2. 程式人生 > >shiro 實現自定義許可權規則校驗

shiro 實現自定義許可權規則校驗

阿新 發佈:2019-01-09 
<span style="font-family: Arial, Helvetica, sans-serif;">在系統中使用shiro進行許可權管理,當用戶訪問沒有許可權的資源時會跳轉到指定的登入url。</span>

但是如果系統中支援手機app,手機訪問時沒有使用session進行登入憑證管理,而是使用token,有兩種解決方法:

1:支援手機客戶端訪問的資源在許可權配置中配置成anon

2:實現自定義認證攔截器,對使用者請求資源進行認證

顯然第一種方法不適用,這些資源應該只能讓我們自己的app進行訪問。

第二中實現方式:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- 登入的頁面 -->
		<property name="loginUrl" value="/login/login.jsp" />
		<property name="successUrl" value="/success.jsp" />
		<property name="unauthorizedUrl" value="/error.jsp" />
		<property name="filterChainDefinitions">
			<value>
				/android.html**=anon
				/pets/android**=android
				/pets/login/**=anon
				/**=authc
			</value>
		</property>
		<property name="filters">
			<map>
				<entry key="android">
					<bean class="com.pets.shiro.filter.MobileTokenAuthentication">
					</bean>
				</entry>
				<entry key="authc">
					<bean class="com.pets.shiro.filter.LoginAuthenticationFilter">
					</bean>
					<!-- <bean class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
					</bean> -->
				</entry>
			</map>
		</property>
	</bean>
 

/pets/android**=android 指定認證的攔截器,這裡是自定義的攔截器
<pre name="code" class="java">/**
 * 移動裝置認證基類,提供未登入使用者操作認證許可權
 *
 * 2014年7月8日
 */
public abstract class AbstractMobileAuthenticationFilter extends
		AuthenticationFilter {

	public static final String TOKEN = "token";
	protected Logger log = Logger.getLogger(getClass());

	@Override
	protected boolean onAccessDenied(ServletRequest request,
			ServletResponse response) throws Exception {

		log.info("安卓使用者進入校驗!" + getLoginUrl());

		HttpServletRequest req = (HttpServletRequest) request;

		String token = req.getParameter(TOKEN);
		if (isAccess(token)) {
			return onAccessSuccess(req, (HttpServletResponse) response);
		}

		return onAccessFail(req, (HttpServletResponse) response);
	}

	/**
	 * 判斷token的合法性
	 * 
	 * @param token
	 * @return
	 */
	public abstract boolean isAccess(String token);

	/**
	 * 認證成功進行的操作處理
	 * 
	 * @param request
	 * @param response
	 * @return true 繼續後續處理,false 不需要後續處理
	 */
	public abstract boolean onAccessSuccess(HttpServletRequest request,
			HttpServletResponse response);

	/**
	 * 認證失敗時處理結果
	 * 
	 * @param request
	 * @param response
	 * @return true 繼續後續處理,false 不需要後續處理
	 */
	public abstract boolean onAccessFail(HttpServletRequest request,
			HttpServletResponse response);

}

只需要重寫onAccessDenied方法,進行token判斷!

相關推薦

shiro 實現定義許可權規則

<span style="font-family: Arial, Helvetica, sans-serif;">在系統中使用shiro進行許可權管理,當用戶訪問沒有許可權的資源時會跳轉到

Spring AOP+反射實現定義動態配置規則,讓規則飛起來

場景小計 之前專案都是使用hibernate-validator來校驗引數,但是實際上會出現一些小問題,就是校驗規則都是通過註解的方式來完成,這樣如果專案上線了,這個引數校驗規則就沒辦法修改,如果出現校驗規則問題,就必須修改後重新緊急上線(之前因為手機

定義的註解器的實現

首先先學習一下註解,註解為我們在程式碼中新增資訊提供了一種形式化的方法,使得我們在稍後的某個時刻可以方便地使用這些資料。     在日常的編碼中我們一直都在使用註解,只是沒有特別關注過,Java中內建了三種註解:@Override,@SuppressWarnings @Deprecated。相信只要學習過J

Java定義註解反射數據

sda new out 格式 是否 本地 imp 使用範圍 數據類型 package com.annotations.ecargo; import java.lang.annotation.ElementType; import java.lang.annotati

vue+element中定義表單特殊字元

本次專案基於vue和element-ui,需要在前端使用者輸入的時候去校驗輸入的內容中是否含有特殊符號,如果有,則提示使用者不支援輸入特殊符號。 校驗規則方法 export function checkSpecificKey(str) { var special

定義Hibernate Validator註解

定義註解 package com.futao.springmvcdemo.annotation; import com.futao.springmvcdemo.annotation.impl.IllegalValueCheckImpl; import c

BootstrapValidator定義中文長度

原理 中文字元佔用3個長度,在原stringLength校驗方法的基礎上做了一個擴充套件。 程式 ;(function($) { $.fn.bootstrapValidator.validators.proStringLength = {

定義validate註解

/** * @author yangyh * @since 2018/10/18 */ @Target({METHOD, FIELD, ANNOTATION_TYPE, CONSTRUCTOR, PARAMETER}) @Retention(RUNTIME) @Do

定義表單

上篇部落格簡單介紹了validate的使用,但是在有些時候validate無法滿足我們的需求,比如說校驗賬號是否已經存在或者郵箱是否已經被註冊了,這個時候就需要自己寫表單校驗了,配合著validate使用功能還是非常強大的(程式碼有點多,其實非常簡單)。 首先是引入validate外掛和jque

validation 定義註解統一列舉型別

請大神們多多指點評論,不勝感激,有問題也可以評論提問1.自定義介面 @Target({ ElementType.FIELD, ElementType.METHOD, ElementType.ANNOTATION_TYPE }) @Retention(RetentionPoli

springboot-No6 : 的引入 @Constraint和定義註解進行策略的設計模式淺談

之前寫的註解校驗的不足前面寫到如何使用自定義的註解進行校驗,@FieldInfo  主要做法是在註解中加入一些需要校驗的資訊然後呢 編寫解析註解的方法,然後我們寫統一的校驗策略來進行校驗。最後在統一的呼叫這個校驗演算法來達到校驗的目的但是上面這個過程呢我們並不知道使用該註解進

定義控制元件失效的問題

專案做開發時,使用了一個自定義控制元件,程式碼如下:控制元件頁面段 KnowtypeCtrl.ascx:<%@ Control Language="C#" AutoEventWireup="true" CodeFile="KnowtypeCtrl.ascx.cs" In

django認證系統實現定義許可權管理

本文記錄使用django自帶的認證系統實現自定義的許可權管理系統,包含組許可權、使用者許可權等實現。 0x01. django認證系統 django自帶的認證系統能夠很好的實現如登入、登出、建立使用者、建立超級使用者、修改密碼等複雜操作,並且實現了使用者

django實現定義許可權控制

自定義許可權 django自定義許可權使用permissions這個meta屬性,例如: #encoding = utf-8 from django.db import models # Create your models here. # rights control

測試開發專題:spring-boot定義返回引數錯誤資訊

之前兩篇文章 [Spring-boot自定義引數校驗註解](https://www.immortalp.com/articles/2020/05/15/1589509382896.html)和[如何在spring-boot中進行引數校驗](https://www.immortalp.com/articles/

layui定義驗證規則 實現傳送非同步請求手機號是否已註冊

//自定義驗證規則 form.verify({ name: function(value, item){//value:表單的值、item:表單的DOM物件 if(!new RegExp(’1+′).t

Jquery Validate 默認規則及常用的定義驗證規則

字符 eth ber exp string amp 手機 zip 子郵件 Jquery Validate 相關參數及常用的自定義驗證規則 一、官網地址:http://bassistance.de/jquery-plugins/jquery-plugin-validatio

案例17-validate定義規則驗證碼是否輸入正確

scrip oge validate Coding function throw res form getwriter 1 自定義校驗規則代碼 <script type="text/javascript"> //使用validate插件進行表單的

ssm整合shiro通過定義Realm實現認證登入、許可權處理、定義role攔截、MD5加密

整合後實現功能 1.登入認證 2.許可權處理 3.自定義role攔截 4.md5加密 ssm整合shiro步驟 先看看整合完成後的專案結構 新建一個maven專案 配置pom.xml檔案 <?xml version="1.0" encoding="UT

使用SpringBoot通過定義註解+AOP+全域性異常處理實現引數統一非空

一、前言         在我們寫後臺介面時,難免對引數進行非空校驗,如果一兩個還好,但如果需要寫大量的介面,及必填引數太多的時候,會給我們開發帶來大量的重複工作,及很多相似程式碼。而sping自帶的@RequestParam註解並不能完全滿足我們的需求,因為