Shiro实现URL自定义拦截

最新推荐文章于 2025-03-18 11:30:19 发布
最新推荐文章于 2025-03-18 11:30:19 发布
阅读量2w 收藏 11
点赞数 3
分类专栏: Java shiro 文章标签: shiro 自定义拦截器 接口权限 shiro权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lpy1239064101/article/details/79186291
版权

最近做的一个功能使用shiro对接口进行权限限制。也就是说,当前端请求到后台时,首先判断用户是否具有请求该接口的权限,如果有权限,才能进行访问后台API。

1、自定义权限过滤器

package com.cat.arain.web.shiro;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
/**
 * 权限过滤器
 * 
 * @author Arain.liu
 */
public class UrlPermissionsFilter extends PermissionsAuthorizationFilter {

	@Override
	public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
			throws IOException {
		return super.isAccessAllowed(request, response, buildPermissionsFromRequest(request));
	}
	protected String[] buildPermissionsFromRequest(ServletRequest request) {
		HttpServletRequest servletRequest = (HttpServletRequest) request;
		String uri = servletRequest.getRequestURI();
		String tmpUri = uri.substring(1, uri.length());
		String reUri = tmpUri.substring(tmpUri.indexOf("/"), tmpUri.length());
		return new String[] { reUri };//返回请求URI
	}
}

2、自定义权限解析器

package com.cat.arain.web.shiro.permissions;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.permission.PermissionResolver;
/**
 * 自定义权限解析器
 * @author arain.liu
 * 2018年1月08日 下午1:57:39
 */
public class CustomerPermissionResolver implements PermissionResolver {
	@Override
	public Permission resolvePermission(String permissionString) {
		return new AntPathPermission(permissionString);
	}
	protected class AntPathPermission implements Permission {
		private String permissionString;
		public AntPathPermission(String permissionString) {
			this.permissionString = permissionString;
		}
		public String getPermissionString() {
			return permissionString;
		}
		@Override
		public boolean implies(Permission p) {
			if (!(p instanceof AntPathPermission)) {
				return false;
			}
			AntPathPermission wp = (AntPathPermission) p;
			String wpPerm = wp.getPermissionString();
 			if (StringUtils.equals(wpPerm, permissionString)) {
				return true;
			}
			return false;
		}
	}
}
然后将这两个类添加到配置中: 

<bean id="urlPermissionsFilter" class="com.cat.arain.web.shiro.UrlPermissionsFilter"/>
<bean id="customerPermissionResolver" class="com.cat.arain.web.shiro.permissions.CustomerPermissionResolver"></bean>
3、将自定义的权限解析器添加到自定义的Realm中 
<bean id="mayCasRealm" class="com.cat.arain.web.shiro.realm.MyCasRealm">
	<property name="permissionResolver" ref="customerPermissionResolver"/>
</bean>
在自定义的Realm中添加权限验证: 

  /**
     * 权限验证
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    	String accountNo = (String) principals.getPrimaryPrincipal();
		if (org.apache.commons.lang3.StringUtils.isBlank(accountNo)) {
			return null;
		}
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		List<String> permissions = resourceService.getUserMenus(accountNo);
		authorizationInfo.addStringPermissions(permissions);
		return authorizationInfo;
    }

4、配置不同接口的拦截链

<bean id="filterChainManager" class="com.cat.arain.web.shiro.CustomDefaultFilterChainManager">
		<property name="loginUrl" value="${shiro.loginUrl}" />        <!--需要登录的请求在未登录的情况下会被拦截到这个地址 -->
		<property name="customFilters">
			<util:map>
				<entry key="authc" value-ref="formAuthenticationFilter" />
				<entry key="logout" value-ref="logoutFilter" />
				<entry key="cas" value-ref="casFilter" />
				<entry key="urlPermissionsFilter" value-ref="urlPermissionsFilter"/>
			</util:map>
		</property>
		<property name="defaultFilterChainDefinitions">
			<value>
				/login-cas = cas
				/assets/** = anon
				/*.ico = anon
				/nirvana/**	=anon
				/uploader/** =anon
				/logout = logout
 				/** = authc,urlPermissionsFilter
			</value>
		</property>
	</bean>

Springboot + shiro 整合之Url拦截设置
lispnet的专栏
06-15 7173
shiro 整合到springboot 还是比较简单的,只需要新建一个spring-shiro.xml的配置文件:
JWT自定义拦截及token验证(搭配shiro
KY_11的博客
12-20 570
JWT自定义拦截及token验证(搭配shiro) 1.实现配置拦截器,并限制拦截接口 /** * 配置拦截器 */ @Configuration public class AppletInterceptorConfig implements WebMvcConfigurer { @Autowired @SuppressWarnings("all") private RedisTemplate<String, String> redisTemplate;
Shiro第一篇【Shiro的基础知识、回顾URL拦截
3y
08-17 448
Shiro基础知识 在学习Shiro这个框架之前,首先我们要先了解Shiro需要的基础知识:权限管理 什么是权限管理? 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 对权限的管理又分为两大类别: 用户认证 用户授权 用户认证 用户认证,用户去访问系统,系统要验证用户身份的合法性...
shiro登录的demo
最新发布
qq_33240556的博客
03-18 463
如果需要更复杂的场景(如权限验证或加密密码),可以进一步补充代码!的简单登录示例(使用。
Shiro第八章二-自定义拦截器
海恩的博客
04-30 408
自定义拦截器 自定义拦截器可以扩展一些功能,如,从Subject获取用户身份信息绑定到Request、验证码验证、在线用户信息的保存等。 扩展OncePerRequestFilter OncePerRequestFilter保证请求只调用一次doFilterInternal()。 public class MyOncePerRequestFilter extends ...
shiro自定义拦截url
weixin_30340775的博客
12-28 362
  在实际项目上,我们针对不同的用户(guste,user,admin,mobile user)等等,需要进入不同的页面,比如,手机端用户需要进入Mobile/这个路径下的,这个时候,我们需要自定义拦截url,就比如下面的url: 电脑端用户登录页面 http://localhost:8080/login 手机端用户登录页面 http://localhost:8080/mobile/log...
shiro 自定义拦截器
qq_38930240的博客
01-29 4766
1.拓展 OncePerRequestFilter  用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;另外提供 enabled 属性,表示是否开启该拦截器实例,默认 enabled=true 表示开启,如果不想让某个拦截器工作,可以设置为 false 即可。 保证一次请求只调用一次 doFilterInternal,即如内部的 forward 不会再多执行一次 doFi...
基于Shiro 拦截URL实现权限控制
08-02
在这个主题中,“基于Shiro拦截URL实现权限控制”意味着我们将探讨如何利用Shiro来管理应用程序中的访问权限,确保用户只能访问他们被授权的资源。 首先,我们需要理解Shiro的三个核心概念: 1. 身份验证...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
Shiro 入门教程 - Shiro 拦截器机制
smart_an的专栏
07-19 1019
Shiro 使用了与 Servlet 一样的 Filter 接口进行扩展;NameableFilter 给 Filter 起个名字,如果没有设置默认就是 FilterName;还记得之前的如 authc 吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;OncePerRequestFilter 用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;
Shiro第十九章-动态url权限控制、拦截器自定义
海恩的博客
04-30 1983
简介 即访问url时进行权限匹配,如果没有权限则直接跳到错误页面。 在Shiro中,更多的是通过AOP进行方法级别的权限控制,而通过url进行权限控制是一种集中的权限控制。 示例 拦截器:如authc、anon等字符串为一个拦截器拦截器链:url=authc为一条拦截器链;拦截器链集合:url1=authc,url2=anon为拦截器链集合。 仿chapter16的示...
shiro框架一 :基于URL粗粒度的页面拦截过滤
java_xxxx的博客
08-14 3250
对于shiro大家都不陌生,它是一个权限控制框架。 它对权限控制,主要分为两种方式。 1、粗粒度URL级别的权限控制 2、细粒度基于方法的权限控制 其实权限控制的话,也可以自己写,主要用到的技术有 自定义实现实现权限控制, 可以自己写代码实现 (粗粒度权限控制 Filter、 细粒度权限控制 自 定义注解、代理、反射技术),博主能力有限就不自己写了,,,(其实是写不出来,,,)。还有一...
自定义Shiro拦截器实现角色多选一
dengz_j的博客
01-20 431
为什么自定义Shiro拦截器 Shiro自带的拦截器,一个请求只能赋予一个角色或者一个组合角色。 例如: filterChainDefinitionMap.put("/user/*","roles[user,admin]"); 表示只有同时获得user和admin的角色才能访问/user/* 但是实际中,需要/user/* 的请求user和admin角色都可以访问,那么就需要自定义拦截器 怎么自定义Shiro拦截器 默认的拦截器 所有的拦截器都继承了AccessControlFilter类 继承了
Shiro的基础知识、回顾URL拦截
zzhongcy的专栏
10-13 572
本文主要讲解的知识点有以下:权限管理的基础知识模型粗粒度和细粒度的概念回顾URL拦截实现Shiro的介绍与简单入门只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。用户认证用户授权shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。
authc过滤器 shiro_shiro笔记 【四】
weixin_39690391的博客
11-20 393
shiro笔记 【三】public class MyIniWebEnvironment extends IniWebEnvironment { @Override protected FilterChainResolver createFilterChainResolver() { //在此处扩展自己的FilterChainResolver return s...
Shiro权限管理框架(一):Shiro的基本使用
十指波课堂的博客
08-01 348
其实关于Shiro的一些学习笔记很早就该写了,因为懒癌和拖延症晚期一直没有落实,直到今天公司的一个项目碰到了在集群环境的单点登录频繁掉线的问题,为了解决这个问题,Shiro相关的文档和教程没少翻。最后问题解决了,但我觉得我也是时候来做一波Shiro学习笔记了。先给自己定个博客计划吧,不然很可能又要难产了。本次预计的篇幅量在三篇,第一篇先记录一下Shiro的基本使用,第二篇写一下基于Shiro实现的...
Shiro拦截ajax请求
大宇的博客,欢迎访问
03-28 3780
        今天又发现了一个新的问题,Shiro拦截器不能够拦截ajax请求,需要自定义一个拦截器拦截ajax请求。 package com.ssi.domains.secutity; import org.apache.shiro.SecurityUtils; import org.apache.shiro.subject.Subject; import org.apache.sh...
springboot整合shiro之——拦截路径
qq_58341172的博客
04-12 898
身份认证、授权、加密、会话管理Web支持、缓存、多线程、测试、允许一个用户假装为另一个用户的身份进行访问、记住我。
Shiro+SpringBoot 时,anon配置的匿名路径被拦截
热门推荐
qq_36662478的博客
01-21 1万+
Shiro+SpringBoot 时,anon配置的匿名路径被拦截 主要原因:配置过滤器集合时使用了HashMap @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { //1.创建过滤器工厂 ShiroFilterFactoryBean f...
Shiro Web应用自定义Realm实现指南
以上知识点涵盖了在Shiro框架中自定义Realm的基本概念、实现方式和在Web应用中的集成方法。通过阅读这些内容,开发者应该能够理解和掌握如何在自己的Web应用中根据业务需求定制安全Realm,并进行相应的安全控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值