在我的shiro应用程序中,我想为除REST之外的所有路径定义AuthenticationFilter。
即/rest/...不会通过它,但其他一切都会。
我正在使用Shiro-Guice所以我的过滤器设置是这种形式
addFilterChain("/rest/**" ,restFilter)
addFilterChain("/**", filter) //I want this one to work on everything except my rest filter
我看了关于Ant路径模式风格的this question,但似乎没有对正则表达式的支持。
你不能这样做。 shiro的工作方式是按照配置顺序检查过滤器。它首先检查第一个过滤器,如果它无法进行身份验证,它将继续进行下一个过滤器。没有排除模式。
您可以编写自己的自定义shiro过滤器,拒绝授权de rest url。
我不知道它如何在guice中起作用,但在shiro.ini中你可以做类似的事情:
[main]
myfilter = UrlBasedAuthzFilter
restFilter = YourRestFilterClass
[urls]
/rest/** = restFilter
/** = myfilter
过滤类:
public class UrlBasedAuthzFilter extends AuthorizationFilter {
@Override
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
if (request.getServletContext().getContextPath().startsWith("/rest"){
return false;
}
return super.isAccessAllowed(request, response, mappedValue);
}
}
@Bean("shiroFilter")
public ShiroFilterFactoryBean factory(DefaultWebSecurityManager securityManager) {
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
Map<String, Filter> filterMap = new LinkedHashMap<>();
filterMap.put("adminLoginFilter", new AdminLoginFilter());
filterMap.put("jwtAdminAuthcFilter", new JwtAdminAuthcFilter());
factoryBean.setFilters(filterMap);
factoryBean.setSecurityManager(securityManager);
factoryBean.setUnauthorizedUrl("/401");
Map<String, String> filterRuleMap = new LinkedHashMap<>();
filterRuleMap.put("/admin/auth/login","adminLoginFilter");
filterRuleMap.put("/admin/**", "jwtAdminAuthcFilter");
filterRuleMap.put("/401", "anon");
factoryBean.setFilterChainDefinitionMap(filterRuleMap);
return factoryBean;
}