springboot+shiro 怎么拦截 restful 风格的URL，判断其是否有权限

发布于 2022-09-11 22:20:07 字数 1257 浏览 17 评论 0

/**
 * DESC:
 * 权限校验过滤器
 */
public class PermissionFilter extends AccessControlFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request,
                                      ServletResponse response, Object mappedValue) throws Exception {

      

        HttpServletRequest httpRequest = ((HttpServletRequest)request);
        /**
         * 这里需要处理一下请求的URL路径，把它转成shiro addStringPermission 存储的URL格式，如：/user/email
         * 所以这里替换了一下，使用根目录开始的URI
         */
        String uri = httpRequest.getRequestURI();//获取URI
        System.out.println("当前请求的URL:"+uri);
        String basePath = httpRequest.getContextPath();//获取basePath
        if(null != uri && uri.startsWith(basePath)){
            uri = uri.replaceFirst(basePath, "");
        }

       
        if(subject.isPermitted(uri)){
            System.out.println("有权限");
            return Boolean.TRUE;
        }

上面的URL拦截并判断权限，如果是传统的URL的话可以很容易的判断是否有权限。但是如果时restful 风格的url的话怎么拦截判断是否有权限呢？因为数据库权限表保存的URL是没有带参数的比如：/user 但是restful风格API请求时会携带参数 : /user/1

所以使用：

        if(subject.isPermitted(uri)){
            System.out.println("有权限");
            return Boolean.TRUE;
        }
根本不能判断，

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

梦年海沫深 2022-09-18 22:20:07

通过new AntPathMatcher()来判断,对于/a/b/{id}形式的api支持通配符的匹配，用/a/b/ 即可以，注意要用两个

private static final AntPathMatcher MATCHER = new AntPathMatcher();

  private static boolean matchPath(HttpServletRequest request, String pattern) {
    if (pattern.equals(MATCH_ALL)) {
      return true;
    }
    boolean matchResult = MATCHER.match(pattern, getRequestPath(request));
    log.info(format("Request path = [%s], Security path = [%s], match result = [%s]", getRequestPath(request), pattern, matchResult));
    return matchResult;
  }

回复收藏 0