<span style="font-family: Arial, Helvetica, sans-serif;">在系统中使用shiro进行权限管理,当用户访问没有权限的资源时会跳转到指定的登录url。</span>

但是如果系统中支持手机app,手机访问时没有使用session进行登录凭证管理,而是使用token,有两种解决方法:

1:支持手机客户端访问的资源在权限配置中配置成anon

2:实现自定义认证拦截器,对用户请求资源进行认证

显然第一种方法不适用,这些资源应该只能让我们自己的app进行访问。

第二中实现方式:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

		<property name="securityManager" ref="securityManager" />

		<!-- 登录的页面 -->

		<property name="loginUrl" value="/login/login.jsp" />

		<property name="successUrl" value="/success.jsp" />

		<property name="unauthorizedUrl" value="/error.jsp" />

		<property name="filterChainDefinitions">

			<value>

				/android.html**=anon

				/pets/android**=android

				/pets/login/**=anon

				/**=authc

			</value>

		</property>

		<property name="filters">

			<map>

				<entry key="android">

					<bean class="com.pets.shiro.filter.MobileTokenAuthentication">

					</bean>

				</entry>

				<entry key="authc">

					<bean class="com.pets.shiro.filter.LoginAuthenticationFilter">

					</bean>

					<!-- <bean class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">

					</bean> -->

				</entry>

			</map>

		</property>

	</bean>
/pets/android**=android 指定认证的拦截器,这里是自定义的拦截器
<pre name="code" class="java">/**

 * 移动设备认证基类,提供未登录用户操作认证权限

 *

 * 2014年7月8日

 */

public abstract class AbstractMobileAuthenticationFilter extends

		AuthenticationFilter {

	public static final String TOKEN = "token";

	protected Logger log = Logger.getLogger(getClass());

	@Override

	protected boolean onAccessDenied(ServletRequest request,

			ServletResponse response) throws Exception {

		log.info("安卓用户进入校验!" + getLoginUrl());

		HttpServletRequest req = (HttpServletRequest) request;

		String token = req.getParameter(TOKEN);

		if (isAccess(token)) {

			return onAccessSuccess(req, (HttpServletResponse) response);

		}

		return onAccessFail(req, (HttpServletResponse) response);

	}

	/**

	 * 判断token的合法性

	 *

	 * @param token

	 * @return

	 */

	public abstract boolean isAccess(String token);

	/**

	 * 认证成功进行的操作处理

	 *

	 * @param request

	 * @param response

	 * @return true 继续后续处理,false 不需要后续处理

	 */

	public abstract boolean onAccessSuccess(HttpServletRequest request,

			HttpServletResponse response);

	/**

	 * 认证失败时处理结果

	 *

	 * @param request

	 * @param response

	 * @return true 继续后续处理,false 不需要后续处理

	 */

	public abstract boolean onAccessFail(HttpServletRequest request,

			HttpServletResponse response);

}

只需要重写onAccessDenied方法,进行token判断!



												


											
shiro 实现自定义权限规则校验的更多相关文章
	

    
								
  1. shiro 实现自己定义权限规则校验
		
    <span style="font-family: Arial, Helvetica, sans-serif;">在系统中使用shiro进行权限管理,当用户訪问没有权限 ...
    
		
    2. 
						
  2. 9) drf  JWT 认证   签发与校验token 多方式登陆  自定义认证规则反爬  admin密文显示
		
    一 .认证方法比较 1.认证规则图 django 前后端不分离 csrf认证 drf 前后端分离 禁用csrf 2. 认证规则演变图 数据库session认证:低效 缓存认证:高效 jwt认证:高效  ...
    
		
    3. 
						
  3. 基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
		
    一.前言 在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制.这是目前最常被开发者使用也是相对易用.通用权限模型.当然SpringSecurity已经实 ...
    
		
    4. 
						
  4. 案例17-validate自定义校验规则校验验证码是否输入正确
		
    1 自定义校验规则代码 <script type="text/javascript"> //使用validate插件进行表单的校验 $(function(){ $(&q ...
    
		
    5. 
						
  5. Spring_数据校验和自定义检验规则和分组校验
		
    @Validated  :绑定需要校验的数据. 数据校验规则:为数据绑定校验的规则 private Long booId;@NotNull(message = "不能为空")pri ...
    
		
    6. 
						
  6. Apache Shiro安全(权限框架)学习笔记二
		
    课程目标 通过学习本课程掌握权限管理的设计思想及方法,使用Shiro框架完成权限管理功能开发. 1.  理解基于资源的权限管理方法. 2.  掌握权限管理的数据模型. 3.  掌握不使用shiro开发 ...
    
		
    7. 
						
  7. Apache Shiro安全(权限框架)学习笔记一
		
    1. 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法 2. AuthorizingRealm 类继承自 Authenticating ...
    
		
    8. 
						
  8. DRF认证、自定义认证和权限、自定义权限
		
    源码分析 """ 1)APIView的dispath(self, request, *args, **kwargs) 2)dispath方法内 self.initial( ...
    
		
    9. 
						
  9. shiro:自定义remle(二)
		
    SpringMVC+SpringMVC+Mybatis项目 1:导入相关依赖 <dependencies> <!--测试依赖--> <dependency> < ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. [linux][nginx] 通过nginx扩展nginx-rtmp-module简单做了一个流媒体直播
			
    做的过程出现很多问题,环境其实就需要nginx就可以,然后就是在播放的问题,m3u8的格式,mac直接访问就支持,苹果系统原生H5支持m3u8,还有就是手机直接访问也支持!但是其他其他系统PC端不支持 ...
    
			
    2. 
						
  2. django-admin和manage.py用法
			
    官网文档地址:django-admin和manage.py 金句: 所有的天赋,都来自于你对你喜欢的某种事物的模仿与学习,否则你就不会有这种天赋. 开篇话: 我们在Django开发过程中,命令行执行最 ...
    
			
    3. 
						
  3. ubuntu16.04-交叉编译-SeetaFaceEngine-master
			
    0.前言 在要移植opecv和SeetaFaceEngine-master到ARM板子上运行的所有步骤之前,有几点需要注意的: 查看板子运行的Kernel版本 交叉编译工具链的gcc版本,关键就是工具 ...
    
			
    4. 
						
  4. 在.NET Core中用最原生的方式读取Nacos的配置
			
    背景 之前老黄写过一篇<ASP.NET Core结合Nacos来完成配置管理和服务发现>简单介绍了如何让.NET Core程序接入Nacos,之前的SDK里面更多的是对Nacos的Open ...
    
			
    5. 
						
  5. TensorFlow-keras   fit的callbacks参数,定值保存模型
			
    from tensorflow.python.keras.preprocessing.image import load_img,img_to_array from tensorflow.python ...
    
			
    6. 
						
  6. JDBC 进阶:使用封装通用DML DQL 和结构分层以及at com.mysql.jdbc.PreparedStatement.setTimestamp空指针异常解决
			
    准备: 数据表 CREATE TABLE `t_user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(10) DEFAULT ...
    
			
    7. 
						
  7. 关于Swiper和vue数据顺序加载问题处理
			
    在使用swiper插件的时候,常常因为异步加载数据产生的顺序问题而使插件不能正常实行,所以可以使用vue的updated来解决. 问:什么时候 进updated方法? 答:只有事先设置好的data变量 ...
    
			
    8. 
						
  8. 数据挖掘入门系列教程(十一点五)之CNN网络介绍
			
    在前面的两篇博客中,我们介绍了DNN(深度神经网络)并使用keras实现了一个简单的DNN.在这篇博客中将介绍CNN(卷积神经网络),然后在下一篇博客中将使用keras构建一个简单的CNN,对cifa ...
    
			
    9. 
						
  9. Scala教程之:PartialFunction
			
    Scala中有一个很有用的traits叫PartialFunction,我看了下别人的翻译叫做偏函数,但是我觉得部分函数更加确切. 那么PartialFunction是做什么用的呢?简单点说Parti ...
    
			
    10. 
						
  10. 谷歌提高Google Assistant中Voice Match的准确性
			
    谷歌正在提高 Google Assistant 中 Voice Match 的准确性,使其变得更加完善.谷歌表示一旦用户在 Google Assistant 中启用 Voice Match 功能,那么 ...
    
			
    11.