Shiro过滤器
Shiro内置过滤器
认证相关过滤器:
anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)
授权相关的过滤器:
perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后面跟[ ] 里面放端口,必须是指定端口的才可以访问)
(ps:ssl与port用的比较少)
测试一下以上部分过滤器:
@RequestMapping(value = "/testRole",method = RequestMethod.GET) @ResponseBody public String testRole(){ return "test Role success"; }
@RequestMapping(value = "/testRole1",method = RequestMethod.GET) @ResponseBody public String testRole1(){ return "test Role success"; }
@RequestMapping(value = "/testPerms",method = RequestMethod.GET) @ResponseBody public String testPerms(){ return "testPerms success"; } @RequestMapping(value = "/testPerms1",method = RequestMethod.GET) @ResponseBody public String testPerms1(){ return "testPerms1 success"; }
在spring.xml中配置一下:
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <!--登录页的url--> <property name="loginUrl" value="login.html"/> <!--未认证的跳转页面--> <property name="unauthorizedUrl" value="403.html" /> <!--过滤器链//从上往下匹配拦截认证,--> <property name="filterChainDefinitions"> <value> <!--登录页面不需要拦截--> /login.html = anon <!--提交登录请求的url也不许要拦截--> /subLogin = anon /testRole = roles["admin"] /testRole1 = roles["admind","admin1"] /testPerms = perms["user:delete"] /testPerms1 = perms["user:delete","user:update"] <!--登录页面以外的需要拦截认证--> /* = authc </value> </property> </bean>
我的权限表如下:
1.先是访问testRole:
说明登录账户具备角色admin
2.访问testRole1
跳转
3.访问testPerms 与一个相同
4.testPerms1也一样
都ok。
这里配置的拦截
/testRole1 = roles["admind","admin1"]
必须同时拥有两种角色才有权限访问,那么如何让登录用户拥有其中一个角色就可以访问呢,这就需要自定义Filter了,
这之前需要先导入Servlet相关的依赖,不然方法会报红:
<dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.4</version> <scope>provided</scope> </dependency>
自定义Filter:
public class RolesOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { //先或得到主体 Subject subject = getSubject(servletRequest, servletResponse); //强转String类型数组 String[] roles = (String[])o; if (roles == null || roles.length == 0){ return true; } //若不为空,遍历一下数组 for (String role : roles) { //如果一经发现数组里有指定角色时,立即返回true if (subject.hasRole(role)){ return true; } } return false; } }
接着要去spring.xml配置注入自定义Filter:
<!--创建注入自定义Filter--> <bean class="com.yunyun.filter.RolesOrFilter" id="rolesOrFilter"/>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <!--登录页的url--> <property name="loginUrl" value="login.html"/> <!--未认证的跳转页面--> <property name="unauthorizedUrl" value="403.html" /> <!--过滤器链//从上往下匹配拦截认证,--> <property name="filterChainDefinitions"> <value> <!--登录页面不需要拦截--> /login.html = anon <!--提交登录请求的url也不许要拦截--> /subLogin = anon <!--/testRole = roles["admin"]--> /testRole2 = rolesOr["admin","admin1"] <!--/testPerms = perms["user:delete"]--> <!--/testPerms1 = perms["user:delete","user:update"]--> <!--登录页面以外的需要拦截认证--> /* = authc </value> </property> <property name="filters"> <util:map> <entry key="rolesOr" value-ref="rolesOrFilter"/> </util:map> </property> </bean> <!--创建注入自定义Filter--> <bean class="com.yunyun.filter.RolesOrFilter" id="rolesOrFilter"/>
在controller中添加:
@RequestMapping(value = "/testRole2",method = RequestMethod.GET) @ResponseBody public String testRole2(){ return "test Role2 success"; }
这里Controller层要注意,我发现加了@RequiresRoles("admin1")注解的方法,优先级要高于你自定义的拦截器,也就是说,只能用一个,不能都用= =。不知道这么理解有没有问题,但是之前就没注意,俩个一起用在同一个方法上,一直报错
Subject does not have role [admin1]
,后来重写了一个方法,不加注解,只用自定义的filter,就完全没有问题了。
运行效果如下:
