Shiro中自定义Realm的作用(FormAuthenticationFilter和PermissionAuthorizationFilter)以及源码解析

最新推荐文章于 2023-09-06 14:45:49 发布
原创 最新推荐文章于 2023-09-06 14:45:49 发布 · 2.7k 阅读 · 3

在使用shiro时都会自定义一个Realm,Realm的作用就是提供给shiro和数据库进行交互的一个中间层,这样shiro能够帮助我们处理登录(成功、失败),授权,访问控制等功能,但是用户登录的用户信息和用户具体的权限信息是shiro未知的,所以需要每次都请求Realm,由Realm提供

比如授权的流程

使用PermissionAuthorizationFilter
在xml中设置权限
${adminPath}/areaInfo = perms[area:query,area:add]
当发出这个请求(已经验证通过)被PermisssionsAuthorizationFilter拦截,发现需要权限
会调用realm的doGetAuthorizationInfo获取数据库中正确的数据库权限(所以realm的作用 就是查询,剩下的活是shiro的)
PermissionAuthorizationFilter对请求的url对应的权限和从realm中获取的权限进行对比

登录和授权,realm只提供查找返回,不提供逻辑处理,都由shiro解决

拿login来分析

当请求信息是login时,FormAuthenticationFilter会对其进行拦截,解析是不是login请求,并处理

//FormAuthenticationFilter 判断是不是一个login请求
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    lo
最低0.47元/天 解锁文章
Shiro框架 filter&realm绑定 多登陆入口,区分前后台
Yihy的博客
08-20 8308
# Shiro框架 filter&realm绑定这种实现方式有问题,会影响到后续的角色验证。不建议看了新的实现方式 : 自定义Token shiro filterRealm绑定 使用Spring整合Shiro 多登陆入口,成功后跳转到不同地址 - 重写Realm获取方式 最近在项目中使用了apache的轻量级Shiro框架进行权限管理,使用了多个filterShiro会默认迭代Realm进行
Shiro:核心组件、配置类、多Realm场景、自定义拦截器、实战场景
周里奥的博客
01-18 1351
Shiro:核心组件、配置类、多Realm场景、自定义拦截器、实战场景
Shiro源码剖析——Subject的创建与获取(一次完整的请求执行流程)
qq_25046827的博客
05-02 3724
文章目录一、AbstractShiroFilter二、createSubject(request, response)1、new Builder(this.getSecurityManager(), request, response)2、buildWebSubject()1)this.copy(SubjectContext subjectContext)2)this.ensureSecurityManager(context)3)this.resolveSession(context)4)this.res
Shiro学习之过滤器详解
zkcJava的博客
09-14 5949
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
创建ShiroConfig类,将FilterRealm添加到Shiro框架
晓梦林的博客
09-28 582
开发前后端分离架构的项目,往往调试后端Web接口需要用到POSTMAN工具。 虽然POSTMAN工具的功能非常强大,但是请求参数很多的情况下,我们手写这些参数数据还是非常麻烦的。 因此我们需要一个调试后端Web接口更加简便的方法。 恰好Swagger提供了RESTAPI调用方式,我们不需要借助任何工具的情况下,访问Swagger页面,就可以对Web接口进行调用调试,这种调试方式的效率要远超POSTMAN软件。 一、添加依赖库 在pom.xml文件中添加Swagger依赖库,这里我们使用的是Swa
Shirofilterrealm的区别
xieximing_java的专栏
05-28 1327
过滤器 是Web中所特有的。 RealmShiro架构本身的。 例如:表单验证过滤器,仅是判断是否是表单,而后调用Subject.login方法,如果成功就跳往成功页面,不成功,则跳回登录页。 在调用subject.login方法时,就应用到了Realm.如果将用户名密码写在ini文件中,则先调用的是iniRealm。 同理,logout过滤器,则仅是获取当前的subject,然后调用...
五.shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
u014203449的博客
06-14 3万+
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, ...
shiro试用记录-FormAuthenticationFilter
冲吧,不要停!
12-21 6981
前言 本篇文件主要是把最近试用的shiro的过程记录一下
Shiro学习笔记——(7)实战之认证授权
星_陨的博客
04-06 595
一、登录认证(1)原理使用FormAuthenticationFilter过虑器实现将用户没有认证时,请求loginurl进行认证,用户身份用户密码提交数据到loginurl,FormAuthenticationFilter拦截住取出request中的usernamepassword(两个参数名称是可以配置的),FormAuthenticationFilter调用realm传入一个token(...
详解Shiro认证流程
小小的人儿的博客
01-12 4512
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。 isAccessAllowed shiro中的判断一个请求是否允许通过的条件是当前得到的subject是否已经认证过,或者当前请求是否是登录请求。 如何判断Subject是否认证过? org.apache.shiro.subject.support.DelegatingSubject#isAuthenti
Shiro学习
so
04-03 445
#shiro 单词概念 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的; Cryptography:加
Shiro框架:Subject ,SecurityManagerRealms三大核心概念解释
weixin_45105122的博客
04-22 575
Shiro框架的三大核心概念解释
安全框架Shiro框架_自定义Realm认证
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
10-12 261
authclogout: 注销过滤器 /logout=logoutroles: 角色授权过滤器,验证用户是否拥有资源角色;下面写一写关于自定义Realm–认证相关的东西:1.获取用户名token强转为UsernamePasswordToken–>getUsername()2.2.以用户名为条件,查询mysql数据库,得到用户对象(用户名/密码)模拟从数据库查询的对象 ------->自己new一个3.将用户对象封装成认证info对象返回。
PermissionsAuthorizationFilter 自定义权限校检
lao_hu_的博客
09-06 371
自定义权限校检
ShiroFilter拦截
weixin_69797860的博客
04-14 809
ShiroFilter拦截
shiro 自定义FormAuthenticationFilter,记住我
热门推荐
爱笑的博客
07-09 3万+
验证码 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuth
django面试题总结
weixin_39247197的博客
09-11 2235
列举HTTP中常见的请求方式 HTTP请求的方法: HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 注意: 1)方法名称是区分大小写的,当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Mothod Not Allowed);当服务器不认识或者不支持对应的请求方法时,应返回状态码501(Not Implemented)。 2)HTTP服务器至少应该实现GETHEAD/POST方法,其他方法都是可选的,此
shiro学习28-shiro提供的filter-PermissionAuthyorizationFilter
iteye_14612的博客
02-18 218
上一节说的是基于角色的权限验证,这一节介绍基于权限的角色验证类——PermissionAuthorizationFilter 这个类前面的基于角色的判定一样,不过使用的权限而已,在配置shiroFilterFactoryBean的时候每一个filter后面的[permission1,permission2]表示的是权限,而且是或的关系,只要一个满足即可。 public boolean i...
shiro的使用(三)
yankun01的博客
10-18 559
shiro第二天 shiro授权 shiro企业项目整合开发   1      复习   什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该资源的访问权限才可以访问该资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该资源的访问权限才可以访问该资源。   权限模型:标准
二、shiro授权流程
蓄势待发
04-25 322
一、基本流程概括 继承AuthorizingRealm类重写doGetAuthorizationInfo方法实现认证。 配置ShiroFilterFactoryBean中的setFilterChainDefinitionMap配置认证规则【PermissionsAuthorizationFilter路径配置权限】 二、code 配置自定义Realm public class MyShiroRealm extends AuthorizingRealm { @Autowired ICom
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值