首先從客戶端發(fā)來的所有請求都經(jīng)過Shiro過濾器，如果用戶沒有認證的都打回去進行認證，認證成功的，再判斷是否具有訪問某類資源(公有資源，私有資源)的權限，如果沒有權限，訪問失敗;如果有權限訪問成功。注意：客戶端傳來的token要和realm中的認證信息進行相同規(guī)則的比較（加密算法要一致）。

常見過濾器：

1、在shiro配置類中配置，使用 filterFactoryBean.setFilterChainDefinitionMa() 簡單的配置過濾規(guī)則

 @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager) {
        // 創(chuàng)建ShiroFilterFactoryBean
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        //設置安全管理器
        filterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        //配置受限資源,index是受限資源，authc
        Map<String, String> map = new HashMap<String, String>();
        // /**代表匹配所有url
        map.put("/**", "authc");
        // /user/login 是可以匿名訪問的也就是公有資源
        map.put("/user/login", "anon");
        filterFactoryBean.setFilterChainDefinitionMap(map);
        // 設置默認認證路徑 其實shiro默認的認證路徑就是login.jsp
        filterFactoryBean.setLoginUrl("/login.jsp");
        return filterFactoryBean;
    }

2、重寫shiro提供的過濾器

重寫角色權限的過濾器

public class MyAuthorizationFilter extends RolesAuthorizationFilter {
   @Override
   public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
        throws IOException {
    boolean allowed =super.isAccessAllowed(request, response, mappedValue);
    if (!allowed) {
        String method = WebUtils.toHttp(request).getMethod();
        if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
            return true;
        }
    }
    return allowed;
   }
   @Override
   protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse resp = (HttpServletResponse) response;
    if (req.getMethod().equals(RequestMethod.OPTIONS.name())) {
        resp.setStatus(HttpStatus.OK.value());
        return true;
    }
    // 前端Ajax請求時requestHeader里面帶一些參數(shù)，用于判斷是否是前端的請求
    String ajaxHeader = req.getHeader(CustomSessionManager.AUTHORIZATION);
    if (StringUtils.isNotBlank(ajaxHeader)) {
        // 前端Ajax請求，則不會重定向
        resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setContentType("application/json; charset=utf-8");
        resp.setCharacterEncoding("UTF-8");
        PrintWriter out = resp.getWriter();
        String result = "{"MESSAGE":"角色，權限不足"}";
        out.println(result);
        out.flush();
        out.close();
        return false;
    }
    return super.onAccessDenied(request, response);
   }
}

shiro配置類配置過濾器

//Filter工廠，設置對應的過濾條件和跳轉條件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new HashMap<>();
        //登出
        map.put("/logout", "logout");
        //對所有用戶認證
        map.put("/**", "authc");
        //登錄
        log.info("loginUrl:" + loginUrl);
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
//        //首頁
//        shiroFilterFactoryBean.setSuccessUrl("/index");
        //錯誤頁面，認證不通過跳轉
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        /* 自定義filter注冊 */
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        //根據(jù)上面列表中的過濾器的名稱配置
        filters.put("roles", new MyAuthorizationFilter());
        return shiroFilterFactoryBean;
    }

注意：過濾器需要根據(jù)上面列表中的過濾器的名稱配置

權限控制

除了在配置類中配置路徑的訪問權限之外，還可以使用注解來控制權限。

Shiro注解一共有五個:

一般情況下我們在項目中做權限控制,使用最多的是RequiresPermissions和RequiresRoles,允許存在多個角色和權限,默認邏輯是AND,也就是同時擁有這些才可以訪問方法,可以在注解中以參數(shù)的形式設置成OR。作用在controller類的方法上。

// 示例
    //擁有一個角色就可以訪問
    @RequiresRoles(value={"ADMIN","USER"},logical = Logical.OR)
    //擁有所有權限才可以訪問
    @RequiresPermissions(value={"sys:user:info","sys:role:info"},logical = Logical.AND)

使用順序:Shiro注解是存在順序的,當多個注解在一個方法上的時候,會逐個檢查,知道全部通過為止,默認攔截順序是:

RequiresRoles->RequiresPermissions->RequiresAuthentication->RequiresUser->RequiresGuest

動態(tài)配置權限

這里指的是動態(tài)配置當前登錄用戶的權限

1、登錄時查詢當前用戶的角色、權限

/**
     * 賦予角色和權限:用戶進行權限驗證時 Shiro會去緩存中找,如果查不到數(shù)據(jù),會執(zhí)行這個方法去查權限,并放入緩存中
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 獲取用戶
        User user = (User) principalCollection.getPrimaryPrincipal();
        Integer userId =user.getId();
        // 這里可以進行授權和處理
        Set<String> rolesSet = new HashSet<>();
        Set<String> permsSet = new HashSet<>();
        // 獲取當前用戶對應的權限(這里根據(jù)業(yè)務自行查詢)
        List<Role> roleList = roleMapper.selectRoleByUserId( userId );
        for (Role role:roleList) {
            rolesSet.add( role.getCode() );
            List<Menu> menuList = menuMapper.selectMenuByRoleId( role.getId() );
            for (Menu menu :menuList) {
                permsSet.add( menu.getResources() );
            }
        }
        //將查到的權限和角色分別傳入authorizationInfo中
        authorizationInfo.setStringPermissions(permsSet);
        authorizationInfo.setRoles(rolesSet);
        log.info("--------------- 賦予角色和權限成功！ ---------------");
        return authorizationInfo;
    }

2、當用戶權限發(fā)生改變時，需要重新退出登陸刷新權限。

不需要重新登陸實現(xiàn)權限刷新，參考此篇

到此這篇關于SpringBoot詳解shiro過濾器與權限控制的文章就介紹到這了,更多相關SpringBoot shiro過濾器內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: