【权限管理平台】Day—02项目搭建及Shiro相关配置

已于 2022-05-09 11:05:40 修改
阅读量977 收藏 38
点赞数 46
分类专栏: 开源专栏 文章标签: java 开发语言 spring boot
于 2022-05-02 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gaowumao/article/details/124528716
版权

权限管理 Shiro Swagger 接口设计 JWT
关键词由CSDN通过智能技术生成

【权限管理平台】项目开发Day—02

🏡 博客首页:派 大 星

⛳️  欢迎关注  🐳 点赞  🎒 收藏  ✏️ 留言

🎢  本文由派大星原创编撰

🚧  系列专栏:项目从0搭建

🎈  本系列项目从设计到实现源码全部开源免费学习使用,一起追向理想,欢迎各位大佬监督打卡开发!

在这里插入图片描述

今日项目搭建进度

🍌权限数据设计&接口设计

🍇 权限数据设计

​ 由于这部分数据的设计设计与添加过于耗费时间(其实是因为),我选择在开发的过程中等这部分接口编码完毕之后,通过Swagger文档按需添加。

🍑 接口设计

​ 在平时做开发时,习惯性的把我们编写的接口称之为Api,所以,这次索性就把本项目的接口设计为/api/xxx/xxx(其实根本算不上设计 ♨️ )。

🍍实际编码

🍔 Swagger相关配置

Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RestFul 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。

导入依赖

<!--swagger2 依赖-->
<dependency>
  <groupId>io.springfox</groupId>
  <artifactId>springfox-swagger2</artifactId>
  <version>2.9.2</version>
</dependency>
<dependency>
  <groupId>io.springfox</groupId>
  <artifactId>springfox-swagger-ui</artifactId>
  <version>2.9.2</version>
</dependency>

相关配置

@Configuration
public class SwaggerConfig {

    @Value("${swagger2.enable}")
    private boolean enable;

    @Bean
    public Docket docket(){
        /*
        * 这是为了我们在使用swagger 测试接口时添加头部信息(token)
        * 登录之后返回Token信息,将Token添加进去,用于访问其他需要某些权限\角色的接口
        * */
        List<Parameter> pars = new ArrayList<Parameter>();
        ParameterBuilder tokenPar = new ParameterBuilder();
        tokenPar.name("authorization").description("请输入Token信息")
                .modelRef(new ModelRef("string"))
                .parameterType("header")
                .required(false);
        /*
        *多个的时候 就直接添加到 pars就可以了
        * */
        pars.add(tokenPar.build());
        return new Docket(DocumentationType.SWAGGER_2)
                .apiInfo(apiInfo())
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.pdx.controller"))
                .paths(PathSelectors.any())
                .build()
                .globalOperationParameters(pars)
                .enable(enable);
    }
    private ApiInfo apiInfo(){
        return new ApiInfoBuilder()
                .title("派大星权限管理平台")
                .description("派大星权限管理平台")
                .termsOfServiceUrl("")
                .version("1.0")
                .build();
    }
}
🍰 Shiro框架基础搭建相关配置

​ 那么什么是Shiro呢?下面我们简单了解一下这个安全框架:

Shiro框架是Apache下的一款Java安全框架,具有和SpringSecurity一样的效果,相较于SpringSecurityShiro的特点会更加突出:

  • 便捷
  • 易上手
  • 支持注解开发
🍕 Shiro主要功能:

三个核心组件:Subject SecurityManager Realms

  • Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
  • SecurityManager:它是Shiro框架的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
  • Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

如果你还不了解shiro的认证机制,请移步: 派大星十分钟带你了解Shiro的认证机制

🍫 了解 Jwt

JWT(全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

Jwt的数据结构

Jwt一般是字符串,分为三部分,并且每部分中间用"."隔开:

xxxxx.yyyyy.zzzzz

Jwt包括哪三部分呢?

  • Header

JWT第一部分是头部分,它是一个描述JWT元数据的Json对象,通常如下所示。

{
    "alg": "HS256",
    "typ": "JWT"
}

alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256),typ属性表示令牌的类型,JWT令牌统一写为JWT

  • Payload

JWT第二部分是Payload,也是一个Json对象,除了包含需要传递的数据,还有七个默认的字段供选择。

分别是,iss:发行人、exp:到期时间、sub:主题、aud:用户、nbf:在此之前不可用、iat:发布时间、jtiJWT ID用于标识该JWT.

  • Signature

那么它是怎么生成的呢?首先需要指定一个secret,该secret仅仅保存在服务器中,保证不能让其他用户知道。然后使用Header指定的算法对HeaderPayload进行计算,然后就得出一个签名哈希。也就是Signature

🍨 优点

  • json格式的通用性,所以JWT可以跨语言支持,比如Java、JavaScript、PHP、Node等等。
  • 可以利用Payload存储一些非敏感的信息。
  • 便于传输,JWT结构简单,字节占用小。
  • 不需要在服务端保存会话信息,易于应用的扩展。
🍒 Shiro配置实际操作

导入依赖

<!--shiro 依赖-->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.4.1</version>
</dependency>

自定义Realm类

@Slf4j
public class CustomRealm extends AuthorizingRealm {

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof CustomUsernamePasswordToken;
    }
    /**
     * 授权机制
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
    /**
     * 认证机制
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        CustomUsernamePasswordToken usernamePasswordToken = (CustomUsernamePasswordToken) token;
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(usernamePasswordToken.getPrincipal(), usernamePasswordToken.getCredentials(), getName());
        return info;
    }
}

自定义Shiro默认加密方式

@Slf4j
public class CustomHashedCredentialsMatcher extends HashedCredentialsMatcher {

    @Autowired
    private RedisService redisService;
    /**
     * 加密匹配
     * @param token
     * @param info
     * @return
     */
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        CustomUsernamePasswordToken usernamePasswordToken = (CustomUsernamePasswordToken) token;
        String accessToken = (String) usernamePasswordToken.getCredentials();
        String userId = JwtTokenUtil.getUserId(accessToken);
        log.info("doCredentialsMatch.....userId=>{}",userId);
        //判断用户是否被删除
        if (redisService.hasKey(Constant.DELETE_USER_KEY+userId)){
            throw new BusinessException(BaseResponseCode.ACCOUNT_HAS_DELETE_ERROR);
        }
        //判断用户是否被锁定
        if (redisService.hasKey(Constant.ACCOUNT_LOCK_KEY+userId)){
            throw new BusinessException(BaseResponseCode.ACCOUNT_LOCKED);
        }
        //判断用户是否退出登录
        if (redisService.hasKey(Constant.JWT_ACCESS_TOKEN_BLACKLIST+userId)){
            throw new BusinessException(BaseResponseCode.TOKEN_ERROR);
        }
        //校验Token
        if (!JwtTokenUtil.validateToken(accessToken)){
            throw new BusinessException(BaseResponseCode.TOKEN_PAST_DUE);
        }
        return true;
    }
}

自定义UsernamePasswordToken 类

public class CustomUsernamePasswordToken extends UsernamePasswordToken {
    private String jwtToken;

    public CustomUsernamePasswordToken(String jwtToken){
        this.jwtToken = jwtToken;
    }

    @Override
    public Object getPrincipal() {
        return jwtToken;
    }

    @Override
    public Object getCredentials() {
        return jwtToken;
    }
}

新鲜出炉的代码将会及时更新到Gitee仓库

以上代码属于部分实现,想要了解全部配置请移步: 派大星的Gitee仓库

今天的工作量就进行到这里!希望大佬们可以监督派大星一步步从0搭建该平台!

请添加图片描述

IT派同学
关注
专栏目录
Shiro入门4:Shiro环境搭建【基于Maven】
机智猫
03-23 2万+
在这里我使用了Maven作为项目JAR包管理,只要使用下面提供的Shiro在Apache里面的仓库就可以轻松快捷地加入Shiro框架在WEB程序中所需要的代码。 如果没有使用Maven的可以在Shiro官网下载所需要的JAR包也是可以使用的。 【核心JAR包:shiro-core-1.2.3】
平台权限配置
低调的嚣张
08-08 762
之前access权限的设置一直没有好的主意, 看了这个程序之后思路打开,首先用一个函数mdctPermissionList去检测权限表格, 返回值为true false,传入参数是权限的名称, 如果有此权限,就显示此权限的相应控件, 如果无此权限,就隐藏此权限的相应控件 Private Sub Form_Open(Cancel As Integer)     DoCmd.Maximize...
推荐项目:Shiro-JWT —— 简化你的认证授权之路
最新发布
gitblog_00754的博客
08-30 419
推荐项目:Shiro-JWT —— 简化你的认证授权之路 shiro-jwt项目地址:https://gitcode.com/gh_mirrors/sh/shiro-jwt 随着微服务和分布式系统的兴起,安全而高效的认证机制成为了开发者关注的焦点。Apache Shiro作为Java界广泛使用的权限管理框架,结合JSON Web Tokens(JWT)的轻量级特性,诞生了一个强大的组合——shi...
搭建springboot + shiro 项目
胆小鬼的技术庄园
07-08 930
这次我们搭建一个springboot + mybatis + shiro + mysql + redis + thymeleaf + hutool + layui项目。期望能够实现这样的效果: 1. 能对登录及其他请求做到控制 2. 对后端接口能做权限控制 3. 对前台页面能做权限控制 4. 实现session共享
springboot整合shiro环境搭建
lllwky的博客
03-21 580
文章目录一:创建项目导入thymeleaf依赖基本配置:二:Shiro实现登录拦截三:Shiro实现用户认证四:Shiro整合Mybatis 一:创建项目 导入thymeleaf依赖 <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5</artifactId> </dependency> <dependency&
权限平台的设计关系
Chen4852010的博客
04-07 556
几个概念 租户层 或 平台层(最大的一层,下面的创建都得依赖它) 用户 (用户和角色间,有分配关系) 员工:用户和员工的区别,在工作流的发起者,都是员工而不是用户 角色 (角色和客户端间,有分配关系) 客户端 接口/权限/资源(这里的接口权限,不代表只是接口,而是系统所有资源) (角色和接口权限件有授权分配关系, 切接口权限只 直接 分配授权给 角色) 从上面可以看出,一切以角色为核心, 客户端访问接口,是 客户端 <=> 角色 <=> 接口/权限 每个客户端 有一个 authent
day60_Shiro.docx
04-13
Apache Shiro 是一个轻量级的Java安全框架,主要用于实现身份认证、授权、加密和会话管理等功能。作为Java框架的一员,Shiro以其简洁易用的API和灵活的架构受到开发者的欢迎。与Spring Security相比,Shiro更适合...
通用后台管理系统(2)-项目搭建
哒哒博客
03-21 7585
1、sunda-parent 管理jar包 2、sunda-common 2.1、pom.xml 2.2、常用工具类 2.2.1本地分布式上传工具类fastdfs 2.2.2 统一返回结果类 2.2.3 AES加解密工具类 2.2.4 验证码工具类 2.2.5 资源文件读取工具 2.2.6 Redis 工具类 2.2.6 Java系统监控测试类 3、backend 3.0.1 po...
【稻草人问答项目—Day02Spring-Security 验证以及授权框架、使用Bcrypt算法加密、自定义登陆页面
qq_44682003的博客
03-15 767
【稻草人问答项目—Day02Spring-Security 验证以及授权框架、使用Bcrypt算法加密、自定义登陆页面 Day01 项目:【稻草人问答项目—Day01】环境搭建、数据库的连接、LOMBOK框架、MYbatis Plus Generator 代码生成器 接着Day 01项目继续往下进行 一、Spring安全框架的概述以及使用 1. Spring安全框架概述 不是随随便便的一个人就可以访问我们的网站页面,获取数据,那样我们的网站会很不安全,容易被黑客攻击;为此我们要给我们的网站做一些安.
小程序(二)shiro+jwt登录认证
weixin_38380811的博客
02-16 1697
小程序(二)shiro+jwt
uniapp和springboot微信小程序开发实战:后端架构搭建之使用shiro和jwt实现登录认证
xuemeng2016的专栏
06-19 2198
认证就是要核验用户的身份,比如说通过用户名和密码来检验用户的身份。说简单一些,认证就 是登陆。登陆之后Shiro要记录用户成功登陆的凭证。授权是比认证更加精细度的划分用户的行为。比如说一个教务管理系统中,学生登陆之后只能查 看信息,不能修改信息。而班主任就可以修改学生的信息。这就是利用授权来限定不同身份用户 的行为。修改配置文件,增加如下内容jwt:#密钥#令牌过期时间(天)expire: 5#令牌缓存时间(天数)
手把手教你Shiro整合JWT实现登录认证
Huangjiazhen711的博客
10-25 6027
Component/*** 限定这个realm只能处理JwtToken*/@Override}/*** 授权(授权部分这里就省略了)*/@Override// 获取到用户名,查询用户权限}/*** 认证*/@Override// 获取token信息// 校验token:未校验通过或者已过期if (!throw new AuthenticationException("token已失效,请重新登录");}//用户信息。
Shiro+JWT超详解
热门推荐
qq_39159736的博客
05-07 1万+
首先我们来分别看看shiro和jwt的作用: shiro: jwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 7895
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2586
1.shiro,jwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证和授权Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
企业员工角色权限管理平台SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring BootSpring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
Shiro和JWT简介
小青龙,创造,变强
02-27 906
Shiro和JWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt Shiro和JWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt Shiro和JWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt Shiro和JWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt Shiro和JWT简介 什么是Shiro? 什么是JWT? 什么是Shiro。什么是jwt
从零构建后端项目-配置Shiro+JWT
chengbo_eva的博客
06-20 2231
从零构建后端项目-配置Shiro+JWT 进阶篇
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 9198
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 ShiroJava的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Springboot+shiro权限框架实战教程与项目配置指南
资源摘要信息:"Springboot+shiro权限管理(初学者练手必备快速掌握理解shiro权限框架)" 1. 开发环境配置知识点 - 操作系统要求:Windows 7及以上版本,这是运行项目的基础环境。 - JDK版本要求:1.7及以上版本,保证...
评论 40
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT派同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值