<span style="font-family: Arial, Helvetica, sans-serif;">在系统中使用shiro进行权限管理,当用户访问没有权限的资源时会跳转到指定的登录url。</span>

但是如果系统中支持手机app,手机访问时没有使用session进行登录凭证管理,而是使用token,有两种解决方法:

1:支持手机客户端访问的资源在权限配置中配置成anon

2:实现自定义认证拦截器,对用户请求资源进行认证

显然第一种方法不适用,这些资源应该只能让我们自己的app进行访问。

第二中实现方式:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

		<property name="securityManager" ref="securityManager" />

		<!-- 登录的页面 -->

		<property name="loginUrl" value="/login/login.jsp" />

		<property name="successUrl" value="/success.jsp" />

		<property name="unauthorizedUrl" value="/error.jsp" />

		<property name="filterChainDefinitions">

			<value>

				/android.html**=anon

				/pets/android**=android

				/pets/login/**=anon

				/**=authc

			</value>

		</property>

		<property name="filters">

			<map>

				<entry key="android">

					<bean class="com.pets.shiro.filter.MobileTokenAuthentication">

					</bean>

				</entry>

				<entry key="authc">

					<bean class="com.pets.shiro.filter.LoginAuthenticationFilter">

					</bean>

					<!-- <bean class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">

					</bean> -->

				</entry>

			</map>

		</property>

	</bean>
/pets/android**=android 指定认证的拦截器,这里是自定义的拦截器
<pre name="code" class="java">/**

 * 移动设备认证基类,提供未登录用户操作认证权限

 *

 * 2014年7月8日

 */

public abstract class AbstractMobileAuthenticationFilter extends

		AuthenticationFilter {

	public static final String TOKEN = "token";

	protected Logger log = Logger.getLogger(getClass());

	@Override

	protected boolean onAccessDenied(ServletRequest request,

			ServletResponse response) throws Exception {

		log.info("安卓用户进入校验!" + getLoginUrl());

		HttpServletRequest req = (HttpServletRequest) request;

		String token = req.getParameter(TOKEN);

		if (isAccess(token)) {

			return onAccessSuccess(req, (HttpServletResponse) response);

		}

		return onAccessFail(req, (HttpServletResponse) response);

	}

	/**

	 * 判断token的合法性

	 *

	 * @param token

	 * @return

	 */

	public abstract boolean isAccess(String token);

	/**

	 * 认证成功进行的操作处理

	 *

	 * @param request

	 * @param response

	 * @return true 继续后续处理,false 不需要后续处理

	 */

	public abstract boolean onAccessSuccess(HttpServletRequest request,

			HttpServletResponse response);

	/**

	 * 认证失败时处理结果

	 *

	 * @param request

	 * @param response

	 * @return true 继续后续处理,false 不需要后续处理

	 */

	public abstract boolean onAccessFail(HttpServletRequest request,

			HttpServletResponse response);

}

只需要重写onAccessDenied方法,进行token判断!



												


											
shiro 实现自定义权限规则校验的更多相关文章
	

    
								
  1. shiro 实现自己定义权限规则校验
		
    <span style="font-family: Arial, Helvetica, sans-serif;">在系统中使用shiro进行权限管理,当用户訪问没有权限 ...
    
		
    2. 
						
  2. 9) drf  JWT 认证   签发与校验token 多方式登陆  自定义认证规则反爬  admin密文显示
		
    一 .认证方法比较 1.认证规则图 django 前后端不分离 csrf认证 drf 前后端分离 禁用csrf 2. 认证规则演变图 数据库session认证:低效 缓存认证:高效 jwt认证:高效  ...
    
		
    3. 
						
  3. 基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
		
    一.前言 在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制.这是目前最常被开发者使用也是相对易用.通用权限模型.当然SpringSecurity已经实 ...
    
		
    4. 
						
  4. 案例17-validate自定义校验规则校验验证码是否输入正确
		
    1 自定义校验规则代码 <script type="text/javascript"> //使用validate插件进行表单的校验 $(function(){ $(&q ...
    
		
    5. 
						
  5. Spring_数据校验和自定义检验规则和分组校验
		
    @Validated  :绑定需要校验的数据. 数据校验规则:为数据绑定校验的规则 private Long booId;@NotNull(message = "不能为空")pri ...
    
		
    6. 
						
  6. Apache Shiro安全(权限框架)学习笔记二
		
    课程目标 通过学习本课程掌握权限管理的设计思想及方法,使用Shiro框架完成权限管理功能开发. 1.  理解基于资源的权限管理方法. 2.  掌握权限管理的数据模型. 3.  掌握不使用shiro开发 ...
    
		
    7. 
						
  7. Apache Shiro安全(权限框架)学习笔记一
		
    1. 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法 2. AuthorizingRealm 类继承自 Authenticating ...
    
		
    8. 
						
  8. DRF认证、自定义认证和权限、自定义权限
		
    源码分析 """ 1)APIView的dispath(self, request, *args, **kwargs) 2)dispath方法内 self.initial( ...
    
		
    9. 
						
  9. shiro:自定义remle(二)
		
    SpringMVC+SpringMVC+Mybatis项目 1:导入相关依赖 <dependencies> <!--测试依赖--> <dependency> < ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. JasperReports入门教程(四):多数据源
			
    JasperReports入门教程(四):多数据源 背景 在报表使用中,一个页面需要打印多个表格,每个表格分别使用不同的数据源是很常见的一个需求.假如我们现在有一个需求如下:需要在一个报表同时打印所有 ...
    
			
    2. 
						
  2. PostMan接口测试(很全面的接口测试教程)
			
    一:理论部分 1. 前言 在前后端分离开发时,后端工作人员完成系统接口开发后,需要与前端人员对接,测试调试接口,验证接口的正确性可用性.而这要求前端开发进度和后端进度保持基本一致,任何一方的进度跟不上 ...
    
			
    3. 
						
  3. go的 三个点 ...
			
    这三个点,比较任性,可前可后,可攻可守... 举2个栗子: 1.func sub(arg ...int) (total int){} 2.argsArr = apend(argsArr[:3], ar ...
    
			
    4. 
						
  4. VC++ QT 数组的初始化
			
    数组有时会初始化为0. 但加了一个 QThread 的派生类对象之后,数组就不再被初始化为0了. 所以对于数组还是要手动初始化,否则可能产生无法预料的现象.
    
			
    5. 
						
  5. Python 基础教程(第二版)笔记 (1)
			
    P22 除非对 input 有特别的需要,否则应该尽可能使用 raw_input 函数. 长字符串,跨多行,用三个引号代替普通引号.并且不需要使用反斜线进行转义. P23 原始字符串 print r' ...
    
			
    6. 
						
  6. 怎么在java 8的map中使用stream
			
    怎么在java 8的map中使用stream 简介 Map是java中非常常用的一个集合类型,我们通常也需要去遍历Map去获取某些值,java 8引入了Stream的概念,那么我们怎么在Map中使用S ...
    
			
    7. 
						
  7. 浅析 JS 中的作用域链
			
    作用域链的形成 在 JS 中每个函数都有自己的执行环境,而每个执行环境都有一个与之对应的变量对象.例如: var a = 2 function fn () { var a = 1 console.lo ...
    
			
    8. 
						
  8. 标准库sys
			
    sys模块的主要函数介绍,结合官方文档说明和实例.This module provides access to some variables used or maintained by the int ...
    
			
    9. 
						
  9. Facebook发布神经蛋分离法,可从嘈杂环境中提取音视频
			
    分离混合分布是机器学习和信号处理的长期挑战,而Facebook近日提出的新方法似乎可以有效解决这一难题. 人类天生善于分离个别声音和视觉效果,例如在拥挤的鸡尾酒会上听到别人的声音,或者在动物穿过灌木丛 ...
    
			
    10. 
						
  10. 关于RMQ问题的四种解法
			
    什么是RMQ问题:     RMQ (Range Minimum/Maximum Query):对于长度为n的数组A,回答若干询问RMQ(A,i,j)(i,j<=n-1),返回数组A中下标在i, ...
    
			
    11.