shiro的认证和授权控制页面

最新推荐文章于 2022-08-24 04:29:29 发布
最新推荐文章于 2022-08-24 04:29:29 发布
阅读量420 收藏
点赞数 1
分类专栏: Java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ting1king/article/details/111244991
版权

环境

  • springboot
  • shiro

简介

我这里只讲一个shiro简单的demo,原理大家可以深入学习其他的文章

实现过程

1、首先需要导入pom依赖

 <!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.3</version>
        </dependency>

        <!--thymeleaf依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>

        <!--shiro整合thymeleaf-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

2、写配置类

@Configuration
public class ShiroConfig {

    //3. shiroFilterfactaryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);//设置安全管理器
        shiroFilterFactoryBean.setLoginUrl("/login");//没有认证后跳到的页面
        /**
         * shiro的内置过滤器
         anon:无需认证就可以访问 默认
         authc:必须认证了才能访问
         user:必须拥有记住我功能才能访问
         perms:必须拥有对某个的权限才能访问
         role:拥有某个角色权限才能访问
         */
        //添加shiro的内置过滤器  设置要拦截的url
        Map<String,String> filterChainDefinitionMap=new LinkedHashMap<>();//拦截
 /index路径请求必须认证才能访问       filterChainDefinitionMap.put("/index","authc");// 
        //不需要认证
        filterChainDefinitionMap.put("/login.html","anon");
        filterChainDefinitionMap.put("/hello","authc");
        //设置注销的url
        filterChainDefinitionMap.put("/logout","logout");
        filterChainDefinitionMap.put("/add.html","authc");
        filterChainDefinitionMap.put("/404.html","authc");
        //filterChainDefinitionMap.put("/del","authc");//del必须认证才能访问
        // filterChainDefinitionMap.put("user/**","authc");//支持通配符

        //授权
        
    //用户为guest才有权限访问add.html页面
        filterChainDefinitionMap.put("/add.html","roles[guest]");
//拥有user:add权限才可以访问        filterChainDefinitionMap.put("/404.html","perms[user:add]");

  //没有这个user:delete权限的会被拦截下来      //filterChainDefinitionMap.put("/del","perms[user:delete]");
        //未授权的跳转的url
        shiroFilterFactoryBean.setUnauthorizedUrl("/login");
        /*设置登录成功之后跳转的页面,这个页面是一个附加请求,也就是说如果登录成功之后没有设置跳转页面他才会跳转到这个页面*/
        //shiroFilterFactoryBean.setSuccessUrl("/success.html");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);//把设置好的过滤设置到ShiroFilterFactoryBean
        return shiroFilterFactoryBean;
    }

    //2. DefaultWebSecurityManager
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm对象  userRealm
        securityManager.setRealm(userRealm);
        return  securityManager;
    }
    //1. 创建realm对象 自定义的·类
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    //整合shiroDialect:用来整合shiro-thymeleaf
    @Bean
    public ShiroDialect getshiroDialect(){
        return new  ShiroDialect();
    }

    /**
     * 下面两个配置是为了让shiro的注解有效,
     * 如果不满足注解会自动抛异常,所以这个时候就需要写全局异常处理
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(defaultWebSecurityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

3、认证与授权


public class UserRealm extends AuthorizingRealm {
    @Autowired(required = false)
    private UserMapper userMapper;
    @Autowired
    private UserService userService;

    /**
     * 授权:授权的主要目的就是根据认证数据提取到用户的权限信息
     * principalCollection:包含了所有已经认证的安全数据
     * AuthorizationInfo:授权数据
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取身份信息
        String name= (String) principalCollection.getPrimaryPrincipal();
        //根据身份信息从数据库中查询角色和权限数据
        User user=userService.queryByName(name);
        //这里使用静态数据模拟
        Set<String> permissions=new HashSet<>();
        permissions.add(user.getPermission());
        Set<String> roles=new HashSet<>();
        roles.add(user.getRole());
        //构造返回
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        //设置权限集合
        info.setStringPermissions(permissions);
        //设置角色集合
        info.setRoles(roles);
        return info;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //加这一步的目的是在Post请求的时候会先进认证,然后在到请求
        if (authenticationToken.getPrincipal() == null) {
            return null;
        }
        //获取用户信息
        String name = authenticationToken.getPrincipal().toString();
        User user = userService.queryByName(name);
        if (user == null) {
            //这里返回后会报出对应异常
            return null;
        } else {
            //这里验证authenticationToken和simpleAuthenticationInfo的信息
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(name, user.getPassword().toString(), getName());
            return simpleAuthenticationInfo;
        }
    }
}

4、实体类

@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    @TableField("id")
    private Long Id;
    private String name;
    private Integer age;
    private String email;
    private String password;
    private String role;
    private String permission;
}

5、mapper类

/**
 * 直接继承 BaseMapper,这是 mybatis-plus 封装好的类。
 */
public interface UserMapper extends BaseMapper<User> {
    User queryByName(String username);
}

6、业务类

public interface UserService {
    User queryByName(String username);
}


@Service
public class UserServiceImpl implements UserService {
    @Autowired(required = false)
    private UserMapper userMapper;
    @Override
    public User queryByName(String username) {
        QueryWrapper wrapper=new QueryWrapper();
        wrapper.eq("name",username);
        User user=userMapper.selectOne(wrapper);
        return user;
    }
}

在这里插入图片描述
7、控制类


@Controller
public class UserController {
    @Autowired(required = false)
    RoleService roleService;

    @RequestMapping("/tologin")
    public String tologin(User user){
        //获取主体
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(new UsernamePasswordToken(user.getName(), user.getPassword()));
            System.out.println(subject.hasRole("role1"));
            System.out.println(subject.isPermitted("user:save"));
        } catch (UnknownAccountException e) {
            System.out.println("账号不存在");
            return "login";
        } catch (AccountException e) {
            System.out.println("账号或密码不正确");
            return "login";
        } catch (IncorrectCredentialsException e) {
            System.out.println("账号或密码不正确");
            return "login";
        }

        return "index";
    }
    @RequestMapping("/login")
    public String login(){
        return "login";
    }
    @RequestMapping("/index")
    public String index(){
        return "index";
    }
    @RequestMapping("/hello")
    @ResponseBody
    public String hello(){
        return "hello";
    }

    /**
     * 注销成功之后会默认跳转的index.html页面,所以我这样写是无效的
     * 可以自己去修改跳转的页面
     * @return
     */
    @RequestMapping("/logout")
    public String logout(){
        return "login";
    }

    @RequestMapping("/role")
    @RequiresAuthentication
    @ResponseBody
    public String testRole(){
        return "role";
    }
}

8、页面
404.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
404
</body>
</html>

add.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>添加</title>
</head>
<body>
添加
</body>
</html>

delete.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>删除</title>
</head>
<body>
删除
</body>
</html>

index.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>
首页
</body>
</html>

login.html:

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<form th:action="/tologin">
    <input type="text" name="name" value="">
    <input type="password" name="password" value="">
    <input type="submit" value="登录">
</form>
</body>
</html>

需要认证的页面都会先跳转到登录页面,登录成功之后才可以访问其他页面

java后端指南
关注
专栏目录
Shiro认证授权
编程小白养成手记
08-12 489
shiro实战教程 一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
shiro认证授权
qq_41644069的博客
10-27 618
1.shiro认证 1.1.身份验证 身份验证:一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明。 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份。 principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primaryprincipals,一般是用户名/邮箱/手机号。 credentials.
Shiro中的授权
萝卜_7
08-09 146
Shiro授权 1. 授权授权,即访问控制。主体通过身份认证之后,需要分配权限。 2. 关键对象 Who 主体,即主体需要访问系统中的资源 What 即资源,如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号为001的商品信息也属于资源实例。 How 权限/许可,规定主体对资源的操作访问,权限离开资源乜有意义,如用户查询权限,用户添加权限。通过权限可以知道主体对哪些资源有哪些操作许可。 3. 授
shiro权限控制前端页面资源显示
m0_67392010的博客
04-07 1308
下面代码就是判断如果当前用户角色为 administrator ,则前端页面显示div标签和里面的内容 @if(shiro.hasRole("administrator")){ <div class="layui-inline"> <select id="lrr" name="lrr" lay-filter="lrr" lay-search=""></select> </div> @} 如果要控制多个角色资源,则使用 @if(shir
shiro进行权限控制的四种方式
m0_67402026的博客
04-07 6503
我们使用shiro进行权限控制 有以下几种方式 1. URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 /css/ = anon /js/ = anon /images/ = anon /validatecode.jsp = anon /login.jsp = anon /userActionlogin.action = anon /pagebasestaff.action = perms\["staff-
如何使用Shiro实现不同用户登录成功后跳转到不同主页?
迷茫的小莱
09-05 1万+
0 如何使用Shiro实现不同用户登录成功后跳转到不同主页?10 Shiro配置文件中successUrl指定的页面只有一个:  Java代码   "shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">           "securityManager" r
spring boot整合shiro没有权限时跳转到403页面
孤独的大佬
12-02 1466
shiro认证授权案例
10-12
**一、Shiro认证流程** Shiro认证过程主要涉及以下几个步骤: 1. **凭证匹配器(CredentialsMatcher)**:这是Shiro用来比对用户输入的凭证(如密码)和系统存储的凭证是否一致的组件。在案例中,可能使用了MD5...
Shiro登录授权认证功能
09-26
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能,简化了应用安全的开发。在这个项目中,我们主要关注的是...
快速上手Shiro—Java认证授权框架
03-19 6501
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义Realm类 ShiroConfig类
springboot整合shiro实现认证授权项目源代码
最新发布
07-16
- 考虑安全性,Shiro的配置应当根据实际需求调整,如session超时时间、未授权页面跳转等。 - 在生产环境中,确保Shiro的日志级别适当,避免敏感信息泄露。 通过这个项目,开发者可以学习到如何将Spring Boot与...
shiro +springmvc无权限跳转到指定错误页面
热门推荐
IT 民工
09-08 1万+
shiro springmvc 整合时没有权限时跳转到指定错误页面,其实这个做法还适合捕获异常来跳转到指定页面
shiro权限,不跳转到指定页面。setUnauthorizedUrl无效
我是你妹她哥的博客
01-28 1万+
既上一篇博客,当用户在登陆之后,访问没有权限页面时,没有跳转到指定页面,并且后台报错。我们之前在ShiroConfig中已经设置了无权限的跳转页面,那么为什么没起作用呢? 问题复现: org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String c...
shiro+SSM不同身份的用户退出到不同的登录页面
Architect_CSDN的博客
05-14 3787
1.在shiro文件中加入bean,类关联为org.apache.shiro.web.filter.authc.LogoutFilter,取名要和下面的对应,重定向的名字要和对应的一样&lt;bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter"&gt;&lt;property name="redi...
shiro关于权限问题的页面跳转
言诺liang
12-04 5584
关于shiro权限控制异常的抓取及跳转问题:如果用户登录没有所需的角色role或者所需的权限permission这时候应该抓取异常并跳转到异常提示页面一般我知道的三种处理方式。 1、直接在配置文件中配置shiro的web过滤器: &lt;!-- Shiro的Web过滤器 --&gt; &lt;bean id="shiroFilter" class="org.apache.sh...
springboot+shiro使用权限注解问题_无法使用注解_使用注解无法跳转无权限页面
JieZhongBa的博客
10-03 622
环境 springboot:2.5.5 shiro:1.8.0 (shiro-spring-boot-web-starter) idea 常用注解 一些小问题 1. 无法使用权限注解 实测使用shiro-spring-boot-web-starter没有这个问题,其他版本可能遇到。 解决办法:shiro配置类中添加bean @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(Sec
Shiro框架针对不同登录界面和不同角色用户
weixin_42803027的博客
12-05 1万+
开发思路 最近,项目经理分配的一个任务是:要求根据不同角色身份的用户设计不用的登录界面,同时,用户不能跨登录界面登录。原话,我忘记了,意思是:比如,管理员只能用管理员登录界面登录,普通用户只能用普通用户登录界面的登录。因为,我们的项目,登录时,shiro会对请求进行拦截,并根据绑定的realm完成校验… …现在我就根据代码详细的说明,如果有说错的地方,希望能不吝赐教。 Filter 请求被au...
shiro+SpringMVC中根据不同身份进入不同的页面
Architect_CSDN的博客
05-14 4379
1.首先自定义一个realm类,这个类需要继承FormAuthenticationFilterpublic class MyFormAuthenticationFilte extends FormAuthenticationFilter{@Overrideprotected boolean onLoginSuccess(AuthenticationToken token, Subject subj...
shiro登录成功后指定跳转页面
web18536560468的博客
08-24 534
1.自定义一个MyFormAuthenticationFilter 继承FormAuthenticationFilter。4.ShiroFilterFactoryBean 配置中配置自定义FormAuthenticationFilter。2.在 httpResponse.sendRedirect(url);指定你要跳转的url。3.spring 中配置自定义FormAuthenticationFilter。表单中账号的input名称。表单中密码的input名称。
用户认证授权Shiro基础解析
- 首先,系统会检查某些资源是否允许未经认证的访问,如登录页面和首页。 - 如果资源需要认证,系统会判断用户是否已认证。 - 若未认证,用户会被引导至登录页面,输入认证信息进行验证。 - 认证成功后,用户...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java后端指南

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值