Shiro框架基础使用及一些小拓展

最新推荐文章于 2022-09-20 15:29:35 发布
最新推荐文章于 2022-09-20 15:29:35 发布
阅读量286 收藏
点赞数
分类专栏: 基础知识 后端 文章标签: shiro java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EDT777/article/details/105501591
版权

文章目录

配置Web环境中出现异常时如何解决不同异常跳转到不同页面方法

@Configuration
public class WebExceptionHandlerConfig {
	@Bean
	public SimpleMappingExceptionResolver simpleMappingExceptionResolver() {
		SimpleMappingExceptionResolver resolver = new SimpleMappingExceptionResolver();
		Properties props = new Properties();
		//让特定的异常类型和特定的页面对应起来,第二个参数是页面的名称
		props.put("org.apache.shiro.authz.UnauthorizedException", "/unauthor");
		resolver.setExceptionMappings(props);
		return resolver;
	}
}

对外共享文件夹

在.yml 配置文件设置上传文件 抵达的文件夹路径

bootdo:
	uploadPath: F:/Downdload/

先定义上传路径的类

@Component
@ConfigurationProperties(prefix="bootdo")
public class BootdoConfig {
	//上传路径
	private String uploadPath;

	public String getUploadPath() {
		return uploadPath;
	}

	public void setUploadPath(String uploadPath) {
		this.uploadPath = uploadPath;
	}
}

在config目录下 新建用于映射类 (继承WebMvcConfigurerAdapter)

@Component
class WebConfigurer extends WebMvcConfigurerAdapter {
		@Autowired
		BootdoConfig bootdoConfig;
		
	public void addResourceHandlers(ResourceHandlerRegistry registry){
		registry.addResourceHandler("/files/**")
		.addResourceLocations("file:///"+bootdoConfig.getUploadPath());
}		

}

MD5加密


public class MD5Util {
	/**
	 * 验证MD5密码是否正确
	 * 
	 * @param userPwd 用户提供的密码
	 * @param dbPwd   数据库的密码
	 * @param salt    加密的盐(可以是用户名)
	 * @return
	 */
	public static boolean validatePwd(String userPwd, String dbPwd, String salt) {
		boolean result = false;
		String toMd5 = userPwd + salt;
		try {
			MessageDigest md = MessageDigest.getInstance("MD5");
			byte[] digest = md.digest(toMd5.getBytes("UTF-8"));
			String encodePwd = Base64.getEncoder().encodeToString(digest);//这是根据用户输入和盐转化后得到的散列密码
			return encodePwd.equals(dbPwd);
		} catch (NoSuchAlgorithmException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (UnsupportedEncodingException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		return result;

	}

	//手动验证
	public static void main(String[] args) throws NoSuchAlgorithmException, UnsupportedEncodingException {
		String toMd5 ="123456user1";
		MessageDigest md = MessageDigest.getInstance("MD5");
		byte[] digest = md.digest(toMd5.getBytes("UTF-8"));
		String encodePwd = Base64.getEncoder().encodeToString(digest);
		System.out.println(encodePwd);
	}
}

ShiroUtil

获取当前环境下登陆的用户对象 此类放进utils包里

public static UserDO getCurrentUser(){
		UserDO user =  (UserDO)SecurityUtils.getSubject().getPrincipal();
		return user;
}

shiro的鉴权与授权(userrealm)

在这里插入图片描述
在userrealm包新建MyUserRealm类继承 AuthorizingRealm 会继承2个方法

  • 告诉shiro哪个subject有哪些访问权限(doGetAuthorizationInfo )
  • 实际的登陆验证(doGetAuthenticationInfo)

public class MyUserRealm extends AuthorizingRealm{

	private SysUserService userService;
	
	public void setUserService(SysUserService userService) {
		this.userService = userService;
	}
	/**
	 * 告诉shiro哪个subject有哪些访问权限
	 */
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
	//查找用户
	SysUserDO user = (SysUserDO) SecurityUtils.getSubject().getPrincipal();
	List<SysMenuDO> list = userService.findMenusByUser(user.getUsername());
	Set<String> permissions = new HashSet<>();//Shiro的权限表示方式1,即使用一个字符串表示


	for(SysMenuDO m:list) {
		if(m.getPerms()!=null && !(m.getPerms().equals(""))) {
		permissions.add(m.getPerms());
	}
	}
	System.out.println("用户: "+user.getUsername()+" 的权限有:"+permissions);
	SimpleAuthorizationInfo authorInfo = new SimpleAuthorizationInfo();
	authorInfo.setStringPermissions(permissions);
	return authorInfo;
	}
	
	/**
	 * 实际的登陆验证
	 */
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		
		System.out.println("在userRealm中得到了spring的支持下,获取了userService: "+userService);
		String username = (String) token.getPrincipal();
		String password = new String((char[])token.getCredentials());
		SysUserDO  user = userService.findByUsername(username);
		if(user==null) {
			throw new AuthenticationException("用户错误");
		}
		//启用md5方式判断
		if(MD5Util.validatePwd(password, user.getPassword(),username)){
			return new SimpleAuthenticationInfo(user,password,getName());
		}else {
			throw new AuthenticationException("登陆失败");
		}
		
		
		
		

	}

}

在config包创建ShiroConfig类 (Shiro的权限基本控制和基础初始化配置)


@Configuration
public class ShiroConfig {
/**
 * 实现shiro权限过滤
 */
	@Bean("shiroFilter")//bean注解告诉springboot这个方法会返回一个标准的bean
	public ShiroFilterFactoryBean getFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
		bean.setSecurityManager(securityManager);
		bean.setUnauthorizedUrl("/sys/toLogin");
		bean.setLoginUrl("/sys/toLogin");//设定登陆地址,鉴权错误或者没有授权访问时自动跳转到该请求
		//权限的全局设置
		Map<String, String> auths = new HashMap<>();
		auths.put("/sys/toLogin","anon");//如果一个地址不需要权限访问,则设置为anno
		auths.put("/sys/doLogin","anon");
		auths.put("/project/sysRole/**","authc");//需要授权
		auths.put("/**","authc");//其他必须授权
		//静态资源的路径要能直接访问
		auths.put("/css/**","anon");
		auths.put("/fonts/**","anon");
		auths.put("/js/**","anon");
		bean.setFilterChainDefinitionMap(auths);
		return bean;
	}
	
	@Bean
	public SecurityManager securityManager(MyUserRealm myUserRealm) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(myUserRealm);
		return securityManager;
	}
	
	@Bean
	public MyUserRealm mUserRealm(SysUserService userService) {
		MyUserRealm userRealm = new MyUserRealm();
		//进行一系列的操作比如注入属性
		userRealm.setUserService(userService);
		
		return userRealm;
	}
	/**
	 * 让shiro参与到spring的bean的管理中来
	 * @return
	 */
	@Bean
	public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}
	/**
	 * 扫描所有的bean寻找通知并将通知器所切入bean中
	 * @return
	 */
	@Bean
	public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
		creator.setProxyTargetClass(true);
		return  creator;
	}
	
	@Bean
	public AuthorizationAttributeSourceAdvisor attributeSourceAdvisor(SecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
		advisor.setSecurityManager(securityManager);
		return advisor;
	}
}

登陆的控制器

@RequestMapping("doLogin")
@ResponseBody
public Map<String,Object> doLogin(String username,String password,String vcode,HttpServletRequest req ){
	Map<String,Object> result = new HashMap<>();
	result.put("code","-1");
	result.put("msg","未知错误");

	//获取Subject对象 SecurityUtils是Shiro提供的类(自带)
	Subject subject = SecurityUtils.getSubject();
	//封装用户名和密码 UsernamePasswordToken也是Shiro提供的
	UsernamePasswordToken token = new UsernamePasswordToken(username,password.toCharArray());
	//将封装好的验证信息传递给subject去验证 实际上就是调用了userrealm里的鉴权
	try{
		subject.login(token);
		//获取权限并保存到session中
		UserDO user = ShiroUtil.getCurrentUser();
		LinkedHashMap<MenuDo,List<MenuDO>> map = menuService.listAllMenusByUserId(user.getUserId);
		req.getSession().setAttribute("menus",map);//将数据传入session中
	if(subject.isAuthenticated()){
		//通过验证
		result.put("code","0");
		result.put("msg","success");
	}catch(AuthenticationException ex){ //userrealm里的鉴权可能会抛出异常信息
		result.put("code","1");
		result.put("msg",ex.getMessage());
	}
	return result;
}
	
}

登陆的页面

用户名:<input type="text" name="username" id="username"><br/>
密码:<input type="password" name="password" id="password"><br/>
<input type="button" value="登陆" onclick="doLogin()"> 

<script type="text/javascript">

function doLogin(){
	var user = $("#username").val();
	var pass =$("#password").val();
	
	$.ajax({
		url:"/sys/doLogin",
		type:"post",
		data:{username:user,password:pass},
		success:function(data){
			if(data.code==0){
				alert('登陆成功')
			}else{
				alert('登陆失败'+data.msg);
			}
		}
	});
}

</script>

在MenuService业务类创建listAllMenusByUserId: 按照页面组件特点生成所有对应用户菜单集合

  • 通过用户id 查找出对应的权限集合 父级菜单与子级菜单
/**
	 * 按照也没组件的特点生成所有对应用户菜单的集合
	 */
	 @Autowired
	private SysUserDao sysUserDao;
	
	@Autowired
	private SysMenuDao menuDao;

	@Autowired
	private SysRoleMenuDao roleMenuDao;
	
	@Autowired
	private SysUserRoleDao userRoleDao;
	
	@Override
	public LinkedHashMap<SysMenuDO, List<SysMenuDO>> listAllMenusByUserId(long userId) {
		Map<String, Object> p = new HashMap<String, Object>();
		p.put("userId", userId);
		List<SysMenuDO> allMenus = new ArrayList<SysMenuDO>();
		// 先查询用户角色
		List<SysUserRoleDO> roles = userRoleDao.list(p);
		p.clear();
		for (SysUserRoleDO ur : roles) {
			p.put("roleId", ur.getRoleId());
			// 查询每一个role对应的权限
			List<SysRoleMenuDO> listRm = roleMenuDao.list(p);
			p.clear();
			for (SysRoleMenuDO rm : listRm) {
				SysMenuDO sysMenuDO = menuDao.get(rm.getMenuId());
				if (sysMenuDO != null) {
					allMenus.add(sysMenuDO);
				}
			}
		}
		// 整理结构:按照parentId, order 排序
		allMenus.sort(new Comparator<SysMenuDO>() {

			@Override
			public int compare(SysMenuDO o1, SysMenuDO o2) {
				if (o1 == null) {
					return -1;
				}
				if (o2 == null) {
					return 1;
				}
				if (o1.getParentId().intValue() != o2.getParentId()) {
					if (o1.getParentId() == null) {
						return -1;
					}
					if (o2.getParentId() == null) {
						return 1;
					}
					return (int) (o1.getParentId() - o2.getParentId());
				}
				if (o1.getOrderNum().intValue() != o2.getOrderNum()) {
					if (o1.getOrderNum() == null) {
						return -1;
					}
					if (o2.getOrderNum() == null) {
						return 1;
					}
					return o1.getOrderNum() - o2.getOrderNum();
				} else {
					return (int) (o1.getMenuId() - o2.getMenuId());
				}
			}
		});

		// 整理菜单到总结构中
		LinkedHashMap<SysMenuDO, List<SysMenuDO>> allMenuInOrder = new LinkedHashMap<>();
		Map<Long, SysMenuDO> allParents = new HashMap<>();
		for (SysMenuDO m : allMenus) {
			if (m == null) {
				continue;
			}
			if (m.getParentId() == null || m.getParentId() == 0) {
				allMenuInOrder.put(m, new ArrayList<SysMenuDO>());
				allParents.put(m.getMenuId(), m);
			} else {
				Long parentId = m.getParentId();
				SysMenuDO sysMenuDO = allParents.get(parentId);
				List<SysMenuDO> list = allMenuInOrder.get(sysMenuDO);
				if(list==null) {
					continue;//说明该用户有某个子菜单但是没有父菜单,这不显示是合理的,但是这个用户能执行这个操作
				}
				list.add(m);
			}
		}
		return allMenuInOrder;
	}
zeki豪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro框架入门(一)
weixin_42440637的博客
01-13 242
shiro框架入门(一)
shiro框架
GuiFuShenGong123的博客
04-15 442
权限管理* 为什么需要权限管理 1、安全性:误操作、人为破坏、数据泄露等,比如对数据库的操作,普通的开发人员对数据的操作只有查询等操作,而DBA可以对数据库进行最高权限的操作。 2、数据隔离:不同权限能看到及操作不同的数据,比如对应部门的领导只能看到该部门下的员工数据。 3、明确职责:运营和客服等不同角色,Leader和dev等不同级别。比如去哪网等这些网上商城,客服可以看到所有的订...
springboot应用跳过shiro拦截直接访问服务器上的文件资源
weixin_41720239的博客
12-06 2446
场景简述:从本地向远程服务器写入文件后,点直接查看会自动跳到登录页!除非系统登录状态才能访问到。 思考分析:远程linux服务器是阿里云的,不能用ip+物理路径直接访问,因为阿里云做了很多安全拦截。只能通过服务器开放的端口号来访问,而端口号又被应用占用。所以就成了通过应用来访问服务器上的资源。 而应用是springboot+shrio框架,shrio做了访问路径拦截。虽然地址能请求到资源,但是被s...
SpringBoot + shiro 导致通过ResourceHandlerRegistry配置的静态资源中文名称无法访问原因
每天进步一点就够了
12-25 2646
项目场景: 项目使用springboot+shiro,出于其他原因考量,静态资源是直接使用springboot 框架本身的ResourceHandlerRegistry来进行配置访问的,没有使用Nginx,Apache等 问题描述: 项目中的一些静态资源是通过配置ResourceHandlerRegistry来进行访问的,即通过复写WebMvcConfigurer,列如: @Slf4j @Configuration public class WebConfig implements WebMvcCo
Spring Boot - addResourceHandler失效
Java_Scholar0的博客
12-19 3054
registry.addResourceHandler
解决shiro整合swagger 拦截静态资源问题
weixin_55573242的博客
09-20 1138
shiro整合swagger
swagger --> springboot+shiro整合swagger
weixin_40571937的博客
09-02 1175
1. 添加swagger依赖: <!--swagger2--> <!-- https://mvnrepository.com/artifact/io.springfox/springfox-swagger2 --> <dependency> <groupId>io.springfox</groupId> <artifactId>springf
springboot-shiro静态资源文件被拦截解决方法
新涯特
02-18 9914
我的springboot版本为2.1 从源码可以看出静态资源文件夹的默认配置: package org.springframework.boot.autoconfigure.web; //省略 public class ResourceProperties { private static final String[] CLASSPATH_RESOURCE_LOCATIONS ...
Shiro框架详解.pptx
01-20
本文将对 Shiro 框架进行详细的介绍,包括 Shiro 框架的基本概念、环境搭建、身份验证功能实现、资源权限认证、业务功能拓展等方面。 Shiro 框架的基本概念: * Subject:主体,用于封装存储用户身份信息。 * ...
springboot+jwt+Shiro+redis等开发的小说系统
最新发布
01-16
novel-plus 是一个多端(PC、WAP)阅读,功能完善的原创文学 CMS 系统。...Apache Shiro 安全框架 Redis 缓存方案 Aliyun OSS 阿里云对象存储服务(图片存储备选方案) Lombok 简化对象封装工具 Docker 应用
基于springboot+mybatis+layui+shiro+jquery的教务管理系统和微信小程序源码.zip
08-29
这是一个基于Java技术栈的教务管理系统,结合了SpringBoot、MyBatis、Layui、Shiro和jQuery等流行框架,同时提供了微信小程序的前端实现。让我们深入了解一下这些技术及其在教务管理中的应用。 首先,SpringBoot是...
基于SpringBoot +Shiro+ Layui 构建的商城商店系统.zip
10-09
在本系统中,Shiro用于处理用户登录验证、权限控制及会话管理。通过Shiro,我们可以轻松地实现角色和权限的分配,确保只有授权的用户才能访问特定的资源。 3. Layui前端框架 Layui是一款采用自身模块规范编写的前端...
集成了springboot+layui+mybatisplus+shiro的仓库管理系统.zip
10-09
1. **后端**:使用SpringBoot作为基础框架,集成MybatisPlus进行数据访问,通过Shiro实现用户认证和授权。 2. **前端**:利用Layui构建用户界面,提供友好且高效的交互体验。 3. **数据库**:通常使用MySQL或其他...
重写addResourceHandlers() 防止静态资源被 dispatcherServlet拦截
lsw的博客
03-13 1179
springboot杂谈(三)配置addResourceHandleraddResourceLocations映射静态资源地址
老头的博客
03-26 8599
自定义资源映射addResourceHandlers: 在springboot中,我们可以通过重写addResourceHandlers方法来映射静态资源目录; 具体做法:编写类继承WebMvcConfigurerAdapter类,重写该类的addResourceHandlers方法;其中addResourceHandler指向映射路径,addResourceLocations指向资源文件路径;资...
SpringBoot重写addResourceHandlers映射文件路径导致无法访问static资源
得已
01-19 1万+
增加一行配置即可 /** * 图片绝对地址与虚拟地址映射 */ @Configuration public class WebMvcConfig extends WebMvcConfigurationSupport { @Override public void addResourceHandlers(ResourceHandlerRegistry registry...
springboot通过设置addResourceHandlers拦截请求访问本地资源踩坑实战
qq_2189333649的博客
05-10 4万+
通过继承WebMvcConfigurationSupport(springboot2.x后用此类) 类后重写addResourceHandlers @Override protected void addResourceHandlers(ResourceHandlerRegistry registry) { String os = System.getProperty("os.name...
Spring Boot 静态资源处理
热门推荐
小单的博客专栏
01-12 20万+
Spring Boot 默认为我们提供了静态资源处理,使用 WebMvcAutoConfiguration 中的配置各种属性。建议大家使用Spring Boot的默认配置方式,如果需要特殊处理的再通过配置进行修改。如果想要自己完全控制WebMVC,就需要在@Configuration注解的配置类上增加@EnableWebMvc(@SpringBootApplication 注解的程序入口类已经包含@
linux 中mysql 如何查找默认密码
不知名博客
06-29 6205
/var/log/mysqld.log 中找不到临时密码 1.删除原来安装过的mysql残留的数据(这一步非常重要,问题就出在这) rm -rf /var/lib/mysql 2.重启mysqld服务 systemctl restart mysqld 3.再去找默认密码 cat /var/log/mysqld.log | grep password ...
Java安全框架Apache Shiro基础教程
Shiro提供了一些基础的编码和加密功能,如字符串编码解码、散列算法(如MD5、SHA)和加密解密算法。PasswordService和CredentialsMatcher用于密码的校验,确保用户输入的密码与存储的散列值匹配。 **第六部分:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值