AI 助理
备案控制台
开发者社区 安全 文章 正文

shiro安全框架扩展教程--如何自定义适合项目的过滤器

2014-09-02 1066
版权
举报
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:         上一章节我给大家讲了如何设计扩展动态修改shiro的资源而不用重启项目,这个章节我讲的是如何自定义我们的特殊过滤器讲到认证这一块,我们经常用到就是authc,roles,...

        上一章节我给大家讲了如何设计扩展动态修改shiro的资源而不用重启项目,这个章节我讲的是如何自定义我们的特殊过滤器


讲到认证这一块,我们经常用到就是authc,roles,perms这三个标签,说到底标签其实就是一个map的key,然后指向filter实例,相信大家都懂这个了,所以我就不啰嗦,下面我们看看roles的filter实现类


package org.apache.shiro.web.filter.authz;

import java.io.IOException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.CollectionUtils;

// Referenced classes of package org.apache.shiro.web.filter.authz:
//            AuthorizationFilter

public class RolesAuthorizationFilter extends AuthorizationFilter
{

    public RolesAuthorizationFilter()
    {
    }

    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
        throws IOException
    {
        Subject subject = getSubject(request, response);
        String rolesArray[] = (String[])(String[])mappedValue;
        if(rolesArray == null || rolesArray.length == 0)
        {
            return true;
        } else
        {
            java.util.Set roles = CollectionUtils.asSet(rolesArray);
            return subject.hasAllRoles(roles);
        }
    }
}

我们可以看到其实这个roles的filter是通过subject.hasAllRoles(roles)判断是否满足所有权限,但是我们真实项目中,很多时候用户只要满足其中一个角色即可认为是授权认证成功,所以这个时候,我们首先想到的是再写个filter吧,那我们下面就写个满足任一角色即可放行的授权认证类 


public class RoleAuthorizationFilter extends AuthorizationFilter {

	public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
			throws IOException {

		Subject subject = getSubject(request, response);
		String[] rolesArray = (String[]) mappedValue;

		if (rolesArray == null || rolesArray.length == 0) {
			// no roles specified, so nothing to check - allow access.
			return true;
		}

		Set<String> roles = CollectionUtils.asSet(rolesArray);
		for (String role : roles) {
			if (subject.hasRole(role)) {
				return true;
			}
		}
		return false;
	}

}


很简单的样子,其实就是从RolesAuthorizationFilter这个类copy一份代码过来,然后把subject.hasAllRoles()换成遍历调用subject.hasRole()方法,如存在任一角色则返回true即可


最后我们把这个filter要配置到主过滤器里,并且定义标签为role


<!-- 过滤链配置 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/" />
		<property name="successUrl" value="/cms/index.do" />
		<property name="unauthorizedUrl" value="/" />
		<property name="filters">
			<map>
				<entry key="role">
					<bean
						class="com.silvery.security.shiro.filter.RoleAuthorizationFilter" />
				</entry>
				<entry key="authc">
					<bean
						class="com.silvery.security.shiro.filter.SimpleFormAuthenticationFilter" />
				</entry>
			</map>
		</property>
	</bean>

象上述配置就是使用自定义过滤器,如: /test/** = role[admin]  或者  /test/** = role[admin,user] 这样用户拥有任一定义的角色都能认证成功

由上述的自定义filter可以看出,我们在shiro上增加其他filter并不难,所以如果需要增加其他filter就不需要担心实现不了...



文章标签:
安全
aielves
49文章
目录
相关文章
讓丄帝愛伱
|
数据安全/隐私保护
Shiro权限管理的过滤器解释
Shiro权限管理的过滤器解释
讓丄帝愛伱
74 0
T-OPEN
|
10月前
|
存储 Java Maven
springboot项目中使用shiro 自定义过滤器和token的方式
springboot项目中使用shiro 自定义过滤器和token的方式
T-OPEN
220 1
君临沂
|
设计模式 前端开发 JavaScript
自定义MVC框架(原理)
自定义MVC框架(原理)
君临沂
62 0
孤留光乩
|
存储 设计模式 前端开发
自定义MVC框架原理
自定义MVC框架原理
孤留光乩
83 0
赵广陆
|
XML Java API
SpringMVC进阶-校验框架
SpringMVC进阶-校验框架
赵广陆
81 0
萌璐琉璃
|
Web App开发 Java 容器
[Spring] Web层AOP方式进行参数校验
Spring的AOP方式有很多用途,本次记录其使用AOP的方式处理Controller层参数校验问题 思路 使用 Hibernate validator 注解式参数校验 利用AOP织入Controller层方法,在参数校验完成后检查BindingResult里的校验结果 代码 AOP类 package com.
萌璐琉璃
1503 0
游客kbuanlzoibg3i
|
安全 Java 数据安全/隐私保护
Spring Security-自定义登录页面和认证过程其他常用配置
Spring Security-自定义登录页面和认证过程其他常用配置
游客kbuanlzoibg3i
474 0
Spring Security-自定义登录页面和认证过程其他常用配置
dc73hre37f4my
|
JSON 前端开发 搜索推荐
springboot集成shiro自定义登陆过滤器
springboot集成shiro自定义登陆过滤器
dc73hre37f4my
322 0
一一哥Sun
|
安全 Java 数据库连接
Spring Security系列教程10--基于自定义数据库模型实现授权
前言 在上一个章节中,一一哥 给大家讲解了如何基于默认的数据库模型来实现认证授权,在这种模型里,用户的信息虽然是保存在数据库中的,但是有很多的限制!因为我们必须按照源码规定的方式去建库建表,存在灵活性不足的问题。而我们真正开发时,用户角色等表肯定要根据自己的项目需求来单独设计,所以我们有必要进行用户及角色表的自定义设计。 那么在本篇文章中,壹哥 就带各位,结合自己的实际项目需求,进行数据库和表的自定义设计,然后在这个自定义的数据库中实现用户信息的认证与授权工作。 一. 核心API源码介绍 1. UserDetailsService源码 在上一章节中,我给大家介绍了一个JdbcUserDeta
一一哥Sun
832 0
十六分的音符
|
缓存 安全 网络安全
配置Shiro核心过滤器与相关配置
<!--anon 表示匿名访问,不需要认证以及授权--> <!--authc表示需要认证 没有进行身份认证是不能进行访问的--> <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行--> <!--user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe--> <!--perms表示指定过滤规则,这个一般是扩展使用,不会使用原生的--> <!--port表示请求的URL端口验证--> <!--ssl表示安全的URL请求,协议为https--> <!--rest表示根据请求的方法,
十六分的音符
223 0

热门文章

最新文章

  • 1
    信用算力基于 RocketMQ 实现金融级数据服务的实践
    8883
  • 2
    springboot之使用redistemplate优雅地操作redis
    4190
  • 3
    git 报错 RPC failed; curl 18 transfer closed with outstanding read data remaining
    6129
  • 4
    如何在chrome上开启WebGL功能和判断目前浏览器是否支持
    6990
  • 5
    Element el-check 多选框详解
    7
  • 6
    shell 脚本-----循环数组
    783
  • 7
    技术不是工程师能力的全部:闲看《因为所谓的代码性能不高而被离职的程序员》
    776
  • 8
    数据库复制
    637
  • 9
    【Mysql 学习】mysqld_safe:MySQL服务器启动脚本
    2
  • 10
    从Edge看中小企业IT服务发展趋势
    2
  • 1
    菜鸟之路Day23一一JavaScript 入门
    17
  • 2
    基于入侵野草算法的KNN分类优化matlab仿真
    17
  • 3
    《深度融合:工业互联网架构与人工智能驱动智能制造新变革》
    26
  • 4
    《重塑数据中心网络架构,迎接人工智能算力浪潮》
    31
  • 5
    《解锁SDN架构:为人工智能应用注入无限灵活性》
    25
  • 6
    《无线网络架构与人工智能实时性:深度融合与未来展望》
    22
  • 7
    《深度剖析:网络拓扑结构如何重塑人工智能数据传输效率》
    22
  • 8
    算法系列之深度/广度优先搜索解决水桶分水的最优解及全部解
    38
  • 9
    Python/Anaconda双方案加持!Jupyter Notebook全平台下载教程来袭
    26

    • 相关课程

    更多
  • SpringBoot快速掌握 - 高级应用

    • 相关电子书

    更多
  • 如何利用Redisson分布式化传统Web项目
  • Java Spring Boot开发实战系列课程【第7讲】:Spring Boot 2.0安全机制与MVC身份验证实战(Java面试题)
  • 低代码开发师(初级)实战教程
    • 下一篇
    阿里云百炼已上线超强推理开源模型QwQ-32B,尺寸更小,性能比肩DeepSeek满血版