http://shiro.apache.org/authorization.html#Authorization-PermissionGranularity

shiro默认的过滤器

Shiro内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器:

默认拦截器名

拦截器类

说明(括号里的表示默认值)

身份验证相关的

authc

org.apache.shiro.web.filter.authc

.FormAuthenticationFilter

基于表单的拦截器;如“/**=authc”,如果没有登录会跳到相应的登录页面登录;主要属性:usernameParam:表单提交的用户名参数名( username);  passwordParam:表单提交的密码参数名(password); rememberMeParam:表单提交的密码参数名(rememberMe);  loginUrl:登录页面地址(/login.jsp);successUrl:登录成功后的默认重定向地址; failureKeyAttribute:登录失败后错误信息存储key(shiroLoginFailure);

authcBasic

org.apache.shiro.web.filter.authc

.BasicHttpAuthenticationFilter

Basic HTTP身份验证拦截器,主要属性: applicationName:弹出登录框显示的信息(application);

logout

org.apache.shiro.web.filter.authc

.LogoutFilter

退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/);示例“/logout=logout”

user

org.apache.shiro.web.filter.authc

.UserFilter

用户拦截器,用户已经身份验证/记住我登录的都可;示例“/**=user”

anon

org.apache.shiro.web.filter.authc

.AnonymousFilter

匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”

授权相关的

roles

org.apache.shiro.web.filter.authz

.RolesAuthorizationFilter

角色授权拦截器,验证用户是否拥有所有角色;主要属性: loginUrl:登录页面地址(/login.jsp);unauthorizedUrl:未授权后重定向的地址;示例“/admin/**=roles[admin]”

perms

org.apache.shiro.web.filter.authz

.PermissionsAuthorizationFilter

权限授权拦截器,验证用户是否拥有所有权限;属性和roles一样;示例“/user/**=perms["user:create"]”

port

org.apache.shiro.web.filter.authz

.PortFilter

端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样

rest

org.apache.shiro.web.filter.authz

.HttpMethodPermissionFilter

rest风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;示例“/users=rest[user]”,会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配(所有都得匹配,isPermittedAll);

ssl

org.apache.shiro.web.filter.authz

.SslFilter

SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;

其他

noSessionCreation

org.apache.shiro.web.filter.session

.NoSessionCreationFilter

不创建会话拦截器,调用 subject.getSession(false)不会有什么问题,但是如果 subject.getSession(true)将抛出 DisabledSessionException异常;

另外还提供了一个org.apache.shiro.web.filter.authz.HostFilter,即主机拦截器,比如其提供了属性:authorizedIps:已授权的ip地址,deniedIps:表示拒绝的ip地址;不过目前还没有完全实现,不可用。

这些默认的拦截器会自动注册,可以直接在ini配置文件中通过“拦截器名.属性”设置其属性:

  1. perms.unauthorizedUrl=/unauthorized

另外如果某个拦截器不想使用了可以直接通过如下配置直接禁用:

  1. perms.enabled=false

xml 表中格过滤器的汗液

  1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  2.         <!-- Shiro的核心安全接口,这个属性是必须的 -->
  3.         <property name="securityManager" ref="securityManager"/>
  4.         <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录apos.htmlhtml"页面 -->
  5.         <property name="loginUrl" value="/sys/manager/login"/>
  6.         <!-- 登录成功后要跳转的连接 -->
  7.         <property name="successUrl" value="/sys/manager/index"/>
  8.         <!-- 用户访问未对其授权的资源时,所显示的连接 -->
  9.         <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp-->
  10.         <property name="unauthorizedUrl" value="/sys/manager/login"/>
  11.         <property name="filters">
  12.             <map>
  13.             <entry key="authc">
  14.                 <bean class="com.xx.web.shiro.UserFormAuthenticationFilter" />
  15.             </entry>
  16.             </map>
  17.         </property>  
  18.  
  19.         <!-- Shiro连接约束配置,即过滤链的定义 -->
  20.         <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
  21.         <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->
  22.         <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
  23.         <property name="filterChainDefinitions">
  24.             <value>
  25.                 /statics/**=anon
  26.                 /js/**=anon
  27.                 /page/**=anon
  28.                 /sys/manager/login=anon
  29.                 /favicon.ico=anon
  30.                 /**=authc
  31.             </value>
  32.         </property>
  33.     </bean>

过滤器解决的问题

1.登录session失效

自定义一个过滤器

  1. public class LoginAuthenticationFilter extends FormAuthenticationFilter {
  2.  
  3.     @Override
  4.     protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
  5.         if(this.isLoginRequest(request, response)) {
  6.             if(this.isLoginSubmission(request, response)) {
  7.                 return this.executeLogin(request, response);
  8.             } else {
  9.                 return true;
  10.             }
  11.         } else {
  12.             if(isAjax(request)){
  13.                 Result result = Result.notLogin();
  14.                 response.getWriter().print(JSONObject.toJSON(result));
  15.             }else{
  16.                 this.saveRequestAndRedirectToLogin(request, response);
  17.             }
  18.             return false;
  19.         }
  20.     }
  21.  
  22.     public static boolean isAjax(ServletRequest request){
  23.         String header = ((HttpServletRequest) request).getHeader("X-Requested-With");
  24.         if("XMLHttpRequest".equalsIgnoreCase(header)){
  25.             //System.out.println( "当前请求为Ajax请求");
  26.             return Boolean.TRUE;
  27.         }
  28.         //System.out.println(  "当前请求非Ajax请求");
  29.         return Boolean.FALSE;
  30.     }
  31. }

2.过滤器的信息注入到shiro的filter bean中

  1.     @Bean
  2.     public ShiroFilterFactoryBean shiroFilter(ShiroProperties shiroProperties) {
  3.         ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
  4.         shiroFilterFactoryBean.setSecurityManager(securityManager(shiroProperties));
  5.  
  6.         //注册过滤器
  7.         Map<String, Filter> filters = new LinkedHashMap<String, Filter>();
  8.         //退出登录跳转
  9.         LogoutFilter logoutFilter = new LogoutFilter();
  10.         logoutFilter.setRedirectUrl(shiroProperties.getLogoutUrl());
  11.         filters.put("logout", logoutFilter);
  12.         //登录超时过滤
  13.         LoginAuthenticationFilter loginAuthenticationFilter = new LoginAuthenticationFilter();
  14.         filters.put("authc", loginAuthenticationFilter);
  15.  
  16.         shiroFilterFactoryBean.setFilters(filters);
  17.  
  18.         Map<String, String> filterChainDefinitionManager = shiroProperties.getFilterChainDefinitions();
  19.         shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionManager);
  20.  
  21.         shiroFilterFactoryBean.setLoginUrl(shiroProperties.getLoginUrl());
  22.         shiroFilterFactoryBean.setSuccessUrl(shiroProperties.getSuccessUrl());
  23.         shiroFilterFactoryBean.setUnauthorizedUrl(shiroProperties.getUnauthorizedUrl());
  24.  
  25.         return shiroFilterFactoryBean;
  26.     }

重写js的ajax方法,自动让所有的ajax提交都能绑定上跳转

http://www.cnblogs.com/hwaggLee/p/8244631.html

shiro-过滤器的更多相关文章

  1. Shiro第四篇【Shiro与Spring整合、快速入门、Shiro过滤器、登陆认证】

    Spring与Shiro整合 导入jar包 shiro-web的jar. shiro-spring的jar shiro-code的jar 快速入门 shiro也通过filter进行拦截.filter拦 ...

  2. Shiro【授权、整合Spirng、Shiro过滤器】

    前言 本文主要讲解的知识点有以下: Shiro授权的方式简单介绍 与Spring整合 初始Shiro过滤器 一.Shiro授权 上一篇我们已经讲解了Shiro的认证相关的知识了,现在我们来弄Shiro ...

  3. shiro过滤器详解分析

    (原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了.登录有时间再补录说明,这里分析下shiro过滤器怎样玩的. 1.目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处. 先看一下 ...

  4. Spring Boot环境下自定义shiro过滤器会过滤所有的url的问题

    在配置shiro过滤器时增加了自定义的过滤器,主要是用来处理未登录状态下返回一些信息 //自定义过滤器 Map<String, Filter> filtersMap = new Linke ...

  5. Shiro过滤器的维护与匹配执行

    servlet的初始化会触发核心过滤器的创建: public Object getObject() throws Exception { if (instance == null) { instanc ...

  6. Spring Boot 自定义 Shiro 过滤器,无法使用 @Autowired 解决方法

    在 Spring Boot 中集成 Shiro,并使用 JWT 进行接口认证. 为了统一对 Token 进行过滤,所以自定义了一个 JwtTokenFilter 过滤器. 期间遇到了以下几个问题,这里 ...

  7. shiro过滤器机制

    shiro内置过滤器介绍 https://blog.csdn.net/qq_35608780/article/details/71703197 Shiro的Filter机制详解---源码分析 http ...

  8. Shiro过滤器

    Shiro内置过滤器 anon.authBasic.authc.user.logout perms.roles.ssl.port spring.xml <bean id="shiroF ...

  9. shiro过滤器解释类

    anon -- org.apache.shiro.web.filter.authc.AnonymousFilter authc -- org.apache.shiro.web.filter.authc ...

  10. shiro过滤器过滤属性含义

    securityManager:这个属性是必须的. loginUrl :没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/lo ...

随机推荐

  1. 关于mac远程链接window服务器以及实现共享文件

    要最近换了新电脑mac 虽然运行速度666  但是真的很多地方都使用不习惯 这里记录一下 关于 远程链接window主机的问题 方便以后用 首先是 链接: 在应用里 找到    然后类似于  wind ...

  2. BZOJ3451 Tyvj1953 Normal 点分治 多项式 FFT

    原文链接https://www.cnblogs.com/zhouzhendong/p/BZOJ3451.html 题目传送门 - BZOJ3451 题意 给定一棵有 $n$ 个节点的树,在树上随机点分 ...

  3. P1605 迷宫 dfs回溯法

    题目背景 迷宫 [问题描述] 给定一个N*M方格的迷宫,迷宫里有T处障碍,障碍处不可通过.给定起点坐标和 终点坐标,问: 每个方格最多经过1次,有多少种从起点坐标到终点坐标的方案.在迷宫 中移动有上下 ...

  4. Maya Max python PySide集成 shiboken版本对应关系

    Maya_Max _python_PySide集成_shiboken版本对应关系 1.如何查看 Maya Max 集成的 Python版本: Maya:在 Maya 的安装目录下的 bin 文件夹中找 ...

  5. sublime text3 中 python3编译出现中文乱码解决方法

    转 https://blog.csdn.net/Bin_bin_bingo/article/details/80531582 一.乱码现象 利用sublime自带编译快捷方式ctrl+B会出现中文乱码 ...

  6. POJ 1200 Crazy Search 【hash】

    <题目链接> 题目大意: 给定n,nc,和一个字符串,该字符串由nc种字符组成,现在要你寻找该字符串中长度为n的子字符串有多少种. 解题分析: 因为要判重,所以讲这些字符串hash一下,将 ...

  7. poj 1386 Play on Words门上的单词【欧拉回路&&并查集】

    题目链接:http://poj.org/problem?id=1386 题目大意:给你若干个字符串,一个单词的尾部和一个单词的头部相同那么这两个单词就可以相连,判断给出的n个单词是否能够一个接着一个全 ...

  8. 大数据技术 - 通俗理解MapReduce之WordCount(三)

    上一章我们编写了简单的 MapReduce 程序,掌握这些就能编写大多数数据处理的代码.但是 MapReduce 框架提供给用户的能力并不止如此,本章我们仍然以上一章 word count 为例,继续 ...

  9. C#导出Excel时间格式问题

    Range range = worksheet.get_Range(worksheet.Cells[2, 1], worksheet.Cells[RowCount + 1, ColCount]);ra ...

  10. SQLite限定行数

    SELECT * FROM "spbak" ORDER BY intime desc limit 0,100;