spring boot第八次作业

最新推荐文章于 2022-05-23 15:44:31 发布
最新推荐文章于 2022-05-23 15:44:31 发布
阅读量157 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a2534142998/article/details/107801455
版权

Shiro进行权限控制
1 . 添加依赖

org.apache.shiro shiro-spring 1.2.5 org.apache.shiro shiro-ehcache 1.2.5

2 . 编写Shiro配置类

package com.xbz.web.system.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.session.SessionListener;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import java.util.ArrayList;
import java.util.Collection;
import java.util.LinkedHashMap;
import java.util.Map;

/**

  • shiro配置类

  • ApacheShiro核心通过Filter来实现权限控制和拦截 , 就好像SpringMVC通过DispachServlet来主控制请求分发一样 .

  • 既然是使用Filter , 即是通过URL规则来进行过滤和权限校验 , 所以我们需要定义一系列关于URL的规则和访问权限
    /
    @Configuration
    public class ShiroConfiguration {
    /    *

    • DefaultAdvisorAutoProxyCreator , Spring的一个bean , 由Advisor决定对哪些类的方法进行AOP代理 .
      */
      @Bean
      @ConditionalOnMissingBean
      public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
      DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
      defaultAAP.setProxyTargetClass(true);
      return defaultAAP;
      }

    /**

    • ShiroFilterFactoryBean : 为了生成ShiroFilter , 处理拦截资源文件问题 .
    • 它主要保持了三项数据 , securityManager , filters , filterChainDefinitionManager .
    • 注意 : 单独一个ShiroFilterFactoryBean配置是或报错的 , 因为在初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
    • FilterChain定义说明
    • 1 . 一个URL可以配置多个Filter , 使用逗号分隔
    • 2 . 当设置多个过滤器时 , 全部验证通过 , 才视为通过
    • 3 . 部分过滤器可指定参数 , 如perms , roles

    */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    shiroFilterFactoryBean.setSecurityManager(securityManager());
    shiroFilterFactoryBean.setLoginUrl("/login");//不设置默认找web工程根目录下的login.jsp页面
    shiroFilterFactoryBean.setSuccessUrl("/index");//登录成功之后要跳转的连接
    shiroFilterFactoryBean.setUnauthorizedUrl("/403");//未授权跳转页面

     Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
 //filterChainDefinitionManager必须是LinkedHashMap因为它必须保证有序
 filterChainDefinitionMap.put("/css/**", "anon");//静态资源不要求权限 , 若有其他目录下文件(如js,img等)也依此设置

 filterChainDefinitionMap.put("/", "anon");
 filterChainDefinitionMap.put("/login", "anon");//配置不需要权限访问的部分url

 filterChainDefinitionMap.put("/logout", "logout");

 filterChainDefinitionMap.put("/user/**", "authc,roles[ROLE_USER]");//用户为ROLE_USER 角色可以访问 . 由用户角色控制用户行为 . 
 filterChainDefinitionMap.put("/events/**", "authc,roles[ROLE_ADMIN]");
 //        filterChainDefinitionMap.put("/user/edit/**", "authc,perms[user:edit]");// 这里为了测试 , 固定写死的值 , 也可以从数据库或其他配置中读取 , 此处是用权限控制

 filterChainDefinitionMap.put("/**", "authc");//需要登录访问的资源 , 一般将/**放在最下边

 shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
 return shiroFilterFactoryBean;

    }
    public SimpleCookie rememberMeCookie(){
    //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
    SimpleCookie simpleCookie = new SimpleCookie(COOKIE_NAME);
    simpleCookie.setMaxAge(604800);//记住我cookie生效时间7天 ,单位秒
    return simpleCookie;
    }

    /** cookie管理对象 : 记住我功能 */
    public CookieRememberMeManager rememberMeManager(){
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    cookieRememberMeManager.setCookie(rememberMeCookie());
    cookieRememberMeManager.setCipherKey(Base64.decode(“3AvVhmFLUs0KTA3Kprsdag==”));//rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)
    return cookieRememberMeManager;
    }

    @Bean
    SessionDAO sessionDAO() {
    return new MemorySessionDAO();
    }

    @Bean
    public SessionManager sessionManager() {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    Collection listeners = new ArrayList<>();
    listeners.add(new BDSessionListener());
    sessionManager.setSessionListeners(listeners);
    sessionManager.setSessionDAO(sessionDAO());
    return sessionManager;
    }
    @Bean(name = “securityManager”)
    public DefaultWebSecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(shiroRealm());
    securityManager.setCacheManager(ehCacheManager());用户授权/认证信息Cache, 采用EhCache 缓存

     // 自定义session管理 使用redis
 securityManager.setSessionManager(sessionManager());

 //注入记住我管理器;
 securityManager.setRememberMeManager(rememberMeManager());
 return securityManager;

    }

    /**

    • ShiroRealm , 这是个自定义的认证类 , 继承自AuthorizingRealm ,
    • 负责用户的认证和权限的处理 , 可以参考JdbcRealm的实现 .
      */
      @Bean
      @DependsOn(“lifecycleBeanPostProcessor”)
      public ShiroRealm shiroRealm(CredentialsMatcher matcher) {
      ShiroRealm realm = new ShiroRealm();
      realm.setCredentialsMatcher(matcher);//密码校验实现
      return realm;
      }
      @Bean
      @DependsOn(“lifecycleBeanPostProcessor”)
      public EhCacheManager ehCacheManager() {
      EhCacheManager em = new EhCacheManager();
      em.setCacheManagerConfigFile(“classpath:config/ehcache.xml”);//配置文件路径
      return em;
      }

    /**

    • LifecycleBeanPostProcessor , 这是个DestructionAwareBeanPostProcessor的子类 ,
    • 负责org.apache.shiro.util.Initializable类型bean的生命周期的 , 初始化和销毁 .
    • 主要是AuthorizingRealm类的子类 , 以及EhCacheManager类 .
      */
      @Bean(name = “lifecycleBeanPostProcessor”)
      public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
      return new LifecycleBeanPostProcessor();
      }
      @Bean(name = “hashedCredentialsMatcher”)
      public HashedCredentialsMatcher hashedCredentialsMatcher() {
      HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
      credentialsMatcher.setHashAlgorithmName(“MD5”);//指定加密方式方式,也可以在这里加入缓存,当用户超过五次登陆错误就锁定该用户禁止不断尝试登陆
      credentialsMatcher.setHashIterations(2);
      credentialsMatcher.setStoredCredentialsHexEncoded(true);
      return credentialsMatcher;
      }

    /**

    • AuthorizationAttributeSourceAdvisor , shiro里实现的Advisor类 ,
    • 内部使用AopAllianceAnnotationsAuthorizingMethodInterceptor来拦截用以下注解的方法 .
      */
      @Bean
      public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
      AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
      advisor.setSecurityManager(securityManager());
      return advisor;
      }

    //thymeleaf模板引擎和shiro整合时使用
    @Bean
    public ShiroDialect shiroDialect() {
    return new ShiroDialect();
    }
    }

3 . 自定义Realm验证类
package com.yiyun.web.system.config;

import com.yiyun.dao.master.UserDao;
import com.yiyun.domain.UserDO;
import com.yiyun.web.common.utils.ShiroUtils;
import com.yiyun.web.system.service.MenuService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.*;

/**

  • 获取用户的角色和权限信息
    */
    public class ShiroRealm extends AuthorizingRealm {

    // 一般这里都写的是servic
    @Autowired
    private UserDao userMapper;
    @Autowired
    private MenuService menuService;

    /**

    • 登录认证 一般情况下 , 登录成功之后就给当前用户进行权限赋予了

    • 根据用户的权限信息做授权判断,这一步是以doGetAuthenticationInfo为基础的,只有在有用户信息后才能根据用户的角色和授权信息做判断是否给用户授权,因此这里的Roles和Permissions是用户的两个重点判断依据

    • @param authenticationToken

    • @return

    • @throws AuthenticationException
      */
      @Override
      protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
      UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
      UserDo user = userMapper.findByName(token.getUsername());//查出是否有此用户

      if(user != null){
      // 若存在,将此用户存放到登录认证info中,无需自己做密码对比,Shiro会为我们进行密码对比校验
      List rlist = uRoleDao.findRoleByUid(user.getId());//获取用户角色
      List plist = uPermissionDao.findPermissionByUid(user.getId());//获取用户权限
      List roleStrlist=new ArrayList();用户的角色集合
      List perminsStrlist=new ArrayList();//用户的权限集合
      for (URole role : rlist) {
      roleStrlist.add(role.getName());
      }
      for (UPermission uPermission : plist) {
      perminsStrlist.add(uPermission.getName());
      }
      user.setRoleStrlist(roleStrlist);
      user.setPerminsStrlist(perminsStrlist);
      Session session = SecurityUtils.getSubject().getSession();
      session.setAttribute(“user”, user);//成功则放入session
      // 若存在,将此用户存放到登录认证info中,无需自己做密码对比,Shiro会为我们进行密码对比校验
      return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
      }
      return null;
      }

    /**

    • 权限认证

    • 获取用户的权限信息,这是为下一步的授权做判断,获取当前用户的角色和这些角色所拥有的权限信息

    • @param principalCollection

    • @return
      */
      @Override
      protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
      //获取当前登录输入的用户名,等价于(String) principalCollection.fromRealm(getName()).iterator().next();
      // String loginName = (String) super.getAvailablePrincipal(principalCollection);
      UserDo user = (UserDo) principalCollection.getPrimaryPrincipal();
      // //到数据库查是否有此对象
      // User user = null;// 实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
      // user = userMapper.findByName(loginName);
      if (user != null) {
      //权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
      SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
      //用户的角色集合
      info.addRoles(user.getRoleStrlist());
      //用户的权限集合
      info.addStringPermissions(user.getPerminsStrlist());

       return info;

      }
      // 返回null的话,就会导致任何用户访问被拦截的请求时,都会自动跳转到unauthorizedUrl指定的地址
      return null;
      }
      }
      4 . 最后看一下ehcache的配置文件

<?xml version="1.0" encoding="UTF-8"?>







a2534142998
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
manage-task:一个用于收作业spring boot小项目
05-08
用于管理交作业前后端分离的一个小项目 简介 一个后端渣渣前端沫沫的假期无聊找的乐子,用以帮助收作业(不想被催)所作。前端基本一团乱麻,后端基本豆腐渣。目的貌似也没达到。 关于使用 html为前端文件,manage-task为后端spring boot项目 前端js/myjs/work.js中的第一个 `getUrl()`函数返回值为后端服务地址 密码获取方式为 MD5(SHA512(原始密码+盐)),原始密码+盐取SHA512再取结果的MD5。 例如原始账号20218888,原始密码20218888,盐20218888 ,密码为b8d9bcc536b2a769db391ba24fa60111 数据库sql文件在sql文件夹,需先创建数据库managework 相关技术 后端 1. jdk11 2. spring boot 3. mysql8.0+ 4. druid数据库连接池 5. my
shiro:LifecycleBeanPostProcessor的作用
拒绝熬夜啊的博客
10-18 737
shiro:LifecycleBeanPostProcessorspringboot中整合shiro的时候,在配置项中往往需要配置LifecycleBeanPostProcessor,他是用来管理shiro一些bean的生命周期 配置如下: /** * 管理Shiro中一些bean的生命周期 */ @Bean("lifecycleBeanPostProcessor") public LifecycleBeanPostProcessor lifecycleBeanPos
shiro 使用
?_#的博客
05-18 136
shiro 核心架构 Subject(主体):与软件交互的一个特定的实体(用户、第三方服务等)。 SecurityManager(安全管理器) :Shiro 的核心,用来协调管理组件工作。 Authenticator(认证管理器):负责执行认证操作 Authorizer(授权管理器):负责授权检测 SessionManager(会话管理):负责创建并管理用户 Session 生命周期...
Spring Boot学习(4)
jiatenghui1的博客
05-17 183
Spring Boot学习(4) REST风格 简介: 按照REST风格访问资源时使用行为动作区分对资源进行了何种操作 http://localhost:0000/users 查询全部用户信息 GET(查询) http://localhost:0000/users/1 查询指定用户信息 GET(查询) http://localhost:0000/users 添加用户信息 POST(新增/保存) http://localhost:0000/users 修改用户信息 PUT(修改/更新) http://lo
springboot整合无状态shiro基本配置
yaoct的博客
12-05 304
<!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> shiro基本配置: package com.demo1.config; impo...
Springboot 整合Shiro 轻量级权限框架,从数据库设计开始带你快速上手shiro
默默不代表沉默
04-26 2414
前言 shiro是一个轻量级的权限框架,该篇我将会从0到1快速教大家搭建出一套包含角色,权限登录校验的项目。 就算你没了解过,也能学会。跟着我把代码敲一遍,这个项目就是属于你的。 该篇文章比较啰嗦,篇幅较长,如果不是入门的初学者大可不必从头开始阅读(我一般的教程都会以从零开始的方式,所以都比较啰嗦)。 正文 数据库的准备(Mysql): 在这是实践的案例里面,数据库表三...
基于Spring Boot的社区论坛项目源码+数据库+项目说明.zip
01-08
1、基于Spring Boot的社区论坛项目源码+数据库+项目说明.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习...
基于Spring Boot的社区论坛项目 SSM、Redis、Kafka、Quartz、Spring +源代码+文档说明
11-27
- Spring Boot - SpringMVC - Spring - MyBatis3、通用mapper - Spring Security:安全框架 - Redis:缓存及数据存储 - Kafka:消息队列 - Elasticsearch-6.3.0:分布式搜索引擎 - Quartz:定时调度框架 - Nginx - ...
毕业设计: Java项目之基于springboot基于springboot的课程作业管理系统(源码 + 数据库 + 论文)
最新发布
04-02
3.4.2添加信息流程 8 3.4.3删除信息流程 9 第4章 系统设计 11 4.1 系统体系结构 11 4.2开发流程设计系统 12 4.3 数据库设计原则 13 4.4 数据表 15 第5章 系统详细设计 19 5.1管理员功能模块 20 5.2教师功能模块 23 ...
java anon,shiro anon 不生效
weixin_42348021的博客
03-19 1489
在使用springboot整合shiro的过程中,希望静态资源资源不受shiro过滤器‘authc’拦截,于是定义了“anon”,测试发现根本不生效,静态资源路径下的资源(如/js/**)依旧会被拦截并重定向到/login,以下是我的shiro javaconfigShiroConfig.java@Configurationpublic class ShiroConfig {@Value("${s...
shiro学习之LifecycleBeanPostProcessor的作用
hxm_Code的专栏
12-02 2万+
在使用spring整合shiro的系统中,配置bean的时候往往要配置LifecycleBeanPostProcessor,一直没有深究这个的具体作用,只大概知道是用来管理shiro一些bean的生命周期。今天查了一下源码,总算揭开它的神秘面纱。 先来看看日常的配置: id="lifecycleBeanPostProcessor" class="org.apache.shiro.sprin
SpringBoot整合Shiro权限框架
aa11dddd的博客
11-04 119
SpringBoot整合Shiro权限框架 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> 2.开始整合 把CustomRealm和SecurityManager等加入到s
SpringBoot+Vue从零开始做网站6-集成shiro实现登录和权限控制
sunon_的博客
05-23 1517
到上一篇已经把前后端的项目底子搭好了,今天开始做功能,首先就是后台管理系统登录功能。 Shiro简介 Apache Shiro是一个轻量级的身份验证与授权Java安全框架。对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单易用的Shiro就足够了,灵活性高。springboot本身是提供了对security的支持。springboot暂时没有集成shiro,这得自己配。 Shiro三个核心概念:Subject
Spring AOP 自动代理源码 DefaultAdvisorAutoProxyCreator
bugpool的博客
04-03 4696
前言 前面已经学习了ProxyFactory的源码,学习了如何手动硬编码使用最基础的Spring AOP,以及实现方式。这一节要学习自动代理DefaultAdvisorAutoProxyCreator源码。比起Spring AOP注解形式实现自动代理,我们之前学习的ProxyFactory还差以下2步: 代理时机:在Spring Ioc创建Bean的过程中,寻找合适的时机进行调用Spring A...
Spring Boot 作业
M_1725046289的博客
06-23 258
课后作业 任务:创建Spring Boot项目输出学生信息 创建Spring Boot项目StudentInfo 查看它给我们配置的pom.xml文件 创建控制器StudentInfoController package net.lhf.lesson01.controller; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapp
springboot+shiro+mybatis实现角色权限控制
热门推荐
牧竹子
05-11 3万+
背景spring+spirngmvc+shiro的整合已经有很多了,之前的项目中也用过,但是最近想在springboot中使用shiro这样,其他项目需要的时候只需要把它依赖进来就可以直接使用,至于shiro的原理其他的blog都有很多介绍。这里只讲几个重点在项目中注意的地方。 shiro官网 http://shiro.apache.org/shiro配置中重要的几个文件其实最重要的就是shir
spring boot实现的作业管理系统
weixin_43959196的博客
06-19 2897
1、项目描述 通过springboot框架、结合jsp、mybatis,以及Rest等技术实现的一个简单的作业管理系统。项目目录如下: 2、数据库设计 2.1各个表的字段设计如下: homework表: student表 teacher表 student_homework表 3.建立spring boot项目 3.1选择 spring initializr,点击next,进行下一步 3.2 保持默认配置,此处采用maven构建项目,打包范式选择jar包形式 3.3 选择必要的依赖,此处选择了
SpringBoot 中 session 监听配置
转身那一瞬
08-04 2247
SpringBoot 中 session 监听配置 1、注册自定义sessionListener 到 SessionManger中,此方式是 代码方式配置,也可以用 xml,看个人习惯 @Configuration @Order(2) public class ShiroConfiguration { @Bean public SessionManager sessionMan...
SpringBoot集成Shiro进行权限控制和管理
BlueKitty的博客
03-07 1802
1 . 添加依赖&lt;dependency&gt;     &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt;     &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt;     &lt;version&gt;1.2.5&lt;/version&gt; &lt;/dependency&gt
Spring Boot Admin 和 Spring Boot Actuator
07-12
Spring Boot Admin和Spring Boot Actuator都是Spring Boot框架中常用的监控和管理工具。 Spring Boot Actuator是Spring Boot自带的模块,提供了很多监控和管理的功能。它可以通过HTTP端点暴露应用程序的健康状况、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值