shiro+thymeleaf+spring boot实现权限按钮

最新推荐文章于 2023-04-16 12:44:26 发布
最新推荐文章于 2023-04-16 12:44:26 发布
阅读量1.9k 收藏 5
点赞数 4
文章标签: shiro thymeleaf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ha2saki/article/details/96866114
版权

shiro框架整合

shiro简介

权限简介

对主体分配权限,主体只允许在权限范围内对资源进行操作,比如:对u01用户分配商品修改权限,u01用户只能对商品进行修改。

基于角色的权限访问控制

RBAC基于角色的访问控制(Role-Based Access Control)是以角色为中心进行访问控制,比如:主体的角色为总经理可以查询企业运营报表,查询员工工资信息等

基于资源的权限访问控制

RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制,比如:主体必须具有查询工资权限才可以查询员工工资信息等

粗粒度和细粒度

对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限,比如:用户只允许修改本部门的员工信息,用户只允许导出自己创建的订单明细。

对于粗颗粒度的权限管理可以很容易做系统架构级别的功能,即系统功能操作使用统一的粗颗粒度的权限管理。

对于细颗粒度的权限管理不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。

功能

Authentication:身份认证/登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

构成

可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

开始使用

依赖

	<!--thymeleaf 依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
	<!--thymeleaf在页面上控制按钮用的依赖-->
	<!-这个组件的作用就是可以在thymeleaf中使用自定义标签并配合权限灵活的控制网页上的组件显示与否。-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
        
         <!-- Shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

配置thymeleaf

	#在application.yml中配置
	

spring:
  thymeleaf:
  cache: false	#开发调试设置为false
   encoding: utf-8    servlet:
      content-type: text/html
    suffix: .html
    check-template-location: true
    prefix: classpath:/templates/

配置shiro

package com.example.shiro_btn.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
	/**
		注入这个是是为了在thymeleaf中使用shiro的自定义tag。
		*/
 @Bean(name = "shiroDialect")
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }
		/**
			
		*/
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean =new ShiroFilterFactoryBean();
        //设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //设置登录url
        shiroFilterFactoryBean.setLoginUrl("/login");
        //设置主页url
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //设置未授权的url
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        Map<String, String> filterChainDefinitionMap=new LinkedHashMap<>();
        //开放登录接口
        filterChainDefinitionMap.put("/login","anon");
        //设置主页 需管理员角色
        filterChainDefinitionMap.put("/index/**","roles[admin]");

        //开放静态页面
        filterChainDefinitionMap.put("/static/**","anon");


        //其余url全部拦截
        //必须放在最后
        filterChainDefinitionMap.put("/**","authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        System.out.println("shiro注入成功");
        return shiroFilterFactoryBean;
    }
		
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        /**
        	设置自定义的relam
        */
        securityManager.setRealm(loginRelam());
        return securityManager;
    }

    @Bean
    public LoginRelam loginRelam() {
        return new LoginRelam();
    }
    /**
    	以下是为了能够使用@RequiresPermission()等标签
    */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }


}

自定义relam

package com.example.shiro_btn.config;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.HashSet;
import java.util.Set;

public class LoginRelam extends AuthorizingRealm {
    /**
     * 角色授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username = (String)SecurityUtils.getSubject().getPrincipal();
        Set<String> roles =new HashSet<String>();
        roles.add("admin");
        SimpleAuthorizationInfo info =new SimpleAuthorizationInfo();
        info.setRoles(roles);       //为当前登录用户添加角色
        Set<String>permissions=new HashSet<>();
        permissions.add("list");       //为当前用户设置权限
        info.setStringPermissions(permissions);
        return info;
    }

    /**
     * 身份认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token=(UsernamePasswordToken)authenticationToken;
        //@TODO 此处添加用户的校验操作
        SimpleAuthenticationInfo info =new SimpleAuthenticationInfo(token.getPrincipal(),"123",getName());
        return info;
    }
}

当运行一个Web应用程序时,Shiro将会创建一些有用的默认 Filter 实例,并自动地将它们置为可用,而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的,当然我们也可以自定义 Filter 实例,这些在以后的文章中会讲到

Filter 解释
anon 无参,开放权限,可以理解为匿名用户或游客
authc 无参,需要认证
logout 无参,注销,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url
authcBasic 无参,表示 httpBasic 认证
user 无参,表示必须存在用户,当登入操作时不做检查
ssl 无参,表示安全的URL请求,协议为 https
perms[user] 参数可写多个,表示需要某个或某些权限才能通过,多个参数时写 perms[“user, admin”],当有多个参数时必须每个参数都通过才算通过
roles[admin] 参数可写多个,表示是某个或某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个参数都通过才算通过
rest[user] 根据请求的方法,相当于 perms[user:method],其中 method 为 post,get,delete 等
port[8081] 当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等,serverName 是你访问的 Host,8081 是 Port 端口,queryString 是你访问的 URL 里的 ? 后面的参数
常用的主要就是 anon,authc,user,roles,perms 等

页面

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="Thymeleaf"
      xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

hi,登录了
<p shiro:hasRole="admin">你好</p>

<p shiro:hasPermission="list"><a href="/index/list">list</a></p>
</body>
</html>

登录

package com.example.shiro_btn.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@RequestMapping("/login")
@Controller
public class LoginController {
    @GetMapping
    public String index() {
        return "/login";
    }
    @PostMapping
    @ResponseBody
    public String login(String username,String password){
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        SecurityUtils.getSubject().login(token);
        System.out.println("登陆成功");
        return "success";
    }
}
ha2saki
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
shiro+thymeleaf 整合
贱气逼人的博客
08-24 2万+
SpringBoot实现Shiro控制ThymeLeaf界面按钮权限控制 移动开发 ## 需求简述 在业绩核算系统中,我们使用了SpringBoot作为项目的整体架构,使用ThymeLeaf作为前端界面框架,使用Shiro作为我们的权限控制框架,Shiro作为轻量级的权限框架,使用起来非常方便,但是在使用的过程中我发现,Shiro作为页面级的权限控制框架非常好用,它可以注入到Con...
Shiro 安全框架 —— SpringBoot+SSM+Shiro+Thymeleaf 实现权限认证
Jsundoku的博客
05-09 592
Apache Shiro 是ASF旗下的一款开源软件(Shiro发音为“shee-roh”,日语“堡垒(Castle)”的意思),提供的一个强大而灵活的安全框架。 Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。
基于SpringBoot2+Shiro+Thymeleaf的后台管理系统.zip
06-26
尊敬的用户您好!本资源中的源码已经过本地编译测试,下载后按照文档配置好环境就可以运行。资源项目的难度比较适中,内容都是经过助教老师审定过的,应该能够满足学习、使用需求,如果有需要的话可以放心下载使用。有任何问题也可以随时私信博主,博主会第一时间给您解答!!! 尊敬的用户您好!本资源中的源码已经过本地编译测试,下载后按照文档配置好环境就可以运行。资源项目的难度比较适中,内容都是经过助教老师审定过的,应该能够满足学习、使用需求,如果有需要的话可以放心下载使用。有任何问题也可以随时私信博主,博主会第一时间给您解答!!! 尊敬的用户您好!本资源中的源码已经过本地编译测试,下载后按照文档配置好环境就可以运行。资源项目的难度比较适中,内容都是经过助教老师审定过的,应该能够满足学习、使用需求,如果有需要的话可以放心下载使用。有任何问题也可以随时私信博主,博主会第一时间给您解答!!!
SpringBoot基础学习之(二十):ShiroThymeleaf的整合版本
m0_52479012的博客
04-16 813
spring bootshiro框架与thymeleaf引擎的结合实现的功能不同的用户具有的权限不同则访问的同一页面但内容不同
thymeleaf模板引擎中私用shiro标签
雾林小妖的博客
04-11 459
如何在thymeleaf中使用shiro标签,以及解决shiro标签失效问题
SpringBoot整合--Shiro
https://juejin.cn/user/4248168663101239/posts
10-11 303
技术栈:SpringBoot Mybatis持久层框架 Shiro安全框架 SpringBoot整合--Shiro1. Shiro 相关模块介绍2. 数据库表结构设计3. 创建SpringBoot项目4. 项目结构5. 配置文件 application.properties6. 实体类编写---Lombok7. Mybatis持久层编写1 .mapper接口---UserMapper2. UserMapper.xml编写3.Service层编写8. Shiro配置类--shiroConfig9.自定义Re
springboot + shiro + thymeleaf 实现按钮权限控制 解决按钮的显示
qq_35065659的博客
02-01 930
1:第一步创建权限拦截策略类 import com.example.demo.entity.PageData; import com.example.demo.service.IBuserService; import com.example.demo.service.MenuService; import com.example.demo.util.SpringContextUtil; import org.apache.shiro.SecurityUtils; import org.apache.s.
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
Spring Boot 整合 Shiro+Thymeleaf 过程解析 Spring Boot 是一个基于Java的开源框架,提供了 eine 可以快速构建生产级别的应用程序的方法,而 Shiro 是一个功能强大且灵活的安全框架,提供了身份验证、授权、加密...
SpringBoot+MyBatis+Apache Shiro+Bootstrap+Thymeleaf可用于开发企业级应用系统
05-26
本系统(基于SpringBoot+MyBatis+Apache Shiro+Bootstrap+Thymeleaf) 可用于开发所有企业级WEB应用系统(如:各种后台管理系统、CRM、ERP、CMS、OA、博客、论坛等...)。响应式布局,支持大部分浏览器(如:IE9+...
SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统
04-28
采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选。 技术栈:Spring Boot、Apache Shiro、MyBatis-Plus、Alibaba Druid、Redis、MySQL、...
springboot+shiro+mybatis+Thymeleaf实现用户权限框架
11-29
本项目名为“springboot+shiro+mybatis+Thymeleaf实现用户权限框架”,它整合了四个关键的技术组件,旨在提供一个易于上手、功能丰富的解决方案。下面将详细阐述这些技术及其在框架中的作用。 1. **Spring Boot**: ...
基于Spring Boot+Apache Shiro+Thymeleaf+MyBatis开发的网站后台权限管理系统
06-16
核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。直接运行即可用。内置功能 1. 用户管理:用户是系统操作者。 2. 部门管理:配置系统组织机构。 3. 岗位管理:岗位是用户所属职务。 4. 菜单管理:配置...
Shiro笔记三】Shiro整合Thymeleaf
m0_67393827的博客
04-11 1147
版权声明:本文为 小异常 原创文章,非商用自由转载-保持署名-注明出处,谢谢! 本文网址:https://sunkuan.blog.csdn.net/article/details/107154646 文章目录 一、引入 Shiro 整合 Thymeleaf 依赖 二、在 Shiro 配置类中配置 Shrio 方言 三、修改 main.html 页面 四、实现效果 1、效果一(没有任何角色,没有任何权限) 2、效果二(拥有 manage 角色,没有任何权限) 3、效果三(拥有 manage 角色,.
Thymeleaf 标签学习 之 th:onclick 的使用
嘟噜熊恋爱.
03-03 2063
Thymeleaf 标签 th:onclick的使用
thymeleaf使用shiro标签
sharesb的博客
09-24 826
2 在shiroconfig.java文件中配置方言支持(就是将shrio的语法转为tymeleaf的语法)需要shiro的拦截器将该页面设置为未登录也可以访问,或者默认就是未登录可访问。4/用户的角色有某个权限就显示对应的字。thymeleaf使用shiro标签。1 设置不同的登录状态显示不同的标签。3/如果用户有某个角色就显示对应的字。3 在html中添加依赖。2.获取当前登录的用户名。
权限shirothymeleaf整合
weixin_44474200的博客
10-12 756
javaweb的登录拦截请求,用拦截器也可以实现,但是得需要大量的代码。 使用springSecurity和shiro都可以实现同样的效果,下面来介绍一下shiro实现登录权限控制。 百度百科: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 下面来做一些简单的例子,只是实现部分功能,其他的内容具体问题具体分析吧。 工具:idea2019 框
Spring MVC Thymeleaf Shiro Dialect 整合
10-23 2509
Shiro官方支持多种模板方言,却没有为Thymeleaf提供支持,幸好有第三方提供的thymeleaf-extras-shiro 它与Springboot的整合比较简单,这里就不介绍了。 在与SpringMVC整合时,却遇到了让人头疼的问题,网上到处搜索,一步步调试代码,最终找到了解决方案。 第一步,引用thymeleaf-extras-shiro包 &l...
企业数字化转型IT信息化战略规划建设方案.pptx
最新发布
07-20
企业数字化转型IT信息化战略规划建设方案.pptx
springboot+Thymeleaf+shiro+layui
04-05
Spring Boot is an open-source Java-based framework used to create stand-alone web applications. It provides a fast and easy way to create production-ready web applications with minimal setup and configuration. Thymeleaf is a server-side Java template engine that allows developers to build HTML, XML, and text-based user interfaces. It provides a natural templating syntax that can be easily understood by both developers and designers. Shiro is a powerful and easy-to-use Java security framework that provides authentication, authorization, and session management features. It simplifies application security by providing a flexible and modular architecture that can be easily integrated into any application. Layui is a popular front-end UI framework that provides a set of easy-to-use and customizable UI components. It is designed to help developers create modern and responsive web applications with minimal effort.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值