Shiro權限控制(二):自定義Filter

原創 longwentao1999 2020-06-04 04:47

一、目標
通過自定義Filter實現權限配置,如某個URL需要某個角色的某個權限才能操作

二、前言
在前面的一篇博文《Shiro權限控制(一):Spring整合Shiro》中,介紹瞭如何在Spring MVC中整合Shiro權限框架,其中在spring-shiro-web.xml配置文件中,有個 id="shiroFilter"的bean org.apache.shiro.spring.web.ShiroFilterFactoryBean,在這個bean中,定義了URL的訪問規則,這些訪問規則,就是通過Shiro的Filter實現的,下面就來介紹如何實現自定義的Filter來實現訪問控制

三、Shiro內置Filter
在Shiro框架中,已經提供了很多內置的Filter,其中常見的有anon,authc,perms,roles,如下列表
在這裏插入圖片描述
在沒有自定義的情況下,默認如
anon表示使用org.apache.shiro.web.filter.authc.AnonymousFilter處理
authc表示使用org.apache.shiro.web.filter.authc.FormAuthenticationFilter處理

如果想實現自定義Filter,就需要覆蓋Shiro中內置的Filter,如何實現呢?

四、自定義Filter

上面說到在spring-shiro-web.xml配置文件中,有個 id="shiroFilter"的bean org.apache.shiro.spring.web.ShiroFilterFactoryBean,在這個Bean中有兩個非常重要的屬性filterChainDefinitions和filters

filterChainDefinitions:定義了URL的訪問規則,從源碼中可以看到,這些規則最後存儲在ShiroFilterFactoryBean的filterChainDefinitionMap屬性中,key值是URL規則,value值是filter的引用,表示使用哪些Filter處理URL

filters:屬性filters是一個Map集合,key值是Filter Name,value值是具體的Filter類

下面我們自定義一個perms的Filter,來處理 /user/deleteUser/**,需要USER角色的刪除權限纔可以訪問,如下配置

    <!-- 自定義登錄驗證過濾器 -->
    <bean id="loginCheckPermissionFilter" class="com.bug.filter.LoginCheckPermissionFilter"></bean>
    
    <!-- 自定義權限認證器 -->
    <bean id="permissionsAuthorizationFilter" class="com.bug.filter.PermissionsAuthorizationFilter"></bean>
   
    <!-- Shiro的web過濾器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    	<property name="securityManager" ref="securityManager"></property>
    	<!-- <property name="unauthorizedUrl" value="/index.jsp"></property> -->
    	<property name="filters">
    		<map>
    			<entry key="authc" value-ref="loginCheckPermissionFilter"></entry>
    			<entry key="perms" value-ref="permissionsAuthorizationFilter"></entry>
    		</map>
    	</property>
    	<property name="filterChainDefinitions">
    		<value>
                /user/queryUserInfo = authc
                /user/deleteUser/** = perms[USER:DELETE]
    		</value>
    	</property>
    </bean>

上面的配置, 在filterChainDefinitions中配置了/user/deleteUser/**=perms[USER:DELETE],表示需要有USER角色的刪除權限才能訪問,而perms又指向了filters中定義的perms,該perms使用permissionsAuthorizationFilter處理,從而覆蓋了默認的 org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter,默認的PermissionsAuthorizationFilter,繼承了AuthorizationFilter,並重寫isAccessAllowed方法,源碼如下
在這裏插入圖片描述

因此我們自定義的permissionsAuthorizationFilter,也需要繼承AuthorizationFilter,並重寫isAccessAllowed方法,如下

package com.bug.filter;

import java.io.IOException;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import com.bug.common.JSONParseUtils;
import com.bug.model.common.ResponseVO;

/**
 * 權限校驗過濾器
 * @author longwentao
 *
 */
public class PermissionsAuthorizationFilter extends AuthorizationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
		Subject subject = getSubject(request, response);
		String[] perms = (String[]) mappedValue;

		boolean isPermitted = true;
		if (perms != null && perms.length > 0) {
			if (perms.length == 1) {
				if (!subject.isPermitted(perms[0])) {
					isPermitted = false;
				}
			} else {
				if (!subject.isPermittedAll(perms)) {
					isPermitted = false;
				}
			}
		}
		return isPermitted;
	}

	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
		HttpServletResponse httpServletResponse = (HttpServletResponse) response;
		httpServletResponse.setHeader("Content-Type", "application/json;charset=UTF-8");
		ResponseVO<String> responseVO = new ResponseVO<String>();
		responseVO.setStatus(ResponseVO.failCode);
		responseVO.setMessage("沒有權限,請聯繫管理員");
		
		byte[] bytes = JSONParseUtils.readJson2Byte(responseVO);
		httpServletResponse.getOutputStream().write(bytes);
		return false;
	}
}

到此,自定義Filter已經完成了,下面補充一下如何將權限給Shiro框架

可以在用戶身份證驗證通過後,從DB中獲得用戶的角色權限放到AuthorizationInfo中,並返回給Shiro框架,該代碼是在自定義的Realm中實現的,可參考前面的文章《Shiro權限控制之整合Spring(一)》

@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String username = (String)principals.getPrimaryPrincipal();
		if(username == null) {
			throw new BugException("未登錄");
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		Set<String> roles = new HashSet<String>();
		Set<String> stringPermissions = new HashSet<String>();
		roles.add("USER");
		stringPermissions.add("USER:DELETE");//角色:權限
		
		info.setRoles(roles);
		info.setStringPermissions(stringPermissions);
		
		return info;
	}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SpringBoot集成Shiro(二)驗證用戶角色

SpringBoot集成Shiro(一)驗證用戶登錄驗證 SpringBoot集成Shiro(三)驗證用戶權限 SpringBoot集成Shiro(四)驗證用戶角色升級版 Shiro 這個安全認證框架已經幫我們做了很多事情,在

江湖人称小程 2020-06-27 01:38:37

Shiro:自定義Realm實現權限管理

文章目錄Shiro權限管理1、基於JavaSe的Shiro的基本使用2、SpringBoot整合shiro1. 導入依賴2. 配置shiro過濾器3. 進行認證測試3、JdbcRealm實現權限管理1. JdbcRealm表結構2

活着~ 2020-07-04 15:42:23

Shiro安全框架學習02 - 自定義Realm

Realm: 域,Shiro從Realm獲取安全數據(如用戶、角色、權限),就是說SecurityManager要驗證用戶身份,那麼它需要從Realm獲取相應的用戶進行以確定用戶身份是否合法,也需要從Realm得到用戶相應的角色權

麦田 2020-07-04 07:22:32

(1)Shiro筆記-整合Ehcache時缺少默認cache配置異常解決

在使用Ehcache配置shiro cacheManager時遇到了如下異常,異常全文: org.springframework.beans.factory.BeanCreationException: Error creatin

团子ing 2020-07-03 07:51:18

Shiro入門系列一

1.什麼是Shiro                   shiro是Apach的一個開源框架,是一個權限管理的框架,實現用戶的認證,用戶的授權。                   spring中也有一個一個權限框架,原名叫Acegi

zlt尼玛银行 2020-07-02 22:49:12

Shiro無權限,不進行unauthorizedUr無權限l跳轉,而是沒有權限的錯誤

(zlt尼瑪銀行),原創文章,轉發請註明出處:http://write.blog.csdn.net/postedit 源碼ShiroFilterFactoryBean.java private void applyUnauthori

zlt尼玛银行 2020-07-02 22:49:12

Shiro的簡單入門(一)

一.shiro的簡介 Apache Shiro(發音爲“shee-roh”,日語“堡壘(Castle)”的意思)是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理功能,可爲任何應用提供安全保障 - 從命令行應用、移動應

ordinaryday 2020-07-02 20:04:04

Shiro使用實例

博文目錄 權限的簡單描述實例表結構及內容及POJOShiro-pom.xmlShiro-web.xmlShiro-MyShiro-權限認證,登錄認證層Shiro-applicationContext-shiro.xmlHomeCont

Z. ZHANG 2020-07-01 16:14:43

解決Spring MVC整合Shiro出現無法訪問靜態資源文件的問題

問題描述:Chrome 控制檯下報“Resource interpreted as Stylesheet but transferred with MIME type text/html”,css,js等文件無法正確被加載。 原因

赖小明 2020-07-01 00:10:27

Shiro最實用的操作

java揭開Shiro神祕面紗 1. Shiro是什麼?能幹嘛 Shiro是一個安全框架,主要做認證和授權,權限管理框架,一般我們都會在SpringSecurity和Shiro中選一個,攔截器思想Aop 它能在我們登錄的時候驗證身

未来谁可知 2020-06-30 23:08:52

解決Shiro中報錯:Caused by: java.lang.IllegalArgumentException: Odd number of characters.

寫Shiro認證密碼加密報了一個錯:Caused by: java.lang.IllegalArgumentException: Odd number of characters. 報錯如下: 我的出錯原因:new Simple

wshanshi 2020-06-29 15:14:12

Shiro學習筆記(三)Spring Boot + Shiro

實際開發中必要加入緩存機制,這裏使用redis作爲緩存,主要使用的依賴包如下(redis): <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro

JuFF_白羽 2020-06-27 04:57:03

Shiro學習筆記(四)加密和令牌匹配

  常用加密方式如哈希、對稱、非對稱,而想要自定義加密方式,就得了解shiro是如何對令牌進行匹配的。   1.普通匹配 密碼校驗等相關操作,在shiro中是屬於Realm的功能,自定的Realm繼承org.apache.shiro.re

JuFF_白羽 2020-06-27 04:57:03

【SSMS】springmvc+spring+mybatis+maven項目集成shiro進行用戶權限控制

項目結構:     1、maven項目的pom中引入shiro所需的jar包依賴關係 增加shiro的filter

张思全 2020-06-26 03:21:43

Spring Boot : 整合 Shiro 重寫 DefaultWebSessionManager

SpringBoot整合shiro 重寫 DefaultWebSessionManager 正常來講 Shiro 是從 Cookie 中獲取 SessionId 的,然後找到相對應的 Session 來保證用戶登陸的正確性和權限

帅气Dee海绵宝宝 2020-06-25 19:42:40