七、Shiro过滤器

最新推荐文章于 2023-09-21 16:35:46 发布
原创 最新推荐文章于 2023-09-21 16:35:46 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍Shiro框架的内置过滤器及自定义过滤器实现,包括角色和权限的控制方法,如roles、perms过滤器的使用,以及如何自定义过滤器满足特定需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、内置过滤器

(一)内置过滤器介绍

  • roles[a,b,c],必须角色都符合才可以访问
  • perms[a,b],必须全部拥有该权限才可以访问
  • port[a,b],必须指定端口才可以访问!!
  • ####################################
  • anno:无权限访问
  • authc:需要认证才能访问
  • user:代表需要存在该用户对象才可访问
  • logout 登录退出才能被访问

(二)内置过滤器测试

<!--Shiro过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--设置Shiro的securityManager-->
        <property name="securityManager" ref="securityManager"/>
        <!--登录网址-->
        <property name="loginUrl" value="login.html"/>
        <!--未授权网址-->
        <property name="unauthorizedUrl" value="403.html"/>
        <!--过滤器链 anon匿名访问的路径  authc必须验证通过才能访问的路径 配置在前面的优先生效!-->
        <property name="filterChainDefinitions">
            <value>
                /login.html = anon
                /sublogin = anon
                <!--只有拥有该角色,才能访问。。。-->
                /testRole = roles[admin]
                /testRole1 = roles[admin,user]
                <!--只有拥有该权限,才能访问。。。-->
                /testPermission = perms[user:delete]
                /testPermission1 = perms[user:delete,user:add]

                /* = authc
            </value>
        </property>
    </bean>

二、自定义过滤器
  内置过滤器的缺点:比如/testRole1 = roles[admin,user]表示必须同时拥有admin,user角色才可访问/testRole1,但有时我们需要只要拥有其中一个角色即可访问,这种需求内置过滤器无法满足,所以我们需要自定义过滤器。

  若是自定义认证相关的过滤器,则需要继承AuthenticationFilter;若是自定义授权相关的过滤器,则需要继承AuthorizationFilter

  这里以实现只要拥有其中一个角色即可访问为例进行自定义过滤器讲解。

(一)创建自定义过滤器RolesOrFilter

/**
 * @author 咸鱼
 * @date 2018/9/8 22:18
 * RolesOrFilter作用:只要访问用户有要求的其中一个角色,即可进行访问
 */
public class RolesOrFilter extends AuthorizationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        //调用父类方法获取Subject对象
        Subject subject = getSubject(servletRequest, servletResponse);
        /**
         *     自定义的过滤器会在"shiroFilter"中被配置成一个标签,比如这里的过滤器会被配置成:
         * <entry key="rolesOr" value-ref="rolesOrFilter"/>
         * 有了这个标签以后,我们会用该标签控制访问路径,比如“/testRole1 = rolesOr[admin,user]”,
         * 而这里的Object参数就是admin,user角色数组。
         */
        String[] roles = (String[]) o;

        if (roles != null && roles.length != 0){
            for (String role : roles){
                //判断访问主体是否有该角色
                if (subject.hasRole(role)){
                    return true;
                }
            }
        }
        return false;
    }
}

(二)配置自定义过滤器

<!--Shiro过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--设置Shiro的securityManager-->
        <property name="securityManager" ref="securityManager"/>
        <!--登录网址-->
        <property name="loginUrl" value="login.html"/>
        <!--未授权网址-->
        <property name="unauthorizedUrl" value="403.html"/>
        <!--过滤器链 anon匿名访问的路径  authc必须验证通过才能访问的路径 配置在前面的优先生效!-->
        <property name="filterChainDefinitions">
            <value>
                /login.html = anon
                /sublogin = anon
                /testRole = roles[admin,user]

                /testRole1 = rolesOr[admin,user]

                /testPermission = perms[user:delete]
                /testPermission1 = perms[user:delete,user:add]
                /* = authc
            </value>
        </property>
        <!--将自定义过滤器配置成标签-->
        <property name="filters">
            <util:map>
                <entry key="rolesOr" value-ref="rolesOrFilter"/>
            </util:map>
        </property>
    </bean>
    <!--自定义过滤器-->
    <bean id="rolesOrFilter" class="org.pc.filter.RolesOrFilter"/>
springboot整合shiro(自定义过滤器版)
qq_38639813的博客
07-25 1658
***token*}}/***oauth2过滤器*主要用来判断token存不存在,如果存在则赋值给OAuth2Token*//获取请求tokenStringtoken=getRequestToken((HttpServletRequest)request);
Shiro学习之过滤器详解
zkcJava的博客
09-14 5754
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
奇奇怪怪小问题-Java Shiro自定义过滤器
youthbright的博客
09-21 241
Java Shiro自定义过滤器
springmvc+shiro自定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Shiro的authc过滤器的执行流程
likunpeng6656201的博客
07-30 3357
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题? 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问...
shiro中的过滤器
boker123的博客
08-08 2585
当我们需要使用 spring 中的过滤器时,通常通过继承 filter 接口或者使用@Webfilter注解实现。shiro过滤器实现也是通过实现filter接口实现的,shiro中整个filter类结构如下图所示,最顶层的AbstractFilter 实现了filter接口。在DefaultFilter 枚举类中列出了shiro中常用的filter这个类重写了dofilter方法,用来保证每个请求只会被一个filter过滤一次,不会重复过滤 如果当前filter没有执行过过滤,默认会进入第二个if(那两
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
Shiro学习笔记】二、Shiro过滤器执行链路梳理(认证和授权)
xiao_zhu_kuai_pao的博客
11-12 1353
PS:欢迎转载,但请注明出处,谢谢配合。 Shiro过滤器执行链路梳理一、前言二、Shiro过滤器是如何加入Spring容器中的三、过滤器作用1、认证过滤器(FormAuthenticationFilter)2、授权过滤器(RolesAuthorizationFilter)四、过滤器执行链路梳理五、认证和授权过滤器的执行优先级 一、前言 本文章主要针对认证过滤器(FormAuthenticationFilter)和授权过滤器(RolesAuthorizationFilter),说明Shiro过滤器拦截到.
Shiro过滤器导致的前端跨域
沐晨的博客
04-19 1497
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的跨域问题。 问题分析 部分文段摘自 跨域资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
Shiro自定义过滤器
m0_67402588的博客
03-28 3570
最近在学习shiro。 由于shiro过滤器是与的格式,在实际编辑过滤器链的时候 /admin/** = authc,roles[admin,passenger] 本意是想admin和passenger角色都能够拥有对 /admin/** 的进行访问,但是shiro内部过滤器的逻辑是与,即同时拥有admin和passenger的角色才可以对路径进行访问。 因此,需要自己定义一个过滤器,实现或的逻辑,定义一个过滤器如下 public class CustomRolesAuthorizationFilter
shiro 过滤器
imxlw00的专栏
01-15 436
&lt;bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"&gt; &lt;property name="securityManager" ref="securityManager" /&gt; &lt;property name=&qu
Shiro中常见过滤器
qq_63219690的博客
11-25 848
Shiro过滤器
shiro过滤器
amoscxy的博客
09-20 435
文章目录shiro过滤器 shiro过滤器 跟认证相关的过滤器 anon:不需要任何认证 authBasic:HttpBasic authc:需要认证之后才可以访问 user:当前存在用户才可以访问 logout:退出 跟事务权限相关的过滤器 perms:必须具备相关的权限才可以访问 roles:必须具备相关的角色才可以访问 ssl:安全的协议(Https)才可以访问 port:要求端口是“()”...
Shiro内置过滤器
l_cl_java的博客
05-23 6145
运行 Web 应用时,Shiro会创建一些有用的默认 Filter 实例,并自动地在 [main] 项中将它们置为可用这些可用的默认的 Filter 实例是被 DefaultFilter 枚举类定义的(枚举的名称字段就是可供配置的名称)ssl :org.apache.shiro.web.filter.authz.SslFilteruser :org.apache.shiro.web.filter....
Shiro常用的Filter过滤器
a1498665771的博客
02-22 719
Shiro常用的Filter过滤器
Shiro--过滤器
吴声子夜歌的博客
02-10 339
过滤器介绍 下图为Shiro拦截器的基础类图: NameableFilter NameableFilter给Filter起个名字,如果没有设置默认就是FilterName;还记得之前的如authc吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例; OncePerRequestFilter OncePerRequestFilter用于防止多次执行Filter的;也就是说一次请求只...
shiro过滤器和权限控制
weixin_44044929的博客
07-21 2679
shiro过滤器配置、权限控制
Shiro过滤器
jonnyha的博客
07-22 212
shiro 过滤器 对应的key Filter Name Class anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.f...
shiro过滤器
最新发布
03-22
### Apache Shiro 过滤器链的配置与作用 #### 一、过滤器链的概念 Shiro 的核心功能之一是通过过滤器链实现对 Web 请求的安全控制。过滤器链本质上是由一系列按顺序排列的过滤器组成,每个过滤器负责处理特定类型的请求或执行某种安全逻辑。这种机制使得开发者能够灵活地定义哪些 URL 路径应该由哪些过滤器处理,并指定它们的执行顺序。 #### 二、过滤器链的核心组件 1. **ShiroFilterFactoryBean**: Shiro 使用 `ShiroFilterFactoryBean` 来管理和初始化过滤器链。它是一个 Spring Bean,在 Spring 应用中用于配置 Shiro 的 Web 过滤器链[^2]。该类允许开发者以 Map 形式定义过滤器链,其中键表示 URL 模式,值则对应于过滤器名称或过滤器链定义。 2. **filterChainDefinitions 参数**: 在 Shiro 中,可以通过 `filterChainDefinitions` 参数来定义过滤器链的行为。这个参数通常是以字符串形式提供的,类似于 INI 文件中的配置语法。例如: ```ini /favicon.ico=anon /webjars/**=anon /web/**=anon /login=anon /**=authc ``` 上述配置表明 `/favicon.ico`, `/webjars/**`, 和 `/web/**` 不需要身份验证即可访问 (`anon`);而其他所有路径都需要经过身份验证 (`authc`)[^4]。 #### 三、常见过滤器及其作用 以下是 Shiro 提供的一些常用内置过滤器: | 过滤器名 | 功能描述 | |----------|------------------------------------------------------------------------| | anon | 表示匿名访问,即无需登录即可访问资源。 | | authc | 表示需要用户身份认证才能访问资源。如果未认证,则会重定向到登录页面。 | | user | 如果用户已经记住过 (RememberMe),或者已成功登录,则可以访问受保护的资源。 | | perms | 需要具备某个权限才可以访问资源。如果不满足条件,则抛出异常或跳转至无权访问页。 | | roles | 用户需具有某角色才可访问资源。不满足时同样会抛出异常或跳转至无权访问页。 | #### 四、代码示例:如何配置过滤器链 以下是一个典型的基于 Java Config 的 Shiro 过滤器链配置示例: ```java @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); // 定义过滤器链映射关系 Map<String, String> filterMap = new LinkedHashMap<>(); // 放行静态资源和登录接口 filterMap.put("/favicon.ico", "anon"); filterMap.put("/webjars/**", "anon"); filterMap.put("/web/**", "anon"); filterMap.put("/login", "anon"); // 所有其他请求均需 OAuth2 认证 filterMap.put("/**", "oauth2"); shiroFilter.setFilterChainDefinitionMap(filterMap); return shiroFilter; } ``` 上述代码片段展示了如何通过 `ShiroFilterFactoryBean` 设置过滤器链。这里放行了一些公共资源(如图标文件、前端库),并规定除登录外的所有请求都必须通过 OAuth2 认证[^3]。 #### 五、总结 Apache Shiro过滤器链设计提供了强大的灵活性,使开发人员可以根据业务需求精确控制不同 URL 的访问策略。借助 `ShiroFilterFactoryBean` 及其内部维护的 `filterChainDefinitions` 属性,可以轻松完成复杂的过滤器链配置工作。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值