Springmvc整合Apache Shiro 权限控制。

最新推荐文章于 2021-07-13 18:58:53 发布
最新推荐文章于 2021-07-13 18:58:53 发布
阅读量977 收藏 1
点赞数
分类专栏: web框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/football98/article/details/52813017
版权

Springmvc整合Apache Shiro 权限控制。Apache Shiro 的是个优点:

(1)、使用简单、学习成本低。

(2)、体积轻量。

(3)、权限配置灵活,可以实现3层权限校验:无权限访问、用户级、方法级。


1、加载jar包。使用maven管理,添加pom.xml文件

        <shiro.version>1.2.4</shiro.version>     
        <!-- Shiro security -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-cas</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <!-- end of Shiro security -->

2、自定义方法,需要添加ShiroRealm.class,重写AuthenticationInfo(获取认证信息) ,AuthorizationInfo(获取授权信息)方法。

每个系统权限设计都不同,所有需要通过重写这两个方法,实现自己系统的获取认证信息、获取授权信息。

这里提供的是我本身系统的方法,仅仅提供思路,请自行修改。

package framework.common.shiro.shiro;

import org.springframework.beans.factory.annotation.Autowired;
import zteict.qinhuangdao.framework.base.utils.MD5;
import zteict.qinhuangdao.framework.common.shiro.service.ShiroService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.List;

/**
 * @author: football98
 * @createTime: 16-9-28
 * @classDescription:shiro 接口
 */
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private ShiroService shiroService;

    /***
     * 获取认证信息
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken at) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) at;
        // 通过表单接收的用户名
        MD5 md5 = new MD5();
        String username = token.getUsername();
        String password = md5.getMD5ofStr(String.valueOf(token.getPassword()));

        if(!shiroService.findLoginname(username)){
            throw new UnknownAccountException(); //如果用户名错误
        }
        if (!shiroService.getUserByLoginname(username,password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        return new SimpleAuthenticationInfo(username, token.getPassword(), getName());
    }
    /***
     * 获取授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
        // 根据自己系统规则的需要编写获取授权信息,这里为了快速入门只获取了用户对应角色的资源url信息
        String loginname = (String) pc.fromRealm(getName()).iterator().next();
        if (loginname != null) {
            List<String> pers = shiroService.getPermissionsByLoginname(loginname);
            if (pers != null && !pers.isEmpty()) {
                SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
                for (String each : pers) {
                    // 将权限资源添加到用户信息中
                    info.addStringPermission(each);
                }
                return info;
            }
        }
        return null;
    }
}

ShiroService

package framework.common.shiro.service;

import java.util.List;

/**
 * @author: football98
 * @createTime: 16-9-28
 * @classDescription:shiro service接口
 */
public interface ShiroService {
    /**
     * 判断用户名是否存在
     * @param loginname 登录名
     * @return 是/否
     */
    public boolean findLoginname(String loginname);
    /**
     * 判断登录名、密码是否正确
     * @param loginname 登录名
     * @param password 密码
     * @return 是/否
     */
    public boolean getUserByLoginname(String loginname,String password);
    /**
     * 获取用户权限列表
     * @param loginname 登录名
     * @return 用户权限列表
     */
    public List<String> getPermissionsByLoginname(String loginname);
}



ShiroServiceImpl

package framework.common.shiro.serviceImpl;

import zteict.qinhuangdao.framework.base.serviceImpl.BaseServiceImpl;
import zteict.qinhuangdao.framework.common.shiro.service.ShiroService;
import org.hibernate.Query;
import org.hibernate.Session;
import org.springframework.stereotype.Service;
import java.util.List;


/**
 * @author: football98
 * @createTime: 16-9-28
 * @classDescription:shiro service类
 */
@Service("shiroService")
public class ShiroServiceImpl extends BaseServiceImpl implements ShiroService {
    /**
     * 判断用户名是否存在
     * @param loginname 登录名
     * @return 是/否
     */
    public boolean findLoginname(String loginname){
        Session session = this.getSession();
        Query q = session.createQuery("select  count(tloginid) from Tlogin where loginname = :loginname ");
        q.setString("loginname",loginname);
        String count = q.uniqueResult()+"";
        if(count != null && count.equals("1")){
            return true;
        }else{
            return false;
        }
    }


    /**
     * 判断登录名、密码是否正确
     * @param loginname 登录名
     * @param password 密码
     * @return 是/否
     */
    public boolean getUserByLoginname(String loginname,String password){
        Session session = this.getSession();
        Query q = session.createQuery("select  count(tloginid) from Tlogin where loginname = :loginname and password = :password");
        q.setString("loginname",loginname);
        q.setString("password",password);
        String count = q.uniqueResult()+"";
        if(count != null && count.equals("1")){
            return true;
        }else{
            return false;
        }
    }
    /**
     * 获取用户权限列表
     * @param loginname 登录名
     * @return 用户权限列表
     */
    public List<String> getPermissionsByLoginname(String loginname) {
        //根据登录名获取用户角色id
        StringBuffer sql = new StringBuffer();
        sql.append(" select t.troleid ");
        sql.append("   from t_logintrole t ");
        sql.append("   left join t_login a on  t.tloginid = a.tloginid ");
        sql.append("  where a.loginname = :loginname ");
        String troleid = this.getSession().createSQLQuery(sql.toString()).setString("loginname",loginname).uniqueResult()+"";
        //根据角色id获取用户权限url
        StringBuffer sql2 = new StringBuffer();
        sql2.append(" select distinct t.url  ");
        sql2.append("   from t_permission t  ");
        sql2.append("  where t.tpermissionid in (select a.tpermissionid from t_roletpermission a where a.troleid = :troleid) ");
        List<String> list = this.getSession().createSQLQuery(sql2.toString()).setString("troleid",troleid).list();
        return list;
    }
}

3、xml配置

applicationContext-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-4.0.xsd ">
    <!-- 缓存管理 -->
    <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />

    <bean id="shiroRealm" class="framework.common.shiro.shiro.ShiroRealm"/>

    <!-- Shiro安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm"></property>
        <property name="cacheManager" ref="cacheManager"></property>
    </bean>

    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"></property>
        <property name="loginUrl" value="/pages/login.jsp"></property>
        <property name="unauthorizedUrl" value="/"></property>
        <!-- 授权配置 -->
        <property name="filterChainDefinitions">
            <value>
                <!--与用户登录有关的权限 start-->
                /pages/login.jsp = anon
                /css/** = anon
                /images/** = anon
                /js/** = anon
                /stickyImg* = anon
                /loginUserController/login.do = anon
                <!--/roleController/save.do = authc , perms["roleController/save.do"] -->
                <!--角色模块授权 end-->
                /** = authc
            </value>
        </property>
    </bean>

</beans>

applicationContext-springmvc.xml

 <!-- 开启Shiro注解的Spring配置方式的beans。在lifecycleBeanPostProcessor之后运行 -->
    <aop:config proxy-target-class="true"/>
    <aop:aspectj-autoproxy proxy-target-class="true" />

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

4、方法级权限使用,用户登录方法

    /**
     * 用户登录
     * @param username 用户名
     * @param password 密码
     * @return 结果页面
     */
    @RequestMapping(value="login.do")
    @Log(name="用户登录")
    public String login(String username,String password,HttpServletRequest request) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //token.setRememberMe(true);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            if (subject.isAuthenticated()) {
                LoginUserVO vo = loginUserService.loginUser(username);
                request.getSession().setAttribute("LOGINUSER", vo);
                //用户登录成功后,更新session Map,如重复登录,强制之前session过期
                String sessionid = SessionListener.userMap.get(username);
                if(sessionid != null&&!sessionid.equals("")){
                    //注销在线用户,如果session id 相同,不销毁。
                    if(!sessionid.equals(request.getSession().getId())){
                        SessionListener.sessionMap.get(sessionid).invalidate();
                        SessionListener.userMap.put(username,request.getSession().getId());
                        SessionListener.sessionMap.put(request.getSession().getId(),request.getSession());
                    }
                }else{
                    if(SessionListener.sessionMap.containsKey(request.getSession().getId())){
                        SessionListener.sessionMap.remove(request.getSession().getId());
                        for(String key : SessionListener.userMap.keySet()){
                            if(SessionListener.userMap.get(key).equals(request.getSession().getId())){
                                SessionListener.userMap.remove(key);
                            }
                        }
                    }
                    SessionListener.userMap.put(username,request.getSession().getId());
                    SessionListener.sessionMap.put(request.getSession().getId(),request.getSession());
                }
                return "index";
            }
        } catch (UnknownAccountException e) {
            request.setAttribute("ERROR", "用户名错误!");
        } catch (IncorrectCredentialsException e) {
            request.setAttribute("ERROR", "密码错误!");
        }
        return "login";
    }


在使用时,需要使用@RequiresPermissions()标签来完成。当然,spring必须开放    <context:annotation-config />配置

 /**
     * 查询角色信息
     * @param rolename 角色名
     * @param page 当前页
     * @param rows 每页显示多少条
     * @return 角色信息
     */
    @RequestMapping(value = "gridform1.do")
    @ResponseBody
    @RequiresPermissions("roleController/gridform1.do")
    public Object gridform1(String rolename, int page, int rows) {
        //总数
        int sum = roleService.queryCount(rolename);
        //分页信息
        Page p = new Page();
        p.setIntPage(page);
        p.setPageInfoCount(rows);
        //查询信息
        List<Trole> list = roleService.queryList(rolename, p) ;
        //返回结果
        Map<String, Object> result = new HashMap<String, Object>() ;
        result.put("total",sum);
        result.put("rows",list) ;
        return result;
    }





football98
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring MVC整合Shiro权限控制的方法
08-27
Spring MVC整合Shiro权限控制的方法 Spring MVC 是一个流行的 Java Web 框架,而 Shiro 是一个功能强大且灵活的开放源代码安全框架。为了实现权限控制,需要将 Spring MVC 和 Shiro 进行整合。下面是 Spring MVC ...
springMVC整合shiro框架
02-12
- 权限控制控制用户对不同页面和资源的访问权限。 - 安全会话管理:跟踪用户的会话状态,防止会话劫持或会话固定攻击。 综上所述,SpringMVCShiro整合提供了高效、灵活的Web应用安全解决方案,适合在...
Shiro + Spring MVC整合】教程——权限控制
热门推荐
咖啡爬虫
03-25 1万+
最近在研究shiro权限控制,查了很多资料,整合的时候也碰到一些问题,最后终于研究出来了,下面来简单的介绍下一个shiro+springmvc如何整合吧。。。
Spring MVC 集成 Apache Shiro权限控制-测试可行
xt7821096的博客
04-15 2317
最近在写一个webapp,基础的功能写完了,最后差一个权限控制,在网上也找了不少关于权限控制的文章(说实话,不怎么好,有些地方没有写清楚,让读者一头雾水),对于J2EE项目,总的来说有2个目前比较流行的权限控制框架,一个是Spring Security,另外一个就是Apache Shiro,关于两者的优劣,网友们都做了大量的比对,从轻量级易上手的角度,我们选择Apache Shiro,废话少说,
SpringMVC整合Apache Shiro
alex920618的专栏
11-30 103
关于什么是Shiro,可以查看这篇文章http://www.cnblogs.com/Laymen/articles/6117751.html 一、添加maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web&l...
SpringMVCShiro快速整合
QQ1941638512的博客
09-03 365
SpringMVCShiro快速整合: 好久没有重新整合Shiro框架了,为了方便以后参考查阅,特此将步骤分享出来,共同学习。 一、配置XML文件: 1、到相应的pom.xml中添加shiro相关依赖,注意这里没有版本号,因为在父模块中已经集中定义依赖版本号。 <!-- 添加Apache Shiro 依赖关系 --> <!-- shiro核心包 --> <dependency> <groupId>org.apache.s
springmvc整合shiro权限控制
chutiao4683的博客
05-02 123
一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的...
springmvc整合 shiro+ redis实现权限控制
yuhelve3308的博客
06-30 572
springmvc是现在主流的mvc框架,shiro是一款轻量级安全框架。与springsecurity不同,shiro的配置简单,更加容易上手。所以这次采用了springmvc + shiro的组合,来实现简单的权限管理。废话不多说,首先上代码。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmln...
SpringMVC 整合shiro 实现url动态权限验证(二)
xcc_2269861428的博客
07-13 1239
前言:上一篇文章讲述了如何使用shiro进行登录认证,其实主要的实现还是自定义Realm,继承AuthorizingRealm实现其中的 doGetAuthenticationInfo方法。上一篇文章链接:https://blog.csdn.net/xcc_2269861428/article/details/95107167 这篇文章主要实现url权限的认证,也就是roles的验证 如图:...
SpringMVC整合Shiro权限框架
weixin_39653026的博客
05-18 142
最近在学习Shiro,首先非常感谢开涛大神的《跟我学Shiro》系列,在我学习的过程中发挥了很大的指导作用。学习一个新的东西首先就是做一个demo,多看不如多敲,只有在实践中才能发现自己的欠缺,下面记录下来我整合shiro的过程。如果有不足之处,还望各位看官多多指出。 一、基本名词解释 Apache Shiro是一个强大易用的Java安全框架。它可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存、单点登录等等,而且它的API也十分简洁易用,所以现在有很多人都在使用它。它的基本能功能点如图所
SpringMVC整合Shiro自定义过滤器
weixin_45838130的博客
07-13 476
SpringMVC整合Shiro自定义过滤器 提示:这里可以添加本文要记录的大概内容: 一、 在项目pom中引入shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version>
SpringMVC+Apache Shiro+JPA(hibernate)整合
11-01
本文将深入探讨如何将SpringMVCApache Shiro以及JPA(以Hibernate为实现)进行整合,以便在实际项目中实现高效且安全的用户认证与授权功能。 首先,我们来看`SpringMVC`,它是Spring框架的一部分,专门用于处理...
springmvc整合shiro
07-05
Apache Shiro是一个轻量级的安全框架,主要负责身份验证、授权(权限控制)、会话管理和加密。本文将深入探讨如何将Spring MVC与Shiro整合,实现LDAP(轻量目录访问协议)认证和简单的时间权限管理。 **1. Spring...
SpringMVC整合Shiro的完整示例代码下载
01-02
Apache Shiro则是一个强大的安全管理框架,主要负责认证(登录)、授权(权限控制)、会话管理和密码加密等功能。Shiro以其简单易用和低侵入性而受到广大开发者喜爱。 整合SpringMVCShiro的核心目标是利用Shiro...
shiro修改没有登录或者session失效,根据ajax返回json
football98的专栏
08-04 3157
当使用shiro框架,进行权限控制时,没有登录或者session失效,进行ajax请求时,不会跳转会登录页面,仅仅不返回正确结果。 因此,需要解决对ajax请求进行特殊处理。         1、重新FormAuthenticationFilter类onAccessDenied方法。让其根据不同的请假方式,返回不同的结果。 import org.apache.shiro.web.filter
Activiti 开始节点添加用户名的方法
football98的专栏
10-14 2006
Activiti 流程开始节点,并没有保存申请用户,那么在做已办列表、审批过程是,就无法显示开始节点申请人。 因此,需要给开始节点添加用户名,官方没有封装方法实现,所有只能通过操作数据库实现。 /** * 测试流程 * @return 操作信息 */ public void testProcess(String key ,String login
angular的post请求,springmvc后台接收不到参数的解决方案
football98的专栏
08-04 733
angular的post请求,后台接收参数为null的解决方案。 1、确定angularjs,如何使用,才是post请求。angularjs实际开发过程,发现,想使用post请求,不仅仅需要设置,method:'POST',还需要 传参的时候使用data (注:如果使用params传参,angularjs默认使用 get请求),如下: $http({ method:'POST',
搭建Springmvc+spring+hibernate+easyui框架maven版本(二系统管理数据库设计)
football98的专栏
01-28 654
一、安装mysql数据。         安装mysql数据库,请参照http://blog.csdn.net/football98/article/details/50592646,这里不做赘述; 二、建立数据库         这里使用navicat进行mysql数据库操作。        二、新建表 create table  tdictionary (   tdictiona
Shiro框架入门:SpringMVC权限管理详解
2. **授权(Authorization)**:Shiro能够验证已认证用户的权限,无论是角色级别的还是细粒度的资源权限控制。这有助于保护敏感操作,确保只有具备相应权限的用户才能执行。 3. **会话管理(Session Management)**...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值