spring boot整合shiro 简单权限控制

最新推荐文章于 2024-04-26 16:43:32 发布
最新推荐文章于 2024-04-26 16:43:32 发布
阅读量870 收藏 1
点赞数
分类专栏: Java spring boot shiro 文章标签: spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hello_l/article/details/79848626
版权
Java 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
spring boot
1 篇文章 0 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

package me.config;

import javax.annotation.Resource;

import me.domain.entity.CmsUser;
import me.service.UserService;
import me.utils.MD5Util;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cache.support.SimpleCacheManager;

import java.util.List;
import java.util.Map;

/**
* 身份校验核心类;
* @author gjy
* @version v.1.0
*/
public class MyShiroRealm extends AuthorizingRealm{

// @Override
// public boolean supports(AuthenticationToken token) {
return super.supports(token);
// 仅支持UsernamePasswordToken 类型的Token
// return token instanceof UsernamePasswordToken;
// }

@Resource
private UserService userService;
/**
 * 认证信息.(身份验证)
 * :
 * Authentication 是用来验证用户身份
 * @param token
 * @return
 * @throws AuthenticationException
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    System.out.println("MyShiroRealm.doGetAuthenticationInfo()");

    //加这一步的目的是在Post请求的时候会先进认证,然后在到请求
    if (token.getPrincipal() == null) {
        return null;
    }
    //获取用户的输入的账号.
    String username = (String) token.getPrincipal();
    //通过username从数据库中查找 User对象,如果找到,没找到.
    //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
    CmsUser cmsUser = userService.getCmsUserByUsername(username);

    //加密方式;
    //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配
    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
            username, //用户名
            MD5Util.getMD5(cmsUser.getPasswd()), //密码
     //       ByteSource.Util.bytes(lists.get(0).get("password").toString()),//salt=username+salt

            getName()  //realm name
    );
    return authenticationInfo;
}



/**
 * 此方法调用  hasRole,hasPermission的时候才会进行回调.
 *
 * 权限信息.(授权):
 * 1、如果用户正常退出,缓存自动清空;
 * 2、如果用户非正常退出,缓存自动清空;
 * 3、如果我们修改了用户的权限,而用户不退出系统,修改的权限无法立即生效。
 * (需要手动编程进行实现;放在service进行调用)
 * 在权限修改后调用realm中的方法,realm已经由spring管理,所以从spring中获取realm实例,
 * 调用clearCached方法;
 * :Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
 * @param principals
 * @return
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    /*
     * 当没有使用缓存的时候,不断刷新页面的话,这个代码会不断执行,
     * 当其实没有必要每次都重新设置权限信息,所以我们需要放到缓存中进行管理;
     * 当放到缓存中时,这样的话,doGetAuthorizationInfo就只会执行一次了,
     * 缓存过期之后会再次执行。
     */
    System.out.println("权限配置-->MyShiroRealm.doGetAuthorizationInfo()");
    //获取登录用户名
    String username= (String) principals.getPrimaryPrincipal();
    SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

    //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
    List<Map<String,Object>> lists = userService.getAuthorizationInfo(username);
    ///在认证成功之后返回.
    //设置角色信息.
    //支持 Set集合,
    //用户的角色对应的所有权限,如果只使用角色定义访问权限,下面的四行可以不要
    for(Map<String,Object> map:lists){
        authorizationInfo.addRole(map.get("role").toString());
        for(Map<String,Object> map1:lists){
            authorizationInfo.addStringPermission(map1.get("permission").toString());

        }
    }
    //authorizationInfo.addRole("admin");
    //添加权限
    //authorizationInfo.addStringPermission("admin:manage");
    //设置权限信息.

// authorizationInfo.setStringPermissions(getStringPermissions());

    return authorizationInfo;
}

public void clearCached() {
    PrincipalCollection principals = SecurityUtils.getSubject().getPrincipals();
    super.clearCache(principals);
}

/**
 * 将权限对象中的 权限code取出.
 * @param permissions
 * @return
 */

// public Set getStringPermissions(Set permissions){
// Set stringPermissions = new HashSet();
// if(permissions != null){
// for(SysPermission p : permissions) {
// stringPermissions.add(p.getPermission());
// }
// }
// return stringPermissions;
// }

}

package me.config;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
* Shiro 配置
*
Apache Shiro 核心通过 Filter 来实现,就好像SpringMvc 通过DispachServlet 来主控制一样。
既然是使用 Filter 一般也就能猜到,是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。
*
* @author gjy
* @version v 1.0
*/
@Configuration
public class ShiroConfiguration {
@Value(“${spring.redis.host}”)
private String host;

@Value("${spring.redis.port}")
private int port;

@Value("${spring.redis.timeout}")
private int timeout;

@Value("${spring.redis.password}")
private String password;

/**
 * ShiroFilterFactoryBean 处理拦截资源文件问题。
 * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在
 * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
 *
    Filter Chain定义说明
    1、一个URL可以配置多个Filter,使用逗号分隔
    2、当设置多个过滤器时,全部验证通过,才视为通过
    3、部分过滤器可指定参数,如perms,roles
 *
 */
@Bean
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){
    System.out.println("ShiroConfiguration.shirFilter()");
    ShiroFilterFactoryBean shiroFilterFactoryBean  = new ShiroFilterFactoryBean();

     // 必须设置 SecurityManager
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    //拦截器.
    Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

    //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
    filterChainDefinitionMap.put("/logout", "logout");

    //<!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
    filterChainDefinitionMap.put("/css/**","anon");
    filterChainDefinitionMap.put("/html/**","anon");
    filterChainDefinitionMap.put("/js/**","anon");
    filterChainDefinitionMap.put("/fonts/**","anon");
    filterChainDefinitionMap.put("/images/**","anon");
    filterChainDefinitionMap.put("/lib/**","anon");
    filterChainDefinitionMap.put("/plugins/**","anon");
    filterChainDefinitionMap.put("/static/**","anon");
    filterChainDefinitionMap.put("/home/login","anon");
    //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
    filterChainDefinitionMap.put("/**", "authc");
    // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
    shiroFilterFactoryBean.setLoginUrl("/html/login.html");
    // 登录成功后要跳转的链接
    shiroFilterFactoryBean.setSuccessUrl("/html/index.html");
    //未授权界面;
   shiroFilterFactoryBean.setUnauthorizedUrl("/html/404.html");

    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilterFactoryBean;
}

@Bean
public SecurityManager securityManager(){
    System.out.println("securityManager---->>>");
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 设置realm.
    securityManager.setRealm(myShiroRealm());
    // 自定义缓存实现 使用redis
    securityManager.setCacheManager(cacheManager());
    // 自定义session管理 使用redis
    securityManager.setSessionManager(sessionManager());
    //注入记住我管理器;
   // securityManager.setRememberMeManager(rememberMeManager());
    return securityManager;
}
/**
 * 配置shiro redisManager
 * 使用的是shiro-redis开源插件
 * @return
 */
public RedisManager redisManager() {
    RedisManager redisManager = new RedisManager();
    redisManager.setHost(host);
    redisManager.setPort(port);
    redisManager.setExpire(1800);// 配置缓存过期时间
    redisManager.setTimeout(timeout);
    redisManager.setPassword(password);
    return redisManager;
}
/**
 * cacheManager 缓存 redis实现
 * 使用的是shiro-redis开源插件
 * @return
 */
public RedisCacheManager cacheManager() {
    RedisCacheManager redisCacheManager = new RedisCacheManager();
    redisCacheManager.setRedisManager(redisManager());
    return redisCacheManager;
}
/**
 * RedisSessionDAO shiro sessionDao层的实现 通过redis
 * 使用的是shiro-redis开源插件
 */
@Bean
public RedisSessionDAO redisSessionDAO() {
    RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
    System.out.println(redisSessionDAO.getKeyPrefix()+"****----");
    redisSessionDAO.setRedisManager(redisManager());
    return redisSessionDAO;
}
/**
 * Session Manager
 * 使用的是shiro-redis开源插件
 */
@Bean
public DefaultWebSessionManager sessionManager() {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    sessionManager.setSessionDAO(redisSessionDAO());
    return sessionManager;
}
/**
 * cookie管理对象;记住我功能
 * @return
 */
public CookieRememberMeManager rememberMeManager(){
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    cookieRememberMeManager.setCookie(rememberMeCookie());
    //rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)
    cookieRememberMeManager.setCipherKey(Base64.decode(""));
    return cookieRememberMeManager;
}
/**
 * cookie对象;
 * @return
 */
public SimpleCookie rememberMeCookie(){
    //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
    SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
    //<!-- 记住我cookie生效时间30天 ,单位秒;-->
    simpleCookie.setMaxAge(2592000);
    return simpleCookie;
}

/**
 * 身份认证realm,账号密码校验;权限等;
 * @return
 */
@Bean
public MyShiroRealm myShiroRealm(){
    MyShiroRealm myShiroRealm = new MyShiroRealm();
    myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());;
    return myShiroRealm;
}

/**
 * 凭证匹配器
 * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
 *  所以我们需要修改下doGetAuthenticationInfo中的代码;
 * )
 * @return
 */
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

    hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
    hashedCredentialsMatcher.setHashIterations(1);//散列的次数,比如散列两次,相当于 md5(md5(""));

    return hashedCredentialsMatcher;
}

/**
 *  开启shiro aop注解支持.
 *  使用代理方式;所以需要开启代码支持;
 * @param securityManager
 * @return
 */
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}

}

这里再登陆加上

//添加用户认证信息

    Subject subject = SecurityUtils.getSubject();
    SecurityUtils.getSecurityManager().logout(subject);

    if(cmsUser!=null){
        cmsUser.setSessionId(subject.getSession().getId().toString());
        userService.saveCmsUser(cmsUser);
    }
    //记住我功能,暂时不要
   /* String rememberMeAsString = WebUtils.getCleanParam( request, "rememberMe");
    boolean rememberMe = false;
    if (null != rememberMeAsString) {
        rememberMe = Boolean.valueOf(rememberMeAsString);
    }*/
    AuthenticationToken token = new UsernamePasswordToken(username, PasswordUtil.generatorStoredPwd(passwd));
    //进行验证,这里可以捕获异常,然后返回对应信息
    subject.login(token);

所需的5表

习__惯
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring boot整合 Shiro实现RBAC权限控制
06-21
本项目基于Spring整合Apache Shiro框架,实现用户管理和权限控制,主要内容如下: 1.登录(带验证码),包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码123; 3.session管理:使用shiro默认的...
SpringBoot整合Shiro
u013355659的博客
12-26 215
最近一直在研究关于如何将Shiro权限框架和SpringBoot框架的集成,然后自己根据一些大佬博客文章和自己项目中使用的Shiro框架来写一篇自己理解的文章,可能在编写的过程中有不正确的地方,欢迎大家给予指正,谢谢大家。 Shiro介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用...
SpringBoot 集成 shiro权限验证
weixin_41761540的博客
03-01 3454
1. 表结构还是是用标准的5张表来展现权限。如下图: 分别为用户表,角色表,资源表,用户角色表,角色资源表。在这个demo中使用了mybatis-generator自动生成代码。运行mybatis-generator:generate -e 根据数据库中的表,生成 相应的model,mapper单表的增删改查。不过如果是导入本项目的就别运行这个命令了。新增表的话,也要修改mybatis-gener...
org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling
lansetudou的博客
03-24 909
如果 Servlet 和 Filter 在处理请求时可能会发生阻塞,可以将阻塞请求线程的操作分配到异步线程,然后将处理请求的线程归还到 Servlet 容器中的线程池,而不产生响应,当异步线程中的操作完成,异步线程可以直接产生响应或将请求重新分派到容器中的 Servlet 处理。熟悉shiro的朋友们应该知道,shiro是作为servlet的filter起作用的,一个请求被shiro拦截之后,进行一系列处理,后续在该请求的线程中才能访问到SecurityManager。的帮助在单独的线程中调用。
SpringBootShiro整合详解
Zero摄氏度的博客
08-04 2247
Apache Shiro 是一个Java的安全(权限)框架 ------- 和SpringSecurity一样是安全框架 2. Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSe环境. 3. Shiro 可以完成: 认证,授权,加密,会话管理,Web集成,缓存等...
org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible
tpaer的博客
06-13 4170
解决项目中shiro框架未找到SecurityManager
SpringBootShiro整合
fangliangke的博客
02-01 5717
本文章介绍了Spring bootshiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
shiro报错 org.apache.shiro.UnavailableSecurityManagerException
javanewnewman的博客
07-08 8368
自己照着教程搭springboot+mybatis+shiro前后端分离的一个框架。碰到了问题,几天了,很困惑,烦请知道的朋友给点建议org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apac...
SpringBoot整合Shiro(最详细)
热门推荐
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 739
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
Spring Boot整合Shiro搭建权限管理系统
03-10
Spring Boot整合Shiro搭建的一套简单权限管理系统,里面介绍了Shiro的基本用法,里面附上了代码,环境需要自己搭建(里面有图说明怎么搭建环境的),里面的代码直接复制粘贴就可以运行。感谢大家下载!
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
主要给大家介绍了关于Spring Boot集成Shiro实现动态加载权限的完整步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Spring Boot整合Shiro搭建权限管理系统教学提纲.docx
06-08
Spring Boot整合Shiro搭建权限管理系统教学提纲.docxSpring Boot整合Shiro搭建权限管理系统教学提纲.docxSpring Boot整合Shiro搭建权限管理系统教学提纲.docxSpring Boot整合Shiro搭建权限管理系统教学提纲....
Spring Boot整合Shiro搭建权限管理系统教学提纲.pdf
06-07
Spring Boot整合Shiro搭建权限管理系统教学提纲.pdfSpring Boot整合Shiro搭建权限管理系统教学提纲.pdfSpring Boot整合Shiro搭建权限管理系统教学提纲.pdfSpring Boot整合Shiro搭建权限管理系统教学提纲.pdfSpring ...
mysql 删除数据慢
Hello_l的博客
05-08 8534
最近做项目,一张单表临时数据达到3亿,非常影响数据库性能,就考虑删除表中多余的数据,就遇到这个删除数据非常缓慢的问题了! 直接上代码吧:DELETE FROM t_orders_detail WHERE pro_record_id in(SELECT a.prId FROM (SELECT pr.id AS prId FROM t_pro_record pr WHERE pr.state=3 L
mybatis 关联查询只返回一条数据
Hello_l的博客
02-29 4917
mybatis 关联查询只返回一条数据,主要原因是主键id映射错误。也就是关联的表的主键名称相同,只要给主键id取别名就可以了。
urlrewrite 中文乱码问题
Hello_l的博客
07-02 792
urlrewrite 中文乱码问题 首先检查web.xml是否进行如下配置: CharacterEncodingFilter org.springframework.web.filter.CharacterEncodingFilter encoding UTF-8
spring的CacheManager
最新发布
weixin_42594143的博客
04-26 226
上述代码中,我们通过@Cacheable注解将getUserById方法标记为需要缓存的方法,并指定缓存名称为"myCache"。当该方法被调用时,如果缓存中已经存在对应的结果,则直接返回缓存中的数据,否则执行方法体并将结果存入缓存中。需要注意的是,@Cacheable注解默认使用方法的参数作为缓存的key,因此在使用时需要保证参数的唯一性。在使用缓存的地方,可以通过@Cacheable注解来标记需要缓存的方法,并指定缓存名称。上述代码中,我们使用了用户对象的id属性作为缓存key,以保证缓存的唯一性。
spring boot整合shiro
04-03
要实现Spring Boot整合Shiro,可以按照以下步骤进行: 1. 添加依赖:在Spring Boot项目的pom.xml文件中添加Shiro和相关依赖。 2. 配置Shiro:创建一个Shiro配置类,配置Shiro的安全策略、Realm、会话管理等。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值