shiro框架---解决权限限制问题

最新推荐文章于 2022-11-08 19:22:13 发布
最新推荐文章于 2022-11-08 19:22:13 发布
阅读量568 收藏 2
点赞数
文章标签: 数据库 json web.xml
原文链接:https://my.oschina.net/mickeymouse/blog/522327
版权

shiro简介

26213939_fb0B.jpg

Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密(核心功能)。

以下是你可以用 Apache Shiro所做的事情: 

1. 验证用户

2.对用户执行访问控制,如: 

      判断用户是否拥有角色admin。

      判断用户是否拥有访问的权限

3.在任何环境下使用 Session API。例如CS程序。

4.可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。

5. 单点登录(SSO)功能。 

6.“Remember Me”服务 ,类似购物车的功能,shiro官方建议开启

shiro框架执行流程

26213938_I2IT.jpg

Application Code:应用程序代码,由开发人员负责开发

subject:主体,当前用户

security manager:安全管理器,框架的核心,负责调用realm,框架提供

realm:类似于dao,访问安全数据(权限、角色、用户),框架提供,也可以自定义

权限控制方式:

方式一:URL拦截方式

26213938_3FAW.png

第一步:导包

26213940_5Cka.png

第二步:在web.xml里面配置由spring框架提供整合shero的过滤器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<!-- 指定spring配置文件 -->
< context-param >
   < param-name >contextConfigLocation</ param-name >
   < param-value >classpath:applicationContext.xml</ param-value >
</ context-param >
 
< listener >
   < listener-class >org.springframework.web.context.ContextLoaderListener</ listener-class >
</ listener >
 
<!-- 配置权限管理 -->
< filter >
   < filter-name >shiroFilter</ filter-name >
   < filter-class >org.springframework.web.filter.DelegatingFilterProxy</ filter-class >
</ filter >
< filter-mapping >
   < filter-name >shiroFilter</ filter-name >
   < url-pattern >/*</ url-pattern >
</ filter-mapping >

第三步:在applicationContext.xml里面配置一个bean,并且id要和过滤器的名字一样

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<!-- 第一种代码配置设置shiro权限 -->
     < bean id = "shiroFilter" class = "org.apache.shiro.spring.web.ShiroFilterFactoryBean" >
         < property name = "securityManager" ref = "securityManager" ></ property >
         < property name = "loginUrl" value = "/login.jsp" ></ property >
         < property name = "successUrl" value = "/index.jsp" ></ property >
         < property name = "unauthorizedUrl" value = "/500.jsp" ></ property >
         < property name = "filterChainDefinitions" >
             < value >
                 /css/**=anon
                 /js/**=anon
                 /images/**=anon
                 /login.jsp*=anon
                 /validatecode.jsp*=anon
                 /UserAction_login.action*=anon
                 /page_base_staff.action=perms["staff"]
                 /**=authc
             </ value >
         </ property >
     </ bean >

第四步:在applicationConte.xml里面配置安全管理器,并且注入Realm

1
2
3
4
5
< bean id = "securityManager" class = "org.apache.shiro.web.mgt.DefaultWebSecurityManager" >
         < property name = "realms" ref = "shiroRealms" ></ property >
         < property name = "cacheManager" ref = "cache" ></ property >
     </ bean >
     < bean id = "shiroRealms" class = "com.mickeymouse.bos.shiro.ShiroRealms" ></ bean >

第五步:编写一个realm

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
package com.mickeymouse.bos.shiro;
 
import java.util.List;
 
import javax.annotation.Resource;
 
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
 
import com.mickeymouse.bos.dao.IFunctionDao;
import com.mickeymouse.bos.dao.IUserDao;
import com.mickeymouse.bos.domain.Function;
import com.mickeymouse.bos.domain.User;
 
public class ShiroRealms extends AuthorizingRealm{
     @Autowired
     private IUserDao iUserDao;
     @Resource
     private IFunctionDao iFunctionDao;
     /**
      * 授权
      */
     @Override
     protected AuthorizationInfo doGetAuthorizationInfo(
             PrincipalCollection principals) {
         //获取认证信息
         SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
         //通过认证信息获取当前用户
         User user = (User) principals.getPrimaryPrincipal();
         //先判断是不是超管
         if (user.getUsername()== "admin" ) {
             //超管:直接查询所有权限
             List<Function> list = iFunctionDao.findAll();
             for (Function function : list) {
                 authorizationInfo.addStringPermission( function .getCode());
             }
         } else {
             //普通用户:通过用户ID查询所具有的权限
             List<Function> list = iFunctionDao.findFunctionByUserid(user.getId());
             for (Function function : list) {
                 authorizationInfo.addStringPermission( function .getCode());
             }
         }
         return authorizationInfo;
     }
     /**
      * 认证:判断用户名与密码是否正确
      */
     @Override
     protected AuthenticationInfo doGetAuthenticationInfo(
             AuthenticationToken token) throws AuthenticationException {
         //通过认证标记获取传入的用户名
         UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
         String username = usernamePasswordToken.getUsername();
         //通过用户名查询数据库返回对象
         User user = iUserDao.findByUserFronUsername(username);
         if (user== null ) {
             //如果为空直接返回null,此时subject会直接抛出异常
             return null ;
         } else {
             //账号存在,将从数据库中查询出的密码交给安全管理器比对
             //三个参数:第一个验证正确后需要的返回值,第二个:安全管理器需要的比对密码,第三个:realm的类名
             //简单认证信息对象
             AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user,user.getPassword(), this .getName());
             return authenticationInfo;
         }
     }
}

第六步:使用shero框架完成登录

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
/**
  * 登录
  * @return
  */
public String login(){
     String key = ( String ) ActionContext.getContext().getSession(). get ( "key" );
     //取出用户名密码为空
     if (!StringUtils.isEmpty(t.getUsername())&&!StringUtils.isEmpty(t.getPassword())) {
         //去除验证码错误或空
         if (!StringUtils.isEmpty(checkcode)&&!StringUtils.isEmpty(key)&&key.equals(checkcode)) {
             //获取当前用户,此时的状态为"未认证"
             Subject subject = SecurityUtils.getSubject();
             //创建用户名和密码的认证标记
             AuthenticationToken authenticationToken  = new UsernamePasswordToken(t.getUsername(), MD5Utils.md5(t.getPassword()));
             try {
                 //调用登录方法,传入认证标记
                 subject.login(authenticationToken);
                 //如果没有异常,那么返回"认证信息传出的返回值对象"
                 User user = (User) subject.getPrincipal();
                 //存入session域中
                 ActionContext.getContext().getSession().put( "User" ,user);
                 return "home" ;
             } catch (Exception e) {
                 e.printStackTrace();
                 this .addActionMessage( "用户名或者密码不正确~" );
             }
         } else {
             this .addActionMessage( "验证码错误!" );
         }
     } else {
         
         this .addActionMessage( "用户名或者密码不能为空!" );
     }
     return "login" ;
}

异常信息:

当用户名错误,认证信息为空抛出异常

26213940_SmIx.png

当密码错误,安全管理器抛出异常

26213940_QztU.png

方式二:注解方式

26213940_Yg7w.png

第一步:导包

第二步:在applicationContext.xml里开启shero注解

1
2
3
4
5
6
<!-- 第二种:注解方式设置shiro权限 -->
     <!-- 1 . 开启shiro注解 -->
     <bean id= "defaultAdvisorAutoProxyCreator" class = "org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" >
         <property name= "proxyTargetClass" value= "true" ></property>
     </bean>
     <bean class = "org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor" ></bean>

第三步:在Action的方法上使用shiro注解描述需要具有的权限

1
2
3
4
5
6
7
8
9
10
11
/**
  * 分页查询
  */
@RequiresPermissions (value= "region" ) //执行这个方法需要具有region.query这个权限
@RequiresRoles (value= "admin" )
public String pageQuery(){
     regionService.pageQuery(pageBean);
     String[] excludes = new String[]{ "subareas" };
     this .writePageBean2Json(pageBean, excludes );
     return NONE;
}

第四步:注意修改action抽取类的构造方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
public ActionBase(){
         
         ParameterizedType parameterizedType = null ;
         Type genericSuperclass = this .getClass().getGenericSuperclass();
         if (genericSuperclass instanceof ParameterizedType) {
             parameterizedType = (ParameterizedType) this .getClass().getGenericSuperclass();
         } else {
             //这里的this为shero的代理对象
             parameterizedType = (ParameterizedType) this .getClass().getSuperclass().getGenericSuperclass();
         }
         
                               
         
         //获得BaseAction类定义的泛型数组
         Type[] types = parameterizedType.getActualTypeArguments();
         Class<T> class1 = (Class<T>) types[ 0 ];
         try {
             t = class1.newInstance();
         } catch (InstantiationException e) {
             // TODO Auto-generated catch block
             e.printStackTrace();
         } catch (IllegalAccessException e) {
             // TODO Auto-generated catch block
             e.printStackTrace();
         }
     }


转载于:https://my.oschina.net/mickeymouse/blog/522327

chuoyuan3350
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro权限管理详解(授权和注解开发)【面试点】
尽力漂亮的博客
12-03 1114
Shiro权限管理详解1. 权限管理1.1什么是权限管理1.2用户身份认证1.2.1 概念1.2.2 用户名密码身份认证流程1.2.3 关键对象1.3 授权1.3.1 概念1.3.2 授权流程1.3.3 关键对象1.3.4 权限模型1.3.5 权限分配1.3.6 权限控制1.3.6.1 基于角色的访问控制 1. 权限管理 1.1什么是权限管理 权限管理包括用户身份认证和授权两部分,简称认证授权。 ...
shiro中给某个接口添加权限的两种方法,若权限则返回特定值
Jinbin_Z的博客
11-04 2866
shiro中给某个接口添加权限的两种方法,若权限则返回特定值 1、在ShiroConfig中的ShiroFilterFactoryBean这个bean中添加过滤器,在过滤器中对接口添加访问权限 1> 添加访问权限 Map<String, String> filterMap = new LinkedHashMap<>(); filterMap.put("/user/add", "perms[user:add]"); //授权 shiroFilterFactoryBean.
springboot +shiro 授权无效的问题
Simlier的博客
04-30 1584
大神求指教 问题描述: 1.用数据库权限码无效(放入集合无效) 2.手动添加权限可以使用(类似于:authorizationInfo.addStringPermission(“aa”)) 无效情况一: List<String> list=new ArrayList<String>(); for (Functions func : functions)...
关于Shiro登录后却仍旧报权限的异常处理
JustDoSelf的博客
04-14 2103
异常产生环境 前言,我项目的大致前后端框架是vue前端+后端SpringBoot+Shiro,本地分离测试有发现问题,可以正常登录点击,并且到授权方法进行授权,但是部署到服务器上就出现问题了,然后一直报AuthorizationException这个异常,可是明明本地分离测试都问题,然后分离部署到服务器上就出现问题了。 问题分析 首先,前后端分离部署是属于跨域,再进行异步请求时会存在跨域问题...
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2659
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOP 加 Shiro
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
SpringMVC-Mybatis-Shiro-redis-master
01-18
【标题】"SpringMVC-Mybatis-Shiro-redis-master" 涉及的是一个集成框架项目,这个项目集成了四个关键的技术组件:SpringMVC、MyBatis、Shiro和Redis。这些技术在现代Java Web开发中扮演着重要角色。 **SpringMVC**...
shiro-jwt-springboot:shiro合并jwt前进行分离权限认证示例
01-29
在本文中,我们将深入探讨如何将JWT(JSON Web Token)与Apache Shiro框架结合使用,以便在Spring Boot应用中实现安全的权限认证。这个项目"shiro-jwt-springboot"是一个实例,它展示了在整合JWT之前如何对权限认证...
shiroShiro-操作系统
02-04
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。在操作系统层面,Shiro可以被看作是Java应用程序与操作系统之间的一个接口,用于实现安全控制。本文将深入探讨Shiro...
SpringBoot与Shiro整合-权限管理的简单权限系统.zip
最新发布
02-04
本项目“SpringBoot与Shiro整合-权限管理的简单权限系统”旨在演示如何将两个流行的Java框架——SpringBoot和Apache Shiro结合,以实现一个简单的权限控制解决方案。下面将详细介绍这个系统的核心技术和实现步骤。 ...
springboot-07-shiro.zip
08-12
Apache Shiro是一款强大且易用的Java安全框架,提供认证、授权、加密和会话管理功能,简化了开发者处理安全问题的过程。Shiro与Spring、Spring Boot等框架结合使用,可以构建出健壮的、易于维护的安全应用。 二、...
Shiro:有关于shiro权限控制
CSDN新星计划JAVA赛道TOP5、CSDN内容合伙人、JAVA领域优质创作者、资深JAVA开发深耕JAVA领域。
06-29 773
在我们日常开发项目中,会涉及到很多不同角色拥有不同的功能,新的项目一般用shiro作为权限控制本人也非常推荐用shiro,一个强大的权限控制框架强大的权限控制框架Shiro1.shiro的一个拦截,可以自定义package com.oneinlet.component.shiro; import org.apache.shiro.web.filter.authz.AuthorizationFi...
shiro权限绕过
人若有志,就不会在半坡停止。
11-08 2121
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro配置跳过权限验证
m0_67266787的博客
04-22 1654
需求 因为在开发环境,测试环境,有时候需要跳过shiro权限验证.所以想写个简单的配置跳过shiro权限验证. 跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件中写一个开关,最后通过Aop注入进去就大功告成. @RequiresPermissions 处理类 在 org.apache.shiro.authz.aop.PermissionAnnotationHandler 中处理这个注解,这就是我们要 覆写的类.我准备将它替换成log日志. /** * 检
Shiro安全(四):Shiro权限绕过之Shiro-782
weixin_43263451的博客
08-07 1717
刚好在学shiro安全,就看了看shiro权限绕过方面的洞学习一下shiro的配置与使用https://cloud.tencent.com/developer/article/1643122影响版本:shiro < 1.5.3添加shiro配置Shiro 中的匹配规则是通过 AntPathMatcher 来进行实现的? 匹配一个字符 * 匹配一个或多个字符 ** 匹配一个或多个目录ps:这里的规则是 /admin/* 所以 Shiro 并不会对多个目录进行权限校验,例如:/admin/aaa/bbb 这
Apache Shiro安全框架深入讲解+面试题+案例
07-02
本课程共24节,包含一节课程总结和面试题讲解。内容包括权限管理原理和表结构设计,基于文本域的身份验证和权限验证,基于JDBC域的身份验证和权限验证,盐和加密,集成web环境,shiro过滤器的使用,session的管理,缓存和SSM的集成等。边讲边记,绝不照搬照念,是shiro学习的好资料。
Shiro权限管理框架详解
WGH100817的博客
01-25 1572
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
shiro权限
weixin_46423748的博客
05-14 1296
shiro权限框架 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架shiro架构 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授权相关的方法,外部程序通过su
shiro-attack
08-19
建议审查和测试 Shiro 配置,确保只授权给用户必要的权限,并限制敏感资源的访问。 总之,保持 Shiro 框架本身和相关配置的安全性非常重要。及时更新 Shiro 版本、遵循最佳实践、进行安全审计和漏洞扫描等措施都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值