Spring Boot 整合Shiro实现登陆认证和权限控制

最新推荐文章于 2024-10-06 20:22:50 发布
最新推荐文章于 2024-10-06 20:22:50 发布
阅读量1.4w 收藏 47
点赞数 3
分类专栏: Spring Boot Shiro 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cckevincyh/article/details/79629824
版权

我在做毕设的时候,使用了Shiro作为项目中的登陆认证和权限控制。
下面是我项目中如何实现整合shiro的学习记录。

导入shiro依赖包到pom.xml

  <!-- Shiro依赖 -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.2.2</version>
    </dependency>

配置shiro

下面给出了我项目中配置shiro的ShiroConfiguration 类中的主要代码:

package com.ciyou.edu.config.shiro.common

@Configuration
class ShiroConfiguration {

    @Autowired(required = false)
    private PermissionService permissionService

    private static final Logger logger = LoggerFactory.getLogger(ShiroConfiguration.class)


    /**
     * ShiroFilterFactoryBean 处理拦截资源文件问题。
     * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,因为在
     * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
     * Filter Chain定义说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过
     *
     * 部分过滤器可指定参数,如perms,roles
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean()

        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters()//获取filters
        //将自定义 的权限验证失败的过滤器ShiroFilterFactoryBean注入shiroFilter
        filters.put("perms", new ShiroPermissionsFilter())

        // 必须设置SecuritManager
        shiroFilterFactoryBean.setSecurityManager(securityManager)

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/login")
        //登录成功后要跳转的链接
        //shiroFilterFactoryBean.setSuccessUrl("/index")


        // 权限控制map.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>()
        // 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout")
        filterChainDefinitionMap.put("/favicon.ico", "anon")
        filterChainDefinitionMap.put("/adminLogin", "anon")
        filterChainDefinitionMap.put("/teacherLogin", "anon")
        //允许访问静态资源
        filterChainDefinitionMap.put("/static/**", "anon")
        // 从数据库获取所有的权限
        List<Permission> permissionList = permissionService?.findAllPermission()
        permissionList?.each {current_Permission ->
            //规则:"roles[admin,user]", "perms[file:edit]"
            filterChainDefinitionMap?.put(current_Permission?.getUrl(),"perms[" + current_Permission?.getPermission() + "]")
            logger.info("从数据库加载的拦截器规则:资源路径: " + current_Permission?.getUrl() + " ,需要权限:" +current_Permission?.getPermission())
        }

        filterChainDefinitionMap.put("/admin/**","roles[Admin]")
        filterChainDefinitionMap.put("/teacher/**","roles[Teacher]")
        filterChainDefinitionMap.put("/student/**","roles[Student]")
        //   过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
        filterChainDefinitionMap.put("/**", "authc")
        //authc表示需要验证身份才能访问,还有一些比如anon表示不需要验证身份就能访问等。
        logger.info("拦截器链:" + filterChainDefinitionMap)

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap)
        return shiroFilterFactoryBean
    }


    //SecurityManager 是 Shiro 架构的核心,通过它来链接Realm和用户(文档中称之为Subject.)
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager()
        //设置realm.
        securityManager.setAuthenticator(modularRealmAuthenticator())
        List<Realm> realms = new ArrayList<>()
        //添加多个Realm
        realms.add(adminShiroRealm())
        realms.add(teacherShiroRealm())
        realms.add(studentShiroRealm())
        securityManager.setRealms(realms)

        return securityManager
    }




    /**
     * 系统自带的Realm管理,主要针对多realm
     * */
    @Bean
    public ModularRealmAuthenticator modularRealmAuthenticator(){
        //自己重写的ModularRealmAuthenticator
        UserModularRealmAuthenticator modularRealmAuthenticator = new UserModularRealmAuthenticator()
        modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy())
        return modularRealmAuthenticator
    }

    @Bean
    public AdminShiroRealm adminShiroRealm() {
        AdminShiroRealm adminShiroRealm = new AdminShiroRealm()
        adminShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher())//设置解密规则
        return adminShiroRealm
    }

    @Bean
    public StudentShiroRealm studentShiroRealm() {
        StudentShiroRealm studentShiroRealm = new StudentShiroRealm()
        studentShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher())//设置解密规则
        return studentShiroRealm
    }

    @Bean
    public TeacherShiroRealm teacherShiroRealm() {
        TeacherShiroRealm teacherShiroRealm = new TeacherShiroRealm()
        teacherShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher())//设置解密规则
        return teacherShiroRealm
    }

    //因为我们的密码是加过密的,所以,如果要Shiro验证用户身份的话,需要告诉它我们用的是md5加密的,并且是加密了两次。同时我们在自己的Realm中也通过SimpleAuthenticationInfo返回了加密时使用的盐。这样Shiro就能顺利的解密密码并验证用户名和密码是否正确了。
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher()
        hashedCredentialsMatcher.setHashAlgorithmName("md5")//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2)//散列的次数,比如散列两次,相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

    /**
     *  开启shiro aop注解支持.
     *  使用代理方式;所以需要开启代码支持;
     *  开启 权限注解
     *  Controller才能使用@RequiresPermissions
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor()
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager)
        return authorizationAttributeSourceAdvisor
    }


}

上述代码中的多Realm配置,可以查看我的上一篇博文进行配置:Spring Boot 集成Shiro的多realm配置

下面是上述代码的一些解释:
这里写图片描述

这里写图片描述

实体类

这里我只给出了其中的一个权限实体类:

package com.ciyou.edu.entity

class Permission implements Serializable{
    private static final long serialVersionUID = 1L
    //权限编号(自增长)
    private Integer permissionId
    //权限名称
    private String permissionName
    //权限字符串
    private String permission
    //父编号
    private Integer parentId
    //资源类型
    private Integer type
    //资源路径
    private String url

    Integer getPermissionId() {
        return permissionId
    }

    void setPermissionId(Integer permissionId) {
        this.permissionId = permissionId
    }

    String getPermissionName() {
        return permissionName
    }

    void setPermissionName(String permissionName) {
        this.permissionName = permissionName
    }

    String getPermission() {
        return permission
    }

    void setPermission(String permission) {
        this.permission = permission
    }

    Integer getParentId() {
        return parentId
    }

    void setParentId(Integer parentId) {
        this.parentId = parentId
    }

    String getUrl() {
        return url
    }

    void setUrl(String url) {
        this.url = url
    }

    Integer getType() {
        return type
    }

    void setType(Integer type) {
        this.type = type
    }


    @Override
    public String toString() {
        return "Permission{" +
                "permissionId=" + permissionId +
                ", permissionName='" + permissionName + '\'' +
                ", permission='" + permission + '\'' +
                ", parentId=" + parentId +
                ", type=" + type +
                ", url='" + url + '\'' +
                '}';
    }
}

动态修改权限

在项目中,可以对权限进行增删改操作,然而权限在shiroConfig中已经配置死了,所以我们要在我们的项目中手动更新,下面给出的是我项目中的代码:

package com.ciyou.edu.service.impl

import com.ciyou.edu.entity.Permission
import com.ciyou.edu.mapper.PermissionMapper
import com.ciyou.edu.service.ShiroService
import org.apache.shiro.spring.web.ShiroFilterFactoryBean
import org.apache.shiro.web.filter.mgt.DefaultFilterChainManager
import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver
import org.apache.shiro.web.servlet.AbstractShiroFilter
import org.slf4j.Logger
import org.slf4j.LoggerFactory
import org.springframework.beans.factory.annotation.Autowired
import org.springframework.stereotype.Service

@Service
class ShiroServiceImpl implements ShiroService{

    private static final Logger logger = LoggerFactory.getLogger(ShiroServiceImpl.class)
    @Autowired
    private ShiroFilterFactoryBean shiroFilterFactoryBean
    @Autowired
    private PermissionMapper permissionMapper

    /**
     * 初始化权限
     */
    public Map<String, String> loadFilterChainDefinitions() {
        // 权限控制map.从数据库获取
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>()
        filterChainDefinitionMap.put("/logout", "logout")
        filterChainDefinitionMap.put("/favicon.ico", "anon")
        filterChainDefinitionMap.put("/adminLogin", "anon")
        filterChainDefinitionMap.put("/teacherLogin", "anon")
        //允许访问静态资源
        filterChainDefinitionMap.put("/static/**", "anon")
        List<Permission> list = permissionMapper?.findAllPermission()

        for (Permission permission : list) {
            filterChainDefinitionMap.put(permission?.getUrl(),"perms["+ permission?.getPermission() +"]")
        }
        filterChainDefinitionMap.put("/admin/**","roles[Admin]")
        filterChainDefinitionMap.put("/teacher/**","roles[Teacher]")
        filterChainDefinitionMap.put("/student/**","roles[Student]")
        //   过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
        filterChainDefinitionMap.put("/**", "authc")
        return filterChainDefinitionMap
    }

    /**
     * 重新加载权限
     */
    @Override
    public void updatePermission() {

        synchronized (shiroFilterFactoryBean) {

            AbstractShiroFilter shiroFilter = null
            try {
                shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean?.getObject()
            } catch (Exception e) {
                logger.info("重新加载权限失败:" + e.getMessage())
                throw new RuntimeException("get ShiroFilter from shiroFilterFactoryBean error!")
            }
            PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter?.getFilterChainResolver()
            DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver?.getFilterChainManager()

            // 清空老的权限控制
            manager?.getFilterChains()?.clear()

            shiroFilterFactoryBean?.getFilterChainDefinitionMap()?.clear()
            shiroFilterFactoryBean?.setFilterChainDefinitionMap(loadFilterChainDefinitions())
            // 重新构建生成
            Map<String, String> chains = shiroFilterFactoryBean?.getFilterChainDefinitionMap()
            for (Map.Entry<String, String> entry : chains.entrySet()) {
                String url = entry?.getKey()
                String chainDefinition = entry?.getValue()?.trim()?.replace(" ", "")
                manager.createChain(url, chainDefinition)
            }

            logger.info("更新权限成功!!")
        }
    }
}

在Controller中调用
这里写图片描述

到此为止shiro的整合就基本完成了。

本文是根据我一个项目中给出的配置,具体的项目源码可以查看:CIYOU

最后,感谢几位作者的文章解惑,需要学习更过关于Spring Boot和Shiro的知识可以参考:
SpringBoot+shiro整合学习之登录认证和权限控制
SpringBoot + Shiro (一)基础工程搭建
SpringBoot + Shiro (二)身份校验和角色设置
SpringBoot + Shiro (三)权限
SpringBoot + Shiro (四)缓存&记住密码
SpringBoot + Shiro (五)验证码
springboot整合shiro-登录认证和权限管理
Spring Boot Shiro权限管理【从零开始学Spring Boot】
Spring boot 中使用Shiro

更多关于权限注解使用的可以查看:
shiro注解权限控制-5个权限注解

c.
关注
专栏目录
SpringBoot整合Shiro实现权限管理,经典实战教程
m0_63174344的博客
10-21 453
String username = authenticationToken.getPrincipal().toString(); if(!username.equals(“zhang”)){ throw new UnknownAccountException(“此用户不存在”); } //返回验证信息,参数:1、用户名 2、正确密码 3、realm名称 return new SimpleAuthenticationInfo(username,“123”, getName()); } } 2) 使用自定义Re
六、Springboot 整合Shiro---04权限控制
itxsl的博客
07-21 1496
本章节基于:五、Springboot 整合Shiro---03认证---第三方QQ登陆 一、通过realm进行权限控制 1、在templates下创建三个html页面 user.html、admin.html、unauthorized.html 2、创建一个Action类 package com.xslde.action; import org.springframework.ste...
springboot集成shiro 实现权限控制
热门推荐
哎幽的成长
02-26 4万+
shiroapache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西。springboot暂时没有集成shiro,这得自己配。shiro 内置过滤器请看博文: http://blog.csdn.net/hxpjava1/article/details/70357
Vue组件库Element-ui
最新发布
Golemon的博客
10-06 985
是一套为开发者、设计师和产品经理准备的基于Vue2.0的桌面端组件库。引入ElementUI组件库,在。安装element-ui。
Spring boot 整合shiro 实现登陆验证
李彬的博客
12-08 5388
spring boot 整合shiro 实现登陆验证
spring boot 集成 shiro权限控制框架
luhaichuan88的博客
01-19 491
本文主要是使用spring boot 集成shiro 实现shiro-spring-boot-starter 1、首先创建相关配置文件有两个ShiroProperties,JwtProperties package com.shiro.sdk.properties; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.boot.context...
spring boot整合Shiro实现单点登录的示例代码
08-28
Spring Boot 整合 Shiro 实现单点登录的示例代码 本篇文章主要介绍了 Spring Boot 整合 Shiro 实现单点登录的示例代码的知识点,旨在帮助读者快速掌握该技术的实现方法。下面是相关知识点的详细介绍: 一、Shiro ...
Spring boot整合 Shiro实现RBAC权限控制
06-21
本项目基于Spring整合Apache Shiro框架,实现用户管理和权限控制,主要内容如下: 1.登录(带验证码),包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码123; 3.session管理:使用shiro默认的...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
在本项目中,MyBatis与Spring Boot整合,用于处理数据库操作,如用户信息的存取、角色与权限的关联等。通过Mapper接口,开发者可以方便地定义SQL语句,提高代码的可读性和维护性。 **实现步骤** 1. **配置Shiro**:...
SpringBootShiro整合-权限管理实战源码.zip
05-22
SpringBootShiro整合-权限管理实战源码
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring BootShiro进行无缝整合实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring BootShiro整合实现用户认证Spring BootShiro整合实现用户授权; thymeleaf和shiro标签整合使用。
springboot整合shiro、redis、druid 源码下载
04-06
spring-boot项目整合shiro权限框架,实现了登录认证权限认证、密码加密、rememberMe、验证码、登录次数过多限制功能 整合redis,使用缓存注解,不用每次都查询数据库 整合druid,页面上监控sql语句的执行情况 git项目下载地址(持续更新): https://github.com/aqsunkai/era
权限管理(项目和源码):springbootshiro整合
11-02
一个shirospringboot的练习项目,主要是是写着复习学习
spring bootshiro集成demo
09-11
spring bootshiro集成demo,maven工程,简单的一个demo,文档请参考博文
Springboot集成Shiro实现权限认证
阿一在线的博客
07-23 394
请多多留言指教 什么是Shiro? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 Shiro核心组件 Subject,SecurityManager,Realms. 1、Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。 Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
springboot整合shiro
王大人的博客
05-03 233
1.添加shiro依赖2.shiroRealm(用于认证)3.shiro配置(url过滤,开启shiro注解)4.AuthController5.UserController(用于测试权限)6.页面编写index.htmllogin.html403.html7.测试...
传智播客2018年SpringBootShiro整合-权限管理实战视频
07-23
传智播客2018年SpringBootShiro整合-权限管理实战视频,老师一步一步写出代码,里面有讲和Mybatis的整合
Spring BootShiro整合实现细粒度权限控制
资源摘要信息:"Spring boot整合Shiro实现RBAC权限控制" 知识点解析: 1. Spring Boot与Apache Shiro整合Spring Boot是一种轻量级的Spring框架,它简化了基于Spring的应用开发。它自动配置了Spring应用,通常...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值