java-使用shiro对不同角色登录分配对应的权限

已于 2024-06-17 22:56:18 修改
阅读量763 收藏 10
点赞数 13
文章标签: java 开发语言 spring boot
于 2024-06-17 22:27:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bailinbailin/article/details/139752325
版权

一、引入依赖(springboot)

    <!--shiro 依赖-->
    <dependency>
       <groupId>org.apache.shiro</groupId>
       <artifactId>shiro-spring</artifactId>
       <version>1.4.1</version>
    </dependency>
    <!--shiro 和 thymeleaf 整合-->
    <dependency>
       <groupId>com.github.theborakompanioni</groupId>
       <artifactId>thymeleaf-extras-shiro</artifactId>
       <version>2.0.0</version>
    </dependency>

二、Shiro

shiro可以用来登录认证(Authentication),加密(Cryptography),授权(Authorization),会话管理,可以作为安全框架来使用。我们先来学习一般加密方法。

三、一般加密方法

注意这里不是shiro加密,是使用Md5Hash加密,详细代码如下

@Test//加密
public void test01(){
    //普通加密 123作为密码
    Md5Hash md5Hash = new Md5Hash("123");
    System.out.println("md5Hash = " + md5Hash);
    //普通加密觉得还不安全,加入 盐
    String salt="0d97c0c016d4759268b75a25d6eb4eb5";
    Md5Hash md5Hash1 = new Md5Hash("123", salt);
    System.out.println("md5Hash1 = " + md5Hash1);//安全的很
    //若觉得还不安全,打散1024次,再来,此时非常安全了
    Md5Hash md5Hash2 = new Md5Hash("123", salt, 1024);
    System.out.println("md5Hash2 = " + md5Hash2);
}

四、shiro的组成

shiro有三个主体,分别是realm、securityManager和subject,由它们共同完成认证加密授权

realm:

相当于数据库里的数据,当shiro需要验证用户身份或获取用户权限时,会从realm中查找相关信息;shiro内置了多种realm实现,用于连接不同的安全数据源,如LDAP、关系数据库等;                  可以自定义realm。 

securityManager:

是shiro的核心组件。负责管理所有用户的安全操作;

当应用代码与Subject交互时,实际上是与securityManager内部的特定subject进行交互;

securityManager的缺省实现是pojo,可以通过Java代码、springxml等进行配置。

subject:

指当前操作的用户;应用代码直接交互的对象是Subject;

Subject包含了Principals(身份标识,如用户名)和Credentials(凭证,如密码)两个信息。

每个Subject对象都必须与一个SecurityManager进行绑定。

通过Subject,应用代码可以执行安全操作,如登录、访问控制等。

五、编写shiro的登录认证+加密+授权代码

1)shiro的配置文件

需要先把ream和securityManager提前创建,在初始化realm里定义使用md5加密;配置全局的拦截器;

package com.xiexin.shiro;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;

// 配置shiro , 需要 项目 中  shiro的配置
// 即  3个 对象[ realm , securityManager , subject[不要在这个类中创建]   ] 提前创建
// 要想 对象 提前 创建!。。 需要用一个注解! @Configuration + @Bean
@Configuration
public class ShiroConfig {

    // realm 的创建
    @Bean // 相当于 类上 的  @Controller , @Servcie 。。四大注解。。。
    public Realm realm(){
        MybatisRealm realm = new MybatisRealm();
        -----shiro的加密!!!!!!
        HashedCredentialsMatcher matcher=new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("md5");
        matcher.setHashIterations(1024);
        realm.setCredentialsMatcher(matcher);//加盐加密
        return realm;
    }
    //  securityManager 的创建----一个realm有一个securityManager 
    @Bean
    public DefaultWebSecurityManager securityManager (Realm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }

    // 最外层的 shiro 接管
    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/index"); // 指定登录页
        // 设置 那些页面 拦截,那些页面不拦截【登录,  登录的功能不拦截】
        Map filterChainDefinitionMap = new LinkedHashMap();// 有顺序!
         // 不拦截的界面
        filterChainDefinitionMap.put("/index", "anon"); // anon 代表 不拦截
        filterChainDefinitionMap.put("/", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/admin/shiroLogin", "anon");
        // 需要拦截
        filterChainDefinitionMap.put("/**", "authc"); // authc 代表 不登录不能进入
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }
}

2)mybatisRealm,realm配置文件

package com.xiexin.shiro;

import com.xiexin.entity.po.Admin;
import com.xiexin.entity.query.AdminQuery;
import com.xiexin.service.AdminService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import javax.annotation.Resource;
import java.util.List;

public class MybatisRealm extends AuthorizingRealm {
    @Resource
    private AdminService adminService;
    //授权 3 种触发   : 1.硬编码   ; 注解(前后端分离常用) ; 页面标签(前后端分离无此模式)
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("我是授权,我被触发了");
        System.out.println("principalCollection = " + principalCollection);

        return null;
    }

    // Authenticat  登录, 认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 拿 用户的信息。。  根据  subject 提供的账户名和密码进行查找。。。
        System.out.println("authenticationToken = " + authenticationToken);
        System.out.println("账号 = " + authenticationToken.getPrincipal());
        System.out.println("密码 = " + authenticationToken.getCredentials());
        //上面是前端传来的用户名和密码
        //接下来要和DB中的数据作比较
        //1.根据账户名查询
        AdminQuery adminQuery = new AdminQuery();
        adminQuery.setAdminAccount((String)authenticationToken.getPrincipal());
        List<Admin> listByParam = adminService.findListByParam(adminQuery);
        if(listByParam.size() !=1){
            //账户名错误
            return null;
        }else{
                                                        
          SimpleAuthenticationInfo info= // 账户名    
          new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
          // 数据库中的密码 
          listByParam.get(0).getAdminPwd(),// 加盐    本类的名
                  ByteSource.Util.bytes(listByParam.get(0).getSalt()),this.getName());
            System.out.println("info = " + info);
            return info;
        }
         // 返回null 代表 永远登录不了。
    }
}

六、controller层使用shiro

	@Resource
	private AdminService adminService;
	@GetMapping("/adminInfo")
	public ResponseVO adminInfo(){
		//触发硬编码
		System.out.println("测试 硬编码 触发授权");
		//硬编码 触发
		Subject subject = SecurityUtils.getSubject();
		boolean teacher = subject.hasRole("teacher");//判断是否有指定角色
		System.out.println("teacher = " + teacher);
		//subject.isPermitted("admin:add");//判断是否有指定权限
        //---上面要从数据库中获取
		ResponseVO responseVO = new ResponseVO();
		responseVO.setCode(200);
		responseVO.setInfo("测试成功");
		return responseVO;
	}

	@PostMapping("/shiroLogin") // admin/shiroLogin
	public ResponseVO shiroLogin(@RequestBody AdminQuery admin){
		ResponseVO vo= new ResponseVO();
		// 用一个 subject 的对象 来 用的
		Subject subject = SecurityUtils.getSubject();
		// 需要要给 token
		UsernamePasswordToken  token = new UsernamePasswordToken(admin.getAdminAccount(), admin.getAdminPwd());

		try {
			subject.login(token);//登陆验证
			vo.setCode(200);
			vo.setInfo("登录成功");
			return vo ;
		} catch (AuthenticationException e) {
			throw  new BusinessException(ResponseCodeEnum.CODE_501   );
		}

	}

执行controller中shiroLogin方法的subject.login(token)时,会触发MybatisRealm 中认证方法doGetAuthenticationInfo,接收的参数就是传来的token。

--------------明天更,今天先到这里,有不懂的或者建议可以提出来!!看到就回!!

旅行小青蛙&nbsp
关注
JAVA后端登录权限控制
m0_70547268的博客
03-20 1495
spring拦截器实现登录权限控制
Spring-shiro-Boot-11 shiro实例----权限、菜单、用户、角色
良之才的专栏
03-24 1272
shiro中的权限最简单的使用就是菜单。 用户---角色---权限/菜单 一、菜单和权限---Permission数据模型 所以我将菜单放到了权限表中,用权限代表菜单。 (1)数据结构如下: public class Permission { private static final long serialVersionUID = 6180869216498363919L; //父节点ID,顶级为0 private Long parentId; //菜单名 private Stri
java项目登录权限配置
最新发布
weixin_42090593的博客
08-01 32
给大家整理了一些有关【Java,项目】的项目学习资料(附讲解~~):https://edu.51cto.com/course/35714.htmlhttps://edu.51cto.com/course/30138.htmlJava项目登录权限配置 在Java项目中,配置登录权限是确保应用程序安全性的重要步骤。通过合理...
Java 权限管理系统 shiro + ssm实现
05-05
Java 权限管理系统 shiro + ssm实现。 权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis 和com.xe.demo.common.support.redis包下的注释去掉,
实现业务系统中的用户权限管理--设计篇(转自http://www.noahweb.net/mail/2/Project.htm)
NiuNIu's sPAcE
11-22 1万+
  B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权
JavaWeb项目:Shiro实现简单的权限控制(整合SSM)
weixin_33798152的博客
03-14 290
该demo整合Shiro的相关配置参考开涛的博客 数据库表格相关设计 表格设计得比较简单,导航栏直接由角色表auth_role的角色描述vRoleDesc(父结点)和角色相关权限中的权限描述(标记为导航结点)vPermissionDesc(展开子项)组成。 Shiro相关设置 密码输入错误次数限制 //密码重试5次次数限制 public class RetryLimitHashe...
java 权限框架 shiro_Java 权限控制框架Shiro
weixin_35761085的博客
02-13 373
什么是Shiro?Apache组织下的名媛 ——JAVA安全控制框架 Shiro一个强大且易用的轻量级Java安全框架, 执行身份验证(Authentication)、(Authorization)授权、(Cryptography)加密和(Session Management)会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序, 从最小的移动应用程序到最大的网络和企业应...
shiro权限
天地无名
09-30 710
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
spring boot+shiro+mybatis实现不同用户登录显示不同权限菜单
06-28
3. **权限细粒度控制**:不仅可以基于角色分配权限,还可以对单个URL或者资源进行权限控制,实现更灵活的权限策略。 总的来说,这个项目展示了如何利用Spring BootShiro和MyBatis的集成,实现一个功能完善的权限...
java开发oa系统源码下载-Spring-shiro:Spring整合权限框架Shiro
06-05
5.后台接口权限控制:对后台接口启用权限控制,对应的接口若不满足权限角色要求,则请求失败; 6.用户-角色-权限使用常规RBAC的模型,用户到角色角色权限均为多对多关系映射。 效果图: 附录:中央技术储备...
SpringMVC-Mybatis-Shiro-redis-master
01-18
例如,它可以限制未登录用户访问特定页面,或者根据用户角色分配不同的操作权限。 **Redis** 是一个高性能的键值存储系统,常被用作缓存服务。在Web应用中,Redis可以存储会话数据,减轻数据库的压力,提高响应速度...
JAVA MYSQL 权限分配技术
05-18
基于基本权限权限分配技术。 根据“用户表”、“基本权限表”设计一界面,每个用户进行基本权限的动态管理。
java用户角色权限
06-25
java用户角色权限demo,简单说明用户角色权限直接的关系
ssm-shiro权限管理(一)
01-08
基于ssm快速整合shiro权限
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
hx-permission-shiro:权限配置
04-30
总结起来,hx-permission-shiro一个基于Java Shiro框架的权限配置示例,通过它我们可以学习如何在实际项目中设置用户角色权限、Realm、Filter等,实现灵活而强大的权限管理。理解并掌握Shiro的这些核心概念和...
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限候,公司统一的给组长级别的人 加一个“计算工资”权限,...
一个Java权限框架-Shiro
奔走的王木木Sir的博客
06-14 3369
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
JAVAWEB开发权限管理(二)——shiro入门详解以及使用方法、shiro认证与shiro授权
m0_54850825的博客
08-17 1129
上边的程序中使用的是Shiro自带的iniRealm。iniRealm从配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义Realm。// 设置Realm的名称@Override}// 支持UsernamePasswordToken@Override}// 用于认证@Override// token是用户输入的// 第一步从token中取出身份信息// 第二步:根据用户输入的usercode从数据库查询// 如果查询不到返回null。...
OA系统用户角色权限Java实现
Java类设计中,可以创建不同角色类,每个角色对应一组特定的权限。例如,`Role`类可以包含`add`、`delete`、`modify`和`query`等方法,根据角色不同,这些方法可以被启用或禁用。超级管理员角色类将拥有所有...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值