Shiro登录权限

最新推荐文章于 2022-09-26 10:55:31 发布
最新推荐文章于 2022-09-26 10:55:31 发布
阅读量326 收藏
点赞数
文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gelouc/article/details/114494728
版权

Shiro登录权限

shiro是一个轻量级的安全框架,可以使用注解快速的实现权限管理。

权限管理

权限管理属于系统安全的范畴, 权限管理实现对用户访问系统的控制。按照安全规则或则是安全策略, 控制用户可以访问且只能访问自己被授权的资源。
权限管理包括用户身份验证和授权两部分, 简称认证授权, 对用户进行身份认证,认证通过后才可以访问可以访问的资源

认证

认证是关于验证的凭据,如用户名/用户ID和密码,以验证用户身份。
一般通过账户管理实现,账户管理和用户管理相关,在简单系统中用户和账户混淆使用。在标准系统中,用户和账户相互关联,账户是用于认证的凭据,而用户是标识账户身份的信息。

授权

授权发生在系统成功验证用户身份后,根据用户拥有权限终会授予用户访问的资源。
一般和角色关联,角色是一组服务的集合。在有些简单系统中,角色和用户组的概念混淆使用。在标准系统中,用户组和角色有关联也有区别,用户组用于描述用户群集,而角色用于描述服务群集,给用户组或用户赋予角色的过程就是授权。

实现认证和授权的整体思路

客户端访问服务端,服务端对请求进行认证,主要包括用户名和密码是否正确,如果认证成功会给客户端颁发一个凭证token,后面客户端再访问服务端的时候都要携带这个token,如果不携带或者token被篡改,都会认证失败!如果token认证成功,客户端访问资源,那么此时服务端还会去认证该用户是否有访问此资源的权利!如果此用户没有访问这个资源的权利,同样会访问失败!

导入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.3</version>
</dependency>
<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.4.0</version>
</dependency>

jwt:JSON Web Token,由请求头、请求体和签名3部分组成,它主要用来认证。

配置Shiro的Config

@Configuration
public class ShiroConfig {
    @Resource
    private IFunctionInfoService functionInfoService;
    /**
     * 配置Shiro核心 安全管理器 SecurityManager
     * SecurityManager安全管理器:所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;负责与后边介绍的其他组件进行交互。(类似于SpringMVC中的DispatcherServlet控制器)
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //将自定义的realm交给SecurityManager管理
        securityManager.setRealm(customRealm());
        return securityManager;
    }
    /**
     * 配置Shiro的Web过滤器,拦截浏览器请求并交给SecurityManager处理
     *
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean webFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //配置拦截链 使用LinkedHashMap,因为LinkedHashMap是有序的,shiro会根据添加的顺序进行拦截
        // Map<K,V> K指的是拦截的url V值的是该url是否拦截
        Map<String, String> filterChainMap = new LinkedHashMap<String, String>(16);
        // 配置不需要进行身份认证的路径,其中anon表示不需要认证
        filterChainMap.put("/users/login", "anon");
        filterChainMap.put("/swagger-ui.html", "anon");
        filterChainMap.put("/webjars/**", "anon");
        filterChainMap.put("/swagger-resources/**", "anon");
        filterChainMap.put("/v2/api-docs", "anon");

        List<FunctionInfoBean> functionInfoBeans = functionInfoService.list();
        for(FunctionInfoBean functionInfoBean : functionInfoBeans){
            if(functionInfoBean.getFuncPath() != null && !functionInfoBean.equals("")){
                filterChainMap.put(functionInfoBean.getFuncPath(),"perms["+functionInfoBean.getFuncName()+"]");
            }
        }


        // 配置需要进行身份认证的路径。/**表示所有路径
        filterChainMap.put("/**", "authc");
        // 当认证失败后跳转的路径
        //设置拦截请求后跳转的URL.
        shiroFilterFactoryBean.setUnauthorizedUrl("/authorization_fail");
        shiroFilterFactoryBean.setLoginUrl("/authentication_fail");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        return shiroFilterFactoryBean;

    }
    @Bean
    public CustomRealm customRealm(){
        return new CustomRealm();
    }

    /**
     * 开启aop注解支持
     * 即在controller中使用 @RequiresPermissions("user/userList")
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor attributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        //设置安全管理器
        attributeSourceAdvisor.setSecurityManager(securityManager);
        return attributeSourceAdvisor;
    }

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

}

自定义Realm 认证和授权方法

自定义Realm是实现权限的关键,Realm继承Shiro框架的AuthorizingRealm抽象类,然后重写doGetAuthorizationInfo方法,在这个方法中,我们先是从客户端携带的token中取出用户名,然后根据用户名在数据库中查出该用户所拥有的角色和角色所拥有的权限,然后分别将角色和权限放到SimpleAuthorizationInfo对象中。

public class CustomRealm extends AuthorizingRealm {
    @Resource
    private IUserInfoService userInfoService;
    @Resource
    private IFunctionInfoService functionInfoService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前登录的用户
        UserInfoBean userInfoBean = (UserInfoBean) principalCollection.getPrimaryPrincipal();
        //通过SimpleAuthenticationInfo做授权
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 得到当前用户包含的所有角色
        List<RoleInfoBean> roleInfoBeans = userInfoBean.getRoleInfoBeans();
        List<FunctionInfoBean> functionInfoBeans = functionInfoService.selectByRoleId(roleInfoBeans);
        for (RoleInfoBean role : roleInfoBeans) {
            //添加角色
            simpleAuthorizationInfo.addRole(role.getRoleName());
        }
        for (FunctionInfoBean function : functionInfoBeans) {
            //添加权限
            simpleAuthorizationInfo.addStringPermission(function.getFuncName());
        }
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 身份认证的操作
        //1.获取用户输入的账号
        String username = (String) authenticationToken.getPrincipal();
        //2.通过username从数据库中查找到user实体
        UserInfoBean userInfoBean = userInfoService.selectByUserName(username);
        if (userInfoBean == null) {
            return null;

        }
        //3.通过SimpleAuthenticationInfo做身份处理
        SimpleAuthenticationInfo simpleAuthenticationInfo =
                new SimpleAuthenticationInfo(userInfoBean, userInfoBean.getUserPass(), getName());
        //4.返回身份处理对象
        return simpleAuthenticationInfo;

    }
}

登录的Controller

	@ApiOperation("登录方法")
    @PostMapping("/login")
    public Object login(String userName, String userPass) throws GlobalHandleException {
    // 把用户输入的账号和密码封装到shiro框架提供的token对象中
        UsernamePasswordToken token = new UsernamePasswordToken(userName, DigestUtils.sha256Hex(userPass));
        Subject currentUser = SecurityUtils.getSubject();
        try{
            //主体提交登录请求到SecurityManager
            currentUser.login(token);
        }catch(IncorrectCredentialsException ice){
            throw new GlobalHandleException(ResultCode.USER_PASS_ERROR);
        }catch (UnknownAccountException uae){
            throw new GlobalHandleException(ResultCode.USER_NOT_EXIST);
        }catch (AuthenticationException ae){
            throw new GlobalHandleException(ResultCode.USER_AUTHENTICATION_ERROR);
        }catch (AuthorizationException ae){
            throw new GlobalHandleException(ResultCode.USER_AUTHORIZATION_ERROR);
        }
        return currentUser.getPrincipal();
    }

Shiro注解

  1. RequiresAuthentication:

  2. 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。

  3. RequiresGuest:

    使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。

  4. RequiresPermissions:

    当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。

  5. RequiresRoles:

    当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。

  6. RequiresUser:

    当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。

Gelouc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springmvc集成shiro登录权限示例代码
08-31
Shiro 提供了一套简洁而强大的安全框架,能够轻松地处理登录权限控制、会话管理等常见的安全问题。 在集成 Shiro 的过程中,首先需要在项目中添加相关的依赖。在这个示例中,使用的依赖版本为:Spring 4.1.4....
spring mvc整合shiro登录 权限验证实例下载
05-07
本文将详细介绍如何整合Spring MVC与Shiro进行用户登录、注销以及权限验证的实例。 首先,Spring MVC是Spring框架的一部分,它提供了一种模型驱动的开发方式,使得开发者可以更方便地构建RESTful的Web服务。它的...
Spring整合shiro遇到的坑:web启动后html界面无法访问js目录
qq_40872877的博客
10-14 183
问题的发生 将shiro整合到spring中时,html界面引用webapp目录下的js文件,访问静态html页面时,可以正常访问,但执行跳转页面无法识别js语句 查阅资料之后找到原因:js文件是静态资源被后端拦截 原因就是spring整合shiro之后访问项目中的资源需要先经过shiroshiroFilter过滤器(代理了整个web的Filter),再经过springMVC的的拦截器 因此,想要解决问题需要在过滤器已经拦截器中对js文件进行放行,才能实现登录跳转功能 ...
【SpringBoot框架篇】15.使用shiro对web应用进行权限认证
皓亮君的博客
07-08 2283
使用shiro对web应用进行权限认证
Shiro权限管理
最新发布
sharesb的博客
09-26 694
使用springboot的异常捕获器处理异常,会捕获所有在controller层发生的异常,返回值直接返回给用户,不需要controller层添加 对应的@RequestMapping,也不需要shiro过滤器开启对应页面的filertmap放行。只能用于前后端未分离项目。且只是不显示对应标签,用户如果在浏览器直接输入路径,还是能访问的,所以要配合第二三种使用。不同于前两种,必须要拦截一个路径,这种方法不需要拦截路径,所以可以用在service层,用户必须具有某个权。当权限不足时,跳转到如下页面。
shiro进行权限控制的四种方式
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
Shiro权限控制,获取当前登录用户信息
weixin_34503526的博客
01-03 2840
1.在自定义 UserRealm,doGetAuthenticationInfo 方法中 ,设置 登录用户userInfo return new SimpleAuthenticationInfo(userInfo, token, "userRealm"); protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException { // ..
shiro 权限 ssm
08-18
在这个"shiro 权限 ssm"的例子中,我们将探讨如何在基于SpringMVC、Spring和MyBatis(SSM)的环境中集成Shiro来实现用户登录权限控制。 首先,Shiro的核心组件包括Subject(主体,通常代表用户)、...
vue与shiro结合实现权限按钮
12-15
Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度权限管理,如按钮级别的权限控制。本文将详细介绍如何在Vue项目中结合Shiro实现这一功能,以及所需的前置技术。 ...
shiro权限案例demo
07-18
在这个"shiro权限案例demo"中,我们将深入探讨Shiro如何实现用户权限的管理。 首先,让我们了解Shiro的核心组件: 1. **Subject**:是Shiro的中心概念,代表了当前“安全的用户”。它提供了进行认证、授权、会话...
Shiro授权登录讲解+实战
wZh3121的博客
09-14 1476
前言 Shiro 是什么? Shiro 是一个功能强大且易于使用还很灵活的 Java 开源安全框架; 可以干净地处理身份验证、授权、企业会话管理、单点登录和加密服务。 出自 Apache 、也叫 Apache Shiro Shiro 能干什么? 1)验证用户身份; 2)用户访问控制;比如用户是否被赋予了某个角色,是否允许访问某些资源 3)会话管理 4)事件响应(在身份验证,访问控制期间,或session生命周期中) 5)集成多种用户信息数据源 6)SSO单点登录、记住我、加密、缓存
放开shiro 拦截
bantiao4227的博客
08-17 762
@Bean(name="shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) { //安全事务管理器工厂类 ShiroFilterFactoryBean bean=new ShiroFilterF...
关于shiro放开某个接口或者某个html权限
gaochenglong1的博客
07-16 5203
如果对你有用,请帮忙点一个赞。 1、找到shiroConfig配置文件 2、找到这个配置文件里的Shiro过滤器配置 3、在这个方法里加上你需要放开的权限 4、测试访问
Spring Boot Shiro 权限管理
热门推荐
小单的博客专栏
01-14 15万+
本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro权限管理,就先总结下发出来了。使用Shiro之前用在Spring MVC中,是通过XML文件进行配置。 既然现在在写Spring Boot的帖子,就将Shiro应用到Spring Boot中,我本地已经完成了SpringBoot使用Shiro的实例,将配置方法共享一下。先简单介绍一下Shiro,对于没有用过Shiro
shiro进行登录认证和授权
shenhy95的博客
04-15 6337
1.Shiro核心架构 三个常用过滤器 anno:不需要任何权限即可访问资源 authc:需要登录权限才可以访问资源 perms:需要指定的权限才能访问目标资源
Spring Boot(十二):Shiro登录认证和权限管理
qq_25432245的博客
10-30 1204
前言 这篇文章来学习如何使用 Spring Boot 集成 Apache Shiro 。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在 Java 领域一般有 Spring Security、 Apache Shiro 等安全框架,但是由于 Spring Security 过于庞大和复杂,并且依赖spring环境;而Apache Shiro就相对独立,最主要是因为shi...
springboot项目中使用shiro实现用户登录以及权限的验证
做笔记\记录遇到的程序bug
11-02 4732
建立spring boot项目。 目录结构这个样子的 项目的jar包依赖 <dependencies> <!--整合shiro subject:用户 security manager:管理所有的用户 realm:连接数据库 --> <dependency> <groupId>org.apache.shiro&lt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值