springboot浅整合shiro

最新推荐文章于 2024-03-20 07:40:50 发布
最新推荐文章于 2024-03-20 07:40:50 发布
阅读量151 收藏
点赞数
文章标签: spring boot java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Json_Dj/article/details/128608507
版权 
			**springboot浅整合shiro**

一.简单需求
java后端实现简单权限,角色的控制

二.核心
springboot,shiro,mybtis-plus,mysql

三.数据库设计思路
设计对应的用户表,角色表,权限表,用户角色表,角色权限表,来实现对用户分配角色,对角色分配权限等操作.
用户表(user)

CREATE TABLE `user` (
  `id` bigint NOT NULL AUTO_INCREMENT COMMENT '编号',
  `account` varchar(30) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '账号',
  `pwd` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '密码',
  `rid` bigint unsigned DEFAULT '4' COMMENT '角色编号',
  `status` int DEFAULT '1' COMMENT '状态',
  `info` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '名称信息',
  `phone` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '电话',
  `photo` varchar(1024) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '头像',
  `create_time` timestamp NULL DEFAULT NULL COMMENT '创建时间',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci ROW_FORMAT=DYNAMIC

用户表的展示

角色表(role)

CREATE TABLE `role` (
  `id` bigint NOT NULL AUTO_INCREMENT COMMENT '角色编号',
  `role_name` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '角色名称',
  `info` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '角色信息',
  `status` bigint DEFAULT '1' COMMENT '状态',
  `create_time` timestamp NULL DEFAULT NULL COMMENT '创建时间',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci ROW_FORMAT=DYNAMIC

角色表

	权限表(permission)

CREATE TABLE `permission` (
  `id` bigint NOT NULL AUTO_INCREMENT COMMENT '权限编号',
  `name` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '权限名称',
  `info` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '权限标识',
  `status` bigint DEFAULT '1' COMMENT '状态',
  `create_date` timestamp NULL DEFAULT NULL COMMENT '创建日期',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=51 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci ROW_FORMAT=DYNAMIC

权限表
用户角色(user_role)

CREATE TABLE `user_role` (
  `id` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL COMMENT '用户角色编号',
  `user_id` bigint DEFAULT NULL COMMENT '用户ID',
  `role_id` bigint DEFAULT NULL COMMENT '角色ID',
  `status` bigint DEFAULT '1' COMMENT '状态',
  `create_time` timestamp NULL DEFAULT NULL COMMENT '创建日期',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci ROW_FORMAT=DYNAMIC

用户角色
角色权限(role_permission)

CREATE TABLE `role_permission` (
  `id` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL COMMENT '角色权限编号',
  `role_id` bigint DEFAULT NULL COMMENT '角色ID',
  `permission_id` bigint DEFAULT NULL COMMENT '权限ID',
  `status` bigint DEFAULT '1' COMMENT '状态',
  `create_time` timestamp NULL DEFAULT NULL COMMENT '创建时间',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci ROW_FORMAT=DYNAMIC

角色权限
四.项目搭建及整合
1.创建springboot项目具体流程很简单,展示整合
pom文件

     <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.21</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.16</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
            <version>2.3.7.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.1</version>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-extension</artifactId>
            <version>3.3.1</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.9.0</version>
        </dependency>

        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.12</version>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.70</version>
        </dependency>

yaml文件:

server:
  port: 8085
  servlet:
    session:
      timeout: 24h

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/***?serverTimezone=GMT%2B8&characterEncoding=utf-8&useSSL=false
    username: ***
    password: ***
    driver-class-name: com.mysql.cj.jdbc.Driver
  main:
    allow-bean-definition-overriding: true
  resources:
    static-locations: *******
  servlet:
    multipart:
      max-file-size: 10MB
      max-request-size: 100MB


mybatis-plus:
  mapper-locations: classpath:mappers/*.xml
  configuration:
    map-underscore-to-camel-case: true
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
    #mybatis-plus配置控制台打印完整带参数SQL语句 log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
  global-config:
    banner: false

  jackson:
    date-format: yyyy-MM-dd HH:mm:ss
    time-zone: GMT+8

2.开始对shiro整合
shiro认证登录概念:在shiro中通过用户的唯一属性(身份ID,手机号等)身份证明,交给shiro,从而验证
登录认证流程:
1.手机用户信息
2.调用subject.login()方法进行登录,失败则返回对应异常
3.创建自定义的Realm类,继承AuthorizingRealm类,实现认证登录方法doGetAuthenticationInfo()
角色授权概念:代表用户经过分配到角色对应的权限信息,才能访问资源,
角色授权流程及授权方式:通过Realm中doGetAuthorizationInfo()方法进行授权,我是通过接口服务注解来进行权限的鉴别.
3.Realm类
Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息,它封装了数据源的连接细节,并在需要时将相关数据提供给 Shiro 。当配置 Shiro时,你必须至少指定一个 Realm ,用于认证和或授权。配置多个 Realm 是可以的,但是必须需要一个。综上所述,想要实现权限Realm文件十分的重要,话不多说上代码

@Component
public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    //认证授权接口方法:获取当前登录用户的角色,权限信息,返回给shiro进行授权认证
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("自定义授权方法");
        //获取当前登录身份信息
        String principal = principals.getPrimaryPrincipal().toString();
        //调用数据库查看对应角色
        List<String> userRole = userService.getUserRole(principal);
        System.out.println("当前登录用户角色信息 = " + userRole);
        //查看当前登录用户数据库权限
        List<String> userPermission = userService.getUserPermission(userRole);
        System.out.println("当前登录用户的权限信息= " + userPermission);
        //1.创建对象,封装当前登录用户的角色,权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //存储角色
        info.addRoles(userRole);
        info.addStringPermissions(userPermission);
        //返回
        return info;
    }

    //认证登录接口
    protected  AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取身份信息
        String account = token.getPrincipal().toString();
        //调用业务层获取数据库用户信息
        User user = userService.getUserName(account);
        //非空判断,进行数据返回
        if(user !=null){
        //这里采用shiro的加密带盐
            AuthenticationInfo info= new SimpleAuthenticationInfo(token.getPrincipal(),
                    user.getPwd(),ByteSource.Util.bytes("salt"),token.getPrincipal().toString()

            );
            return info;
        }
        return null;
    }
}

代码中认证登录,我的唯一属性,用户账户

    @Override
    public User getUserName(String account) {
      //mybatisPlus 特有的参数构造器
        QueryWrapper wrapper = new QueryWrapper<User>();
        wrapper.eq("account",account);
        User user = userMapper.selectOne(wrapper);
        return user;
    }

代码中授权sql
当前登录用户角色信息 <select id="getUserRole" resultType="java.lang.String"> SELECT role_name FROM role r WHERE r.id IN( SELECT role_id FROM user_role ur WHERE ur.user_id IN( SELECT id FROM USER u WHERE u.account=#{account} ) ) </select>
当前登录用户权限信息

    //认证权限
    @Select({
            "<script>",
                    "SELECT info FROM permission p WHERE p.`id`IN",
                    "(SELECT  permission_id FROM role_permission rp WHERE  rp.`role_id` IN(",
                        "SELECT id FROM role  WHERE role_name IN" +
                    "<foreach collection='roleNames' item='roleName' open='(' separator=',' close=')'>",
                    "#{roleName}",
                    "</foreach>",
                    "))",
                    "</script>"
    })
    List<String> getUserPermission( @Param("roleNames") List<String> roleNames);

4.shiro配置类
可以在这里面对url的拦截以及在上述文章中的shiro加密带盐操作

//shiro 配置类
@Configuration
public class ShiroConfig {
    @Resource
    private MyRealm myRealm;
    //配置SecurityMangaer
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(){
        //创建一个DefaultWebSecurityManager对象
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //创建加密对象HashedCredentialsMatcher
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //设置加密的方式
        matcher.setHashAlgorithmName("md5");//加密格式
        matcher.setHashIterations(3);//加密次数
        //将加密对象存储到MyRealm
        myRealm.setCredentialsMatcher(matcher);
        //将myRealm封装到webSecurityManager对象中
        defaultWebSecurityManager.setRealm(myRealm);
        //返回
        return  defaultWebSecurityManager;
    }

    //配置shiro内置过滤器拦截范围

    @Bean
    public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){
        //可根据业务需求实际配置
        //创建DefaultShiroFilterChainDefinition 对象
        DefaultShiroFilterChainDefinition defaultShiroFilterChainDefinition = new DefaultShiroFilterChainDefinition();
        //设置不认证可以访问的资源
        defaultShiroFilterChainDefinition.addPathDefinition("/rest/loginController/userLogin","anon");
      
        //设置需要认证登录拦截的范围
        defaultShiroFilterChainDefinition.addPathDefinition("/**","anon");
        return defaultShiroFilterChainDefinition;
    }

}插入代码片

5.创建自定义的异常处理类
可以抓取shiro登录,授权的异常处理信息,返回前端

@Slf4j
@RestController
@CrossOrigin
@RequestMapping("/rest/loginController")
public class LoginController {
    @Autowired
    private HttpServletRequest request;
    @Autowired
    private UserService userService;
    @Autowired
    private LoginService loginService;

    //登录
    @RequestMapping(value = "/userLogin",method = RequestMethod.POST)
    public Result login(@RequestBody User user){
        //获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        //获取web数据封装到token
        AuthenticationToken token = new UsernamePasswordToken(user.getAccount(),user.getPwd());
        //调用login方法进行认证
        try {
            subject.login(token);
            User userInfo = userService.getUserName(user.getAccount());
            request.getSession().setAttribute(LONINUSER,userInfo);
            System.out.println("userInfo = " + userInfo);
            JSONObject object = new JSONObject();
            object.put("user",userInfo);
            object.put("token",StringUtil.getUUID());
            return Result.success(object,"登陆成功");
        }catch (UnknownAccountException e){
            System.out.println("用户名不存在");
            return Result.fail("用户名不存在");
        }catch (IncorrectCredentialsException e){
            System.out.println("密码错误");
            return Result.fail("密码错误");
        }catch (AuthenticationException e){
            e.printStackTrace();
            return Result.fail("登陆失败");
        }
    }
    }

6.鉴别方式
在后端实现的接口上添加 @RequiresRoles(“admin”)鉴别角色注解,
@RequiresPermissions(“note:add”)鉴别权限注解,注解中的标识符自定义,然后存在对应的数据库,具体看上述数据库的展示图片.

总结
本文章只是浅谈及展示一下侧重于java后端的操作,一些具体的概念,流程不懂得可以自己去学习一下,若本文章不正之处,请谅解.

*^初风^*
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot + shiro实现显示用户在线状态和限制账号只能在一个地方登录(用户踢出)同一个浏览器,用两个标签页分别登录,是同一个session。
qq_53796930的博客
11-14 391
(即我们重启项目时,不需要每次都重新登录,大大提高开发效率),而这个管理器中没有获取sessionDAO的方法,无法获取登录用户。2.获取到当前所有登录的用户后,再登录接口进行判断,进行登录的用户id是否有对应的session,有则直接删除session,使上一个登录的用户被强制退出。3.同时获取到登录用户的所有session,查询用户列时通过判断,是否存在用户Id对应的session从而修改用户是否在线的状态。1.在大用户量情况下,该方法非常消耗内存,此时不建议使用该方法。
SpringBoot整合Shiro实现完整的用户登录
qq_42700766的博客
07-11 920
一、简介 Apache Shiro是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 二、流程 用户输入用户名、密码–点击登录–> Shrio自封装成UsertnamePasswordToken----> 主体信息:Subject(可以是具体的人,也可以是其他实体…)---->Shiro的SecurityManager(用于管理
Springboot 整合Shiro 轻量级权限框架,从数据库设计开始带你快速上手shiro
最新发布
芯_v_648374雨馨博客
03-20 697
/进行验证,AuthenticationException可以catch到,但是AuthorizationException因为我们使用注解方式,是catch不到的,所以后面使用全局异常捕抓去获取。暂时只提供了一个导出接口,而这个导出接口需要用户拥有 admin 角色 以及 exportUserInfo 权限,也就是代码里注解的参数。暂时只提供了一个导出接口,而这个导出接口需要用户拥有 admin 角色 以及 exportUserInfo 权限,也就是代码里注解的参数。
springboot+mybatis+shiro项目中使用shiro实现登录用户的权限验证。权限、角色、用户。从不同的中收集用户的权限、
做笔记\记录遇到的程序bug
11-03 1454
要实现的目的:根据登录用户、查询出当前用户具有的所有权限、然后登录系统后、根据查询到的权限信息进行不同的操作。 我直接贴代码、在关键的部分我会叙述一下。代码更具有说服力 编写的数据库 用户、用户角色关联、角色、角色权限关联、权限。(这个我就不贴代码了、就是简单的建) 一个用户可以对应一个角色、也可以对应多个角色(看自己的需求设计了) 一个角色往往有不同的权限。 controller层 package com.zheng.controller; import org.apache.sh
4.Shiro基本设计
相互学习 共同进步
06-28 2031
Shiro五张 在Web应用中,对安全的控制主要有角色、资源、权限(什么角色能访问什么资源)几个概念,一个用户可以有多个角色,一个角色也可以访问多个资源,也就是角色可以对应多个权限 数据库设计,至少需要建5张:用户、用户-角色、角色、角色-资源、资源 ①一个用户对应一个或者多个角色。 ②一个角色对应一个或者多个权限。 ③一个权限对应能够访问对应的API或URL资源。 (1)用户 用户中至少包含以上的字段,主键id、用户名username、密码password、盐值salt(因为密码
SpringBoot2整合shiro
11-05
SpringBoot2整合
springboot2.0整合Shiro
04-20
springboot2.0整合Shiro 。权限配置,user/permission/role
springboot整合shiro
03-30
springboot+shiro+ztree实现后台权限管理springboot+shiro+ztree实现后台权限管理springboot+shiro+ztree实现后台权限管理
Springboot整合Shiro的代码实例
08-25
主要介绍了Springboot整合Shiro的代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
Shiro权限管理示例(包括数据库结构)
02-07
一个完整的Shiro项目,实现了Shiro的权限管理,附件里包括数据库结构(mysql),可直接运行
shiro 框架的数据库
01-06
用户 用户角色 角色权限 角色权限 数据库已建好还有数据,导入MySQL就可以用了 简单方便
shiro授权设计的两种思路
05-03
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2434891
shiro数据库设计 五张
11-07
shiro权限框架数据库设计,附少量数据,仅供测试,非实际项目
Shiro权限框架数据库设计
心之所向博客
11-26 1846
设计 权限管理需要的基本有5个 如下: sys_users用户 sys_roles角色 sys_permissions权限(或资源) sys_users_roles用户-角色关联 sys_roles_permissions角色-权限关联(或角色-资源关联) 用户: 角色: 权限: 用户角色: 角色权限: 最后上完整代码: ...
Spring Boot集成Shiro
weixin_52572813的博客
08-18 229
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份 认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。本篇博客将使用Spring Boot框架集成Shiro,同时结合mybatis框架实现用户的认证以及授权功能。
Shiro 权限架构数据库设计
荒的博客
05-22 550
权限结构模型根据RBAC扩展到部门,如下: 部门数据库结构 2 2 2 2 2 2 2 2 2 2 22 2 2
springboot怎么整合shiro
03-14
Spring Boot整合Shiro的步骤如下: 1. 引入ShiroSpring Boot的依赖。 2. 创建Shiro的配置类,配置Shiro的安全管理器、Realm等。 3. 在Spring Boot的配置类中,注入Shiro的配置类。 4. 创建登录页面和登录接口,实现用户登录功能。 5. 创建需要权限控制的页面和接口,使用Shiro的注解进行权限控制。 6. 配置Shiro的过滤器,实现对请求的拦截和处理。 具体实现细节可以参考Spring BootShiro的官方文档和示例代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值