四.Shiro - 拦截器配置

本文详细解析了Shiro框架中的权限配置方法,包括URL匹配模式、权限匹配顺序及过滤器意义,阐述了如何通过配置实现不同级别的访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

例子

        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                /shiro/login = anon
                /shiro/logout = logout
                
                /user.jsp = roles[user]
                /admin.jsp = roles[admin]
                
                # everything else requires authentication:
                /** = authc
            </value>
        </property>

一 . url 匹配模式

  • 支持Ant风格模式
  1. ? : 匹配一个字符
  2. * : 匹配零个或多个字符串
  3. ** : 匹配零个或者多个路径

二 . url权限匹配顺序

  • 采用第一次匹配优先的方式
    即从开始使用第一个匹配的url模式对应的拦截器链
    如:
   - /bb/**=filter1
   - /bb/aa=filter2
   - /**=filter3
  • 如果请求的url是"/bb/aa",那么将使用filter1进行拦截(没错我没有写错)

三 . 过滤器的意义

  1. 无参
  • /admin/** = anon :无参,表示可匿名访问
  • /admin/user/** = authc :无参,表示需要认证才能访问
  • /admin/user/** = authcBasic :无参,表示需要httpBasic认证才能访问
  • /admin/user/** = ssl :无参,表示需要安全的URL请求,协议为https
  • /home = user :表示用户不一定需要通过认证,只要曾被 Shiro 记住过登录状态就可以正常发起 /home 请求
  1. 必须认证
  • /edit = authc,perms[admin:edit] :表示用户必需已通过认证,并拥有 admin:edit 权限才可以正常发起 /edit 请求
  • /admin = authc,roles[admin] :表示用户必需已通过认证,并拥有 admin 角色才可以正常发起 /admin 请求
  • /admin/user/** = port[8081] :当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString
  • /admin/user/** = rest[user] :根据请求方式来识别,相当于 /admins/user/**=perms[user:get]或perms[user:post] 等等
  • /admin** = roles["admin,guest"] :允许多个参数(逗号分隔),此时要全部通过才算通过,相当于hasAllRoles()
  • /admin** = perms["user:add:*,user:del:*"]:允许多个参数(逗号分隔),此时要全部通过才算通过,相当于isPermitedAll()
  1. 退出登录
  • /logout = logout
<think>我们参考了用户提供的引用内容,特别是引用[3]和引用[4]中关于使用shiro-spring-boot-web-starter的配置方法。 用户需求:在Spring Boot项目中整合Shiro并使用shiro-spring-boot-starter进行自动配置。 步骤: 1. 创建Spring Boot项目并添加依赖。 2. 配置Shiro的核心组件(如Realm、SecurityManager等)。 3. 配置Shiro的过滤器链(用于定义URL的拦截规则)。 4. 编写自定义Realm实现认证和授权逻辑。 由于使用shiro-spring-boot-starter,很多配置可以自动化,但我们仍然需要提供一些自定义的Bean。 注意:在Spring Boot中,使用starter后,Shiro的自动配置会生效,但我们需要自定义Realm和SecurityManager的配置。 具体步骤:</think>### Spring Boot整合Shiro自动配置指南 使用`shiro-spring-boot-starter`可简化Shiro集成流程,以下是详细步骤: #### 1. **添加依赖** 在`pom.xml`中引入starter: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.11.0</version> <!-- 使用最新稳定版 --> </dependency> ``` #### 2. **配置核心组件** 创建`ShiroConfig.java`配置类: ```java @Configuration public class ShiroConfig { // 自定义Realm(负责认证和授权逻辑) @Bean public JwtRealm jwtRealm() { return new JwtRealm(); // 需实现Realm接口 } // 安全管理器(自动注入自定义Realm) @Bean public SecurityManager securityManager(JwtRealm jwtRealm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(jwtRealm); return securityManager; } // 过滤器链(定义URL拦截规则) @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/login", "anon"); // 匿名访问 chain.addPathDefinition("/admin/**", "authc, roles[admin]"); // 需认证且角色为admin chain.addPathDefinition("/**", "authc"); // 其他路径需认证 return chain; } } ``` #### 3. **实现自定义Realm** 继承`AuthorizingRealm`,重写认证/授权方法: ```java public class JwtRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) { // 1. 将token转换为JwtToken // 2. 验证令牌有效性(如过期时间、签名) // 3. 查询数据库验证用户合法性 return new SimpleAuthenticationInfo(user, credentials, getName()); } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 1. 从principals获取用户身份 // 2. 查询数据库获取用户角色/权限 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addRole("admin"); // 添加角色 info.addStringPermission("user:delete"); // 添加权限 return info; } } ``` #### 4. **配置JWT支持(可选)** 若使用JWT认证,需自定义Token和过滤器: ```java public class JwtToken implements AuthenticationToken { private String token; // 实现getPrincipal()和getCredentials() } public class JwtFilter extends AuthenticatingFilter { // 重写登录逻辑,从HTTP头解析JWT } ``` #### 关键配置说明 - **自动生效机制**:Starter会自动注册`ShiroFilterFactoryBean`,无需手动绑定[^3] - **注解支持**:直接在Controller方法使用`@RequiresRoles("admin")`进行权限控制 - **会话管理**:默认启用`SessionManager`,可通过`shiro.sessionManager`配置参数调整 #### 验证整合结果 - 访问受限接口(如`/admin`)应跳转至登录页 - 成功登录后,具有权限的接口返回正常数据 - 权限不足时返回`403 Forbidden` > **注意**:Starter已处理Shiro生命周期与Spring容器的集成,无需额外配置[^4]。若需覆盖默认配置(如缓存策略),可在`application.yml`中添加`shiro.*`参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值