Shiro启用@RequiresRoles后接口无法映射问题

最新推荐文章于 2024-08-01 07:45:00 发布
最新推荐文章于 2024-08-01 07:45:00 发布
阅读量319 收藏 2
点赞数
分类专栏: shiro SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35627220/article/details/117228304
版权

1.shiro启用注解需要getDefaultAdvisorAutoProxyCreator()和authorizationAttributeSourceAdvisor()

其中creator.setProxyTargetClass(true);启用注解
creator.setUsePrefix(false);解除controller配置@RequiresRoles后404的问题

2.仍无法启用,LifecycleBeanPostProcessor次序配置问题

getDefaultAdvisorAutoProxyCreator()需要配置在lifecycleBeanPostProcessor()之后,应该与bean的生命周期有关
此外,直接使用参考配置报初始化bean错:
可能原因:@SpringBootApplication和@Configuration在同一位置,@SpringBootApplication有上下文问题
方法:lifecycleBeanPostProcessor()需要设置为static,脱离上下文

	@Bean
	public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	@Bean
	@DependsOn("lifecycleBeanPostProcessor")
	public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
		creator.setProxyTargetClass(true);
		creator.setUsePrefix(false);
		return creator;
	}

	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(org.apache.shiro.mgt.SecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
		advisor.setSecurityManager(securityManager);
		return advisor;
	}

参考配置
https://blog.youkuaiyun.com/Hibeilu/article/details/116458270

package com.zm.blog.config.shiro;
 
import java.io.Serializable;
import java.util.ArrayList;
import java.util.Collection;
import java.util.LinkedHashMap;
import java.util.Map;
 
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.SessionListener;
import org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler;
import org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator;
import org.apache.shiro.session.mgt.eis.SessionIdGenerator;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
 
@Configuration
public class MyShiroConfig {
	@Bean(name = "shiroFilter")
	public ShiroFilterFactoryBean shiroFilter() {
		System.out.println("ShiroConfiguration.shirFilter()");
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager());
		// 拦截器.
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		// filterChainDefinitionMap.put("/details", "user");
		// 配置不会被拦截的链接 顺序判断
		filterChainDefinitionMap.put("/css/**", "anon");
		filterChainDefinitionMap.put("/fonts/**", "anon");
		filterChainDefinitionMap.put("/img/**", "anon");
		filterChainDefinitionMap.put("/js/**", "anon");
		filterChainDefinitionMap.put("/plugins/**", "anon");
		filterChainDefinitionMap.put("/custom-js/**", "anon");
		
		filterChainDefinitionMap.put("/", "anon");
		filterChainDefinitionMap.put("/leftmenu", "anon");
		filterChainDefinitionMap.put("/checkLogin", "anon");
		filterChainDefinitionMap.put("/ui/articles", "anon");
		// 配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
		filterChainDefinitionMap.put("/logout", "logout");
		filterChainDefinitionMap.put("/**", "authc");
		// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
		shiroFilterFactoryBean.setLoginUrl("/login");
		// 登录成功后要跳转的链接
		shiroFilterFactoryBean.setSuccessUrl("/");
		// 未授权界面;
		shiroFilterFactoryBean.setUnauthorizedUrl("/403");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		return shiroFilterFactoryBean;
	}
 
	/**
	 * 加密方式
	 * 
	 * @return
	 */
	@Bean
	public HashedCredentialsMatcher hashedCredentialsMatcher() {
		HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
		hashedCredentialsMatcher.setHashAlgorithmName("md5");// 散列算法:这里使用MD5算法;
		hashedCredentialsMatcher.setHashIterations(1);// 散列的次数,比如散列两次,相当于md5(md5(""));
		hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);// 表示是否存储散列后的密码为16进制,需要和生成密码时的一样,默认是base64;
		return hashedCredentialsMatcher;
	}
 
	/**
	 * Realm实现
	 * 
	 * @return
	 */
	@Bean
	public MyRealm myRealm() {
		MyRealm myRealm = new MyRealm();
		myRealm.setCredentialsMatcher(hashedCredentialsMatcher());
		return myRealm;
	}
 
	@Bean
	public Collection<Realm> realms() {
		Collection<Realm> realms = new ArrayList<>();
		realms.add(myRealm());
		return realms;
	}
 
	/**
	 * shiro缓存管理器; 需要注入对应的其它的实体类中: 1、安全管理器:securityManager
	 * 可见securityManager是整个shiro的核心;
	 * 
	 * @return
	 */
	@Bean
	public EhCacheManager cacheManager() {
		System.out.println("ShiroConfiguration.ehCacheManager()");
		EhCacheManager cacheManager = new EhCacheManager();
		cacheManager.setCacheManagerConfigFile("classpath:ehcache-shiro.xml");
		return cacheManager;
	}
 
	@Bean
	AtLeastOneSuccessfulStrategy authenticationStrategy() {
		return new AtLeastOneSuccessfulStrategy();
	}
 
	/**
	 * 当只有一个Realm时,就使用这个Realm,当配置了多个Realm时,会使用所有配置的Realm。
	 * 
	 * @return
	 */
	@Bean
	ModularRealmAuthenticator authenticator() {
		ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator();
		authenticator.setAuthenticationStrategy(authenticationStrategy());
		return authenticator;
	}
 
	@Bean
	public SimpleCookie rememberMeCookie() {
		// 这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
		SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
		// <!-- 记住我cookie生效时间30天 ,单位秒;-->
		simpleCookie.setMaxAge(259200);
		return simpleCookie;
	}
 
	/**
	 * CookieRememberMeManager
	 * 
	 * @return
	 */
	@Bean
	public CookieRememberMeManager rememberMeManager() {
		System.out.println("ShiroConfiguration.rememberMeManager()");
		CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
		cookieRememberMeManager.setCookie(rememberMeCookie());
		cookieRememberMeManager.setCipherKey(Base64.decode("2AvVhdsgUs0FSA3SDFAdag=="));
		return cookieRememberMeManager;
	}
 
	@Bean
	public MyShiroSessionListener myShiroSessionListener() {
		return new MyShiroSessionListener();
	}
 
	/**
	 * 会话监听器
	 * 
	 * @return
	 */
	@Bean
	public Collection<SessionListener> sessionListeners() {
		Collection<SessionListener> listeners = new ArrayList<>();
		listeners.add(myShiroSessionListener());
		return listeners;
	}
 
	/**
	 * 会话ID生成器
	 * 
	 * @return
	 */
	@Bean
	public SessionIdGenerator sessionIdGenerator() {
		SessionIdGenerator idGenerator = new SessionIdGenerator() {
			@Override
			public Serializable generateId(Session session) {
				Serializable uuid = new JavaUuidSessionIdGenerator().generateId(session);
				System.out.println("sessionIdGenerator:" + uuid);
				return uuid;
			}
		};
		return idGenerator;
	}
 
	/**
	 * 会话DAO
	 * 
	 * @return
	 */
	@Bean
	public MySessionDao mySessionDao() {
		System.out.println("ShiroConfiguration.mySessionDao()");
		MySessionDao mySessionDao = new MySessionDao();
		mySessionDao.setActiveSessionsCacheName("shiro-activeSessionCache");
		mySessionDao.setSessionIdGenerator(sessionIdGenerator());
		return mySessionDao;
	}
 
	/**
	 * 处理session有效期
	 * 
	 * @return
	 */
	@Bean
	public ExecutorServiceSessionValidationScheduler sessionValidationScheduler() {
		ExecutorServiceSessionValidationScheduler sessionValidationScheduler = new ExecutorServiceSessionValidationScheduler();
		sessionValidationScheduler.setInterval(1800000);
		return sessionValidationScheduler;
	}
 
	@Bean(name = "sessionManager")
	public DefaultWebSessionManager sessionManager() {
		System.out.println("ShiroConfiguration.sessionManager()");
		DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
		sessionManager.getSessionIdCookie().setName("sId");
		sessionManager.setGlobalSessionTimeout(1800000);
		sessionManager.setDeleteInvalidSessions(true);
		sessionManager.setSessionValidationScheduler(sessionValidationScheduler());
		sessionManager.setSessionValidationSchedulerEnabled(true);
		sessionManager.setSessionListeners(sessionListeners());
		sessionManager.setSessionDAO(mySessionDao());
		return sessionManager;
	}
 
	/**
	 * 会话管理器
	 * 
	 * @return
	 */
	@Bean(name = "securityManager")
	public DefaultWebSecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		//securityManager.setCacheManager(cacheManager());
		securityManager.setAuthenticator(authenticator());
		securityManager.setRememberMeManager(rememberMeManager());
		securityManager.setRealms(realms());
		//securityManager.setSessionManager(sessionManager());
		return securityManager;
	}
 
	/**
	 * 开启shiro注解 ---- 注解权限
	 * 
	 * @param securityManager
	 * @return
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
		System.out.println("ShiroConfiguration.authorizationAttributeSourceAdvisor()");
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
		return authorizationAttributeSourceAdvisor;
	}
 
	/**
	 * Shiro生命周期处理器 ---可以自定的来调用配置在 Spring IOC 容器中 shiro bean 的生命周期方法.
	 * 
	 * @return
	 */
	@Bean
	public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}
 
	/**
	 * 开启shiro注解 ----启用 IOC 容器中使用 shiro 的注解. 但必须在配置了 LifecycleBeanPostProcessor
	 * 之后才可以使用
	 * 
	 * @return
	 */
	@Bean
	@DependsOn("lifecycleBeanPostProcessor")
	public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
		daap.setProxyTargetClass(true);
		return daap;
	}
}
springboot集成shiro @RequiresRoles注解不生效的解决办法
weixin_45724872的博客
02-21 1000
我们使用shiro 一般会有一个shiroConfig这么一个类 只需要在这个类下面加这几个方法即可 @Bean //LifecycleBeanPostProcessor 是管理shiro生命周期的 //这个方法不加也可以 但是网上别的博客都说需要加 public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){ return new LifecycleBeanPostProcessor();
springboot整合shiro实现权限认证详细记录
雾猩CODER的博客
10-10 845
springCloud+shiro实现权限认证详细教程新建eureka注册中心和shiro认证服务器,省略过程。。。。。1、导包2、配置文件3、加上数据库表,要自己添加用户角色的信息:4、添加实体类(好几个)5、创建mapper映射,并指定接口6、写个shiroShiroSysUserService业务7、shiro配置config8、自定义的ShiroFilter过滤器9、shiro认证Realm实现10、自定义 token 实现测试效果 新建eureka注册中心和shiro认证服务器,省略过程。。。。
@RequiresRoles使用
热门推荐
qq_41212530的博客
09-24 2万+
前提:使用这两个注解的前提是会进入到Realm的doGetAuthorizationInfo()授权方法中。 一 @RequiresRoles 1、授权方法中给用户添加角色 2、 controller中注解的书写 首先是有super角色的管理员访问,显示请求成功 非super角色的管理员登录 ...
springboot shiro@RequiresRoles使用(简单明了!!好文章!!)
HD243608836的博客
05-24 2587
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userNa
Shiro@RequiresRoles使用
程序新视界
01-27 5504
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userName =
shiro见招拆招(其一): (已解决)shiro权限注解@RequireRole和 @RequiresPermissions使用无效解决方案
浮-沉
07-29 2239
shiro见招拆招: @RequiresRoles和 @RequiresPermissions使用无效解决方案前言场景再现-- @RequiresRoles失效场景再现-- @RequiresPermissions失效其他原因未完待续 前言 最近笔者在做 CMS系统 的时候, 针对安全框架进行选型, 其实说白了就是对shiro和security进行筛选, 百度一圈, 知乎一圈敲定使用shiro作为安全框架, 和很多人一样, 第一次使用shiro 自然师从涛哥, 从shiro讲解上 涛哥无疑 NO.1(这真
shiro和web项目整合代码下载
02-10
5. **编写控制器**:在Spring MVC的Controller中,可以使用Shiro的注解如`@RequiresAuthentication`、`@RequiresRoles`和`@RequiresPermissions`进行访问控制。 6. **会话管理**:Shiro提供了会话管理功能,可以...
SpringBoot整合Shiro工程
11-09
4. **启动Shiro**:在Spring Boot的主配置类中,通过`@EnableShiroWeb`注解启用Shiro,并配置`SecurityManager`。也可以通过Java配置类的方式初始化Shiro并注入到Spring容器中。 5. **过滤器链配置**:在Shiro中,...
struts2与shiro集成(实例)
04-10
- 使用Shiro的注解,如`@RequiresPermissions`,`@RequiresRoles`,在Action方法上声明权限要求。 6. **错误处理**: - 当权限不足时,Shiro会抛出异常,你需要捕获这些异常并返回相应的错误页面或信息。 在给定...
shiro.rar_Java编程_Java_
08-11
《Spring MVC、Spring Data JPA与Shiro的整合实践》 在Java编程领域,权限管理和认证是构建安全Web应用的关键环节。Apache Shiro是一个强大且易用的Java安全框架,提供身份验证、授权、会话管理和加密等功能。本文...
Shiro@RequiresRoles和@RequiresPermissions的使用
weixin_44967580的博客
05-10 5194
@RequiresRoles("user") //具有user角色可以访问 @RequiresRoles(value = {"admin","user"},logical = Logical.AND)//用来判断是否拥有角色 同时具有admin 和 user角色才能访问 @RequiresRoles(value = {"admin","user"},logical = Logical.OR)//用来判断是否拥有角色 具有admin 或 user其中一角色才能访问 @RequiresPermiss
apache shiro框架的@RequiresRoles 不起作用
oBianBian的博客
07-08 7574
一、问题描述 在controller控制器中的一个方法里面使用@RequireRoles("admin")注解,说明访问该方法时,需要admin角色才能访问。但是在用的时候,发现没有该角色的用户请求也可以访问,也就是说注解没有起作用。 二、在网上也查了一下,发现都说要配置 <bean class="org.springframework.aop.framework.auto
shiro注解@RequiresRoles()、@RequiresPermissions()不生效,以及静态资源被拦截
weixin_46303407的博客
02-16 1550
shiro在使用前需要配置,其中就会有一个名叫ShiroConfig的类 ··· import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org....
@RequiresRoles要求拥有某(些)角色注解
圆圆学习笔记的博客
02-21 1132
注解用于配置接口要求用户拥有某(些)角色才可访问,它拥有两个参数。示例1: 以下代码表示必须拥有。示例2: 以下代码表示必须拥有。示例3: 以下代码表示需要拥有。
SSM+shiro 关于注解@RequiresRoles不起作用的问题
qq_31608981的博客
10-25 2999
在ssm整合 shiro框架中,在做权限管理时,刚开始是使用代码的的方式进行权限的判断。代码如下 @RequestMapping(value="/role",method = {RequestMethod.POST}) public String test (Model model){ Subject subject = SecurityUtils.getSubject(); ...
Shiro@RequiresRoles注解相关参数说明
qq_42922014的博客
07-01 665
@RequiresRoles(value={"admin","user"},logical = Logical.OR) @RequiresPermissions(value={"add","update"},logical = Logical.AND)
shiro的@RequiresPermissions,@RequiresRoles解析流程
qq_61592687的博客
08-11 6477
全网最新讲解shiro的@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
使用RequiresRoles注解介绍、应用场景和示例代码
最新发布
a_beiyo的博客
08-01 479
是 Apache Shiro 提供的注解之一,用于在方法或类级别上指定需要的角色。当方法或类被标记为时,Shiro 将检查当前用户是否具有指定的角色,如果不具备则访问会被拒绝。
Springboot中使用@RequiresRoles和@RequiresPermissions注解无效
qq_2300688967的博客
07-25 9762
在spring boot中, shiro使用@RequiresRoles,@RequiresPermissions注解无效时,可以在ShiroConfig.java中添加如下配置 /** * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions) * 配置以下两个bean(DefaultAdvisorAutoProxyCre...
shiro通过@RequiresPermissions注解开放接口权限,用java语言编写
06-03
是的,Shiro可以通过@RequiresPermissions注解来控制接口的访问权限。在Java语言中,我们可以在Controller中的方法上添加该注解,指定所需的权限,例如: ``` @RequiresPermissions("user:add") @RequestMapping("/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值