四.Shiro - 拦截器配置

最新推荐文章于 2022-11-10 23:23:06 发布
最新推荐文章于 2022-11-10 23:23:06 发布
阅读量2.3k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luke199257/article/details/86580765
本文详细解析了Shiro框架中的权限配置方法,包括URL匹配模式、权限匹配顺序及过滤器意义,阐述了如何通过配置实现不同级别的访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

例子

        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                /shiro/login = anon
                /shiro/logout = logout
                
                /user.jsp = roles[user]
                /admin.jsp = roles[admin]
                
                # everything else requires authentication:
                /** = authc
            </value>
        </property>

一 . url 匹配模式

  • 支持Ant风格模式
  1. ? : 匹配一个字符
  2. * : 匹配零个或多个字符串
  3. ** : 匹配零个或者多个路径

二 . url权限匹配顺序

  • 采用第一次匹配优先的方式
    即从开始使用第一个匹配的url模式对应的拦截器链
    如:
   - /bb/**=filter1
   - /bb/aa=filter2
   - /**=filter3
  • 如果请求的url是"/bb/aa",那么将使用filter1进行拦截(没错我没有写错)

三 . 过滤器的意义

  1. 无参
  • /admin/** = anon :无参,表示可匿名访问
  • /admin/user/** = authc :无参,表示需要认证才能访问
  • /admin/user/** = authcBasic :无参,表示需要httpBasic认证才能访问
  • /admin/user/** = ssl :无参,表示需要安全的URL请求,协议为https
  • /home = user :表示用户不一定需要通过认证,只要曾被 Shiro 记住过登录状态就可以正常发起 /home 请求
  1. 必须认证
  • /edit = authc,perms[admin:edit] :表示用户必需已通过认证,并拥有 admin:edit 权限才可以正常发起 /edit 请求
  • /admin = authc,roles[admin] :表示用户必需已通过认证,并拥有 admin 角色才可以正常发起 /admin 请求
  • /admin/user/** = port[8081] :当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString
  • /admin/user/** = rest[user] :根据请求方式来识别,相当于 /admins/user/**=perms[user:get]或perms[user:post] 等等
  • /admin** = roles["admin,guest"] :允许多个参数(逗号分隔),此时要全部通过才算通过,相当于hasAllRoles()
  • /admin** = perms["user:add:*,user:del:*"]:允许多个参数(逗号分隔),此时要全部通过才算通过,相当于isPermitedAll()
  1. 退出登录
  • /logout = logout
Class雷
关注
springboot整合shiro之——拦截路径
qq_58341172的博客
04-12 915
身份认证、授权、加密、会话管理Web支持、缓存、多线程、测试、允许一个用户假装为另一个用户的身份进行访问、记住我。
Shiro 入门教程 - Shiro 拦截器机制
smart_an的专栏
07-19 1039
Shiro 使用了与 Servlet 一样的 Filter 接口进行扩展;NameableFilter 给 Filter 起个名字,如果没有设置默认就是 FilterName;还记得之前的如 authc 吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;OncePerRequestFilter 用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;
shiro 拦截器配置 说明
chuncui2576的博客
06-27 355
今天在 看 别人配置 shiro拦截器链的时候,突然看不懂一个 配置,,,百度了一下 /** * 配置shiro拦截器链 * * anon 不需要认证 * authc 需要认证 * user 验...
shiro配置拦截器
分享日常bug
11-10 769
如果你是从第一节配置shiro过来的!记得在ShiroFilterFactoryBean 上面添加@Bean注解。
SpringBoot:集成Shiro拦截器配置
得不到的永远是骚栋.
01-21 1141
前言 前面的几篇博客都是说的用户如何认证,如何授权,那么用户认证授权之后,我们该如何使用这些信息呢?这里我们就需要使用到Shiro框架中的拦截器功能.通过拦截器功能实现用户权限和角色的应用,下面我们就来看一下我们如何使用拦截器实现用户权限认证的应用. 拦截器分类说明 在配置拦截器之前,我们需要先了解Shiro本身给我们提供的拦截器都有什么,都有着什么样的特点.下面我们就来用表格的形式来看一下各种拦截器的特点. 简写(加粗为常用) 名称 优先级(1为最高) 说明 对应Java类 an..
shiro拦截器
java_zc的博客
03-21 824
http://blog.csdn.net/u013378306/article/details/50545552 shiro默认过滤器(10个)  anon -- org.apache.shiro.web.filter.authc.AnonymousFilterauthc -- org.apache.shiro.web.filter.authc.FormAuthenticati
shiro-1.7.1.zip
02-07
2. **shiro-web-1.7.1.jar**: 这个模块专门用于Web应用的安全性,提供了过滤器(Filter)来拦截HTTP请求,实现登录、登出、权限检查等功能。例如,Shiro的RememberMe服务、Session管理以及CSRF防护等功能都在这个...
shiro1.7.1.zip
04-12
4. **shiro-config-ogdl-1.7.1.jar**:这可能是OGDL配置解析器,OGDL(Object-Graph Description Language)是一种简洁的配置语言,用于定义Shiro配置。 5. **shiro-spring-1.7.1.jar**:Spring整合模块,使得...
shiro1.7.1全包修补漏洞.rar
07-18
7. **shiro-servlet-plugin-1.7.1.jar**: 一个Servlet插件,用于将Shiro的过滤器链配置到Web应用程序的Servlet容器中。这样,无需手动在web.xml中配置每个过滤器,而是通过Shiro配置文件进行管理。 8. **shiro-...
SpringMVC-Mybatis-Shiro-redis-master
01-18
SpringMVC通过DispatcherServlet进行请求分发,并使用拦截器(Interceptor)对请求进行预处理和后处理,增强了系统的灵活性和可扩展性。 **MyBatis** 是一个持久层框架,它允许开发者用简单的XML或注解来定义SQL...
使用shiro拦截器链实现权限管理
Ybt_c_index的博客
12-04 1万+
在开篇之前,先介绍一下shiro,那么什么是shiro呢? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。
SpringBoot 整和 shiro 把拦截路径提出到配置文件中
chaletan的博客
07-21 1万+
SpringBoot整合 Shiro 安全框架,把Shiro 参数提出到 配置文件的方法。
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3835
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
shiro拦截器的两种配置,以及shiro拦截器不拦截的问题
weixin_43990136的博客
03-07 2万+
先讲一下shiro拦截器不拦截的问题 原因:shiro拦截器是基于session(会话)拦截的,如果成功登陆服务器,且不关闭浏览器的窗口,就会一直默认为登陆状态。 所以给人一种没拦截的假象 shiro拦截器配置,一种是通过xml文件配置,一种是通过实现类来配置 实现类的配置麻烦一点: 可以参考https://blog.csdn.net/ybt_c_index/article/details/787...
SpringBoot 整合 Shiro 常见配置
qq_29799655的博客
04-27 2122
Shiro Shiro 是 apache 下的权限安全框架,通过该框架可以完成安全认证,例如登入,权限认证等,并且增加了加密认证,并发执行,缓存设计等 过滤器+AOP实现安全认证权限管理逻辑 提供用户表,存储代表当前用户的数据例如用户名,密码等 提供权限表,存储权限码 提供角色表,一个角色可以持有一个或多个不同权限 用户表添加角色字段,存储当前用户的角色 安全认证: 用户登录时将用户信息存储到S...
Shiro实际使用(实现各种实用的拦截器)
qq_38053426的博客
12-12 3354
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用了shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     配置: <!-- 1. 配置 Shiro
shiro 自定义拦截器配置多个权限实现
why154285的博客
08-30 1万+
一、问题产生 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,网上关于shiro的使用和实现原理也比较全面。这里不做详细介绍,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器的规则。 二、具体场景 自定义的拦截器没有重写PermissionsAuthorizationFilter的isA...
shiroFilter配置详解
eriz程序之路
06-06 2万+
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。Shiro  权限配置一般使用的有两种,一种是采用注解的方式,在我们的  Controller  方法上,或者Action 方法上写入一些权限判断注解,具体怎么使用,我不做介绍,我主要推荐使用配置的方式。这也是我们现在要讲到的配置方式加载系统基础权限控制,采用对Url 进行控制...
shiro内置过滤器研究
热门推荐
mark's technic world
12-02 3万+
anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filter.authc.Bas
springboot整合shiro-spring-boot-start自动配置
最新发布
08-07
配置Shiro的过滤器链(用于定义URL的拦截规则)。 4. 编写自定义Realm实现认证和授权逻辑。 由于使用shiro-spring-boot-starter,很多配置可以自动化,但我们仍然需要提供一些自定义的Bean。 注意:在Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值