Spring-shiro-Boot-6 shiro中的自定义过滤器-RestfulFilter

于 2022-03-17 11:57:18 发布
阅读量832 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Spring-shiro-Boot 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lidongliangzhicai/article/details/123541629

使用shiro自定义RestfulFilter过滤器。

该过滤器主要功能:

(1)在参数中或者header里加参数login-token作为登陆凭证。

(2)通过token来管理登录的无状态。取代传统的session模式。

过滤器的基础知识可以查看我的上一篇博客。我们使用shiro的UserFilter作为父类完成rest功能。

实现自定义过滤器主要实现以下几个方法:

//通过时
(1)isAccessAllowed
//拒绝时
(2)onAccessDenied
//根据参数或者header获取login-token
(3)getToken
//针对rest请求,对响应做对应处理
(4)writeResponse

具体来说:

(1)如果判断到请求中包含token,从redis中根据loginToken获取UsernamePasswordToken,交给shiro进行验证。成功返回true。

(2)如果判断到请求中包含token,但没有通过验证。对响应进行包装

1、设置ServletResponse-->HttpServletResponse

2、设置HttpStatus-->401, "Unauthorized"

3、设置info-->json:401 token不存在或者过期

(3)如果请求中token为空,按照传统方式进行验证(过滤器不做)。

getToken如下

public static String getToken(ServletRequest request) {
		HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
		//从参数中获取token
		String loginToken = httpServletRequest.getParameter(UserConstants.LOGIN_TOKEN);
		if (StringUtils.isBlank(loginToken)) {
		    //从header中获取token
			loginToken = httpServletRequest.getHeader(UserConstants.LOGIN_TOKEN);
		}
		return loginToken;
	}

在配置类ShiroConfig中设置自定义的过滤器

 // 6、加载自定义过滤器
shiroFilterFactoryBean.getFilters().put("authc", restfulFilter);

springboot整合shiro自定义过滤器版)
qq_38639813的博客
07-25 1651
***token*}}/***oauth2过滤器*主要用来判断token存不存在,如果存在则赋值给OAuth2Token*//获取请求tokenStringtoken=getRequestToken((HttpServletRequest)request);
Spring-shiro-Boot-7 shiro中的自定义过滤器-LogoutFilter
良之才的专栏
03-17 1616
如果是使用restful的方式,还需要在登出的时候处理token,将其删除才行。 所以还需建立LogoutFilter。 shiro直接提供了LogoutFilter,我们只要继承之后实现自己的逻辑就可以。这里要说的是与上一个userFilter不同,LogoutFilter继承AdviceFilter,所以我们实现的方法也不同。 boolean preHandle(ServletRequest request, ServletResponse response) (1)如果没有获取到login
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Springboot集成Shiro--自定义权限过滤器
PrimaryMe的博客
11-15 1665
在使用Shiro进行权限判断的时候,某一个访问路径,可能只需要两种权限中的其中一个,就可以访问。但是Shiro中,提供的权限过滤,必须都满足两个权限之后,才能访问,这样会造成一些权限控制的不合理人性化。因此自定义权限过滤器是非常有必要的,在日后的开发中,自定义权限过滤器是很频繁的操作。
6.Spring Boot中使用Shiro
相互学习 共同进步
06-29 708
使用注解配置Shiro 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupI
Spring Boot添加自定义Filter
Lovnx
03-09 1万+
第一步:编写自己的Filterpublic class MyFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
spring-boot-shiro-demo
04-22
Spring Boot简化了Shiro的集成过程,我们可以在配置文件中添加Shiro的依赖,并通过自定义Shiro配置类来配置过滤器链。Shiro的核心组件包括Subject、SecurityManager、Realm等,它们负责处理用户的登录、权限验证以及...
springboot-shiro
10-18
接下来,我们可以在SpringBoot启动类中配置Shiro Filter,设置过滤器链,以实现URL级别的权限控制。Shiro Filter支持多种过滤器,如 anon(匿名访问)、authc(身份验证)、roles(角色权限)和perms(权限许可)等...
spring-boot+shiro+jpa
07-12
3. **Shiro配置**:定义安全规则,如Realm(认证和授权的实现)、过滤器链等。 4. **JPA实体类**:映射到数据库表的Java类,通过@Entity和@Table注解进行标注。 5. **Repository接口**:继承自Spring Data JPA的...
RESTful之过滤Filtering
IT之一小佬的博客
07-19 710
对于列表数据可能需要根据字段进行过滤,我们可以通过添加django-fitlter扩展来增强支持。 pip insall django-filter 在配置文件中增加过滤后端的设置: INSTALLED_APPS = [ ... 'django_filters', # 需要注册应用, ] REST_FRAMEWORK = { 'DEFAULT_FILTER_BACKENDS': ('django_filters.rest_framework.DjangoFilterB
springmvc+shiro自定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Springboot 自定义过滤器
qq_31220281的博客
05-18 438
@Slf4j//@WebFilter(filterName="MyFilter",urlPatterns="/*")//@Order(2) //设置spring  bean 的加载顺序(未实验),不代表Filter的优先级public class Myfilter implements Filter{ @Override public void init(FilterConfig filterCo...
Spring Boot Shiro权限管理--自定义 FormAuthenticationFilter验证码整合
热门推荐
爱笑的博客
08-29 2万+
验证码 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuthen
RESTful API 的拦截之过滤器、拦截器、切片介绍
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-11 1350
Spring Security框架使用过程中会有很多Restful API的拦截操作,像各种过滤器拦截器以及Spring AOP的使用,所以在学习Spring Security之前很有必要对他们进行一个简单介绍。
restful风格和自定义拦截器
melody875649004的博客
10-21 1539
Restful:约定俗成的一种风格,便于规范开发 使用POST、DELETE、PUT、GET,使用不同方法对资源进行操作 分别对应 添加、 删除、修改、查询 传统方式操作资源                             使用RESTful操作资源  http://127.0.0.1/item/queryItem.action?id=1 查询,GET             http...
springboot+ssm+shiro做简单的登录功能
qq_41816742的博客
11-20 572
创建一个springboot+ssm项目 导入shiro依赖 编写shiro的配置文件 测试 目录 创建一个springboot+ssm项目 导入shiro依赖 编写shiro的配置文件 测试 一、详情请见https://blog.youkuaiyun.com/qq_41816742/article/details/108624574 二、导入shiro依赖 三、 shiro的配置文件 自定义MyRealm数据源 UserMapper写Sql语句 ..
RESTful API的拦截:过滤器Filter、拦截器Interceptor、切片Aspect
一点光辉的博客
10-02 1326
过滤器能够过滤请求,但是不能够拿到是那个controller的那个方法 拦截器能拿到controller的那个方法,但是不能拿到方法的请求参数值 切片能够拿到详细的请求参数值 三者执行顺序 Filter -> Interceptor -> Aspect ->Controller 一、过滤器Filter(不知道是那个控制器以及那个方法来处理的) 需求:通过过...
restful风格
acowardz的博客
10-08 753
RESTful是什么? RESTful对应的中文是 REST式的。 RESTful Web Service是一种常见的REST的应用,是遵守了REST风格的web服务。 REST式的web服务是一种ROA(面向资源的架构)   REST 架构的主要原则 网络上的所有事物都可被抽象为资源(Resource)  每个资源都有一个唯一的资源标识符(Resource Identifie...
SpringBoot6-整合MyBatis、Shiro
战无道的博客
10-19 214
一、整合MyBatis 1.1 添加依赖 mysql驱动包,默认是最新的版本 mysql-spring-boot包不是spring做的,所以不受spring版本控制 以前底层的都不需要自己写了,写映射文件就可以了,但自动配置的参数要配置一下 1.2 目录位置 1.3 配置文件 1.3.1 以前的主配置文件配置写到springboot配置文件中 1.3.2 打个Mapper注解,通过动态代理自动生成接口实现类 每个类都打注解很麻烦,所以在主类加注解,全部扫描,就不用一个一个添加了 1.4 最新版
spring-boot-shiro-starter
最新发布
12-27
### 如何在Spring Boot中使用shiro-spring-boot-web-starter进行权限管理 #### 添加依赖 为了使项目能够利用Shiro的功能,需先引入`shiro-spring-boot-web-starter`作为Maven项目的依赖项。具体来说,在`pom.xml`文件内加入如下片段: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 此操作确保了应用程序具备必要的组件来进行基于角色的安全控制[^2]。 #### 创建自定义Realm 实现身份验证和授权的核心在于创建继承自`AuthorizingRealm`的具体类——即所谓的“领域”。此类负责处理用户的认证信息以及其对应的权限集合。例如: ```java public class UserRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现获取用户的角色和权限逻辑... SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken)token; String username = upToken.getUsername(); // 基于用户名查询数据库或其他存储介质中的密码并返回相应的认证信息对象 Object principal = ... ;// 用户名或其它唯一标识符 Object credentials = ...;// 密码哈希值 return new SimpleAuthenticationInfo(principal, credentials, getName()); } } ``` 这段代码展示了如何构建一个简单的`UserRealm`实例用于模拟实际场景下的数据访问过程[^3]。 #### 注册SecurityManager Bean 为了让Shiro接管整个应用的安全策略,还需注册一个全局唯一的`SecurityManager`bean,并将其关联至之前定义好的`UserRealm`: ```java @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager(UserRealm userRealm){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(userRealm); return securityManager; } } ``` 上述配置使得每次请求到达服务器端时都会经过由`DefaultWebSecurityManager`所维护的一系列安全过滤器链路,从而实现了细粒度的访问控制机制。 #### 控制器层面的应用 当涉及到RESTful API接口设计时,如果前端发送的数据格式为JSON,则应在控制器方法签名处声明接收实体类型的参数,并加上`@RequestBody`注解以便正确解析传入的内容体。比如执行登录动作可能像这样编写: ```java @RestController @RequestMapping("/auth") public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest request){ Subject currentUser = SecurityUtils.getSubject(); try{ UsernamePasswordToken token = new UsernamePasswordToken(request.getUsername(),request.getPassword().toCharArray()); currentUser.login(token); Map<String,Object> resultMap=new HashMap<>(); resultMap.put("success",true); resultMap.put("message","登陆成功"); return ResponseEntity.ok(resultMap); }catch(Exception e){ throw new RuntimeException(e.getMessage()); } } } ``` 这里的关键点在于理解何时应该采用何种HTTP Content-Type头字段来指示客户端提交给服务端的数据编码形式;对于JSON而言,默认情况下会自动映射到Java POJO上,前提是已正确定义好相应模型类结构[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

良之才-小良

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值