springboot中shiro使用自定义注解屏蔽接口鉴权实现
目录
- 传统做法
- 使用自定义注解屏蔽接口鉴权
- 拓展内容:关于spring中的派生注解
传统做法
spring boot整合shiro后,如果某些接口需要屏蔽鉴权的话(比如登录)接口,我们一般会这么做:
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(org.apache.shiro.mgt.SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
filters.put("authc", new CorsAuthorizationFilter());
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
/* -- 不去拦截的接口 --*/
filterChainDefinitionMap.put("/statics/**", "anon");
filterChainDefinitionMap.put("/auth/login", "anon");
filterChainDefinitionMap.put("/auth/webLogin", "anon");
filterChainDefinitionMap.put("/auth/loginPage", "anon");
filterChainDefinitionMap.put("/projectTaskDefinition/list", "anon");
/*需要拦截的接口*/
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
shiroFilterFactoryBean.getFilters().put("authc", new CorsAuthorizationFilter());
return shiroFilterFactoryBean;
}
但是这样做起来不是很优雅,每次编写完新的不需要鉴权的方法后需要再回来改这个地方,所以我就想能不能通过接口上加注解的方式来标识此接口是否需要屏蔽鉴权。
使用自定义注解屏蔽接口鉴权
1.首先定义一个自定义注解AnnoApi
/**
* 将此注解加到controller的方法上,即可将方法对应的接口地址自动添加到白名单中
* anno是anonymous的简称
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AnnoApi {
}
因为此注解只起到标识作用,所以不需要成员属性。
2.在启动时获取全部的接口路径
为了实现这个功能我单独写了一个ApiContxt类来处理
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.ApplicationContext;
import org.springframework.core.annotation.AnnotatedElementUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.*;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;
@Component
@Slf4j
public class ApiContext {
// 接口路径--方法 映射表
private Map<String, Method> pathToMethodMap;
private ApplicationContext applicationContext;
/**
* 扫描全部接口,并将其完整请求路径(不包含server.servlet.context-path)与方法的映射保存下来
* 此方法默认所有打上@RequestMapping注解(或其派生注解)的类或方法都必须有至少一个访问路径,留空的话会抛出异常
* @param applicationContext
*/
public ApiContext(ApplicationContext applicationContext) {
this.applicationContext = applicationContext;
// 获取全部打了@RestController注解的类
Map<String, Object> beansWithAnnotation = applicationContext.getBeansWithAnnotation(RestController.class);
pathToMethodMap = new HashMap<>(beansWithAnnotation.size());
for (Map.Entry<String, Object> entry : beansWithAnnotation.entrySet()) {
Class<?> controller = entry.getValue().getClass();
// 获取controller上的@RequestMapping注解
RequestMapping controllerRequestMapping = controller.getAnnotation(RequestMapping.class);
if (controllerRequestMapping != null) {
Method[] controllerSubMethods = controller.getMethods();
// 遍历controller下的所有方法,搜索所有加了@RequestMapping注解的方法
for (Method method : controllerSubMethods) {
RequestMapping methodRequestionMapping = AnnotatedElementUtils.findMergedAnnotation(method, RequestMapping.class);
if (methodRequestionMapping == null) {
continue;
}
// 将controller的访问路径和method的访问路径进行拼接,并保存到一个map中
for (String controllerPath : controllerRequestMapping.value()) {
if (!controllerPath.startsWith("/")) {
controllerPath = "/" + controllerPath;
}
for (String methodPath : methodRequestionMapping.value()) {
if (!methodPath.startsWith("/")) {
methodPath = "/" + methodPath;
}
// API完整的请求路径
String fullPath = controllerPath + methodPath;
pathToMethodMap.put(fullPath, method);
}
}
}
}
}
}
public Map<String, Method> getPathToMethodMap() {
return pathToMethodMap;
}
}
大致意思就是将所有接口路径与对应方法的映射保存下来,供其他类使用。
细心的小伙伴可能会发现一个小问题,就是我在获取方法路径时取得是@RequestMapping注解的值,那么如果我的方法使用的是@PostMapping或@GetMappbing的话该怎么处理?
实际上上述代码是可以获取@GetMapping @PostMapping @PutMapping @DeleteMapping @PatchMapping @RequestMapping这些注解的路径值的,在本文最后会简单说一下里边的原理,现在暂时认为是可以全部获取的就可以了。
3.配置shiro时使用ApiContext提取的接口信息配合自定义注解来动态添加白名单
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,
ApiContext apiContext) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
// 无需拦截的接口
for (Map.Entry<String, Method> entry : apiContext.getPathToMethodMap().entrySet()) {
// 判断方法上是否存在AnnoApi注解
AnnoApi annoApi = entry.getValue().getAnnotation(AnnoApi.class);
if (annoApi != null) {
// 接口地址是比较敏感的信息,将这个打印到日志里边不是很安全,可以考虑关掉
log.info("添加白名单接口:" + entry.getKey());
filterChainDefinitionMap.put(entry.getKey(), "anon");
}
}
// 需要拦截的接口
filterChainDefinitionMap.put("/**", "authc");
// 使用自定义拦截器
shiroFilterFactoryBean.getFilters().put("authc", new CorsAuthorizationFilter());
return shiroFilterFactoryBean;
}
循环遍历ApiContext提供的所有接口路径,然后判断每一个方法上是否有@AnnoApi标识,如果有的话就将其路径添加到白名单中,大功告成!
4.使用
使用方法很简单,在需要屏蔽鉴权的方法上添加上注解就可以了
拓展内容:关于spring中的派生注解
在上边第二步时我提到过这样一个问题
细心的小伙伴可能会发现一个小问题,就是我在获取方法路径时取得是@RequestMapping注解的值,那么如果我的方法使用的是@PostMapping或@GetMappbing的话该怎么处理?
为什么我获取@RequestMapping可以捎带着将@PostMapping或@GetMappbing一并获取了呢?
简单解释就是@PostMapping,@GetMapping等注解是@RequestMapping的派生注解。我们随便点开@PostMapping方法可以看到,这个注解上边被打上了@RequestMapping注解。派生注解是spring框架中的一个概念,与java本身无关,这里我们不去探究其原理(主要是我也不会),只知道@PostMapping与@RequestMapping实际上是有关联的就可以了。这个地方为了好理解也可以简单的认为@RequestMapping相当于是@PostMapping的父注解.
而spring框架中的工具类AnnotatedElementUtils中的findMergedAnnotation()可以获取一个方法上的某个特定注解,如果没有的话该方法会尝试查找已存在注解的父注解是否满足。所以下边这行代码在打了@PostMapping注解的方法上也是有效的了。
RequestMapping methodRequestionMapping = AnnotatedElementUtils.findMergedAnnotation(method, RequestMapping.class);
另外AnnotatedElementUtils.findMergedAnnotation()还对@AliasFor注解做了处理,简单说就是你的方法上打上了@PostMapping("add"),但是你拿到的父注解@RequestMapping中是没有“add”这个值的,@PostMapping的源码中通过@AliasFor注解指定了映射关系(如下图),
然后AnnotatedElementUtils.findMergedAnnotation()方法对其进行了处理,所以我们才能在@RequestMapping中取到路径值。
spring中还有个类似的工具方法,AnnotationUtils.findAnnotation(),也能获取父注解,但是这个方法并没有对@AliasFor注解做处理,所以拿到的父注解是没有属性值的。
```省略部分代码
String methodRequestPath = null; // 方法路径
RequestMapping requestMapping = method.getAnnotation(RequestMapping.class);
if (requestMapping != null) {
methodRequestPath = mapping.value()[0];
}
if (methodRequestPath == null) {
GetMapping mapping = method.getAnnotation(GetMapping.class);
if (mapping != null) {
methodRequestPath = mapping.value()[0];
}
}
if (methodRequestPath == null) {
PostMapping mapping = method.getAnnotation(PostMapping.class);
if (mapping != null) {
methodRequestPath = mapping.value()[0];
}
}
if (methodRequestPath == null) {
PutMapping mapping = method.getAnnotation(PutMapping.class);
if (mapping != null) {
methodRequestPath = mapping.value()[0];
}
}
if (methodRequestPath == null) {
DeleteMapping mapping = method.getAnnotation(DeleteMapping.class);
if (mapping != null) {
methodRequestPath = mapping.value()[0];
}
}
```省略部分代码
这个获取方法路径的方法将每个注解都判断了一下,然后取出路径,显然这个代码看着很难受。
后边修改为通过 AnnotatedElementUtils.findMergedAnnotation(method, RequestMapping.class);获取后就优雅多了。
首先需要明确的是,java中的注解是不可以继承的,所以spring中的派生注解应该是对注解继承的一个拓展。当然以上提到的注解继承、父注解等概念都是为了方便理解胡诌出来的,笔者并不保证其准确性。
到此这篇关于springboot中shiro使用自定义注解屏蔽接口鉴权实现的文章就介绍到这了,更多相关springboot shiro自定义注解屏蔽接口鉴权内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关推荐
-
SpringBoot中Shiro缓存使用Redis、Ehcache的方法
SpringBoot 中配置redis作为session 缓存器. 让shiro引用 本文是建立在你是使用这shiro基础之上的补充内容 第一种:Redis缓存,将数据存储到redis 并且开启session存入redis中. 引入pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifac
-
springBoot前后端分离项目中shiro的302跳转问题
springBoot前后端分离项目shiro的302跳转 项目是使用的springboot ,使用的shiro做的用户鉴权.在前端请求时当用户信息失效,session失效的时候,shiro会重定向到配置的login.jsp 页面,或者是自己配置的logUrl. 因是前后端分离项目,与静态资源文件分离,固重定向后,接着会404. 经过查找网上配置资料,发现302原因是 FormAuthenticationFilter中onAccessDenied 方法做了相应处理.那知道问题所在,就可以有解决方了
-
SpringBoot集成Shiro进行权限控制和管理的示例
shiro apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西.springboot暂时没有集成shiro,这得自己配. 1 . 添加依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId
-
SpringBoot + Shiro前后端分离权限
shiro 验证通过后的信息保存在session 中,而ajax 每次传的都是不同的sessionid ,所以主要的区别就是需要修改shiro获取sessionid的方式.这里使用的是登录后将后台的sessionid 传到前端然后存放到 cookie(这个存放的地方视情况而定),然后每次请求后端时在Header中携带此信息,这里起名为Authorization shiro 中 默认获取Sessionid的类是 DefaultWebSessionManager 所以需要重写此类 import or
-
Springboot和bootstrap实现shiro权限控制配置过程
最近在开发一个项目,需要写一个后管系统,Bootstrap是美国Twitter公司的设计师Mark Otto和Jacob Thornton合作基于HTML.CSS.JavaScript开发的简洁.直观.强悍的前端开发框架,使得 Web 开发更加快捷.Bootstrap提供了优雅的HTML和CSS规范,它即是由动态CSS语言Less写成.使用方便. 在开发的过程中,遇到这样一个场景:针对超级管理员,我希望他拥有删除等高级别的操作,但是对于低级别的普通管理员我只是希望他拥有查看和编辑的权限.这就需要
-
SpringBoot整合Shiro两种方式(总结)
在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro. <!--more--> 今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题! 一般来说,Spring Security 和 Shiro 的比较如下: Spring Security 是一个重量级的安全管理框架:Shiro 则是一个轻量级的安全管理框架 Spring Security 概念复杂,配置繁琐:Shiro 概念简单
-
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
这个项目写到现在,基本的雏形出来了,在此感谢一直关注的童鞋,送你们一句最近刚学习的一句鸡汤:念念不忘,必有回响.再贴一张ui图片: 前篇思考问题解决 前篇我们只是完成了同一账户的登录人数限制shiro拦截器的编写,对于手动踢出用户的功能只是说了采用在session域中添加一个key为kickout的布尔值,由之前编写的KickoutSessionControlFilter拦截器来判断是否将用户踢出,还没有说怎么获取当前在线用户的列表的核心代码,下面贴出来: /** * <p> * 服务实现类
-
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
由于最近做项目需要,在用户登陆后有一个功能是需要用户的信息,进行写入数据库的操作.但是目前还用不到Shiro的高级权限,只为了简单获取用户信息,自己整合了一个只记录用户,获取用户信息的功能. 导入Shiro依赖 <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version
-
springboot中shiro使用自定义注解屏蔽接口鉴权实现
目录 传统做法 使用自定义注解屏蔽接口鉴权 拓展内容:关于spring中的派生注解 传统做法 spring boot整合shiro后,如果某些接口需要屏蔽鉴权的话(比如登录)接口,我们一般会这么做: @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilterFactoryBean(org.apache.shiro.mgt.SecurityManager securityManager) { ShiroFil
-
Java中使用JWT生成Token进行接口鉴权实现方法
先介绍下利用JWT进行鉴权的思路: 1.用户发起登录请求. 2.服务端创建一个加密后的JWT信息,作为Token返回. 3.在后续请求中JWT信息作为请求头,发给服务端. 4.服务端拿到JWT之后进行解密,正确解密表示此次请求合法,验证通过:解密失败说明Token无效或者已过期. 流程图如下: 一.用户发起登录请求 二.服务端创建一个加密后的JWT信息,作为Token返回 1.用户登录之后把生成的Token返回给前端 @Authorization @ResponseBody @GetMappin
-
SpringBoot如何使用自定义注解实现接口限流
目录 使用自定义注解实现接口限流 1.自定义限流注解 2.限流类型枚举类 3.限流 Lua 脚本 4.限流切面处理类 5.使用与测试 SpringBoot工程中限流方式 1.google的guava,令牌桶算法实现限流 2.interceptor+redis根据注解限流 使用自定义注解实现接口限流 在高并发系统中,保护系统的三种方式分别为:缓存,降级和限流. 限流的目的是通过对并发访问请求进行限速或者一个时间窗口内的的请求数量进行限速来保护系统,一旦达到限制速率则可以拒绝服务.排队或等待. 1.
-
springboot集成shiro遭遇自定义filter异常的解决
目录 springboot集成shiro遭遇自定义filter异常 1.用maven添加shiro 2.配置shiro 3.实现自定义的Realm.filter.SubjectFactory等 4.重点记录filter配置中出现的问题 5.解决方案 shiro自定义异常无效 springboot集成shiro遭遇自定义filter异常 首先简述springboot使用maven集成shiro 1.用maven添加shiro <!--shiro--> <dependency> <
-
SpringBoot 拦截器和自定义注解判断请求是否合法
应用场景举例: 当不同身份的用户请求一个接口时,用来校验用户某些身份,这样可以对单个字段数据进行精确权限控制,具体看代码注释 自定义注解 /** * 对比请求的用户身份是否符合 * @author liuyalong * @date 2020/9/25 16:03 */ @Target(ElementType.PARAMETER) @Retention(RetentionPolicy.RUNTIME) public @interface CompareUser { /** * The name
-
springboot整合shiro与自定义过滤器的全过程
目录 filter自定义过滤器 增加了 对验证码的校验 Shiro中的权限控制 总结 filter自定义过滤器 增加了 对验证码的校验 package com.youxiong.filter; import com.youxiong.shiro.UsernamePasswordKaptchaToken; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.subject.Subject; imp
-
springboot中如何使用自定义两级缓存
工作中用到了springboot的缓存,使用起来挺方便的,直接引入redis或者ehcache这些缓存依赖包和相关缓存的starter依赖包,然后在启动类中加入@EnableCaching注解,然后在需要的地方就可以使用@Cacheable和@CacheEvict使用和删除缓存了.这个使用很简单,相信用过springboot缓存的都会玩,这里就不再多说了.美中不足的是,springboot使用了插件式的集成方式,虽然用起来很方便,但是当你集成ehcache的时候就是用ehcache,集成redi
-
SpringBoot中shiro过滤器的重写与配置详解
目录 问题 解决方案 实现代码 1.重写shiro 登录 过滤器 2.重写role权限 过滤器 3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302重定向错误等问题报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目时无法识别重定向操作 2.shiro拦截失效原因:跨域访问时有一种带预检访问的跨域,即访问时先发出一条methods
-
如何在SpringBoot中使用Spring-AOP实现接口鉴权
目录 面向切面编程 AOP的底层原理实现 AOP的相关术语 相关注解以及切入点表达式 实现接口鉴权 1. 配置yml文件 2. 读取账密配置 3.编写接口鉴权方法 4. 编写AOP 5.编写接口测试 面向切面编程 面向切面编程,可以将与业务无关但是需要被各个业务模块共同调用的逻辑抽取出来,以切面的方式切入到代码中,从而降低系统中代码的耦合度,减少重复的代码. Spring AOP是通过预编译方式和运行期间动态代理实现程序面向切面编程 AOP的底层原理实现 AOP底层使用动态代理完成需求,为需要增
-
Go实现基于RSA加密算法的接口鉴权
基于 RSA 加密算法的接口鉴权方案 假设接口调用者是客户端,接口提供方是服务端,则此方案存在以下规则: 客户端需要使用 RSA 算法(1024 位长度的私钥)生成公私钥,并将公钥下发给服务端: 客户端使用私钥对请求内容加签,然后需要同时将请求内容和签名一并发给服务端: 服务端收到请求后,使用客户端给的公钥对请求内容和签名进行验签,以确定请求是来自客户端的. 生成公私钥 # 生成 1024 位长度的私钥 openssl genrsa -out private-key.pem 1024 # 生成公