SpringBoot详解shiro过滤器与权限控制
更新时间:2022年07月26日 10:52:41 作者:kaico2018
当shiro被运用到web项目时,shiro会自动创建一些默认的过滤器对客户端请求进行过滤。比如身份验证、授权的相关的,这篇文章主要介绍了shiro过滤器与权限控制
shiro过滤器
首先从客户端发来的所有请求都经过Shiro过滤器,如果用户没有认证的都打回去进行认证,认证成功的,再判断是否具有访问某类资源(公有资源,私有资源)的权限,如果没有权限,访问失败;如果有权限访问成功。注意:客户端传来的token要和realm中的认证信息进行相同规则的比较(加密算法要一致)。
常见过滤器:
1、在shiro配置类中配置,使用 filterFactoryBean.setFilterChainDefinitionMa() 简单的配置过滤规则
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager) {
// 创建ShiroFilterFactoryBean
ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
//设置安全管理器
filterFactoryBean.setSecurityManager(defaultWebSecurityManager);
//配置受限资源,index是受限资源,authc
Map<String, String> map = new HashMap<String, String>();
// /**代表匹配所有url
map.put("/**", "authc");
// /user/login 是可以匿名访问的也就是公有资源
map.put("/user/login", "anon");
filterFactoryBean.setFilterChainDefinitionMap(map);
// 设置默认认证路径 其实shiro默认的认证路径就是login.jsp
filterFactoryBean.setLoginUrl("/login.jsp");
return filterFactoryBean;
}2、重写shiro提供的过滤器
重写角色权限的过滤器
public class MyAuthorizationFilter extends RolesAuthorizationFilter {
@Override
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
throws IOException {
boolean allowed =super.isAccessAllowed(request, response, mappedValue);
if (!allowed) {
String method = WebUtils.toHttp(request).getMethod();
if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
return true;
}
}
return allowed;
}
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
if (req.getMethod().equals(RequestMethod.OPTIONS.name())) {
resp.setStatus(HttpStatus.OK.value());
return true;
}
// 前端Ajax请求时requestHeader里面带一些参数,用于判断是否是前端的请求
String ajaxHeader = req.getHeader(CustomSessionManager.AUTHORIZATION);
if (StringUtils.isNotBlank(ajaxHeader)) {
// 前端Ajax请求,则不会重定向
resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
resp.setHeader("Access-Control-Allow-Credentials", "true");
resp.setContentType("application/json; charset=utf-8");
resp.setCharacterEncoding("UTF-8");
PrintWriter out = resp.getWriter();
String result = "{"MESSAGE":"角色,权限不足"}";
out.println(result);
out.flush();
out.close();
return false;
}
return super.onAccessDenied(request, response);
}
}shiro配置类配置过滤器
//Filter工厂,设置对应的过滤条件和跳转条件
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> map = new HashMap<>();
//登出
map.put("/logout", "logout");
//对所有用户认证
map.put("/**", "authc");
//登录
log.info("loginUrl:" + loginUrl);
shiroFilterFactoryBean.setLoginUrl(loginUrl);
// //首页
// shiroFilterFactoryBean.setSuccessUrl("/index");
//错误页面,认证不通过跳转
shiroFilterFactoryBean.setUnauthorizedUrl("/error");
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
/* 自定义filter注册 */
Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
//根据上面列表中的过滤器的名称配置
filters.put("roles", new MyAuthorizationFilter());
return shiroFilterFactoryBean;
}注意:过滤器需要根据上面列表中的过滤器的名称配置
权限控制
除了在配置类中配置路径的访问权限之外,还可以使用注解来控制权限 。
Shiro注解一共有五个:
一般情况下我们在项目中做权限控制,使用最多的是RequiresPermissions和RequiresRoles,允许存在多个角色和权限,默认逻辑是AND,也就是同时拥有这些才可以访问方法,可以在注解中以参数的形式设置成OR。作用在controller类的方法上。
// 示例
//拥有一个角色就可以访问
@RequiresRoles(value={"ADMIN","USER"},logical = Logical.OR)
//拥有所有权限才可以访问
@RequiresPermissions(value={"sys:user:info","sys:role:info"},logical = Logical.AND)
使用顺序:Shiro注解是存在顺序的,当多个注解在一个方法上的时候,会逐个检查,知道全部通过为止,默认拦截顺序是:
RequiresRoles->RequiresPermissions->RequiresAuthentication->RequiresUser->RequiresGuest
动态配置权限
这里指的是动态配置当前登录用户的权限
1、登录时查询当前用户的角色、权限
/**
* 赋予角色和权限:用户进行权限验证时 Shiro会去缓存中找,如果查不到数据,会执行这个方法去查权限,并放入缓存中
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
// 获取用户
User user = (User) principalCollection.getPrimaryPrincipal();
Integer userId =user.getId();
// 这里可以进行授权和处理
Set<String> rolesSet = new HashSet<>();
Set<String> permsSet = new HashSet<>();
// 获取当前用户对应的权限(这里根据业务自行查询)
List<Role> roleList = roleMapper.selectRoleByUserId( userId );
for (Role role:roleList) {
rolesSet.add( role.getCode() );
List<Menu> menuList = menuMapper.selectMenuByRoleId( role.getId() );
for (Menu menu :menuList) {
permsSet.add( menu.getResources() );
}
}
//将查到的权限和角色分别传入authorizationInfo中
authorizationInfo.setStringPermissions(permsSet);
authorizationInfo.setRoles(rolesSet);
log.info("--------------- 赋予角色和权限成功! ---------------");
return authorizationInfo;
}2、当用户权限发生改变时,需要重新退出登陆刷新权限。
不需要重新登陆实现权限刷新,参考此篇
到此这篇关于SpringBoot详解shiro过滤器与权限控制的文章就介绍到这了,更多相关SpringBoot shiro过滤器 内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
您可能感兴趣的文章:
- SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
- Springboot+Shiro+Jwt实现权限控制的项目实践
- SpringBoot如何整合Springsecurity实现数据库登录及权限控制
- Springboot+Spring Security实现前后端分离登录认证及权限控制的示例代码
- Java SpringBoot 使用拦截器作为权限控制的实现方法
- Springboot和bootstrap实现shiro权限控制配置过程
- Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
- SpringBoot整合Shiro实现权限控制的代码实现
- SpringBoot集成Swagger使用SpringSecurity控制访问权限问题
- 浅谈基于SpringBoot实现一个简单的权限控制注解
- SpringSecurity实现RBAC权限管理
相关文章
Java 中Comparable和Comparator区别比较
本文,先介绍Comparable 和Comparator两个接口,以及它们的差异;接着,通过示例,对它们的使用方法进行说明2013-09-09
在这篇文章中,我精选了几个比较是和 Java 编码的 IDEA 主题供小伙伴们选择。另外,我自己用的是 One Dark theme 这款,有需要的朋友可以借鉴参考下,希望大家喜欢2022-01-01
这篇文章主要为大家详细介绍了Java异步上传文件的三种方式,感兴趣的小伙伴们可以参考一下2016-03-03
这篇文章主要介绍了Java 动态代理深入理解的相关资料,需要的朋友可以参考下2017-03-03
项目上线之后,如果日志打印的很模糊或者业务逻辑比较复杂,有时候无法定位具体的错误原因,因此可以通过IDEA远程代理进行Debug,本文就来介绍一下如何使用2021-06-06
这篇文章主要介绍了Linux如何寻找Java安装路径问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-03-03
在日常业务中,会遇到一些琐碎文件需要打包到一个压缩包中上传,业务方在后台接收到压缩包后自行解压,然后解析相应文件。而且可能涉及安全保密,因此会在压缩时带上密码,要求后台业务可以指定密码进行解压。本文将用Java解决这一问题,需要的可以参考一下2022-07-07
在Nexus仓库中,一个仓库一般分为public(Release)仓和SNAPSHOT仓,本文详细的介绍了SnapShot版本和正式版本的区别,感兴趣的可以了解一下2021-06-06
这篇文章主要为大家详细介绍了Spring.Net控制反转IoC入门使用的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-06
java调用百度定位api服务获取地理位置示例,大家参考使用吧2013-12-12
最新评论