Shiro登录权限

于 2021-03-07 19:49:37 发布
阅读量326 收藏
点赞数
文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gelouc/article/details/114494728
版权

Shiro登录权限

shiro是一个轻量级的安全框架,可以使用注解快速的实现权限管理。

权限管理

权限管理属于系统安全的范畴, 权限管理实现对用户访问系统的控制。按照安全规则或则是安全策略, 控制用户可以访问且只能访问自己被授权的资源。
权限管理包括用户身份验证和授权两部分, 简称认证授权, 对用户进行身份认证,认证通过后才可以访问可以访问的资源

认证

认证是关于验证的凭据,如用户名/用户ID和密码,以验证用户身份。
一般通过账户管理实现,账户管理和用户管理相关,在简单系统中用户和账户混淆使用。在标准系统中,用户和账户相互关联,账户是用于认证的凭据,而用户是标识账户身份的信息。

授权

授权发生在系统成功验证用户身份后,根据用户拥有权限终会授予用户访问的资源。
一般和角色关联,角色是一组服务的集合。在有些简单系统中,角色和用户组的概念混淆使用。在标准系统中,用户组和角色有关联也有区别,用户组用于描述用户群集,而角色用于描述服务群集,给用户组或用户赋予角色的过程就是授权。

实现认证和授权的整体思路

客户端访问服务端,服务端对请求进行认证,主要包括用户名和密码是否正确,如果认证成功会给客户端颁发一个凭证token,后面客户端再访问服务端的时候都要携带这个token,如果不携带或者token被篡改,都会认证失败!如果token认证成功,客户端访问资源,那么此时服务端还会去认证该用户是否有访问此资源的权利!如果此用户没有访问这个资源的权利,同样会访问失败!

导入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.3</version>
</dependency>
<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.4.0</version>
</dependency>

jwt:JSON Web Token,由请求头、请求体和签名3部分组成,它主要用来认证。

配置Shiro的Config

@Configuration
public class ShiroConfig {
    @Resource
    private IFunctionInfoService functionInfoService;
    /**
     * 配置Shiro核心 安全管理器 SecurityManager
     * SecurityManager安全管理器:所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;负责与后边介绍的其他组件进行交互。(类似于SpringMVC中的DispatcherServlet控制器)
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //将自定义的realm交给SecurityManager管理
        securityManager.setRealm(customRealm());
        return securityManager;
    }
    /**
     * 配置Shiro的Web过滤器,拦截浏览器请求并交给SecurityManager处理
     *
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean webFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //配置拦截链 使用LinkedHashMap,因为LinkedHashMap是有序的,shiro会根据添加的顺序进行拦截
        // Map<K,V> K指的是拦截的url V值的是该url是否拦截
        Map<String, String> filterChainMap = new LinkedHashMap<String, String>(16);
        // 配置不需要进行身份认证的路径,其中anon表示不需要认证
        filterChainMap.put("/users/login", "anon");
        filterChainMap.put("/swagger-ui.html", "anon");
        filterChainMap.put("/webjars/**", "anon");
        filterChainMap.put("/swagger-resources/**", "anon");
        filterChainMap.put("/v2/api-docs", "anon");

        List<FunctionInfoBean> functionInfoBeans = functionInfoService.list();
        for(FunctionInfoBean functionInfoBean : functionInfoBeans){
            if(functionInfoBean.getFuncPath() != null && !functionInfoBean.equals("")){
                filterChainMap.put(functionInfoBean.getFuncPath(),"perms["+functionInfoBean.getFuncName()+"]");
            }
        }


        // 配置需要进行身份认证的路径。/**表示所有路径
        filterChainMap.put("/**", "authc");
        // 当认证失败后跳转的路径
        //设置拦截请求后跳转的URL.
        shiroFilterFactoryBean.setUnauthorizedUrl("/authorization_fail");
        shiroFilterFactoryBean.setLoginUrl("/authentication_fail");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        return shiroFilterFactoryBean;

    }
    @Bean
    public CustomRealm customRealm(){
        return new CustomRealm();
    }

    /**
     * 开启aop注解支持
     * 即在controller中使用 @RequiresPermissions("user/userList")
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor attributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        //设置安全管理器
        attributeSourceAdvisor.setSecurityManager(securityManager);
        return attributeSourceAdvisor;
    }

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

}

自定义Realm 认证和授权方法

自定义Realm是实现权限的关键,Realm继承Shiro框架的AuthorizingRealm抽象类,然后重写doGetAuthorizationInfo方法,在这个方法中,我们先是从客户端携带的token中取出用户名,然后根据用户名在数据库中查出该用户所拥有的角色和角色所拥有的权限,然后分别将角色和权限放到SimpleAuthorizationInfo对象中。

public class CustomRealm extends AuthorizingRealm {
    @Resource
    private IUserInfoService userInfoService;
    @Resource
    private IFunctionInfoService functionInfoService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前登录的用户
        UserInfoBean userInfoBean = (UserInfoBean) principalCollection.getPrimaryPrincipal();
        //通过SimpleAuthenticationInfo做授权
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 得到当前用户包含的所有角色
        List<RoleInfoBean> roleInfoBeans = userInfoBean.getRoleInfoBeans();
        List<FunctionInfoBean> functionInfoBeans = functionInfoService.selectByRoleId(roleInfoBeans);
        for (RoleInfoBean role : roleInfoBeans) {
            //添加角色
            simpleAuthorizationInfo.addRole(role.getRoleName());
        }
        for (FunctionInfoBean function : functionInfoBeans) {
            //添加权限
            simpleAuthorizationInfo.addStringPermission(function.getFuncName());
        }
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 身份认证的操作
        //1.获取用户输入的账号
        String username = (String) authenticationToken.getPrincipal();
        //2.通过username从数据库中查找到user实体
        UserInfoBean userInfoBean = userInfoService.selectByUserName(username);
        if (userInfoBean == null) {
            return null;

        }
        //3.通过SimpleAuthenticationInfo做身份处理
        SimpleAuthenticationInfo simpleAuthenticationInfo =
                new SimpleAuthenticationInfo(userInfoBean, userInfoBean.getUserPass(), getName());
        //4.返回身份处理对象
        return simpleAuthenticationInfo;

    }
}

登录的Controller

	@ApiOperation("登录方法")
    @PostMapping("/login")
    public Object login(String userName, String userPass) throws GlobalHandleException {
    // 把用户输入的账号和密码封装到shiro框架提供的token对象中
        UsernamePasswordToken token = new UsernamePasswordToken(userName, DigestUtils.sha256Hex(userPass));
        Subject currentUser = SecurityUtils.getSubject();
        try{
            //主体提交登录请求到SecurityManager
            currentUser.login(token);
        }catch(IncorrectCredentialsException ice){
            throw new GlobalHandleException(ResultCode.USER_PASS_ERROR);
        }catch (UnknownAccountException uae){
            throw new GlobalHandleException(ResultCode.USER_NOT_EXIST);
        }catch (AuthenticationException ae){
            throw new GlobalHandleException(ResultCode.USER_AUTHENTICATION_ERROR);
        }catch (AuthorizationException ae){
            throw new GlobalHandleException(ResultCode.USER_AUTHORIZATION_ERROR);
        }
        return currentUser.getPrincipal();
    }

Shiro注解

  1. RequiresAuthentication:

  2. 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。

  3. RequiresGuest:

    使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。

  4. RequiresPermissions:

    当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。

  5. RequiresRoles:

    当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。

  6. RequiresUser:

    当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。

Gelouc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
springmvc集成shiro登录权限示例代码
08-31
Shiro 提供了一套简洁而强大的安全框架,能够轻松地处理登录权限控制、会话管理等常见的安全问题。 在集成 Shiro 的过程中,首先需要在项目中添加相关的依赖。在这个示例中,使用的依赖版本为:Spring 4.1.4....
Shiro 权限登录
李先生的技术博客
08-28 235
Shiro是一款非常强大的安全框架,他可以帮助我们做身份验证,授权,密码学以及会话管理,今天我们就聊聊shiro的授权。 首先我们得确定下授权方案,我们需要用到五张表:用户表、权限表、角色表、用户角色表、角色权限表。 接下来我们开始配置Shiro。 第一步:加入依赖。 第二步:更改web.xml配置。 第三步:添加shiro-shiro.xml配置。 第四步:在springMVC加入S...
权限登录(shiro) 项目一
程序哈哈的博客
04-05 457
jar包 在jzs_web中加入 <!--权限验证依赖--> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-all --> <dependency> <groupId>org.apache.shiro</gr...
Shiro登录权限管理
weixin_42340366的博客
05-30 312
easyShiro github地址 使用shiro+springboot+mybatis实现简单的登录权限管理,使用自定义权限注解实现权限管理。 数据库表user 字段名 示例 id 1 username 1 password 1 数据库表auth 字段名 示例 id 1 username 1 role user permission user:hi 快速上手 建立数据库 配置数据库连接 server.port=8080 #shiro
shiro用户登录权限管理
weixin_30414305的博客
12-09 228
shiro能做什么? 登录验证:不是登录用户不能访问敏感资源,只有登录了才可以访问敏感资源权限验证:不同的用户账号登录成功之后,用户所使用的功能不同 类似的安全框架:1.spring security 功能完善,学习成本偏高2.shiro 学习成本低,简单的安全框架,基本功能存在(登录认证,权限认证)3.spring mvc interceptor(拦截器) 只能做登录认证,不能做权...
spring mvc整合shiro登录 权限验证实例下载
05-07
本文将详细介绍如何整合Spring MVC与Shiro进行用户登录、注销以及权限验证的实例。 首先,Spring MVC是Spring框架的一部分,它提供了一种模型驱动的开发方式,使得开发者可以更方便地构建RESTful的Web服务。它的...
shiro 权限 ssm
08-18
在这个"shiro 权限 ssm"的例子中,我们将探讨如何在基于SpringMVC、Spring和MyBatis(SSM)的环境中集成Shiro来实现用户登录权限控制。 首先,Shiro的核心组件包括Subject(主体,通常代表用户)、...
vue与shiro结合实现权限按钮
12-15
Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度权限管理,如按钮级别的权限控制。本文将详细介绍如何在Vue项目中结合Shiro实现这一功能,以及所需的前置技术。 ...
shiro权限案例demo
07-18
在这个"shiro权限案例demo"中,我们将深入探讨Shiro如何实现用户权限的管理。 首先,让我们了解Shiro的核心组件: 1. **Subject**:是Shiro的中心概念,代表了当前“安全的用户”。它提供了进行认证、授权、会话...
aisell_shiro登录权限
Abdullahi_kanye的博客
03-20 252
一、Shiro简介 (1)shiro概念 是一个强大且易用的java安全框架 (2)shiro应用程序的四大基石 身份验证(Authentication)、授权(Authorization)、密码学(Cryptography)、会话管理(Session Management) 身份验证(Authentication):简称为登录 授权(Authorization):访问控制的过程,什么角色访问什...
shiro登录权限认证
05-25 80
权限及认证 转载于:https://www.cnblogs.com/webster1/p/5527715.html
springboot shiro 登录权限校验
Iloveskr
09-03 304
定义: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 核心组件: Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。   Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。   Secu
shiro权限控制用户登录的用法介绍
amd2015的博客
09-10 119
在互联网用户登录的时候,我们大部分的时候要对登录的用户进行权限控制 技术:shiro--- ssh 整合的代码 1 shiro 包的引入 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shi...
shiro_项目_登录权限验证
Java_pipixia的博客
08-08 358
文章目录1 Shiro登录2 完成登录认证时提交form表单3 增加方法---按回车键提交到后台4 重置表单里面的内容5 注销用户功能6 解决登录过期7 权限7.1 角色用户显示所有权限7.2 初始化表格数据7.3 修改回显表格数据 1 Shiro登录 登录流程: 准备一个登录界面login.jsp 点击登录的时候,向后台传递用户名和密码 Controller层 接受参数 完成登录认证 //p...
shiro权限登录案例
qq_44349459的博客
12-18 206
shiro登录案例 流程:从登陆页面访问进入controller,获取对象主体,在shiro.config中配置过滤器工厂(getShiroFilterFactoryBean),这里进行系统资源配置,注册安全管理器,注册自定义realm,进行md5加密,配置shiro缓存,在realm中,配置认证器、授权器,但是登陆首先是使用认证器,密码使用md5,并且加盐处理,与数据库账号密码匹配。验...
shiro实现登陆认证和权限管理
BushRo
07-12 1692
ApacheShiroJava 的一个安全(权限)框架。 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 功能介绍 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的...
【SpringBoot框架篇】15.使用shiro对web应用进行权限认证
皓亮君的博客
07-08 2285
使用shiro对web应用进行权限认证
shiro框架---关于项目按钮权限控制的配置要点
凌大大的博客
02-22 9529
shiro框架里按钮的权限控制 上一篇文章shiro框架—关于用户登录权限验证功能的实现步骤(六)   通过前几篇的文章里,写了关于数据库建表、shiro框架在springboot中的配置步骤、以及登录时的shiro验证的接口。   因为对于功能中系统 、模块 、菜单 的类型,都统一根据条件sql查询返回给前端,由前端控制起来,而剩下的操作 类型,也就是按钮,是通过shiro的标签来维护的...
Shiro权限管理框架:认证与授权详解
"Shiro权限管理框架详解" Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。本文将深入探讨Shiro框架在权限管理中的应用。 1. 权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值