n ways[start] = 1 kill = [0] * n path_count = [0] * n pre = [-1] * n pq = [(0, start)] while pq: cur_dist, cur = heapq.heappop(pq) if cur_dist > dist[cur]: continue for neighbor, d in graph[cur]: new_dist = cur_dist + d if new_dist < dist[neighbor]: dist[neighbor] = new_dist ways[neighbor] = ways[cur] kill[neighbor] = kill[cur] + enemies[neighbor] path_count[neighbor] = path_count[cur] + 1 pre[neighbor] = cur heapq.heappush(pq, (new_dist, neighbor)) elif new_dist == dist[neighbor]: ways[neighbor] += ways[cur] if kill[cur] + enemies[neighbor] > kill[neighbor]: kill[neighbor] = kill[cur] + enemies[neighbor] path_count[neighbor] = path_count[cur] + 1 pre[neighbor] = cur elif kill[cur] + enemies[neighbor] == kill[neighbor]: if (kill[cur] + enemies[neighbor]) / (path_count[cur] + 1) > kill[neighbor] / path_count[neighbor]: path_count[neighbor] = path_count[cur] + 1 pre[neighbor] = cur # 输出结果 path = [] cur = end while cur != -1: path.append(cur) cur = pre[cur] path.reverse() print(ways[end], dist[end], kill[end], kill[end] // (len(path) - 1)) print(" -> ".join(cities[i] for i in path)) ``` ### 复杂度分析 - **时间复杂度**:$O(V^2)$ 或 $O((V + E) \log V)$,取决于使用的算法和数据结构。 - **空间复杂度**:$O(V + E)$,主要用于存储图和路径信息。 ### 相关问题
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

掉头发的王富贵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值