摘要:此文章仅仅说明在整合时的一些坑并不是教程增加依赖集成依赖配置三个必须的用于授权和登录创建自己的实例用于实现权限三种方式实现定义权限路径第一种使用角色名定义第二种使用权限定义第三种使用接口的自定义配置此处配置之后需要在对应的
此文章仅仅说明在springboot整合shiro时的一些坑,并不是教程
增加依赖
org.apache.shiro shiro-spring-boot-web-starter 1.4.0-RC2
配置三个必须的Bean
Realm
用于授权和登录
@Bean
public Realm realm() {
//创建自己的Realm实例
return new UserRealm();
}
ShiroFilterChainDefinition
用于实现权限
DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
// 三种方式实现定义权限路径
// 第一种:使用角色名定义
chainDefinition.addPathDefinition("/admin/**", "authc, roles[admin]");
// 第二种:使用权限code定义
chainDefinition.addPathDefinition("/docs/**", "authc, perms[document:read]");
// 第三种:使用接口的自定义配置(此处配置之后需要在对应的接口使用@RequiresPermissions(""))
chainDefinition.addPathDefinition("/**", "authc");
return chainDefinition;
CacheManager
缓存管理
@Bean
protected CacheManager cacheManager() {
return new MemoryConstrainedCacheManager();
}
还有一些配置,可以在配置文件中配置,具体配置项见 shiro配置
以下内容是为了实现前后端分离,配置shiro拦截器实现返回401状态码的需求
编写拦截器类
public class FormLoginFilter extends PathMatchingFilter {
@Override
protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
Subject subject = SecurityUtils.getSubject();
boolean isAuthenticated = subject.isAuthenticated();
if (!isAuthenticated) {
HttpServletResponse resp = (HttpServletResponse) response;
resp.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
resp.getWriter().print("NO AUTH!");
return false;
}
return true;
}
}
在之前配置的三个Bean的基础上多配置一个BeanShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// 必须设置SecuritManager
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map filters = shiroFilterFactoryBean.getFilters();
//配置拦截器,实现无权限返回401,而不是跳转到登录页
filters.put("authc", new FormLoginFilter());
// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
shiroFilterFactoryBean.setLoginUrl("/login");
// 登录成功后要跳转的链接
shiroFilterFactoryBean.setSuccessUrl("/index");
// 未授权界面;
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
// 拦截器
Map filterChainDefinitionMap = new LinkedHashMap();
// 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
// authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
此处配置了过滤链,上面三个必须的Bean中修改其中的ShiroFilterChainDefinition
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
//不需要在此处配置权限页面,因为上面的ShiroFilterFactoryBean已经配置过,但是此处必须存在,因为shiro-spring-boot-web-starter或查找此Bean,没有会报错
return new DefaultShiroFilterChainDefinition();;
}
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/68736.html
摘要:开公众号差不多两年了,有不少原创教程,当原创越来越多时,大家搜索起来就很不方便,因此做了一个索引帮助大家快速找到需要的文章系列处理登录请求前后端分离一使用完美处理权限问题前后端分离二使用完美处理权限问题前后端分离三中密码加盐与中异常统一处理 开公众号差不多两年了,有不少原创教程,当原创越来越多时,大家搜索起来就很不方便,因此做了一个索引帮助大家快速找到需要的文章! Spring Boo...
摘要:进行下一项配置,为了区分必须加入。另起一行,以示尊重。这行代码主要是用于验证,后面再说。然后跑下接口,发现没问题,正常打印,说明主体也在上下文中了。说明这会上下文环境中我们主体不存在。所说以,主体数据生命周期是一次请求。 showImg(https://segmentfault.com/img/bVbtoG1?w=1600&h=900); 原来一直使用shiro做安全框架,配置起来相当...
阅读 872·2022-06-21 15:13
阅读 1789·2021-10-20 13:48
阅读 943·2021-09-22 15:47
阅读 1325·2019-08-30 15:55
阅读 3067·2019-08-30 15:53
阅读 474·2019-08-29 12:33
阅读 682·2019-08-28 18:15
阅读 3428·2019-08-26 13:58
