spring mvc 集成shiro 做权限的简单使用

最新推荐文章于 2024-07-23 21:05:22 发布
最新推荐文章于 2024-07-23 21:05:22 发布
阅读量7.5k 收藏 6
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hsienhua/article/details/9768477
版权
本文介绍了如何在Spring MVC项目中集成Shiro进行权限控制,包括引入依赖、实现Controller、权限验证、配置Shiro及注解授权等步骤。
摘要由CSDN通过智能技术生成

1.概述

现在的项目使用的权限控制系统是spring security 3.因为项目的框架使用spring,就顺便使用了。最近研究了一下spring side4,推荐使用shiro。照着示例做了一遍。在原有的spring web工程中。步骤如下。


2.引进包,maven设置

 <dependency>
    	<groupId>org.apache.shiro</groupId>
    	<artifactId>shiro-all</artifactId>
    	<version>1.2.1</version>
    	<type>jar</type>
    	<scope>compile</scope>
    </dependency>

3.实现Controller层

主要是登陆url和几个掩饰url

@Controller
public class AdminController {

	@RequestMapping(value = "/admin/index", method = RequestMethod.GET)
	public String index(Model model) {

		return "admin/index";
	}
	
	
	@RequestMapping(value = "/admin/login", method = RequestMethod.GET)
	public String login(Model model) {
		logger.info("login get");
		return "admin/login";
	}
	
	
	@RequestMapping(value = "/admin/login", method = RequestMethod.POST)
	public String doLogin(Model model) {
		logger.info("login post");
		return "admin/login";
	}
	
	@RequiresRoles("user")
	@RequestMapping(value = "/admin/user", method = RequestMethod.GET)
	public String shiroUser(Model model) {
	
		return "admin/index";
	}
	
	@RequiresRoles("admin")
	@RequestMapping(value = "/admin/admin", method = RequestMethod.GET)
	public String shiroAdmin(Model model) {
		
		return "admin/index";
	}
	
	Logger logger = LoggerFactory.getLogger(AdminController.class);

}


4.实现权限验证

继承shiro的AuthorizingRealm

public class ShiroDbRealm extends AuthorizingRealm {

	protected AccountService accountService;

	@Autowired
	public void setAccountService(AccountService accountService) {
		this.accountService = accountService;
	}

	/**
	 * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用.
	 */

	@SuppressWarnings("unused")
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection p) {

		logger.info("授权认证:" + p.getRealmNames());
		
		ShiroUser shiroUser = (ShiroUser) p.getPrimaryPrincipal();
		User user = accountService.findUserByLoginName(shiroUser.loginName);

		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		for (Role role : user.getRoleList()) {
			//基于Role的权限信息
			info.addRole(role.getName());
			//基于Permission的权限信息
			info.addStringPermission(role.getPermissions());
		}
		return info;
		
	}

	/**
	 * 认证回调函数,登录时调用.
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authcToken) throws AuthenticationException {
		logger.info("authc pass:");
		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
		logger.info("authc name:" + token.getUsername());
		User user = accountService.findUserByLoginName(token.getUsername());
		if (user != null) {

			if (user.getStatus().equals("disabled")) {
				throw new DisabledAccountException();
			}			

			logger.info("authc name:" + token.getUsername() + " user:"
					+ user.getLoginName() + " pwd:" + user.getPassword()
					+ "getname:" + getName());

			// byte[] salt = Encodes.decodeHex(user.getSalt());
			return new SimpleAuthenticationInfo(new ShiroUser(user.getLoginName(), user.getName()),					
					user.getPassword(), getName());
		}
		return null;

	}

	/**
	 * 自定义Authentication对象,使得Subject除了携带用户的登录名外还可以携带更多信息.
	 */
	public static class ShiroUser implements Serializable {
		private static final long serialVersionUID = -1373760761780840081L;
		public String loginName;
		public String name;

		public ShiroUser(String loginName, String name) {
			this.loginName = loginName;
			this.name = name;
		}

		public String getName() {
			return loginName;
		}

		/**
		 * 本函数输出将作为默认的<shiro:principal/>输出.
		 */
		@Override
		public String toString() {
			return loginName;
		}

		/**
		 * 重载hashCode,只计算loginName;
		 */
		@Override
		public int hashCode() {
			return Objects.hashCode(loginName);
		}

		/**
		 * 重载equals,只计算loginName;
		 */
		@Override
		public boolean equals(Object obj) {
			if (this == obj)
				return true;
			if (obj == null)
				return false;
			if (getClass() != obj.getClass())
				return false;
			ShiroUser other = (ShiroUser) obj;
			if (loginName == null) {
				if (other.loginName != null)
					return false;
			} else if (!loginName.equals(other.loginName))
				return false;
			return true;
		}
	}

	Logger logger = LoggerFactory.getLogger(ShiroDbRealm.class);

}

自定义的类ShiroUser是为了,可以多传输一些内容,供后面验证时使用,例子中只用了一个loginName,一般可以用String 传输就够了。

登陆时用doGetAuthenticationInfo()函数获得相关信息。

登陆后访问url 使用doGetAuthorizationInfo()获得用户的权限。


5.配置文件shiro部分

将controller的url纳入权限验证范围。

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd"
	default-lazy-init="true">

	<description>Shiro安全配置</description>

	

	<!-- 項目自定义的Realm -->
	<bean id="shiroDbRealm" class="com.blueinfo.jee.shiro.ShiroDbRealm" depends-on="userDao,roleDao">
		<property name="accountService" ref="accountService"/>
	</bean>
	
	<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/admin/login" />
		<property name="successUrl" value="/admin/index" />
		<property name="unauthorizedUrl" value="/admin/logout" />
		<property name="filterChainDefinitions">
			<value>
				/admin/login = authc				
				/admin/logout = logout
				/static/** = anon
				/admin/** = authc
				
			</value>
		</property>
	</bean>

	<!-- 用户授权信息Cache, 采用EhCache -->
	<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManagerConfigFile" value="classpath:security/ehcache-shiro.xml"/>
	</bean>
	
	<!-- Shiro's main business-tier object for web-enabled applications -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="shiroDbRealm" />
		<property name="cacheManager" ref="shiroEhcacheManager" />
	</bean>
	
	
	<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
	
	<!-- AOP式方法级权限检查  -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
		<property name="proxyTargetClass" value="true" />
	</bean>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    	<property name="securityManager" ref="securityManager"/>
	</bean>
</beans>

主要内容是shiroFilter的定义。

loginUrl:登陆页面,用户登陆不成功,自动返回此页面。

successUrl:登陆成功后跳转此页面

unauthorizedUrl:用户访问无权限的链接时跳转此页面

filterChainDefinitions:设置url的访问权限。anon表示不用验证,都可以访问。anthc:authc filter 监听,不登陆不能访问。logout:logout filter监听。没有列出的常用配置:perms["remote:invoke"] :需要角色romote 和权限invoke才能访问。roles["admin"]需要角色admin才能访问。设置可用“,”隔开,如:

/admin/test = authc,roles[admin]

关于filter的列表:

Filter NameClass
anonorg.apache.shiro.web.filter.authc.AnonymousFilter
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
portorg.apache.shiro.web.filter.authz.PortFilter
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter
sslorg.apache.shiro.web.filter.authz.SslFilter
userorg.apache.shiro.web.filter.authc.UserFilter

6.配置文件,启用shiroFilter

上面的配置和源码定义了shiroFilter,在web.xml中启用它

<!-- Shiro Security filter -->
	
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
		<dispatcher>REQUEST</dispatcher>
		<dispatcher>FORWARD</dispatcher>
	</filter-mapping>

7.使用annotation控制权限

在2中controller使用@RequiresRoles 注解控制权限,还可以是@RequirePermissions,要在方法上使用注解需要做如下配置:

1.在spring-mvc.xml中加入

	<!-- 支持 Shiro对Controller的方法级AOP安全控制-->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
		<property name="proxyTargetClass" value="true" />
	</bean>
	
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    	<property name="securityManager" ref="securityManager"/>
	</bean>

2.出错控制,在spring-mvc.xml中加入 

<!-- 将Controller抛出的异常转到特定View -->
	<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">  
		<property name="exceptionMappings">  
			<props>
				<prop key="org.apache.shiro.authz.UnauthorizedException">error/403</prop>
				<prop key="java.lang.Throwable">error/500</prop>
            </props>  
		</property>  
    </bean>
将UnauthorizedException异常转到403页面,也可以使用其它页面.


8.参考

1,文中的内容大部分来源于开源工程,spring-side,真心感谢其作者江南白衣

2.apache-shiro官网:http://shiro.apache.org/



Hsienhua
关注
专栏目录
Spring_shiro介绍
weixin_67695384的博客
06-23 3626
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。应用场景:shiro 解决应用安全的四要素:Shiro的体系结构具有3个主要概念:Subject(主题)
SpringMvc整合Shiro使用小结
爱码农的小java的博客
01-21 868
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 软件名称 Apache Shiro 开发商 Apache 性 质 Java安全框架 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程
注解@RequiresPermissions()
最新发布
weixin_42819047的博客
07-23 159
这个注解是基于shiro 权限判断。@ResuiresPermissions() 当前Subject 需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果不是当时Subject不具备这样的权限,则该方法不会执行。在项目中第一次看到这个注解,因为之前没有看到过,所以记录一下。
shiro controller进行用户验证
写博客只为学习
01-10 2095
[code="java"] @RequestMapping(value = "/checkUser",method= RequestMethod.POST) public @ResponseBody CommResult checkUser(HttpServletRequest request, HttpServletResponse response, ModelMap ...
springboot使用shiro框架实现在controller层加注解来权限控制
weixin_42759398的博客
04-09 1062
2. 配置Shiro的安全管理器和其他必要的组件,比如Realm、CacheManager等。// 从数据库或其他数据源中获取用户的角色和权限信息,并添加到AuthorizationInfo中。以上就是使用Shiro框架在Spring Boot中进行权限控制的基本操作,希望能够对你有所帮助。// 获取用户输入的账号密码。// 模拟数据库中的账号密码。return "用户列表";return "添加用户";return "删除用户";// 获取用户身份信息。// 实现用户认证逻辑。// 实现用户授权逻辑。
Shiro 权限管理
心猿意码
06-24 4228
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
spring mvc shiro的配置使用.zip_DEMO_spring mvc_spring mvc shiro
09-15
- **整合 Spring MVC**:通过 `@Autowired` 注解将 SecurityManager 注入到 Spring 容器中,并在 Controller 中使用 Shiro 提供的 API 进行权限判断,如 `Subject` 的 `isPermitted()` 或 `hasRole()` 方法。...
spring mvc整合shiro登录 权限验证实例下载
05-07
本文将详细介绍如何整合Spring MVCShiro进行用户登录、注销以及权限验证的实例。 首先,Spring MVCSpring框架的一部分,它提供了一种模型驱动的开发方式,使得开发者可以更方便地构建RESTful的Web服务。它的...
spring-shiro:Spring Mvc 搭配shiro Demo
06-21
通过以上步骤,我们便成功地在Spring MVC应用中集成Shiro,实现了用户认证、权限控制和会话管理等功能。这种整合方式既保留了Spring MVC的灵活性,又利用了Shiro的强大安全特性,是构建企业级Web应用的安全基础。 ...
spring mvc+shiro + jpa
04-26
5. **Spring MVC 整合**:Spring MVC 可以通过Spring的AOP(面向切面编程)和拦截器机制,方便地集成Shiro的过滤器,实现全局的权限控制。同时,Spring MVC 可以利用Spring Data JPA简化数据库操作,提高开发效率。 ...
spring mvc+shiro+mybatis的简单demo
03-09
这是一个基于Spring MVCShiro和MyBatis的Java Web应用示例项目,旨在展示如何将这三个框架集成到一起,实现用户认证、授权以及数据库操作。下面将分别介绍这三大框架的核心功能及其在该项目中的作用。 **Spring ...
shiro学习笔记十二:shiro权限注解
chunlulin2540的博客
08-19 175
一、项目说明 项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2 源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms 实现目标:通过使用部分权限注解,实现相应的效果,达到对shir...
使用Shiro后Controller无法用@Autowired解决
勤劳的哑巴
04-28 755
刚学习Shiro,然后想把他整合到spring MVC里面。 搞了好久,一直不能用@Autowired进行注解 最后发现注解只在Controller不能用,查了好多资料,但都没整明白,最后猛然发现,引用了Shiro后,Controller层,不能用实体类的bean,必须通过接口实现。 比如:我之前的UserService直接是class,然后加上@Service注解,这个不行 必须要先写...
SpringBoot整合Shio
Coder Wang
11-24 577
SpringBoot整合Shio配置shiro准备实体类:用户类:角色类:权限类:关系:SQL:配置ShiroConfig类:配置Realm类 案例源代码取自纯洁的微笑大神的GitHub https://github.com/ityouknow/spring-boot-examples 配置环境跳过,就介绍核心内容 配置shiro 准备实体类: 用户类: public class UserIn...
Shiro入门使用
XuJiangDong
04-10 580
1、引入依赖 &lt;!-- Spring 整合Shiro需要的依赖 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; ...
Shiro中loginUrl与unauthorizedUrl
热门推荐
小东东
08-24 2万+
项目中有用到Shiro框架,但是只使用了身份认证,即登录功能,未用到授权 权限验证功能,在使用的时候对loginUrl和unauthorizedUrl没有区分太清,一直以为unauthorizedUrl是被拦截后要跳转到的页面,今天特意查了一下,才清楚loginUrl是登录页面,unauthorizedUrl是没有资源权限时跳转到的页面。即: loginUrl:没有登录的用户请求...
Springboot+Shiro配置setUnauthorizedUrl()不生效
weixin_45864962的博客
11-25 1040
问题背景分析解决方法一方法二方法三 问题背景 1.使用Shiro对用户访问资源进行权限校验(授权)。 2.目的:当用户访问没有权限资源时,跳转到指定页面。 3.setUnauthorizedUrl("/view/permission")方法作用:当用户没有权限访问时跳转到"/view/permission"页面。 4.但是setUnauthorizedUrl配置没有生效。 @Bean //此对象中要配置一些访问规则(匿名访问的资源,认证的访问的资源) public ShiroFilterF.
Shiro中setUnauthorizedUrl("/403")不生效,无法跳转指定页面的解决办法。
banmajio的博客
01-08 1546
Shiro中setUnauthorizedUrl"/403"不生效,无法跳转指定页面的解决办法问题描述问题分析解决办法 问题描述 ShiroConfig中设置未授权页面统一跳转403页面,但是没有权限的用户访问时,并未跳转指定页面,页面报错信息如下: 控制台报错如下: 问题分析 这是因为shiro源代码中判断了filter是否为AuthorizationFilter,只有perms,roles...
shiro授权RequiresPermissions注解使用
nanfang1012的博客
07-20 2万+
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 user 可编辑i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值