首页 > 其他 > 详细

Shiro过滤器

时间:2019-05-07 18:23:16      阅读:203      评论:0      收藏:0      [点我收藏+]

Shiro内置过滤器

认证相关过滤器:

anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)

授权相关的过滤器:

perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后面跟[ ] 里面放端口,必须是指定端口的才可以访问)

(ps:ssl与port用的比较少)


 

 测试一下以上部分过滤器:

    @RequestMapping(value = "/testRole",method = RequestMethod.GET)
    @ResponseBody
    public String testRole(){
        return "test Role success";
    }
@RequestMapping(value = "/testRole1",method = RequestMethod.GET) @ResponseBody public String testRole1(){ return "test Role success"; }
   @RequestMapping(value
= "/testPerms",method = RequestMethod.GET) @ResponseBody public String testPerms(){ return "testPerms success"; } @RequestMapping(value = "/testPerms1",method = RequestMethod.GET) @ResponseBody public String testPerms1(){ return "testPerms1 success"; }

在spring.xml中配置一下:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!--登录页的url-->
        <property name="loginUrl" value="login.html"/>
        <!--未认证的跳转页面-->
        <property name="unauthorizedUrl" value="403.html" />
        <!--过滤器链//从上往下匹配拦截认证,-->
        <property name="filterChainDefinitions">
            <value>
                <!--登录页面不需要拦截-->
                /login.html = anon
                <!--提交登录请求的url也不许要拦截-->
                /subLogin = anon
                /testRole = roles["admin"]
                /testRole1 = roles["admind","admin1"]
                /testPerms = perms["user:delete"]
                /testPerms1 = perms["user:delete","user:update"]
                <!--登录页面以外的需要拦截认证-->
                /* = authc


            </value>
        </property>

    </bean>

我的权限表如下:

技术分享图片

1.先是访问testRole:

技术分享图片

说明登录账户具备角色admin

2.访问testRole1

技术分享图片

跳转

技术分享图片

 

3.访问testPerms  与一个相同

技术分享图片

 

 4.testPerms1也一样

技术分享图片

都ok。

 

这里配置的拦截

 /testRole1 = roles["admind","admin1"]
必须同时拥有两种角色才有权限访问,那么如何让登录用户拥有其中一个角色就可以访问呢,这就需要自定义Filter了,
这之前需要先导入Servlet相关的依赖,不然方法会报红:
     <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.4</version>
            <scope>provided</scope>
        </dependency>
自定义Filter:
public class RolesOrFilter extends AuthorizationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest,
              ServletResponse servletResponse, Object o) throws Exception {
        //先或得到主体
        Subject subject = getSubject(servletRequest, servletResponse);
        //强转String类型数组
        String[] roles = (String[])o;
        if (roles == null || roles.length == 0){
            return true;
        }
        //若不为空,遍历一下数组
        for (String role : roles) {
            //如果一经发现数组里有指定角色时,立即返回true
            if (subject.hasRole(role)){
                return true;
            }
        }
        return false;
    }
}

接着要去spring.xml配置注入自定义Filter:

   <!--创建注入自定义Filter-->
    <bean class="com.yunyun.filter.RolesOrFilter" id="rolesOrFilter"/>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!--登录页的url-->
    <property name="loginUrl" value="login.html"/>
    <!--未认证的跳转页面-->
    <property name="unauthorizedUrl" value="403.html" />
    <!--过滤器链//从上往下匹配拦截认证,-->
    <property name="filterChainDefinitions">
        <value>
            <!--登录页面不需要拦截-->
            /login.html = anon
            <!--提交登录请求的url也不许要拦截-->
            /subLogin = anon
            <!--/testRole = roles["admin"]-->
            /testRole2 = rolesOr["admin","admin1"]
            <!--/testPerms = perms["user:delete"]-->
            <!--/testPerms1 = perms["user:delete","user:update"]-->
            <!--登录页面以外的需要拦截认证-->
            /* = authc
        </value>
    </property>
    <property name="filters">
        <util:map>
            <entry key="rolesOr" value-ref="rolesOrFilter"/>
        </util:map>
    </property>
</bean>

    <!--创建注入自定义Filter-->
    <bean class="com.yunyun.filter.RolesOrFilter" id="rolesOrFilter"/>

在controller中添加:

@RequestMapping(value = "/testRole2",method = RequestMethod.GET)
    @ResponseBody
    public String testRole2(){
        return "test Role2 success";
    }

这里Controller层要注意,我发现加了@RequiresRoles("admin1")注解的方法,优先级要高于你自定义的拦截器,也就是说,只能用一个,不能都用= =。不知道这么理解有没有问题,但是之前就没注意,俩个一起用在同一个方法上,一直报错

Subject does not have role [admin1]

,后来重写了一个方法,不加注解,只用自定义的filter,就完全没有问题了。

运行效果如下:

技术分享图片

 

Shiro过滤器

原文:https://www.cnblogs.com/xk920/p/10827025.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!