Shiro实现授权

于 2023-05-19 00:57:05 发布
阅读量192 收藏
点赞数
文章标签: java spring mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Healerjy/article/details/130755583
版权
文章介绍了如何在SpringBoot应用中使用ApacheShiro进行用户授权。主要步骤包括在数据库的user表中添加perm字段,修改实体类、mapper、service和controller接口,编写Shiro配置类,设置过滤器链,创建自定义的Realm类进行认证和授权。测试部分展示了根据用户权限判断访问权限。
摘要由CSDN通过智能技术生成

1、Shiro实现授权

实现步骤:

  1. 在数据库的user表中添加perm字段用于权限的判断

在这里插入图片描述

  1. 修改实体类 mapper、service、controller接口同上

  2. 编写shiro配置类

    package com.gjy.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    //ShiroFilterFactoryBean  3
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(securityManager);

        //添加shiro的内置过滤器
        /*
           anon:无需认证就可以访问
           authc:必须认证才能访问
           user:必须拥有记住我功能才能用
           perms:拥有对某个资源的权限才能访问
           role:拥有对某个角色的权限才能访问
         */
        Map<String, String> filterMap = new LinkedHashMap<>();
        //授权, 正常情况下,没有授权会跳到未授权页面
        filterMap.put("/user/add","perms[user:add]");
        filterMap.put("/user/update","perms[user:update]");

        filterMap.put("/user/*", "authc");

        bean.setFilterChainDefinitionMap(filterMap);
        bean.setLoginUrl("/toLogin");//设置登录请求
        bean.setUnauthorizedUrl("/unauthorized");//设置未授权请求
        return bean;
    }

    //DefaultWebSecurityManager  2
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联userRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建realm对象    1
    @Bean(name = "userRealm")
    public UserRealm userRealm() {
        return new UserRealm();
    }
}

  3. 编写Realm类

    package com.gjy.config;

import com.gjy.pojo.User;
import com.gjy.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

//自定义的realm     extends AuthorizingRealm
public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了=》授权doGetAuthorizationInfo");
        //为用户进行授权
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //获取当前登录的对象
        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User) subject.getPrincipal();//获取当前user对象
        //设置当前用户的权限
        info.addStringPermission(currentUser.getPerm());
        //return info
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了=》认证doGetAuthorizationInfo");

        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        //连接真实的数据库
        User user = userService.queryUserByName(usernamePasswordToken.getUsername());
        if (user == null) {
            return null;//UnknownAccountException
        }
        //密码认证,shiro来做
        //可以对密码进行加密: MD5加密  MD5盐值加密
        return new SimpleAuthenticationInfo(user, user.getPwd(), "");
    }
}

  4. 测试:根据用户的权限进行判断能否进行访问

Healerjy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro认证流程和授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
shiro授权
yzq102873的博客
08-29 983
shiro授权
Shiro动态权限(整合Spring Boot)
qq_53432338的博客
06-27 2077
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户的权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求都需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro授权
weixin_50020236的博客
07-11 706
shiro 授权
Shiro授权、整合Spirng、Shiro过滤器】
最新发布
qq_53058639的博客
01-13 327
一般地,我们的权限都是从数据库中查询的,并不是根据我们的配置文件来进行配对的。因此我们需要自定义reaml,让reaml去对比的是数据库查询出来的权限shiro-realm.ini配置文件:将自定义的reaml信息注入到安全管理器中[main]#自定义 realm#将realm设置到securityManager,相当 于spring中注入我们上次已经使用过了一个自定义reaml,当时候仅仅重写了doGetAuthenticationInfo()方法,
shiro 动态授权(单一版)
分享日常bug
11-11 202
在整个授权当中目前实现的是单个用户指定的单个接口未授权不可访问大家可以开一下脑洞实现一下多点关联即可!提示:以下是本篇文章正文内容,下面案例可供参考这个实现方案只不过是一个小小的demo!后续会更新 这种方式是比较单一的,有时间更新一对多动态授权
Shiro系列-Shiro的怎么进行授权操作
初学者
10-31 2742
导语   之前的分享中,提到了Shiro的简单介绍,知道了Shiro是什么,作用是什么,以及用户身份认证。那么完成用户身份认证之后又需要干点啥呢?在用户身份认证之后接下来就要要根据用户身份角色信息进行授权操作,也就是说那些资源或者那些操作是用户可以访问的,那些资源是不可以使用的。那么接下来就来看看Shiro授权怎么实现 文章目录Shiro授权概念主体(Subject)资源(Resource)权...
shiro登录,授权源码简单分析
weixin_43915064的博客
01-06 642
文章目录shiro简介概念架构特色架构shiro使用架构 shiro简介 概念 Apache Shiro是一个强大且安全易用的Java安全框架,可以完成:认证、授权、加密、会话管理、缓存等。与SpringSecurity相比较简单的多,学习成本比较低。 架构 特色 **Authentication:**用户登录认证。 **Authorization:**用户权限认证,如用户拥有的角色,权限。 Session Management:会话管理,保存用户登录的会话信息。 **Cryptography:**加密
Shiro学习笔记(四):Shiro中的授权
m0_67402731的博客
08-24 250
授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。
Shiro实战教程之shiro中的授权04
helloworld工程师的博客
03-19 192
Shiro实战教程之shiro中的授权04 5.1 授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 5.2 关键对象 授权可简单理解为who对what(which)进行How操作: Who,即主体(Subject),主体需要访问系统中的资源。 What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号
shiro授权及自定义Realm实现授权
qq_25432245的博客
12-26 721
授权:给身份认证通过的人,授予他可以访问某些资源的权限。 权限粒度:分为粗粒度和细粒度。粗粒度:对user的crud。也就是对表的操作。细粒度:是对记录的操作。如:只允许查询id为1的user的工资。Shiro一般管理的时粗粒度的权限。比如:菜单、按钮、url。一般细粒度的权限是通过业务来控制的。      3. 权限表示规则:资源:操作:实例。可以用通配符表示。           ...
Shiro授权管理与授权的三种方式(1、编程方式,2、注解方式,3、jsp标签)-yellowcong
12-20 5885
授权管理,三种方式,其中注解和jsp的方式在开发中用得比较的多,但是对于编程的方式完成注解,在实际开发中,用得不是特别多。这一节,讲解shiro如何完成授权的,授权操作,需要在Reaml中,实现doGetAuthorizationInfo 方法,多Reaml的情况下, 只要一个Reaml中满足条件,就会执行
shiro权限框架详解05-shiro授权
在路上
02-07 6319
介绍shiro授权的流程、自定义realm实现授权
shiro授权(一)访问控制(*)
weixin_42408447的博客
11-17 768
一.简介 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作),其中包括如下对象: 1. 主体 即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有在授权后才允许访问相应的资源。 2. 资源 在应用中用户可以访问的任何东西,比如访问JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。 3. 权限 权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限
shiro-身份授权流程、案例
OneMaruko的博客
03-21 807
一、身份授权流程 首先调用Subject.isPermitted/hasRole接口,委托给SecurityManager. SecurityManager接着会委托给内部组件Authorizer. Authorizer再将其请求委托给我们的Realm去做,Realm才是真正干活的. realm将用户请求的参数封装成权限对象,再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合. Realm将用户传入的权限对象,与数据库查询出来的权限对象进行比较。如果用户掺入的权
Shiro授权的基本流程
lm2574866671的博客
09-19 685
Shiro授权流程 用户访问系统资源时的授权流程如下: 系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager SecurityManager将权限检测操作委托给Authorizer授权管理器对象 Authorizer授权管理器将用户信息委托给realm Realm访问数据库获取用户权限信息(有没有权限,有什么样的权限)并封装 Authorizer对用户授权信息进行判定(判断用户访问资源时需要什么权限,假如用户所具有的权限包含这个资源访问时
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值