shiro+springmvc实现通用权限管理

最新推荐文章于 2024-06-20 14:43:52 发布
最新推荐文章于 2024-06-20 14:43:52 发布
阅读量6.7k 收藏 10
点赞数
分类专栏: java 文章标签: java springmvc shiro 通用权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coding99/article/details/52530103
版权
本文介绍了如何使用Shiro与SpringMVC结合来实现一个通用的权限管理系统。通过自定义`SystemAuthorizingRealm`类,实现了用户登录验证和权限授权。在`doGetAuthorizationInfo`方法中,从数据库获取用户角色和权限,并在`doGetAuthenticationInfo`方法中进行身份验证。同时,文章提到了Shiro提供的智能标签库及其应用场景。
摘要由CSDN通过智能技术生成

Shrio 简介:

        Shiro是Apache提供的强大而灵活的开源安全框架,目前很多企业都使用它做安全框架,相比Spring Security它使用起来要简单方便的多,Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存,单点登录(sso)支持等。Shrio的内部结构图如下。

具体每个主要类的作用看网上相关文档,这里就不做重复说明了。

权限数据表设计:



sys_user: 用户信息表,存放用户个人信息用的
sys_role:  角色表,与用户是多对多的关系
sys_menu:菜单表,主要用来存放页面主菜单还有菜单里的相关按钮,主要是以parent_id父级ID控制菜单(包含按钮间的依赖关系)直接的依赖关系,permission这个主要是用来控制用户权限的,可以以sys:user:view sys:user:add sys:user:edit sys:user:del这样着来做权限代码标志,如果直接控制某个菜单的权限代码,可以以逗号的形式分开,做权限代码的批量增加。
sys_user_role:用户角色间的关联表  user_id role_id做联合主键
sys_role_menu:角色按钮间的关联表 role_id menu_id做联合主键


Shrio+SpringMvc 配置


 下面代码主要是自己的一个测试例子,还有有几点没完善:

1、由于每次访问后台都会做相关的权限认证,如果每次认证时候都去数据库里加载相关的角色和相关的权限代码(菜单里配的),这样比较耗性能,耗时,而且也不符合软件的使用逻辑,所以我们一般可以在用户登录时把用户的相关角色、权限代码放到缓存里面,每次需要时再去缓存里拿,用户权限跟新时直接跟新缓存。一般常用的第三方缓存有ehcache、redis、memcached或者直接用spring自带的CacheManager缓存管理器实现。shiro里也自带了与ehcache结合的缓存机制。
2、用户密码加密,这个比较简单,shrio自带提供了多种形式的加密和解密匹配功能。


1、引入Shiro的Maven依赖 
<!-- SHIRO START -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-cas</artifactId>
            <version>${shiro.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>commons-logging</groupId>
                    <artifactId>commons-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>


        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-quartz</artifactId>
            <version>${shiro.version}</version>
        </dependency>


        <!--SHIRO END-->
2、Spring与Shiro结合的相关配置spring-shiro.xml 
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
      http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
      http://www.springframework.org/schema/context
      http://www.springframework.org/schema/context/spring-context-3.0.xsd
      ">

    <!-- 加载配置属性文件 -->
    <context:property-placeholder ignore-unresolvable="true" location="classpath:sysConfig.properties" />

    <!-- Shiro连接约束配置,即过滤链的定义 -->
    <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
    <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->
    <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
    <!-- Shiro权限过滤过滤器定义 -->
    <bean name="shiroFilterChainDefinitions" class="java.lang.String">
        <constructor-arg>
            <value>
                <!-- 静态资源允许访问 -->
                /WEB_RESOURCES/** = anon
                <!-- 登录页允许访问 -->
                /login = anon
                /${adminPath}/system/login.do = anon

                <!-- 其他资源需要认证 -->
                <!--用户权限管理-->
                /${adminPath}/user/manager* = authc,perms[sys:user:view]
                /${adminPath}/user/query* = authc,perms[sys:user:view]
                /${adminPath}/user/save* = authc,perms[sys:user:add]
                /${adminPath}/user/update* = authc,perms[sys:user:edit]
                /${adminPath}/user/delete* = authc,perms[sys:user:del]

            </value>
        </constructor-arg>
    </bean>




    <!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 -->
    <!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
        <property name="loginUrl" value="/"/>
        <!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码为main.jsp了) -->
            <!-- <property name="successUrl" value="/system/main"/> -->
        <!-- 用户访问未对其授权的资源时,所显示的连接 -->
        <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp -->
        <property name="unauthorizedUrl" value="/"/>
        <!---->
        <!--        <property name="filters">
                    <map>
                        <entry key="cas" value-ref="casFilter"/>
                        <entry key="authc" value-ref="formAuthenticationFilter"/>
                    </map>
                </property>-->
        <property name="filterChainDefinitions">
            <ref bean="shiroFilterChainDefinitions"/>
        </property>
    </bean>

    <!-- CAS认证过滤器 -->
    <!--    <bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
            <property name="failureUrl" value="${adminPath}/login"/>
        </bean>-->


    <!-- 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户登录的类为自定义的ShiroDbRealm.java -->
    <!--<bean id="myRealm" class="com.personal"/>-->

    <!-- Shiro默认会使用Servlet容器的Session,可通过sessionMode属性来指定使用Shiro原生Session -->
    <!-- 即<property name="sessionMode" value="native"/>,详细说明见官方文档 -->
    <!-- 这里主要是设置自定义的单Realm应用,若有多个Realm,可使用'realms'属性代替 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="systemAuthorizingRealm"/>
            </list>
        </property>
    </bean>


    <!-- 会话DAO -->
    <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO"/>

    <!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="sessionDAO" ref="sessionDAO"/>
    </bean>


    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>



    <!-- 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 -->
    <!-- 配置以下两个bean即可实现此功能 -->
  <!--  <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    </bean>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>-->




</beans>
3、web.xml里的相关配置 
 <!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 -->
    <!-- 这里filter-name必须对应applicationContext.xml中定义的<bean id="shiroFilter"/> -->
    <!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过Shiro的过滤 -->
    <!-- 通常会将此filter-mapping放置到最前面(即其他filter-mapping前面),以保证它是过滤器链中第一个起作用的 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
4、主要权限用户权限认证授权相关操作 

package com.personal.service.impl.sys;

import com.personal.core.constant.Global;
import com.personal.core.utils.StringUtil;
import com.personal.entity.Menu;
import com.personal.entity.Role;
import com.personal.entity.User;
import com.personal.service.sys.MenuService;
import com.personal.service.sys.RoleService;
import com.personal.service.sys.UserService;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.lang3.builder.ReflectionToStringBuilder;
import org.apache.commons.lang3.builder.ToStringStyle;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;


/**
 * 自定义的指定Shiro验证用户登录的类
 * 在本例中定义了2个用户:jadyer和玄玉,jadyer具有admin角色和admin:manage权限,玄玉不具有任何角色和权限
 * @User: coding99
 *
 */
@Service
public class SystemAuthorizingRealm extends AuthorizingRealm {

    private Logger logger = LoggerFactory.getLogger(getClass());

    @Autowired
    private UserService userService;
    @Autowired
    private RoleService roleService;
    @Autowired
    private MenuService menuService;


    /**
     * 为当前登录的Subject授予角色和权限
     * 经测试:本例中该方法的调用时机为需授权资源被访问时
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        //获取当前登录的用户名,等价于(String)principals.fromRealm(this.getName()).iterator().next()
        String currentAccount = (String) super.getAvailablePrincipal(principals);

        List<String> roleNameList = new ArrayList<String>();
        List<String> permissionList = new ArrayList<String>();

        //从数据库中获取当前登录用户的详细信息
        User user =getUser();

        if (null != user) {

            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            List<Role> roleList = roleService.selectRoleByUserId(user.getId());
            Map<String,Object> map = new HashMap<String,Object>();
            map.put("userId",user.getId());
            map.put("permission","permission");
            List<Menu> menuList = menuService.selectMenuByUserId(map);

          /*构建用户的角色集合*/
            for (Role role : roleList) {
                roleNameList.add(role.getEnName());
            }
            info.addRoles(roleNameList);

          /*构建用户的权限代码集合*/
            for (Menu menu : menuList) {
                if (StringUtils.isNotBlank(menu.getPermission())) {
                    if(StringUtil.isNotEmpty(menu.getPermission())) {
                        String[] permissions = menu.getPermission().split(",");
                        for(int i = 0; i < permissions.length; i++) {
                            if(StringUtil.isNotEmpty(permissions[i])) {
                                permissionList.add(permissions[i]);
                            }
                        }
                    }

                }
            }

            info.addStringPermissions(permissionList);

            return info;
        }else {
            return null;
        }

    }

    /**
     * 验证当前登录的Subject
     * 经测试:本例中该方法的调用时机为LoginController.login()方法中执行Subject.login()时
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken)authcToken;
        System.out.println("验证当前Subject时获取到token为" + ReflectionToStringBuilder.toString(token, ToStringStyle.MULTI_LINE_STYLE));
        User paramUser = new User();
        paramUser.setAccount(token.getUsername());
        User user = userService.selectOne(paramUser);

        if(user == null) {
            throw new UnknownAccountException("帐号找不到");
        }
        if("0".equals(user.getStatus())) {
            throw new LockedAccountException("msg:该已帐号禁止登录.");
        }

        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getAccount(),user.getPwd(),getName());
        setSession(Global.GLOBAL_USER,user);
        return authenticationInfo;

    }


    /**
     * 将一些数据放到ShiroSession中,以便于其它地方使用
     * 比如Controller,使用时直接用HttpSession.getAttribute(key)就可以取到
     */
    private void setSession(Object key, Object value){
        Subject currentUser = SecurityUtils.getSubject();
        if(null != currentUser){
            Session session = currentUser.getSession();
            System.out.println("Session默认超时时间为[" + session.getTimeout() + "]毫秒");
            if(null != session){
                session.setAttribute(key, value);
            }
        }
    }

    private User getUser() {
        Subject currentUser = SecurityUtils.getSubject();
        Session session = currentUser.getSession();
        User user = (User)session.getAttribute(Global.GLOBAL_USER);
        return user;
    }

}

Shiro提供了智能的标签:

在使用Shiro标签库前,首先需要在JSP引入shiro标签: 

1
<%@ taglib prefix= "shiro"  uri= "http://shiro.apache.org/tags"  %>


 

最终实现效果图如下:





coding99
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
springMVC+shiro实现权限管理
zsy979的博客
06-14 1037
最近使用shiro给新系统做了权限管理,在这里记录一下。 思路: 用户—>角色—>权限(资源) 前端动态路由菜单,实现精确到按钮的用户权限控制,在接口上添加@RequiresPermissions注解校验用户的权限。 问题: 项目是前后端分离的后台项目,后面可能为移动端提供服务,需要考虑保持会话问题,因为shiro是使用session存储用户信息的,使用sessionId存储在coo...
Springmvc集成Shiro实现权限管理
六月心悸
08-29 8566
Springmvc集成Shiro实现权限管理 Shiro是一个安全框架,他可以集成其他开发开发框架 如:Springmvc实现用户身份认证、权限管理等等功能,shiro详细的介绍也就不讲了,这里给出一些关键的知识点吧: 知识点: shiro中默认的过滤器 过滤器名称 过滤器类 描述 anon org.apache.shiro
权限系统控制到按钮级别开源推荐 Spring Boot-Shiro-Vue
the shy
04-03 800
再搞权限系统的时候,权限控制到菜单很容易,但是很多情况要控制到按钮接口级别,这个时候设计就要研究下了。方案好几种,
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
shiro(三)shiro实战——Spring 集成 Shiro(案例)
最新发布
2401_85112250的博客
06-20 346
小编精心为大家准备了一手资料以上Java高级架构资料、源码、笔记、视频。Dubbo、Redis、设计模式、Netty、zookeeper、Spring cloud、分布式、高并发等架构技术【附】架构书籍BAT面试的20道高频数据库问题解析Java面试宝典Netty实战算法BATJ面试要点及Java架构师进阶资料资料、源码、笔记、视频。Dubbo、Redis、设计模式、Netty、zookeeper、Spring cloud、分布式、高并发等架构技术【附】架构书籍。
通过shiro进行按钮及页面访问url的权限控制
m0_67392931的博客
08-31 1380
super();}/*** 验证登陆*/@Override//根据登录名获取用户信息= null) {} else {}}/*** 登陆成功之后,进行角色和权限验证*/@Override// 列举此用户所有的权限}}/*** 清除所有用户授权信息缓存.*/}/*** 清除所有用户授权信息缓存.*/= null) {}}}/**** @Description: TODO 清楚缓存的授权信息。...
shiro进行权限控制的四种方式
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
使用shiro+aop实现权限控制
沐雨橙风ιε的博客
11-16 1098
使用shiro+aop实现权限控制
Spring+SpringMVC+MyBatis+Shiro+MySQL+Redis+Maven实现通用权限管理系统
05-01
Spring+SpringMVC+MyBatis+Shiro+MySQL+Redis+Maven+EasyUI+Bootstrap实现通用权限管理系统。 Spring+SpringMVC+MyBatis+Shiro+MySQL+Redis+Maven+EasyUI+Bootstrap实现通用权限管理系统 Spring+SpringMVC+...
Java 权限管理系统 shiro + ssm实现
05-05
Java 权限管理系统 shiro + ssm实现权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器...
权限管理系统 shiro + ssm实现
09-22
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器)...
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
基于shirospringmvc、mybatis权限管理系统
07-25
基于shirospringmvc、mybatis权限管理系统
SpringMvc整合mybatis和shiro权限管理系统
11-15
整合SpringMVC+mybatis+maven+easyui +shrio权限管理
权限管理系统,基于Spring+SpringMvc+MiniJdbc+Shiro为架构的权限管理系统
10-20
《基于Spring+SpringMvc+MiniJdbc+Shiro权限管理系统详解》 权限管理系统是企业信息化建设中的核心组件,它负责对用户、角色、资源以及它们之间的权限关系进行管理,确保系统安全稳定运行。本系统采用Spring、...
spring mvc+Mybatis整合shiro 第四章 SessionDAO
程序猿小窝
04-18 8338
这章讲shiro 的sessionDAO,我也是一知半解请大家求教
SpringMVC整合Shiro权限框架
热门推荐
一个普本码农奋斗史
08-09 8万+
最近在学习Shiro,首先非常感谢开涛大神的《跟我学Shiro》系列,在我学习的过程中发挥了很大的指导作用。学习一个新的东西首先就是做一个demo,多看不如多敲,只有在实践中才能发现自己的欠缺,下面记录下来我整合shiro的过程。如果有不足之处,还望各位看官多多指出。 一、基本名词解释 二、准备工作 整合程序沿用之前的例子Maven+spring+Spring MVC+MyBatis+MyS
springmvc+mybatis+shiro简单权限菜单管理实例
plg17的专栏
01-28 1万+
本文介绍一个简单的权限管理系统,采用springmvc+mybatis+shiro+MySQL,前端主要是用了JSP+jquery框架。springMVCshiro、mybatis这些,外面的资料很多,这里就不解释了。项目提供源码,可以运行。 ----------------------------------------------------------- 数据库设计 om_use
最简洁的权限(菜单)控制
weixin_30597269的博客
12-09 626
  生活中常见的管理系统中,都会有权限的控制,让不同类型的用户看到不同的菜单。其实,类似于uasyui这样的前端框架,是有提供成熟的解决方案的,但是不够灵活。在某一次的开发过程中,楼主终于忍受不了了,决定自己写。其逻辑并不复杂,直接上代码。 1.先看一下效果图,有父级菜单,有子级菜单。数据库需要5个表。user表,role表,menu表,role_menu表,user_role表 下面贴出最简...
shiro+vue实现按钮权限
09-08
首先,我们需要在后端使用Shiro来管理用户角色和权限。可以配置Shiro权限拦截器,根据用户角色和权限来限制访问和操作。在后端接口中,我们可以为每个按钮设置对应的权限,只有拥有该权限的用户才能访问或操作。 ...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值