微信小程序 + shiro 实现登录(安全管理) —— 保姆级教学

最新推荐文章于 2024-02-05 16:43:42 发布
最新推荐文章于 2024-02-05 16:43:42 发布
阅读量3.4k 收藏 26
点赞数 2
分类专栏: 微信小程序 Java Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Snakehj/article/details/115411092
版权

文章目录


最近,我开发了一个微信小程序,后台使用 Spring 搭建,安全管理交给了 shiro。初次将二者结合开发,经验不足,不知如何把二者结合起来。在网上搜寻了一阵,查到的资料有限——给的不全,要么是代码臃肿不规范。因此,本博主决定此时抽出半日的空闲为后来者写上一篇完整的 微信小程序 + shiro 如何开发 的文章。

一、开发流程

首先,我们先看一下,微信官方推荐的登录流程,后序的开发就是按这个来的。
微信小程序登录流程

1.1 难点及其解决办法

仔细看这张图会发现,我们的难处有两点:

  1. 微信小程序不是 web 浏览器。它不会为我们自主的储存 shiro 的 JSessionId。需要我们自己储存
  2. 就算每次请求我们都能在 header 中带上 JSessionId ,我们服务器上的 shiro 也不能识别。需要我们对 request 做些修改

1.1.1 解决办法

1.1.1.1 针对第一点:

先简述下原理:

http 协议是无状态协议。我们并不能通过每次的请求知晓操作者是谁。为了解决这个问题,提出了 cookie 的概念,解决这个问题。
客户与服务器之间通过 sessionId 进行交流。

当然这也是 shiro 的原理。shiro 就是通过 request header 中的 JSessionId 识别用户的。

在调用我们的服务器根据用户的 openid 确认到给用户后,shiro 此时也完成了用户的登录,并把用户信息保存起来了,最后,controller 返回处理结果。(具体代码见下方)
我们在微信小程序端要获取到 JSeesionId ,并保存:
(下方代码在 app.js 的 onLounch() 方法里)

let JSessionId = response.header["Set-Cookie"].toString().split(';')[0].substring(11);
 wx.setStorageSync("JSessionId", JSessionId);
1.1.1.2 针对第二点:

在需要用户登录的地方,我们只要注意两点:

  1. wx.request() 向有登录要求的 URL 发送请求时,在 header 中带上该字段,代码如下:
wx.request({
	url: URL,
	 header: {
	   "Content-Type": "application/x-www-form-urlencoded",
	   "JSessionId": wx.getStorageSync('JSessionId')
	 },
	 data: {},
	 success(response) {}
)};
  1. 自定义 sessionManager,并将其注入到 shiro 的 securityManager
  • 自定义 sessionManager
public class WeChatSessionManager extends DefaultWebSessionManager {

    public final static String HEADER_TOKEN_NAME = "JSessionId";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    /**
     * 逻辑:
     *     如果请求头中有 JSessionId,就分析它;
     *     没有就调用父类的方法
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response){
        String JSessionId = WebUtils.toHttp(request).getHeader(HEADER_TOKEN_NAME);

        if(JSessionId == null) {
            return super.getSessionId(request, response);
        } else {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, JSessionId);
            log.info("JSessionId: {}", JSessionId);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return JSessionId;
        }
    }
}
  • sessionManager 注入到 shiro 的 securityManager
    当然,你也可以根据自己的需求,对 sessionManager 做些自己的定义
@Configuration
public class ShiroConfig {
    /**
     * 其它代码
     * /

    @Bean
    public WeChatSessionManager sessionManager() {
        WeChatSessionManager weChatSessionManager = new WeChatSessionManager();
        return weChatSessionManager;
    }

    @Bean
    public SecurityManager securityManager(@Qualifier("realm") Realm realm,
                           @Qualifier("sessionManager") SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }
    
    /**
     * 其它代码
     * /
}

二、代码

2.1 小程序

2.1.1 app.js

//app.js
App({
  globalData: {
    timeout: 30000,
    localhost: "http://localhost:8080/miniprogram",
    login: false,
  },


  /**
   * 小程序初始化
   */
  onLaunch: function () {
    let p = this;
    wx.login({
      success(res) {
        if (res.code) {
          p.login(res.code);
        }
      },
      fail: () => wx.showModal({
        content: "获取 code 失败",
        showCancel: false
      })
    });
  },

  login(code) {
    let p = this;

    wx.request({
      url: p.globalData.localhost + "/noLogin/login",
      method: "POST",
      header: {"Content-Type": "application/x-www-form-urlencoded"},
      data: {code: code},
      success(response) {
        switch(response.data["data"]) {                  
          case "unregistered":
            wx.showModal({
              content: "您未注册,是否前往注册"
            });
            break;
          case "registered": 
            p.globalData.login = true;
            let JSessionId = response.header["Set-Cookie"].toString().split(';')[0].substring(11);
            wx.setStorageSync("JSessionId", JSessionId);
            break;
        }
      },
    });        
  }
})

2.2 spring 后端代码

2.2.1 pom.xml

主要是 shiro 的 dependency,其它请根据自己的业务需求自行添加

<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <optional>true</optional>
</dependency>

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>

2.2.2 reaml 的代码

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import top.leeti.entity.User;
import top.leeti.service.UserService;
import top.leeti.util.PasswordUtil;

import javax.annotation.Resource;

@Slf4j
public class MyRealm extends AuthorizingRealm {

    @Resource
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;

        User user = userService.getUserByOpenId(usernamePasswordToken.getUsername());

        if (user == null) {
            throw new AccountException();
        }

        ByteSource saltOfCredential = ByteSource.Util.bytes(user.getStuId());
        return new SimpleAuthenticationInfo(user, String.valueOf(usernamePasswordToken.getPassword()),
                saltOfCredential, getName());
    }
}

2.2.3 sessionManager 代码

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
 * 自定义session管理器
 * 继承DefaultWebSessionManager,重写getSessionId方法
 */
@Slf4j
public class WeChatSessionManager extends DefaultWebSessionManager {

    public final static String HEADER_TOKEN_NAME = "JSessionId";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    /**
     * 逻辑:
     *     如果请求头中有 JSessionId,就分析它;
     *     没有就调用父类的方法
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response){
        String JSessionId = WebUtils.toHttp(request).getHeader(HEADER_TOKEN_NAME);

        if(JSessionId == null) {
            return super.getSessionId(request, response);
        } else {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, JSessionId);
            log.info("JSessionId: {}", JSessionId);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return JSessionId;
        }
    }

}

2.2.4 ShiroConfig.java

import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import top.leeti.config.manager.WeChatSessionManager;
import top.leeti.realm.MyRealm;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Bean
    public CredentialsMatcher credentialsMatcher() {
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("MD5");
        matcher.setHashIterations(1024);
        return matcher;
    }

    @Bean
    public Realm realm(@Qualifier("credentialsMatcher") CredentialsMatcher credentialsMatcher) {
        MyRealm realm = new MyRealm();
        realm.setCredentialsMatcher(credentialsMatcher);
        return new MyRealm();
    }

    @Bean
    public WeChatSessionManager sessionManager() {
        WeChatSessionManager weChatSessionManager = new WeChatSessionManager();
        return weChatSessionManager;
    }

    @Bean
    public SecurityManager securityManager(@Qualifier("realm") Realm realm,
                           @Qualifier("sessionManager") SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 设置默认登录的 url(若登录失败,则转到此)
        shiroFilterFactoryBean.setLoginUrl("/app/noLogin/error");
        // 设置登录认证成功后默认转到的 url
//        shiroFilterFactoryBean.setSuccessUrl("/admin/index");
        // 设置权限认证失败时转到的 url
        shiroFilterFactoryBean.setUnauthorizedUrl("/app/noLogin/noAccess");

        /*
         * anon:匿名用户可访问
         * authc:认证用户可访问
         * user:使用rememberMe可访问
         * perms:对应权限可访问
         * roles[角色名]:对应角色权限可访问
         */
        //设置访问各 url 的权限
        Map<String, String> filterChain = new HashMap<>(5);
        
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChain);

        return shiroFilterFactoryBean;
    }
}

2.2.5 LoginController.java

package top.leeti.controller.nologin;

import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;
import top.leeti.entity.result.Result;
import top.leeti.myenum.ResultCodeEnum;
import top.leeti.util.WechatUtil;

import java.util.Map;

@Slf4j
@RestController
@RequestMapping("/miniprogram/noLogin/")
public class LoginController {
    
    @PostMapping("login")
    public String login(@RequestParam String code) {
        Map<String, String> map = WechatUtil.acquireSessionKeyAndOpenId(code);
        String openId = map.get("openId");

        Result<String> result = null;

        if (openId == null) {
            result = new Result<>(null, "获取openId失败", null, false);
        } else {
            UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(openId, "");
            Subject currentUser = SecurityUtils.getSubject();
            try{
                currentUser.login(usernamePasswordToken);
                result = new Result<>(null, null, "registered", true);
            } catch(AccountException accountException) {
                result = new Result<>(null, null, "unregistered", false);
                return JSON.toJSONString(result);
            }
        }

        return JSON.toJSONString(result);
    }
}

2.2.6 WeChatUtil.java

package top.leeti.util;

import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;
import org.springframework.http.ResponseEntity;
import org.springframework.web.client.RestTemplate;

import java.util.Hashtable;
import java.util.Map;

@Slf4j
public class WechatUtil {

    private static final String APP_ID = "wxf4eeba633c89a51f";
    private static final String APP_SECRET = "8a7de97a3189c29e3faf87275e3449ee";
    private static final String GRANT_TYPE = "authorization_code";

    /**
     * 像微信服务器发送请求,获取 sessionKey、openId
     * @param code
     *        本次登录请求的小程序传来的标识(保证传来的 code 绝不为空或是空字符串)
     * @return
     *        Map key:sessionKey、openId。如果不能正确地获取到 sessionKey、openId,
     *        返回的 map 中,值为 null。
     */
    public static Map<String, String> acquireSessionKeyAndOpenId(String code){
        RestTemplate restTemplate = new RestTemplate();
        Map<String, String> map = new Hashtable<>();
        try{
            String url = String.format("https://api.weixin.qq.com/sns/jscode2session" +
                    "?appid=%s&secret=%s&js_code=%s&grant_type=%s", APP_ID, APP_SECRET, code, GRANT_TYPE);
            HttpHeaders headers = new HttpHeaders();
            headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
            ResponseEntity<String> response = restTemplate.getForEntity( url, String.class);
            String[] results = response.getBody().split("\"");
            map.put("sessionKey", results[4]);
            map.put("openId", results[7]);
        } catch (Exception e){
            map.put("sessionKey", null);
            map.put("openId", null);
        }
        return map;
    }
}

三、最后的说明

3.1 用户信息的管理

我这里是把 openid 保存到了数据库。
因为每个小程序的中每个用户的 openid 具有唯一性,我就把它作为判断用户是否注册的凭证

3.2 用户登录成功后,通过 shiro 交互的页面例子我就不举例了。主要是注意 1.1.1.2 第一点内容就行。只要注意到这一点,其它便于浏览器上的 web 开发无异了

Lavau
关注
  • 2
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token)
05-14
使用Shiro+JWT完成的微信小程序登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序登录流程 Shiro的基础知识 JWT以及Token 项目的流程 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。 访问login接口,并将code给后台 被JwtShirioFilter拦截(在shiro配置中配置的),查看有没有token在Header 有则自动执行登录操作,核实token的合法性,并刷新token 没有则被controller拦截进入service中进行登录 使用code获取用户信息,默认初始化了一些信息(可以修改的) 生成token(会存至redis) 返回token 本项目的结构 项目分包: conf 项目的配置 exceptoionconfig 配置了异常的抛
Java中基于Shiro,JWT实现微信小程序登录完整例子及实现过程
08-26
主要介绍了Java中基于Shiro,JWT实现微信小程序登录完整例子 ,实现小程序的自定义登陆,将自定义登陆态token返回给小程序作为登陆凭证。需要的朋友可以参考下
使用 Shiro 配合微信小程序或者app登录,做验权
weixin_45390688的博客
09-15 1488
由于本人第一次使用微信小程序配合 Shiro 做验权, 发现小程序不能像普通网页那样做验权, 后台 Shiro 根本识别不到小程序客户端的状态 原因 原来是小程序不自带 cookie 的管理,导致 Shiro 下发的 SessionId, 再小程序下次请求时,不会带上之前的 SessionId 解决方案 自己手动存储 cookie ,并在所有请求中带上 cookie 这是最简单粗暴的方法之一 (当然,也可以去自定义 Shiro 的 Session 管理,等等其他方法) 第一次登录请求时,保存 cookie
shiro+微信小程序单点登录
金彬的博客
07-05 3512
背景 shiro是一个很好的登录和权限管理框架,系统之前已做好shiro作为登录和权限控制,通过自定义实现realm实现用户名、密码验证登录。现在需要在此基础上实现微信小程序验证登录,也就是说需要再增加一套登录验证逻辑。了解下面内容之前,需要对shiro有一定的了解,知道是如何通过它来实现登录验证和权限控制的。 整体登录逻辑 官网给出的登录逻辑图,挺好理解的。 通过小程序wx.login()获取到code,传给我们系统后台,系统后台再将这个code,和小程序appid+appsecret请求微信登录接口,
SpringBoot 整合shiro实现微信小程序登录
qq_44136551的博客
12-21 2575
SpringBoot 整合shiro实现微信小程序登录 之前也有 发过去 SpringBoot 整合 shiro 实现普通的用户名和密码登录的文章,所以今天主要记录一下,如何实现微信小程序用户使用shiro登录。 1.首先还是先介绍一下数据库表。 CREATE TABLE `ums_user` ( `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, `gmt_create` datetime NOT NULL DEFAULT CURRENT_T
Shiro 在微信商城小程序项目中的 使用
weixin_36346676的博客
03-12 186
1.用户登录时通过Shiro认证 2.通过shiro拿到登录用户的信息 3.多账号体系的认证分流 4.Shiro的权限控制
基于Shiro, JWT实现微信小程序登录完整例子
01-27
微信小程序登录完整实现例子(基于Shiro,JWT) 微信小程序登陆流程图说明 : 上图是小程序登陆的官方流程图说明,官方地址 : 如果有对官方说明不清楚的地方,也可参看我的博客 : 本文博客链接 : 主要实现: 实现小程序...
基于springboot+shiro+layui+jquery+thymeleaf医院管理系统和微信小程序源码.zip
05-23
基于springboot+shiro+layui+jquery+thymeleaf医院管理系统和微信小程序源码.zip基于springboot+shiro+layui+jquery+thymeleaf医院管理系统和微信小程序源码.zip基于springboot+shiro+layui+jquery+thymeleaf医院...
基于springboot+mybatis+layui+shiro+jquery的教务管理系统和微信小程序源码.zip
05-23
SpringBoot和MyBatis的结合实现了高效的服务端逻辑,Layui提供了优雅的用户界面,Shiro确保了系统的安全性,而jQuery和微信小程序则让交互更为便捷。这样的设计不仅满足了教务管理的基本需求,也为进一步的功能扩展...
LayUI+Spring Boot+MySQL+JPA+Shiro——科研信息管理系统.zip
最新发布
03-04
5. **Shiro**:Apache Shiro是一个轻量安全框架,用于身份认证、授权和会话管理。在科研信息管理系统中,Shiro负责用户的登录验证、权限控制以及会话管理,确保只有授权用户能访问特定资源,保障系统的安全性。 ...
shirodemo实现web登陆
10-10
shiro在web的实现,使用jsp实现,给html实现了登陆测试。
Java微信小程序商城
06-01
技术选型 1、后端使用技术 springframework4.3.7.RELEASE mybatis3.4.1 shiro1.3.2 servlet3.1.0 druid1.0.28 slf4j1.7.19 fastjson1.2.30 poi3.15 velocity1.7 alisms1.0 quartz2.2.3 mysql5.1.39 前端使用技术 Vue2.5.1 iview layer3.0.3 jquery2.2.4 bootstrap3.3.7 jqgrid5.1.1 ztreev3.5.26 froala_editor1.2.2 iNotify platform-admin 后台管理 platform-api 微信小程序商城api接口 platform-common 公共模块 platform-framework 系统WEB合并 platform-gen 代码生成 platform-schedule 定时任务 platform-shiro 登陆权限相关 platform-shop 商城后台管理 wx-mall 微信小程序商城 实现功能 一:会员管理 会员管理 会员等 收货地址管理 会员优惠劵 会员收藏 会员足迹 搜索历史 购物车 二:商城配置 区域配置 商品属性种类 品牌制造商 商品规格 订单管理 商品类型 渠道管理 商品问答 反馈 关键词 三:商品编辑 所有商品 用户评论 产品设置 商品满减搭配 商品规格 商品回收站 团购设置 四:推广管理 广告列表 广告位置 优惠劵管理 专题管理 专题分类 五:系统管理 管理员列表 角色管理 菜单管理 SQL监控 定时任务 参数管理 代码生成器 系统日志 文件上传 通用字典表
shiro+微信登录整合
weixin_44823155的博客
07-15 6167
(1)加密工具的抽取 import org.apache.shiro.crypto.hash.SimpleHash; public class MD5Util { //加密方式 public static final String ALGORITHMNAME = "MD5"; //盐值 public static final String SALT ="sourc...
SpringBoot整合shiro实现微信小程序登录
11-13 1370
首先因为微信小程序是没有会话机制的,所以我们可以使用头部传递token值来模拟登录。 首先因为shiro管理session是通过SessionManager来控制的,所以我们就可以通过重写SessionManger里面的方法来控制。 具体操作如下文代码: public class WeChatSessionManager extends DefaultWebSessionManager { @Override protected Serializable getSessio
记录一次springboot shiro对接微信小程序的过程方式,以及碰到的一些坑
weixin_44384641的博客
02-05 1239
主要是shiro对接微信小程序,后台可以直接获取封装的user,方便开发与管理
Shiro+SpringBoot做微信小程序登录的坑
Doubletree.lin的博客
01-16 2870
学海无涯,旅“途”漫漫,“途”中小记,如有错误,敬请指出,在此拜谢! 一、前情提要 最近在研究Shiro,和朋友讨论的时候,听说在做微信小程序的时候,Shiro登录验证不好使。便自己验证了一下,确实不好用。去百度查询了半天,并没有找出解决方案,不得不吐槽百度,两三页的搜索内容都是一个模子出来的。研究了好几天才研究出来。 二、分析 查了下源码,结合一些大牛的分析。Shiro的登陆验证方式是,登陆...
基于Shiro,JWT实现微信小程序登录完整例子
weixin_34233618的博客
11-30 690
小程序官方流程图如下,官方地址 : https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html : 如果此图理解不清楚的地方,也可参看我的博客 : https://www.cnblogs.com/ealenxie/p/9888064....
厚积薄发打卡Day86: Shiro+JWT+Redis实现微信小程序实现单点登录(下)<整合Shiro
COOLGWAYNE_TECH_BLOG
10-06 630
生成了Token后,这个Token是需要返回给客户端的,用于登录。接下来要把JWT和Shiro框架整合起来,这样Shiro框架就会拦截所有的Http请求,然后验证请求提交的Token是否有效: 整合步骤: 配置文件:ShiroConfig:把设置应用到Shiro框架 AuthenticatingFilter:拦截HTTP请求,验证Token AuthorizingRealm:自定义认证与授权的实现方法 AuthenticationToken:把 Token封装成认证对象 自底向上实现 封装Token
微信小程序shiro安全登录界面实现
qq_2862896879的博客
09-26 1516
Apache shrio是Java的一个安全框架,但是shrio框架的一大特点强大而灵活并且简单,容易使用,相比spring security框架没有那么晦涩难懂,它能清晰的处理认证,授权,管理会话以及密码加密。
springboot+shiro如何实现权限管理
05-28
在Spring Boot应用中,可以使用Apache Shiro框架实现权限管理。下面是一个简单的实现步骤: 1. 引入Shiro和Spring Boot的依赖库。 2. 配置Shiro安全管理器,包括认证器和授权器。认证器用于验证用户身份,授权器用于控制用户访问权限。 3. 在Spring Boot中配置Shiro的过滤器,用于拦截请求并根据用户权限判断是否允许访问。 4. 在用户登录时,使用Shiro的Subject对象进行身份认证,如果验证通过则将用户信息存储在Shiro的Session中,用于后续的权限判断。 5. 在需要进行权限控制的方法或请求上,使用Shiro的注解标记需要的角色或权限。 6. 在应用中提供管理界面,用于管理用户、角色和权限等信息。 需要注意的是,Shiro只提供了基础的安全功能,具体的权限管理实现需要根据具体的应用场景和需求进行设计和开发。同时,为了保证安全性,开发人员需要仔细阅读Shiro的文档,并遵循最佳实践。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值