Shiro学习(19)动态URL权限限制
用过spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
本章代码基于《第十六章 综合实例》,请先了解相关数据模型及基本流程后再学习本章。
表及数据SQL
请运行shiro-example-chapter19/sql/ shiro-schema.sql 表结构
请运行shiro-example-chapter19/sql/ shiro-schema.sql 数据
实体
具体请参考com.github.zhangkaitao.shiro.chapter19包下的实体。
- public class UrlFilter implements Serializable {
- private Long id;
- private String name; //url名称/描述
- private String url; //地址
- private String roles; //所需要的角色,可省略
- private String permissions; //所需要的权限,可省略
- }
表示拦截的URL和角色/权限之间的关系,多个角色/权限之间通过逗号分隔,此处还可以扩展其他的关系,另外可以加如available属性表示是否开启该拦截。
DAO
具体请参考com.github.zhangkaitao.shiro.chapter19.dao包下的DAO接口及实现。
Service
具体请参考com.github.zhangkaitao.shiro.chapter19.service包下的Service接口及实现。
- public interface UrlFilterService {
- public UrlFilter createUrlFilter(UrlFilter urlFilter);
- public UrlFilter updateUrlFilter(UrlFilter urlFilter);
- public void deleteUrlFilter(Long urlFilterId);
- public UrlFilter findOne(Long urlFilterId);
- public List<UrlFilter> findAll();
- }
基本的URL拦截的增删改查实现。
- @Service
- public class UrlFilterServiceImpl implements UrlFilterService {
- @Autowired
- private ShiroFilerChainManager shiroFilerChainManager;
- @Override
- public UrlFilter createUrlFilter(UrlFilter urlFilter) {
- urlFilterDao.createUrlFilter(urlFilter);
- initFilterChain();
- return urlFilter;
- }
- //其他方法请参考源码
- @PostConstruct
- public void initFilterChain() {
- shiroFilerChainManager.initFilterChains(findAll());
- }
- }
UrlFilterServiceImpl在进行新增、修改、删除时会调用initFilterChain来重新初始化Shiro的URL拦截器链,即同步数据库中的URL拦截器定义到Shiro中。此处也要注意如果直接修改数据库是不会起作用的,因为只要调用这几个Service方法时才同步。另外当容器启动时会自动回调initFilterChain来完成容器启动后的URL拦截器的注册。
ShiroFilerChainManager
- @Service
- public class ShiroFilerChainManager {
- @Autowired private DefaultFilterChainManager filterChainManager;
- private Map<String, NamedFilterList> defaultFilterChains;
- @PostConstruct
- public void init() {
- defaultFilterChains =
- new HashMap<String, NamedFilterList>(filterChainManager.getFilterChains());
- }
- public void initFilterChains(List<UrlFilter> urlFilters) {
- //1、首先删除以前老的filter chain并注册默认的
- filterChainManager.getFilterChains().clear();
- if(defaultFilterChains != null) {
- filterChainManager.getFilterChains().putAll(defaultFilterChains);
- }
- //2、循环URL Filter 注册filter chain
- for (UrlFilter urlFilter : urlFilters) {
- String url = urlFilter.getUrl();
- //注册roles filter
- if (!StringUtils.isEmpty(urlFilter.getRoles())) {
- filterChainManager.addToChain(url, "roles", urlFilter.getRoles());
- }
- //注册perms filter
- if (!StringUtils.isEmpty(urlFilter.getPermissions())) {
- filterChainManager.addToChain(url, "perms", urlFilter.getPermissions());
- }
- }
- }
- }
1、init:Spring容器启动时会调用init方法把在spring配置文件中配置的默认拦截器保存下来,之后会自动与数据库中的配置进行合并。
2、initFilterChains:UrlFilterServiceImpl会在Spring容器启动或进行增删改UrlFilter时进行注册URL拦截器到Shiro。
拦截器及拦截器链知识请参考《第八章 拦截器机制》,此处再介绍下Shiro拦截器的流程:
AbstractShiroFilter //如ShiroFilter/ SpringShiroFilter都继承该Filter
doFilter //Filter的doFilter
doFilterInternal //转调doFilterInternal
executeChain(request, response, chain) //执行拦截器链
FilterChain chain = getExecutionChain(request, response, origChain) //使用原始拦截器链获取新的拦截器链
chain.doFilter(request, response) //执行新组装的拦截器链
getExecutionChain(request, response, origChain) //获取拦截器链流程
FilterChainResolver resolver = getFilterChainResolver(); //获取相应的FilterChainResolver
FilterChain resolved = resolver.getChain(request, response, origChain); //通过FilterChainResolver根据当前请求解析到新的FilterChain拦截器链
默认情况下如使用ShiroFilterFactoryBean创建shiroFilter时,默认使用PathMatchingFilterChainResolver进行解析,而它默认是根据当前请求的URL获取相应的拦截器链,使用Ant模式进行URL匹配;默认使用DefaultFilterChainManager进行拦截器链的管理。
PathMatchingFilterChainResolver默认流程:
- public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
- //1、首先获取拦截器链管理器
- FilterChainManager filterChainManager = getFilterChainManager();
- if (!filterChainManager.hasChains()) {
- return null;
- }
- //2、接着获取当前请求的URL(不带上下文)
- String requestURI = getPathWithinApplication(request);
- //3、循环拦截器管理器中的拦截器定义(拦截器链的名字就是URL模式)
- for (String pathPattern : filterChainManager.getChainNames()) {
- //4、如当前URL匹配拦截器名字(URL模式)
- if (pathMatches(pathPattern, requestURI)) {
- //5、返回该URL模式定义的拦截器链
- return filterChainManager.proxy(originalChain, pathPattern);
- }
- }
- return null;
- }
默认实现有点小问题:
如果多个拦截器链都匹配了当前请求URL,那么只返回第一个找到的拦截器链;后续我们可以修改此处的代码,将多个匹配的拦截器链合并返回。
DefaultFilterChainManager内部使用Map来管理URL模式-拦截器链的关系;也就是说相同的URL模式只能定义一个拦截器链,不能重复定义;而且如果多个拦截器链都匹配时是无序的(因为使用map.keySet()获取拦截器链的名字,即URL模式)。
FilterChainManager接口:
- public interface FilterChainManager {
- Map<String, Filter> getFilters(); //得到注册的拦截器
- void addFilter(String name, Filter filter); //注册拦截器
- void addFilter(String name, Filter filter, boolean init); //注册拦截器
- void createChain(String chainName, String chainDefinition); //根据拦截器链定义创建拦截器链
- void addToChain(String chainName, String filterName); //添加拦截器到指定的拦截器链
- void addToChain(String chainName, String filterName, String chainSpecificFilterConfig) throws ConfigurationException; //添加拦截器(带有配置的)到指定的拦截器链
- NamedFilterList getChain(String chainName); //获取拦截器链
- boolean hasChains(); //是否有拦截器链
- Set<String> getChainNames(); //得到所有拦截器链的名字
- FilterChain proxy(FilterChain original, String chainName); //使用指定的拦截器链代理原始拦截器链
- }
此接口主要三个功能:注册拦截器,注册拦截器链,对原始拦截器链生成代理之后的拦截器链,比如
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- ……
- <property name="filters">
- <util:map>
- <entry key="authc" value-ref="formAuthenticationFilter"/>
- <entry key="sysUser" value-ref="sysUserFilter"/>
- </util:map>
- </property>
- <property name="filterChainDefinitions">
- <value>
- /login = authc
- /logout = logout
- /authenticated = authc
- /** = user,sysUser
- </value>
- </property>
- </bean>
filters属性定义了拦截器;filterChainDefinitions定义了拦截器链;如/**就是拦截器链的名字;而user,sysUser就是拦截器名字列表。
之前说过默认的PathMatchingFilterChainResolver和DefaultFilterChainManager不能满足我们的需求,我们稍微扩展了一下:
CustomPathMatchingFilterChainResolver
- public class CustomPathMatchingFilterChainResolver
- extends PathMatchingFilterChainResolver {
- private CustomDefaultFilterChainManager customDefaultFilterChainManager;
- public void setCustomDefaultFilterChainManager(
- CustomDefaultFilterChainManager customDefaultFilterChainManager) {
- this.customDefaultFilterChainManager = customDefaultFilterChainManager;
- setFilterChainManager(customDefaultFilterChainManager);
- }
- public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
- FilterChainManager filterChainManager = getFilterChainManager();
- if (!filterChainManager.hasChains()) {
- return null;
- }
- String requestURI = getPathWithinApplication(request);
- List<String> chainNames = new ArrayList<String>();
- for (String pathPattern : filterChainManager.getChainNames()) {
- if (pathMatches(pathPattern, requestURI)) {
- chainNames.add(pathPattern);
- }
- }
- if(chainNames.size() == 0) {
- return null;
- }
- return customDefaultFilterChainManager.proxy(originalChain, chainNames);
- }
- }
和默认的PathMatchingFilterChainResolver区别是,此处得到所有匹配的拦截器链,然后通过调用CustomDefaultFilterChainManager.proxy(originalChain, chainNames)进行合并后代理。
CustomDefaultFilterChainManager
- public class CustomDefaultFilterChainManager extends DefaultFilterChainManager {
- private Map<String, String> filterChainDefinitionMap = null;
- private String loginUrl;
- private String successUrl;
- private String unauthorizedUrl;
- public CustomDefaultFilterChainManager() {
- setFilters(new LinkedHashMap<String, Filter>());
- setFilterChains(new LinkedHashMap<String, NamedFilterList>());
- addDefaultFilters(true);
- }
- public Map<String, String> getFilterChainDefinitionMap() {
- return filterChainDefinitionMap;
- }
- public void setFilterChainDefinitionMap(Map<String, String> filterChainDefinitionMap) {
- this.filterChainDefinitionMap = filterChainDefinitionMap;
- }
- public void setCustomFilters(Map<String, Filter> customFilters) {
- for(Map.Entry<String, Filter> entry : customFilters.entrySet()) {
- addFilter(entry.getKey(), entry.getValue(), false);
- }
- }
- public void setDefaultFilterChainDefinitions(String definitions) {
- Ini ini = new Ini();
- ini.load(definitions);
- Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);
- if (CollectionUtils.isEmpty(section)) {
- section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
- }
- setFilterChainDefinitionMap(section);
- }
- public String getLoginUrl() {
- return loginUrl;
- }
- public void setLoginUrl(String loginUrl) {
- this.loginUrl = loginUrl;
- }
- public String getSuccessUrl() {
- return successUrl;
- }
- public void setSuccessUrl(String successUrl) {
- this.successUrl = successUrl;
- }
- public String getUnauthorizedUrl() {
- return unauthorizedUrl;
- }
- public void setUnauthorizedUrl(String unauthorizedUrl) {
- this.unauthorizedUrl = unauthorizedUrl;
- }
- @PostConstruct
- public void init() {
- Map<String, Filter> filters = getFilters();
- if (!CollectionUtils.isEmpty(filters)) {
- for (Map.Entry<String, Filter> entry : filters.entrySet()) {
- String name = entry.getKey();
- Filter filter = entry.getValue();
- applyGlobalPropertiesIfNecessary(filter);
- if (filter instanceof Nameable) {
- ((Nameable) filter).setName(name);
- }
- addFilter(name, filter, false);
- }
- }
- Map<String, String> chains = getFilterChainDefinitionMap();
- if (!CollectionUtils.isEmpty(chains)) {
- for (Map.Entry<String, String> entry : chains.entrySet()) {
- String url = entry.getKey();
- String chainDefinition = entry.getValue();
- createChain(url, chainDefinition);
- }
- }
- }
- protected void initFilter(Filter filter) {
- //ignore
- }
- public FilterChain proxy(FilterChain original, List<String> chainNames) {
- NamedFilterList configured = new SimpleNamedFilterList(chainNames.toString());
- for(String chainName : chainNames) {
- configured.addAll(getChain(chainName));
- }
- return configured.proxy(original);
- }
- private void applyGlobalPropertiesIfNecessary(Filter filter) {
- applyLoginUrlIfNecessary(filter);
- applySuccessUrlIfNecessary(filter);
- applyUnauthorizedUrlIfNecessary(filter);
- }
- private void applyLoginUrlIfNecessary(Filter filter) {
- //请参考源码
- }
- private void applySuccessUrlIfNecessary(Filter filter) {
- //请参考源码
- }
- private void applyUnauthorizedUrlIfNecessary(Filter filter) {
- //请参考源码
- }
- }
1、CustomDefaultFilterChainManager:调用其构造器时,会自动注册默认的拦截器;
2、loginUrl、successUrl、unauthorizedUrl:分别对应登录地址、登录成功后默认跳转地址、未授权跳转地址,用于给相应拦截器的;
3、filterChainDefinitionMap:用于存储如ShiroFilterFactoryBean在配置文件中配置的拦截器链定义,即可以认为是默认的静态拦截器链;会自动与数据库中加载的合并;
4、setDefaultFilterChainDefinitions:解析配置文件中传入的字符串拦截器链配置,解析为相应的拦截器链;
5、setCustomFilters:注册我们自定义的拦截器;如ShiroFilterFactoryBean的filters属性;
6、init:初始化方法,Spring容器启动时会调用,首先其会自动给相应的拦截器设置如loginUrl、successUrl、unauthorizedUrl;其次根据filterChainDefinitionMap构建默认的拦截器链;
7、initFilter:此处我们忽略实现initFilter,因为交给spring管理了,所以Filter的相关配置会在Spring配置中完成;
8、proxy:组合多个拦截器链为一个生成一个新的FilterChain代理。
Web层控制器
请参考com.github.zhangkaitao.shiro.chapter19.web.controller包,相对于第十六章添加了UrlFilterController用于UrlFilter的维护。另外,移除了控制器方法上的权限注解,而是使用动态URL拦截进行控制。
Spring配置——spring-config-shiro.xml
- <bean id="filterChainManager"
- class="com.github.zhangkaitao.shiro.spring.CustomDefaultFilterChainManager">
- <property name="loginUrl" value="/login"/>
- <property name="successUrl" value="/"/>
- <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
- <property name="customFilters">
- <util:map>
- <entry key="authc" value-ref="formAuthenticationFilter"/>
- <entry key="sysUser" value-ref="sysUserFilter"/>
- </util:map>
- </property>
- <property name="defaultFilterChainDefinitions">
- <value>
- /login = authc
- /logout = logout
- /unauthorized.jsp = authc
- /** = user,sysUser
- </value>
- </property>
- </bean>
filterChainManager是我们自定义的CustomDefaultFilterChainManager,注册相应的拦截器及默认的拦截器链。
- <bean id="filterChainResolver"
- class="com.github.zhangkaitao.shiro.spring.CustomPathMatchingFilterChainResolver">
- <property name="customDefaultFilterChainManager" ref="filterChainManager"/>
- </bean>
filterChainResolver是自定义的CustomPathMatchingFilterChainResolver,使用上边的filterChainManager进行拦截器链的管理。
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager"/>
- </bean>
shiroFilter不再定义filters及filterChainDefinitions,而是交给了filterChainManager进行完成。
- <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
- <property name="targetObject" ref="shiroFilter"/>
- <property name="targetMethod" value="setFilterChainResolver"/>
- <property name="arguments" ref="filterChainResolver"/>
- </bean>
最后把filterChainResolver注册给shiroFilter,其使用它进行动态URL权限控制。
其他配置和第十六章一样,请参考第十六章。
1、首先执行shiro-data.sql初始化数据。
2、然后再URL管理中新增如下数据:
3、访问http://localhost:8080/chapter19/user时要求用户拥有aa角色,此时是没有的所以会跳转到未授权页面;
4、添加aa角色然后授权给用户,此时就有权限访问http://localhost:8080/chapter19/user。
实际项目可以在此基础上进行扩展。
Shiro学习(19)动态URL权限限制的更多相关文章
- 第十九章 动态URL权限控制——《跟我学Shiro》
目录贴:跟我学Shiro目录贴 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配:如果没有权限直接跳到相应的错误页面.Shiro也支持类似的机 ...
- Shiro集成SSM基于动态URL权限管理(二)
这个案例基于上一个demo扩展而来.所以数据库表,在Shiro集成SSM基于URL权限管理(一)开篇的一致.如果上个demo操作的建议重新导入一次,避免出现问题. 而这次都不是通过固定写在方法上的注解 ...
- Spring Security 动态url权限控制(三)
一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...
- Shiro集成SSM基于URL权限管理(一)
学习了shiro之后,我们就可以说尝试把shiro加入ssm中,并做一套基于URL的权限管理. 其他的准备工作就不多说了,直接动手操作,看到效果再去理解. 表结构 执行如下,数据库名字可以自行修改,不 ...
- shiro学习(三)权限 authenrication
主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户.用户只有授权后才允许访问相应的资源. 资源 在应用中用户可以访问的任何东西,比如访问JSP页面.查看/编辑某些数据.访问某个业 ...
- Shiro学习(总结)
声明:本文原文地址:http://www.iteye.com/blogs/subjects/shiro 感谢开涛提供的博文,让我学到了非常多.在这里由衷的感谢你,同一时候我强烈的推荐开涛的博文.他的博 ...
- Apache shiro学习总结
Apache shiro集群实现 (一) shiro入门介绍 Apache shiro集群实现 (二) shiro 的INI配置 Apache shiro集群实现 (三)shiro身份认证(Shiro ...
- Shiro 学习
<转载于 凯涛 博客> Shiro目录 第一章 Shiro简介 第二章 身份验证 第三章 授权 第四章 INI配置 第五章 编码/加密 第六章 Realm及相关对象 第七章 ...
- springboot+shiro+redis(单机redis版)整合教程-续(添加动态角色权限控制)
相关教程: 1. springboot+shiro整合教程 2. springboot+shiro+redis(单机redis版)整合教程 3. springboot+shiro+redis(集群re ...
随机推荐
- 【UML】最简单的类图
Rational Rose简明实用教程 https://blog.csdn.net/gz153016/article/details/49641847 Rational Rose是Rational公 ...
- PHP copy() 函数
定义和用法 copy() 函数复制文件. 该函数如果成功则返回 TRUE,如果失败则返回 FALSE. 语法 copy(file,to_file) 参数 描述 file 必需.规定要复制的文件. to ...
- Cisco基础(四):配置标准ACL、配置扩展ACL、配置标准命名ACL、配置扩展命名ACL
一.配置标准ACL 目标: 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.16 ...
- sql语句采用数字方式的排序
select z.xymc 省份,y.xm 办理人,s.bt 标题,x.createtime 创建时间, nvl2(t.jssj,t.jssj,'未接收') 接收时间 fr ...
- 接口测试——postman安装
http://www.jianshu.com/p/dd0db1b13cfc postman的视频终于过审了,https://ke.qq.com/course/229839#tuin=1eb87ef,大 ...
- [CSP-S模拟测试]:抽卡(概率DP)
题目描述 水上由岐最近在肝手游,游戏里有一个氪金抽卡的活动.有$n$种卡,每种卡有 3 种颜色.每次抽卡可能什么也抽不到,也可能抽到一张卡.每氪金一次可以连抽 m 次卡,其中前$m−1$次抽到第$i$ ...
- 升级到Xcode 5.1和iOS 7遇到的各种问题及解决办法汇总:
<iOS 企业证书部署无效的问题>:http://t.cn/8s7ILWZ <clipsToBounds 属性默认值变了>:http://weibo.com/165881473 ...
- IDEA @Override is not allowed when implementing interface method(转载)
近期研究idea,在编码过程发现报错:@Override is not allowed when implementing interface method .找到一个老外的回答,感觉挺有用的,记录下 ...
- linux kafka进程挂了 自动重启
使用crontab,定时监控 kafka进程,发现挂了后重启. shell脚本如下: #!/bin/sh source /etc/profile proc_dir="/data/kafka& ...
- JS-text节点模拟innerHTML属性
# [在线预览](https://jsfiddle.net/1010543618/mz7ybu8g/2/) text 节点无 innerHTML 这个属性!!! 如果直接修改 text 节点的属性(d ...