前言

• 若依(ruoyi)： v4.3
• shiro： 1.5.3
• 遇坑：shiro 自定義過濾器執(zhí)行異常，無法排除已允許匿名訪問的功能/URL

需求

使用 ruoyi 開發(fā) restful 接口。因此，僅需要ruoyi開放如下功能：

• swagger-ui.html（為了更好的測試才開放，生產部署時去掉這個）
• /v2/api-docs（為了更好的測試才開放，生產部署時去掉這個）
• /api/** (所有的接口均以/api/開頭)

除了上述需要開放的功能外，其余均不允許訪問。

ruoyi 使用 shiro 進行權限控制。因此需要通過配置 shiro 來達到目的。

操作

實現(xiàn)思路

• 將所需開放的功能配置為允許匿名訪問
• 將不需要開放的功能均拒絕訪問

編寫拒絕訪問的 shiro 過濾器

public class DenyAllFilter extends PathMatchingFilter {@Overrideprotected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) {HttpServletRequest hsr = (HttpServletRequest) request;System.out.println("DenyAllFilter, request is not allow : " + hsr.getRequestURI());return false;} }

修改 ShiroConfig

/*** Shiro過濾器配置*/@Beanpublic ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();// Shiro的核心安全接口,這個屬性是必須的shiroFilterFactoryBean.setSecurityManager(securityManager);// 自定義過濾器Map<String, Filter> filters = new LinkedHashMap<String, Filter>();filters.put("denyAllFilter", denyAllFilter());shiroFilterFactoryBean.setFilters(filters);// 定義過濾器鏈LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();filterChainDefinitionMap.put("/api/**", "anon");filterChainDefinitionMap.put("/v2/api-docs**", "anon");filterChainDefinitionMap.put("/swagger**", "anon");filterChainDefinitionMap.put("/webjars/**", "anon");filterChainDefinitionMap.put("/swagger-resources/**", "anon");filterChainDefinitionMap.put("/favicon.ico**", "anon");filterChainDefinitionMap.put("/**", "denyAllFilter");shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;}@Beanpublic DenyAllFilter denyAllFilter(){DenyAllFilter denyAllFilter = new DenyAllFilter();return denyAllFilter;}

嗯…，這就好了。
出了有坑之外，一切都很完美。

有坑

有坑不怕，填上就行。

啟動ruoyi，訪問地址http://localhost:8085/aswagger-ui.html，得到了個很白的頁面。這是遇到坑了。這個坑不分析了，有興趣的可以參考這里。

說一下結論：

• 這里遇到的坑是：不該將 filter 交給 spring 創(chuàng)建。

簡單解釋一下：

• shiro 的權限控制是通過 filter 控制的，且 shiro 自己維護了一個 filter chain。
• spring 也維護了一個 filter chain。
• denyAllFilter 交給 spring 創(chuàng)建后， denyAllFilter 雖然如愿的加入到了 shiro filter chain 中，但，同時也加入到了 spring filter chain 中。

解決辦法：
denyAllFilter 不交給 spring 創(chuàng)建即可。將 denyAllFilter 方法前面的 @Bean 注解去掉即可。

public DenyAllFilter denyAllFilter(){DenyAllFilter denyAllFilter = new DenyAllFilter();return denyAllFilter;}

參考

https://www.cnblogs.com/guitu18/p/12163872.html

總結

以上是生活随笔為你收集整理的【若依(ruoyi)】 Shiro 向 ShiroFilterFactoryBean 中添加自定义过滤器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。