shiro常用注解和过滤器,编写自定义注解实现 anon 所有人访问功能

原创 已于 2023-11-25 23:33:36 修改 · 887 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

于 2023-11-20 20:11:44 首次发布
文章介绍了如何在Shiro框架中使用自定义注解Anon,以简化接口路径的管理,并在JwtFilter中处理匿名访问逻辑,通过处理器适配器判断方法是否有Anon注解,从而避免AOP失效问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 注解

在这里插入图片描述
已登录,未记住我,重开浏览器之后,就成了未登录

@RequiresGuest:未登录可以访问;认证过或使用记住我功能拒绝访问
@RequiresAuthentication: 认证过可以访问,其他时候拒绝访问
@RequiresUser: 认证过或使用记住我功能可以访问
@RequiresPermissions(value = {“user:create”, “user:update”}, logical = Logical.AND)
同时具备2个权限才能访问
@RequiresPermissions(value = {“user:create”, “user:update”}, logical = Logical.OR)
拥有其中任意一个权限就可以访问
@RequiresRoles 跟 @RequiresPermissions 使用差不多的

2. 过滤器

在这里插入图片描述

3. 自定义注解

一般做法:ShiroFilterFactoryBean 中设置 filterChainDefinitionMap 如图:
在这里插入图片描述
一旦接口发生了变更就得重新写一下接口路径,这很麻烦,于是编写自定义注解完成这个繁琐的操作

正片开始
思路:自定义注解@Anon 通过反射获取所有标记这个注解的接口,然后加入filterChainDefinitionMap

3.1 自定义注解

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Anon {
}

3.2 JwtFilter中处理

public class JwtFilter extends BasicHttpAuthenticationFilter {

	/**
     * 执行登录认证
     *
     * 在ShiroConfig中获取全部的接口 会导致aop失效
     *    原因:controller 和 service 被提前实例化,导致这些类不会被 BeanPostProcessor 代理,从而导致部分 aop 功能失效
     *    分析:获取所有接口的目的在于判断这个接口是否标记了 Anon 注解,也就是是否能够机型匿名访问
     *         之前是提前获取接口添加到 filterChainDefinitionMap 从而实现匿名访问
     *         JwtFilter是认证的入口,并且所有请求都会到达这里,在这里进行判断就可以避免上述问题的发生
     *    解决:通过处理器适配器获取 handler 及目标类的目标方法,判断是否包含 Anon 注解
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        WebApplicationContext applicationContext = RequestContextUtils.findWebApplicationContext(httpServletRequest);
        RequestMappingHandlerMapping handlerMapping = applicationContext.getBean("requestMappingHandlerMapping", RequestMappingHandlerMapping.class);
        HandlerExecutionChain handler = null;
        try {
            handler = handlerMapping.getHandler(httpServletRequest);
            Annotation[] declaredAnnotations = ((HandlerMethod) handler.getHandler()).
                    getMethod().getDeclaredAnnotations();
            for(Annotation annotation:declaredAnnotations){
                if(Anon.class.equals(annotation.annotationType())){
                    return true;
                }
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        executeLogin(request, response);
        return true;
    }
}
脑壳疼___
关注
springboot项目中使用shiro 自定义过滤器token的方式
a1472750149的博客
02-09 953
1. 在项目中导入maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apach...
SpringBoot集成Shiro自定义过滤器自定义Token、加盐加密、记住密码、自动登录、Session管理)...
海若的博客
07-10 1062
导入依赖 <!--thymeleaf集成shiro模版--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro<...
SpringBoot 、Shiro自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro自定义注解权限控制
自定义Shiro注解
weixin_33909059的博客
04-23 607
自定义Shiro注解 顺序 创建自定义注解 资源管理器,继承AuthorizationAttributeSourceAdvisor,添加新注解支持 AOP拦截器,继承AopAllianceAnnotationsAuthorizingMethodInterceptor 方法拦截器,继承AuthorizingAnnotationMeth...
Shiro使用自定义注解使用权限的细粒度控制
最新发布
asdurt的博客
06-17 199
针对同一个接口中,根据包含多种操作,现在需要实现对action做细粒度权限控制;shiro的鉴权注解是接口维度的;
Shiro自定义过滤器
m0_67402588的博客
03-28 3570
最近在学习shiro。 由于shiro过滤器是与的格式,在实际编辑过滤器链的时候 /admin/** = authc,roles[admin,passenger] 本意是想adminpassenger角色都能够拥有对 /admin/** 的进行访问,但是shiro内部过滤器的逻辑是与,即同时拥有adminpassenger的角色才可以对路径进行访问。 因此,需要自己定义一个过滤器实现或的逻辑,定义一个过滤器如下 public class CustomRolesAuthorizationFilter
基于shiro自定义注解扩展
chengyang1086的博客
08-07 481
基于shiro自定义注解的扩展 根据我的上一篇文章,权限设计的杂谈中,涉及到了有关于前后端分离中,页面api接口断开表与表层面的关联,另辟蹊径从其他角度找到方式进行关联。这里我们主要采取了shiro自定义注解的方案。本篇文章主要解决以下的问题。 如何通过逻辑进行页面与api接口的关联。...
Shiro内置过滤器
l_cl_java的博客
05-23 6145
运行 Web 应用时,Shiro会创建一些有用的默认 Filter 实例,并自动地在 [main] 项中将它们置为可用这些可用的默认的 Filter 实例是被 DefaultFilter 枚举类定义的(枚举的名称字段就是可供配置的名称)ssl :org.apache.shiro.web.filter.authz.SslFilteruser :org.apache.shiro.web.filter....
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
“如何避开 shiro自定义拦截WebMvcConfigurationSupport 过滤器的各种坑!!!!!”
萝卜坑
12-24 1980
场景:因开发需要,时间有限,便在某云上下载了一个开源框架-脚手架,希望能便捷开发,提高开发效率 ps:框架是个好框架,大家也可以学习学习[springboot_v2](https://gitee.com/bdj/SpringBoot_v2) 问题描述:因为这个框架本身采用shiro 做权限拦截,本身是属于一个web管理后台框架,但是我这边需求是还需要对接手...
springboot—— Shiro实现认证授权功能
daralisdan的博客
04-03 1131
springboot—— Shiro实现认证授权功能,解决安测时的水平越权垂直越权
shiro框架rule设置为anonrlue规则说明
zj1561585178的博客
01-17 1127
shiro框架源码过滤器合集:org.apache.shiro.web.filter.mgt.DefaultFilter。//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了,登出后跳转配置的loginUrl。//配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据。//除了匿名访问的资源,其它都要认证("authc")后访问。// 配置不会被拦截的链接 顺序判断。//注意过滤器配置顺序 不能颠倒。// 登录成功后要跳转的链接。
shiro基础(一)shiroFilter
qq_34573549的博客
02-18 2488
一、功能简介 shirojava的一个安全(权限)框架,不仅可以用于javaSE环境,还可以用于javaEE环境。shiro可以完成认证、授权、加密、会话管理、缓存等功能。 Authentication:身份认证/登录。 Authorization:授权,即权限验证。 Session Manager:会话管理 Crpytography:加密 Web Support:Web集成 Re...
Shrio中添加自定义认证过滤器
wangdaoyin2010的专栏
03-29 754
1、添加自定义认证过滤器类 创建一个类继承与AuthenticatingFilter 2、在Shrio配置中配置ShiroFilterFactoryBean,在配置ShiroFilterFactoryBean的时候设置setFilters为过滤器。 注意:添加的自定义过滤器一定不能注入成bean,不然可能会发生No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.Thre
shiro通过注解方式自定义控制接口无需认证访问的解决过程
热门推荐
凌大大的博客
01-26 1万+
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
shiro过滤器
amoscxy的博客
09-20 435
文章目录shiro过滤器 shiro过滤器 跟认证相关的过滤器 anon:不需要任何认证 authBasic:HttpBasic authc:需要认证之后才可以访问 user:当前存在用户才可以访问 logout:退出 跟事务权限相关的过滤器 perms:必须具备相关的权限才可以访问 roles:必须具备相关的角色才可以访问 ssl:安全的协议(Https)才可以访问 port:要求端口是“()”...
springMVC springBoot shiro 自定义shiro授权注解自定义授权解析器
mxywxwk的博客
10-22 800
  shiro支持注解式的授权控制,共有5个: @RequiresAuthentication:当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。 @RequiresUser:当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest:当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles:当前 Subject 需要的角色。 @RequiresPermi
shiro中的过滤器
weixin_44257023的博客
10-30 840
shiro框架内置了10个过滤器 常见的如下 anon :有的资源(页面方法)不登录也可以访问,那么这些资源我们可以配置成anon过滤器 authc:有的资源必须登录后才能访问,那么这些资源我们可以配置成authc过滤器 perms[“添加文章”] :这个资源必须当前登录人有“企业管理”权限才能访问 过滤器简称 相对应的javaanon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.ap.
Shiro注解入门实战Demo及配置详解
在此配置中,所有请求首先通过`anon`过滤器,表示可以匿名访问。随后,`admin.jsp``role.jsp`请求需要相应的权限角色。最后,所有的其他请求都需要通过`authc`过滤器进行认证。 ### 总结 通过上述内容,我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值