/**
* ShiroFilter主要配置
* @param securityManager
* @return
*/
@Bean
public ShiroFilterFactoryBean shiroFilter (SecurityManager securityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
//自定义拦截器
Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
filtersMap.put("roleOrFilter", roleOrFilter());
shiroFilterFactoryBean.setFilters(filtersMap);
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
//注意过滤器配置顺序 不能颠倒
//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了,登出后跳转配置的loginUrl
filterChainDefinitionMap.put("/logout", "logout");
// 配置不会被拦截的链接 顺序判断
//filterChainDefinitionMap.put("/hello", "anon");
filterChainDefinitionMap.put("/ajaxLogin", "anon");
filterChainDefinitionMap.put("/testRole", "anon");
filterChainDefinitionMap.put("/**", "roleOrFilter[admin,admin1]");
//自动跳去登录的地址
shiroFilterFactoryBean.setLoginUrl("/login");
//上面提到的匿名地址
//shiroFilterFactoryBean.setUnauthorizedUrl();
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
- 这里就是filter的一些过滤配置
- 这里自定义了一个roleOrFilter,暂不展开
- 这里的加载顺序是自上而下,所以看到我们/** 写到最后,因为匹配不中最后都让这个匹配中。后面我们会讲到采用配置文件加载怎么有序加载。
身份验证相关的
authc
基于表单的拦截器;如“/**=authc”,如果没有登录会跳到相应的登录页面登录;
主要属性:usernameParam:表单提交的用户名参数名( username); passwordParam:表单提交的密码参数名(password);
rememberMeParam:表单提交的密码参数名(rememberMe);
loginUrl:登录页面地址(/login.jsp);
successUrl:登录成功后的默认重定向地址;
failureKeyAttribute:登录失败后错误信息存储key(shiroLoginFailure);authcBasic Basic HTTP身份验证拦截器,主要属性: applicationName:弹出登录框显示的信息(application);
logout 退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/)
user 用户拦截器,用户已经身份验证/记住我登录的都可;
anon 匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”
授权相关的
roles 角色授权拦截器,验证用户是否拥有所有角色;
主要属性: loginUrl:登录页面地址(/login.jsp);
unauthorizedUrl:未授权后重定向的地址;示例“/admin/**=roles[admin]”perms 权限授权拦截器,验证用户是否拥有所有权限;属性和roles一样;
示例“/user/**=perms["user:create"]”port 端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样
rest rest风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;示例“/users=rest[user]”,会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配(所有都得匹配,isPermittedAll);
ssl SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;
几个例子
/admin/ask/editor.shtml = role[2008,2009]
上面配置的意义:就是在请求/admin/ask/editor.shtml 链接时候进入别名为 role 的Shiro Filter ,并且参数为数组[2008,2009]/admin/ask/editor.shtml = authc,role[2008,2009]
上面配置意义: 就是在请求/admin/ask/editor.shtml 链接时候先进入 别名为 authc 的Filter ,并且无参数。别名为authc 的Filter 如果没通过,就不会走别名为role 的Filter ,如果别名为authc 的Filter返回true ,则进入别名为role 的Filter 。也就是从前到后。/admin/ask/** = login,role[007]
/admin/** = login,role[008]
/** = login
上面是一个典型的金字塔式匹配方式,/** 是匹配所有,也就是如果上面的/admin/ask/** 和/admin/** 都匹配不中的时候,才走 /** = login 。如果反过来配置,如下:
/** = login
/admin/** = login,role[008]
/admin/ask/** = login,role[007]
这样配置的话,全部都走 /** = login了,下面的2个不可能会走
自定义Shiro Filter
public class RoleFilter extends AccessControlFilter {
static final String LOGIN_URL = "http://www.sojson.com/user/open/toLogin.shtml";
static final String UNAUTHORIZED_URL = "http://www.sojson.com/unauthorized.html";
@Override
protected boolean isAccessAllowed(ServletRequest request,
ServletResponse response, Object mappedValue) throws Exception {
//取到参数[2008,2009] ,强制转换判断。
String[] arra = (String[])mappedValue;
Subject subject = getSubject(request, response);
for (String role : arra) {
//判断是否有拥有当前权限,有则返回true
if(subject.hasRole("role:" + role)){
return true;
}
}
return false;
}
@Override
protected boolean onAccessDenied(ServletRequest request,
ServletResponse response) throws Exception {
Subject subject = getSubject(request, response);
if (subject.getPrincipal() == null) {//表示没有登录,重定向到登录页面
saveRequest(request);
WebUtils.issueRedirect(request, response, LOGIN_URL);
} else {
if (StringUtils.hasText(UNAUTHORIZED_URL)) {//如果有未授权页面跳转过去
WebUtils.issueRedirect(request, response, UNAUTHORIZED_URL);
} else {//否则返回401未授权状态码
WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
}
}
return false;
}
}
以上就是自定义的filter,名字叫role,参数为一字符串数组。
