現(xiàn)在做一個(gè)前后端分離的應(yīng)用,后臺(tái)用shiro做權(quán)限控制,用jwt
代替session的無狀態(tài)web應(yīng)用,自定義了一個(gè)shiro filter.url用restful
風(fēng)格.所有的接口url都以/api
開頭,我想讓所有這種/api
開頭的url,如果需要認(rèn)證就走我自定義的filter.
現(xiàn)在我有四個(gè)rul:
/api/user/1
--GET/api/user
--POST/api/user
--PATCH/api/user
--PUT我現(xiàn)在僅僅想對(duì)POST
方法做權(quán)限控制,讓他走我自定義的那個(gè)filter,shiro不知道如何控制.
我的自定義filter在shiro.xml中的配置如下:
<bean id="JWTFilter" class="com.test.web.shiro.stateless.JWTStatelessFilter"/>
<!-- Shiro的Web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="filters">
<util:map>
<entry key="jwt" value-ref="JWTFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/api/**=jwt
/**=anon
</value>
</property>
</bean>
我剛開始想過不配置/api/**=jwt
,然后在方法上加@RequiresAuthentication
注解,但是這樣子,那個(gè)方法不走我的JWTFilter
,如何讓這個(gè)需要認(rèn)證的url走我的自定義filter,該如何配置,求解.謝謝.
按照tomsun28/bootshiro這里的提示,閱讀了他的文章:基于shiro的改造集成真正支持restful請(qǐng)求
PathMatchingFilterChainResolver
的getChain
方法:public class RestPathMatchingFilterChainResolver extends PathMatchingFilterChainResolver {
private static final Logger log = LoggerFactory.getLogger(RestPathMatchingFilterChainResolver.class);
public RestPathMatchingFilterChainResolver() {
super();
}
public RestPathMatchingFilterChainResolver(FilterConfig filterConfig) {
super(filterConfig);
}
@Override
public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
FilterChainManager filterChainManager = getFilterChainManager();
if (!filterChainManager.hasChains()) {
return null;
}
String requestURI = getPathWithinApplication(request);
String[] urls = null;
for (String pathPattern : filterChainManager.getChainNames()) {
urls = pathPattern.split("--");
if (urls.length == 2) {
// 分割出url+httpMethod,判斷httpMethod和request請(qǐng)求的method是否一致,不一致直接false
if (WebUtils.toHttp(request).getMethod().toUpperCase().equals(urls[1].toUpperCase())) {
pathPattern = urls[0];
}
}
if (pathMatches(pathPattern, requestURI)) {
if (log.isTraceEnabled()) {
log.trace("Matched path pattern [" + pathPattern + "] for requestURI [" + requestURI + "]. " +
"Utilizing corresponding filter chain...");
}
if (urls.length == 2) {
pathPattern = pathPattern.concat("--").concat(WebUtils.toHttp(request).getMethod().toUpperCase());
}
return filterChainManager.proxy(originalChain, pathPattern);
}
}
return null;
}
}
ShiroFilterFactoryBean
的createInstance
方法:public class RestShiroFilterFactoryBean extends ShiroFilterFactoryBean {
private static final Logger logger = LoggerFactory.getLogger(RestShiroFilterFactoryBean.class);
public RestShiroFilterFactoryBean() {
super();
}
@Override
protected AbstractShiroFilter createInstance() throws Exception {
logger.debug("Creating Shiro Filter instance.");
SecurityManager securityManager = this.getSecurityManager();
String msg;
if (securityManager == null) {
msg = "SecurityManager property must be set.";
throw new BeanInitializationException(msg);
} else if (!(securityManager instanceof WebSecurityManager)) {
msg = "The security manager does not implement the WebSecurityManager interface.";
throw new BeanInitializationException(msg);
} else {
FilterChainManager manager = this.createFilterChainManager();
RestPathMatchingFilterChainResolver chainResolver = new RestPathMatchingFilterChainResolver();
chainResolver.setFilterChainManager(manager);
return new RestShiroFilterFactoryBean.SpringShiroFilter((WebSecurityManager)securityManager, chainResolver);
}
}
private static final class SpringShiroFilter extends AbstractShiroFilter {
protected SpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
super();
if (webSecurityManager == null) {
throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
}
setSecurityManager(webSecurityManager);
if (resolver != null) {
setFilterChainResolver(resolver);
}
}
}
}
然后更改shiro配置文件使用自定義的RestShiroFilterFactoryBean
:
<bean id="shiroFilter" class="com.web.shiro.stateless.config.RestShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="filters">
<util:map>
<entry key="jwt" value-ref="JWTFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/api/user/test--POST=anon
/api/**=jwt
/**=anon
</value>
</property>
</bean>
在這里由于我是寫在配置文件中的,所以==
的格式不行,換成了--
的格式.測試了兩個(gè)方法,/api/user/test
分別有get
和post
請(qǐng)求,然后post添加不用認(rèn)證,如上xml配置文件所示,測試通過,暫時(shí)只用到認(rèn)證,以上可以解決認(rèn)證的問題.
看基于shiro的改造集成真正支持restful請(qǐng)求還重寫了RestPathMatchingFilter
的pathsMatch
方法,在他的文章中這個(gè)類主要是給BJwtFilter
繼承做授權(quán)使用,我現(xiàn)在暫時(shí)只用到認(rèn)證,所以還沒有深入了解.
以上已經(jīng)能夠解決同一個(gè)url不同的httpMethod請(qǐng)求時(shí)的授權(quán)問題,如有什么問題,還請(qǐng)大家指出.
北大青鳥APTECH成立于1999年。依托北京大學(xué)優(yōu)質(zhì)雄厚的教育資源和背景,秉承“教育改變生活”的發(fā)展理念,致力于培養(yǎng)中國IT技能型緊缺人才,是大數(shù)據(jù)專業(yè)的國家
北大青鳥中博軟件學(xué)院創(chuàng)立于2003年,作為華東區(qū)著名互聯(lián)網(wǎng)學(xué)院和江蘇省首批服務(wù)外包人才培訓(xùn)基地,中博成功培育了近30000名軟件工程師走向高薪崗位,合作企業(yè)超4
中公教育集團(tuán)創(chuàng)建于1999年,經(jīng)過二十年潛心發(fā)展,已由一家北大畢業(yè)生自主創(chuàng)業(yè)的信息技術(shù)與教育服務(wù)機(jī)構(gòu),發(fā)展為教育服務(wù)業(yè)的綜合性企業(yè)集團(tuán),成為集合面授教學(xué)培訓(xùn)、網(wǎng)
達(dá)內(nèi)教育集團(tuán)成立于2002年,是一家由留學(xué)海歸創(chuàng)辦的高端職業(yè)教育培訓(xùn)機(jī)構(gòu),是中國一站式人才培養(yǎng)平臺(tái)、一站式人才輸送平臺(tái)。2014年4月3日在美國成功上市,融資1
曾工作于聯(lián)想擔(dān)任系統(tǒng)開發(fā)工程師,曾在博彥科技股份有限公司擔(dān)任項(xiàng)目經(jīng)理從事移動(dòng)互聯(lián)網(wǎng)管理及研發(fā)工作,曾創(chuàng)辦藍(lán)懿科技有限責(zé)任公司從事總經(jīng)理職務(wù)負(fù)責(zé)iOS教學(xué)及管理工作。
浪潮集團(tuán)項(xiàng)目經(jīng)理。精通Java與.NET 技術(shù), 熟練的跨平臺(tái)面向?qū)ο箝_發(fā)經(jīng)驗(yàn),技術(shù)功底深厚。 授課風(fēng)格 授課風(fēng)格清新自然、條理清晰、主次分明、重點(diǎn)難點(diǎn)突出、引人入勝。
精通HTML5和CSS3;Javascript及主流js庫,具有快速界面開發(fā)的能力,對(duì)瀏覽器兼容性、前端性能優(yōu)化等有深入理解。精通網(wǎng)頁制作和網(wǎng)頁游戲開發(fā)。
具有10 年的Java 企業(yè)應(yīng)用開發(fā)經(jīng)驗(yàn)。曾經(jīng)歷任德國Software AG 技術(shù)顧問,美國Dachieve 系統(tǒng)架構(gòu)師,美國AngelEngineers Inc. 系統(tǒng)架構(gòu)師。