springboot 整合shiro完整版以及权限和认证的正常运行与粗略讲解

最新推荐文章于 2024-09-11 08:40:19 发布
最新推荐文章于 2024-09-11 08:40:19 发布
阅读量373 收藏
点赞数
分类专栏: java 文章标签: java shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qensq/article/details/86305259
版权

shiro呢,经常会遇到认证成功了,但是权限授权那里不执行,这是为什么,看内容

maven 依赖文件

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.4.0</version>
</dependency>

shiro configuration代码

import java.util.LinkedHashMap;
import java.util.Map;
import java.util.Properties;

import com.hpay.web.shiro.UserAuthorizingRealm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

/**
 * Shiro配置类
 * @author Garc
 *
 */
@Configuration
public class ShiroConfig {

    @Value("${maat.loginUrl}")
    private String loginUrl;

    /**
     * 配置shiro过滤器
     */
    @Bean("shiroFilter")                                                                                                                                                                                                               
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String,String> filterChainMap = new LinkedHashMap<>();
        filterChainMap.put("/index","anon");
        filterChainMap.put("/**","authc,perms");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        shiroFilterFactoryBean.setSuccessUrl("/index");
        shiroFilterFactoryBean.setUnauthorizedUrl(loginUrl);
        //自定义鉴权方式(动态URL鉴权)
        Map<String, Filter> filter = new HashMap<>();
        filter.put("perms",new ShiroUrlPermissionsFilter());
        shiroFilterFactoryBean.setFilters(filter);
        return shiroFilterFactoryBean;
    }
    /**
     * 配置安全管理器
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(new UserAuthorizingRealm());
        return securityManager;
    }

    //加入注解的使用,不加入这个注解不生效
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    //加入注解的使用,不加入这个注解不生效
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }

    //shiro注解判断没有权限执行跳转地址,setUnauthorizedUrl内容不执行的时候
    @Bean
    public SimpleMappingExceptionResolver simpleMappingExceptionResolver(){
        Properties properties = new Properties();
        properties.setProperty("org.apache.shiro.authz.UnauthorizedException", "/erro");
        SimpleMappingExceptionResolver resolver = new SimpleMappingExceptionResolver();
        resolver.setExceptionMappings(properties);
        return resolver;
    }

}
import com.hpay.commons.dto.LimitUser;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang.StringUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.HashSet;
import java.util.Set;

/**
 * @author Garc
 *
 */
public class UserAuthorizingRealm extends AuthorizingRealm {

    private static Logger logger = LoggerFactory.getLogger(UserAuthorizingRealm.class);

    /**
     * 鉴权
     * @param principals
     * @return AuthorizationInfo
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            throw new AuthorizationException("PrincipalCollection method argument cannot be null.");
        }
        LimitUser user = (LimitUser) getAvailablePrincipal(principals);
        Set<String> permissions = new HashSet<>();
        // 权限
        permissions.add("user:auth");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permissions);
        return info;
    }

    /**
     * 认证
     * @param token
     * @return AuthenticationInfo
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken uToken = (UsernamePasswordToken) token;
        String userName = uToken.getUsername();
        String password = new String(uToken.getPassword());

        if (StringUtils.isEmpty(userName) || StringUtils.isEmpty(password)) {
            throw new UnknownAccountException("用户名密码为空");
        }
        LimitUser authUser = new LimitUser();
        authUser.setUserName(userName);
        authUser.setPassword(DigestUtils.md5Hex(password));
        authUser.setUserId(Long.valueOf(password));
        return new SimpleAuthenticationInfo(authUser, authUser.getPassword(), this.getName());
    }

    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        HashedCredentialsMatcher credentialsMatche = new HashedCredentialsMatcher();
        credentialsMatche.setHashAlgorithmName("MD5");
        credentialsMatche.setHashIterations(1);
        super.setCredentialsMatcher(credentialsMatche);
    }
}

解说内容:

shiro 运行自定义的realm 有两个方法,一个是认证,一个授权。

通常认证在配置 authc的时候会执行认证的代码,但是需要授权,就要配置权限。否则不会执行授权方法

authc是认证标识,表示某个地址访问时需要进行认证

anon是忽略

perms是授权的标识,配置后鉴权才会执行。怎么配置权限,有两种方法

                  一种是注解

                  一种是原始配置 /user/login** = perms[xx:xx]

                   springboot 的方式 filterChainMap.put("/index","perms[xx:xx]");

本示例代码中,perms后面没有指定权限,是因为配置了自定义权限

注解方式:

只要在需要访问的方法上配置注解@Requirespermissions 后,请求的时候就会执行到自定义的 realm 的授权方法上

shiro就会去检测该注解上是否含有该用户登录的权限

注解生效需要解决一个问题,就是自动注解扫描,一定要把以下代码给加上,否则注解不会生效:

  @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }

 

如果想了解更多,可以加QQ群 119170668

Qensq
关注
专栏目录
SpringBoot整合Shiro
初学者
03-16 1712
Shiro简介   Apache Shiro是一个开源的轻量级的Java安全框架,它提供了身份认证、授权、密码管理、会话管理等操作。我们知道在Spring中也有一个跟它功能差不多的框架Spring SecurityShiro框架可以更加直观的提供安全性操作,在SSM框架中整合Shrio的配置步骤比较多。但是争对SpringBoot,在SpringBoot官方也提供了对应的启动器。这样的话化简了S...
Java八股文之《Java岗面试核心MCA版》
javaAnPou的博客
09-05 481
今天带来的是2022全新升级的,这个版本里面不仅仅包含了面试题,还有更多的技术难点、等等,!相比上一个版本的287页,升级了多少内容你懂的文中资料已打包整理完毕先看看的大概内容:Java基础、JVM、多线程、MySQL、SpringSpringBootSpringCloud、Dubbo、Mybatis、Redis、网络、Linux、MQ、Zookeeper、Netty、大数据、算法与数据结构、设计模式、项目实战、简历模板等等由于MCA版的细节内容实在是太多了
spring boot整合shiro
qq_34784893的博客
05-22 593
1.加入shiro依赖&lt;!-- Shiro依赖 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;version&gt;1.4.0&lt;/version&
springboot集成shiro
最新发布
Flying_Fish_roe的博客
09-11 970
自定义Realm用于从数据库中获取用户信息并进行身份验证。我们可以通过继承// 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 在这里配置用户的角色和权限信息 // authorizationInfo.addRole("admin");
Shiro权限控制(一)
weixin_38297879的博客
07-31 322
ShiroApache下的一个开源的项目,我们称之为Apache Shiro ,他是一个很易用于java项目的安全框架,提供了认证。授权、加密、会话管理,于Spring Security一样都可以做一个权限的安全框架,但是与Spring Security相比,在于shiro使用了比较简单的授权方式,shiro属于轻量级的框架,相对比较Spring Security简单的多,没有Security那...
springboot整合shiro
weixin_45476535的博客
08-24 545
【代码】springboot整合shiro
GitHub标星88k!这份《Java面试核心MCA版》已经传疯了
msbz7的博客
09-16 397
2020年10月16日,我凭借一份《Java面试核心知识点》成功拿下了阿里、字节、小米等大厂的offer,两年的时间,为了完成我给自己立的flag(拿下一线互联网企业offer大满贯),即使在职也一直在不断的学习与备战面试中!不得不说程序员除了做项目之外,提升自己技能最快的方式就是,这里说的刷题不是无脑刷,而是要明白面试官为什么会问这个问题,以及这个问题的意义在哪里!今天带来的是2022全新升级的,这个版本里面不仅仅包含了面试题,还有更多的技术难点、、、等等,!
从GitHub火到头条,共计1658页的Java岗面试核心MCA版,拿走不谢
m0_64821673的博客
05-27 649
2019年10月16日,我凭借一份《Java面试核心知识点》成功拿下了阿里、字节、小米等大厂的offer,两年的时间,为了完成我给自己立的flag(拿下一线互联网企业offer大满贯),即使在职也一直在不断的学习与备战面试中! 不得不说程序员除了做项目之外,提升自己技能最快的方式就是【看书!】和【刷题!】,这里说的刷题不是无脑刷,而是要明白面试官为什么会问这个问题,以及这个问题的意义在哪里! 今天带来的是2021全新升级的《Java岗面试核心MCA版》,这个版本里面不仅仅包含了面试题,还有更多的
从GitHub火到了boss直聘!共计1658页的《Java岗面试核心MCA版》,拿走不谢
Java5658的博客
06-10 303
2019年我凭借一份《Java面试核心知识点》成功拿下了阿里、字节、小米等大厂的offer,两年的时间,为了完成我给自己立的flag(拿下一线互联网企业offer大满贯),即使在职也一直在不断的学习与备战面试中!...
从 GitHub 火到 CSDN 共计 1658 页的 Java 岗面试核心 PDF 版,拿走不谢
m0_67322837的博客
08-16 431
2019 年 10 月 16 日,我凭借一份《Java 面试核心知识点》成功拿下了阿里、字节、小米等大厂的 offer,两年的时间,为了完成我给自己立的 flag(拿下一线互联网企业 offer 大满贯),即使在职也一直在不断的学习与备战面试中!不得不说程序员除了做项目之外,提升自己技能最快的方式就是,这里说的刷题不是无脑刷,而是要明白面试官为什么会问这个问题,以及这个问题的意义在哪里!今天带来的是 2022 全新升级的,这个版本里面不仅仅包含了面试题,还有更多的技术难点、、、等等,!...
springBoot集成shiro
06-20
该demo实现了:spring集成shiro。 用户角色校验,用户权限校验。链接mysql。 对应文章url: https://blog.csdn.net/zhou199252/article/details/80741361
SpringBoot整合shiro
m0_50837402的博客
07-06 1059
第一步 展示项目结构 第二步 编写yml文件,这里的配置文件配置了数据源和项目名端口号之类。大家可自行设置编写Shiro的配置文件,这里的@Configuration,相当于spring里的spring-shiro.xml。里面配置了安全管理器,自定义realm 第四步 自定义的realm,里面的doGetAuthenticationInfo是shiro里的认证方法,其中subject.login()。这一句后面会跳转到这里做安全认证 第五步 编写controller,service,dao.开始实现 .
Springboot整合shiro
chao的博客
07-10 2439
是一款主流的Java安全框架,不依赖任何容器,可以运行Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
SpringBootShiro整合教程:权限管理实战解析
"该文档是关于《SpringBootShiro整合-权限管理实战》的课堂笔记,涵盖了SpringBoot快速入门,以及如何利用SpringBootShiro实现用户认证和授权的详细教程。此外,还介绍了如何将thymeleaf模板引擎与Shiro权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Qensq

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值