apache shiro - 动态创建filterchaindefinitions

最新推荐文章于 2022-08-25 04:49:48 发布
最新推荐文章于 2022-08-25 04:49:48 发布
阅读量352 收藏 1
点赞数
分类专栏: SSH 文章标签: java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pyzheng/article/details/84753710
版权
[url]http://www.360doc.com/content/14/0207/13/834950_350425926.shtml[/url]

有时,在某些系统想通过读取数据库来定义org.apache.shiro.spring.web.ShiroFilterFactoryBean的filterChainDefinitions。这样能够通过操作界面或者维护后台来管理系统的链接。

在shrio与spring集成好了以后,调试源码的高人可能已经注意到。项目启动时,shrio通过自己的org.apache.shiro.spring.web.ShiroFilterFactoryBean类的filterChainDefinitions(授权规则定义)属性转换为一个filterChainDefinitionMap,转换完成后交给ShiroFilterFactoryBean保管。ShiroFilterFactoryBean根据授权(AuthorizationInfo类)后的信息去判断哪些链接能访问哪些链接不能访问。filterChainDefinitionMap里面的键就是链接URL,值就是存在什么条件才能访问该链接,如perms、roles。filterChainDefinitionMap是一个Map,shiro扩展出一个Map的子类Ini.Section

现在有一张表的描述实体类,以及数据访问: 
@Entity
@Table(name="TB_RESOURCE")
public class Resource implements Serializable {
    //主键id
    @Id
    private String id;
    //action url
    private String value;
    //shiro permission;
    private String permission;
    //------------------Getter/Setter---------------------//
}


@Repository
public class ResourceDao extends BasicHibernateDao<Resource, String> {

}


通过该类可以知道permission字段和value就是filterChainDefinitionMap的键/值,用spring FactoryBean接口的实现getObject()返回Section给filterChainDefinitionMap即可 
public class ChainDefinitionSectionMetaSource implements FactoryBean<Ini.Section>{

    @Autowired
    private ResourceDao resourceDao;

    private String filterChainDefinitions;

    /**
     * 默认premission字符串
     */
    public static final String PREMISSION_STRING="perms[\"{0}\"]";


    public Section getObject() throws BeansException {

        //获取所有Resource
        List list = resourceDao.getAll();

        Ini ini = new Ini();
        //加载默认的url
        ini.load(filterChainDefinitions);
        Ini.Section section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        //循环Resource的url,逐个添加到section中。section就是filterChainDefinitionMap,
        //里面的键就是链接URL,值就是存在什么条件才能访问该链接
        for (Iterator it = list.iterator(); it.hasNext();) {

            Resource resource = it.next();
            //如果不为空值添加到section中
            if(StringUtils.isNotEmpty(resource.getValue()) && StringUtils.isNotEmpty(resource.getPermission())) {
                section.put(resource.getValue(),  MessageFormat.format(PREMISSION_STRING,resource.getPermission()));
            }

        }

        return section;
    }

    /**
     * 通过filterChainDefinitions对默认的url过滤定义
     * 
     * @param filterChainDefinitions 默认的url过滤定义
     */
    public void setFilterChainDefinitions(String filterChainDefinitions) {
        this.filterChainDefinitions = filterChainDefinitions;
    }



    public Class> getObjectType() {
        return this.getClass();
    }



    public boolean isSingleton() {
        return false;
    }

}


定义好了chainDefinitionSectionMetaSource后修改applicationContext-shiro.xml文件 


<bean id="chainDefinitionSectionMetaSource" class="org.exitsoft.showcase.vcsadmin.service.account.ChainDefinitionSectionMetaSource">

    <property name="filterChainDefinitions">
        <value>
            /login = authc
            /logout = logout
            /resource/** = anon
        </value>
    </property>
</bean>


<bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager" />
    <property name="loginUrl" value="/login.jsp" />
    <property name="successUrl" value="/index.jsp" />
    <property name="unauthorizedUrl" value="/unauthorized.jsp" />
    <!-- shiro连接约束配置,在这里使用自定义的动态获取资源类 --&gt
    <property name="filterChainDefinitionMap" ref="chainDefinitionSectionMetaSource" />
</bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
shiro(二):springboot整合shiro
weixin_39724194的博客
02-01 1077
/自定义realm public class CustomRealm1 extends AuthorizingRealm {//从传过来的token获取到的用户名 String principal =(String) token . getPrincipal();System . out . println("用户名" + principal);//假设是从数据库获得的 用户名,密码 String password_db = "123";} }
Shiro动态创建filterchaindefinitions
pyzheng的专栏
11-18 671
shiro+redis+springMvc整合配置及说明[url]http://blog.youkuaiyun.com/siqilou/article/details/44194165[/url] , 有很详细的例子 原文[url]http://javawolf-1.iteye.com/blog/1913884[/url] 有时,在某些系统想通过读取数据库来定义org.apache.shir...
shiro动态配置过滤器
yaoct的博客
05-14 4109
在创建AbstractShiroFilter(shiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
spring boot配置shiro自定义shiro filter匹配异常
qq_46416934的博客
04-22 1004
原文地址:http://www.hillfly.com/2017/179.html 最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。 自定义 FilterTOC Shiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 AccessToken 是否有效。 // AccessTokenFilter.java public cl
【SpringBoot】Spring Boot 整合 Shiro
to_real的博客
09-18 423
在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。 今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题! 一般来说,Spring Security 和 Shiro 的比较如下: Spring Security 是一个重量级的安全管理框架;Shiro 则是一个轻量级的安全管理框架 Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配置简单 Spring S
SpringBoot中使用shiro权限认证
DoubleC的博客
06-24 331
<!-- 导入shiro的依赖 --> <!-- 启动shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.4.0</version> </dependency> 在
Apache Shiro安全框架与Spring整合实战
它提供了与Spring的集成,能够动态创建FilterChainDefinitions,并且涵盖了认证、授权和缓存管理。Shiro的认证和授权方式相对简单,适合各种类型的客户端应用。在与Spring整合时,Shiro的过滤器可以处理所有请求,且...
Apache Shiro安全框架整合Spring实战指南
2. **动态创建filterChainDefinitions** 在Shiro中,`filterChainDefinitions`用于定义哪些URL需要通过哪个过滤器进行处理。这可以通过在Spring配置中动态设置,以适应不同安全需求的变化。例如,你可以根据URL路径...
Apache Shiro安全框架:Spring集成与配置深度解析
Shiro还支持动态创建`filterChainDefinitions`,这允许根据用户请求的条件动态配置权限检查。对于授权和缓存处理,Shiro提供了内置的策略,可以通过实现`AuthorizationInfo`接口或者使用AOP注解进行自定义。 Apache...
Apache Shiro安全框架:Spring集成与高级配置详解
4. 配置`<filter-mapping>`,将Shiro过滤器与特定的URL路径关联起来,以便根据需求动态创建过滤器链: ```xml <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-...
Apache Shiro安全框架:Spring集成详解与高级配置
然后,通过Spring XML文件来定义SecurityManager,包括设置filterChainDefinitions,这是定义访问控制规则的关键部分,它可以根据URL路径动态创建过滤器链,实现了灵活的权限控制。 Shiro的认证和授权机制也是其...
Shiro学习】FilterChainManager源码分析
fxkcsdn的博客
10-13 549
FilterChainManager是shiro的Filter链管理器,主要的功能包括2个: 1.维护filter列表:维护shiro的默认filter,并维护用户配置的filter,统一管理。 2.路径映射:为每一个filter配置过滤路径chainName和对应的过滤配置chainSpecificFilterConfig。并把同一个请求chainName对应的filter组装成filte...
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
Spring Boot:基于Apache Shiro实现权限认证和授权
言尭的博客
05-17 721
Apache Shiro简介 Apache Shiro是一个安全开源框架,可用于处理认证、授权、session管理和加解密。 Authentication(认证):用户身份识别,通常被称为用户“登录”。 Authorization(授权):访问控制,比如某个用户是否具有某个操作的使用权限。 Session Management(会话管理):特定于用户的会话管理,甚至在非web或EJB应用程序。 Cryptography(加密):在对数据源使用加密算法加密的同时,保证
Shiro:中的filterChainDefinitions详解。
孤芳不自赏
07-30 4172
shiro 中的filterChainDefinitions详解
SpringBoot - 安全框架Shiro的整合与使用教程
lizhengyu891231的博客
10-09 418
叙述 Apache Shiro是一个开源的轻量级的Java安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。相对于Spring Security,Shiro框架更加直观、易用,同时也能提供健壮的安全性。 在传统的SSM框架中,手动整合Shiro的配置步骤还是比较多的,针对Spring Boot,Shiro官方提供了shiro-spring-boot-web-starter用来简化Shiro在Spring Boot中的配置。 ...
SpringMVC整合ShirofilterChainDefinitions过滤器配置
m0_67401270的博客
08-25 1555
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString。* @see 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等。
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
关于shiro拦截器filterChainDefinitions的设置及使用过程源码分析
平凡的世界
05-14 1万+
shiro源码分析,查了些资料,针对于在shiro框架中设置filterChainDefinitions遇到的小问题,做一下分析备忘记录。问题描述:在设置filterChainDefinitions的时候,如果/k/**设置在/k/index之前,那么/k/index将不会生效,有规则说:拦截器的优先级是从上到下,从左到右,如果有匹配的拦截器就会阻断并返回。源码分析filterChainDefin...
apache shiro - 550反序列化漏洞
最新发布
01-05
### 关于Apache Shiro 550反序列化漏洞详情 对于Apache Shiro存在的反序列化漏洞,具体到CVE编号为CVE-2016-4437而非CVE-2022-42889。此漏洞存在于Apache Shiro<=1.2.4版本中,在返回包的Set-Cookie中存在`rememberMe=deleteMe`字段可以作为识别该漏洞的一个标志[^1]。 当应用程序使用了不安全的方式处理rememberMe功能时,攻击者可以通过构造恶意输入来触发Java对象的反序列化过程,从而执行任意代码。这一特性使得攻击者能够在服务器端运行未经许可的操作,造成严重的安全隐患[^3]。 为了检测是否存在上述提到的安全风险,可借助专门开发出来的工具如ShiroExploit来进行测试;这些工具能够帮助确认目标环境是否容易受到此类攻击的影响,并提供相应的证据支持[^4]。 ### 修复措施建议 针对已知的Apache Shiro反序列化漏洞(CVE-2016-4437),官方推荐升级至更高版本以获得最新的安全性改进和支持。除了及时更新软件外,还应采取其他预防性策略: - **禁用Remember Me功能**:如果业务逻辑允许的话,考虑完全关闭记住我的选项。 - **加强依赖库管理**:定期审查项目所使用的第三方组件及其版本号,确保它们都是最新且经过充分审计的状态。 - **实施严格的输入验证机制**:无论是来自客户端还是内部服务之间的通信数据都应该被仔细过滤和校验,防止潜在危险载荷进入系统核心区域。 ```bash # 更新Shiro到最新稳定版 mvn install:install-file -Dfile=/path/to/apache-shiro-core-latest.jar \ -DgroupId=org.apache.shiro \ -Dversion=<new_version> \ -Dpackaging=jar ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值