【Spring】权限管理_Shiro缓存授权信息

最新推荐文章于 2022-10-20 16:58:56 发布
最新推荐文章于 2022-10-20 16:58:56 发布
阅读量180 收藏
点赞数
分类专栏: Springboot 文章标签: java 安全 shiro redis 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hebaojing/article/details/121198048
版权

文章目录

应用场景

用户权限认证需要查询数据库中角色与权限关系,Shiro负责权限认证。用户请求资源,后端逻辑都需要查询数据库中的信息交给Shiro做权限验证,这种频发查询准静态数据的做法会消耗数据库资源同时也会API性能。基于Redis缓存用户角色关系,可以有效提供API性能。

环境说明

  • JDK 1.8
  • Springboot 2.1.6
  • Redis 5.0

Shiro依赖包

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
        
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

Redis配置

Redisvalue序列化方式需要指定Jackson2JsonRedisSerializer,需要对org.apache.shiro.authz.SimpleAuthorizationInfo序列化。

    @Bean
    public RedisTemplate<String, Object> redisTemplate(LettuceConnectionFactory lettuceConnectionFactory) {
        // 设置序列化
        Jackson2JsonRedisSerializer<Object> jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer<Object>(
                Object.class);
        ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jackson2JsonRedisSerializer.setObjectMapper(om);
        // 配置redisTemplate
        RedisTemplate<String, Object> redisTemplate = new RedisTemplate<String, Object>();
        redisTemplate.setConnectionFactory(lettuceConnectionFactory);
        RedisSerializer<?> stringSerializer = new StringRedisSerializer();
        redisTemplate.setKeySerializer(stringSerializer);// key序列化
        redisTemplate.setValueSerializer(jackson2JsonRedisSerializer);// value序列化
        redisTemplate.setHashKeySerializer(stringSerializer);// Hash key序列化
        redisTemplate.setHashValueSerializer(jackson2JsonRedisSerializer);// Hash value序列化
        redisTemplate.afterPropertiesSet();
        return redisTemplate;
    }

继承CacheManger

@Slf4j
public class RedisShiroCacheManager extends AbstractCacheManager {

    private RedisService redisService;

    public RedisShiroCacheManager(RedisService redisService) {
        this.redisService = redisService;
    }



    /**
     * 认证或者授权对应的缓存名称key
     */
    @Override
    protected Cache createCache(String s) throws CacheException {
        // 将Spring Bean redisService注入到RedisShiroCache
        Cache cache = new RedisShiroCache( redisService, s);
        return cache;
    }

}

实现Redis读写


@Slf4j
public class RedisShiroCache<K, V> implements Cache<K, V> {

    private RedisService redisService;
    private String cacheName;


    public RedisShiroCache() {
    }

    public RedisShiroCache(RedisService redisService, String cacheName) {
        this.redisService = redisService;
        this.cacheName = cacheName;
    }

    @Override
    public V get(K k) throws CacheException {
        Object hget = redisService.hget(this.cacheName, k.toString());
        log.info("get({}) and value [{}]", k, hget);
        return (V) hget;
    }

    @Override
    public V put(K k, V v) throws CacheException {
        redisService.hset(this.cacheName, k.toString(), v);
        log.info("set({},{}", k, v);

        return null;
    }

    @Override
    public V remove(K k) throws CacheException {
        return null;
    }

    @Override
    public void clear() throws CacheException {

    }

    @Override
    public int size() {
        return 0;
    }

    @Override
    public Set<K> keys() {
        return null;
    }

    @Override
    public Collection<V> values() {
        return null;
    }
}

配置securityManager


@Slf4j
@Configuration
public class ShirosConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        log.info("注入Shiro的Web过滤器-->shiroFilter", ShiroFilterFactoryBean.class);
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		......

        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm, RedisService redisService) {
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        /**
         * 设置Redis缓存
         */
         // 开启缓存
        oAuth2Realm.setCachingEnabled(true);
        oAuth2Realm.setAuthorizationCachingEnabled(true);
        oAuth2Realm.setAuthorizationCacheName("authorizationCache");
        oAuth2Realm.setAuthorizationCachingEnabled(true);
        oAuth2Realm.setAuthenticationCacheName("authenticationCache");
        // 指定缓存管理器
        defaultSecurityManager.setCacheManager(new RedisShiroCacheManager(redisService));
        defaultSecurityManager.setRealm(oAuth2Realm);
        return defaultSecurityManager;
    }

计划

  1. 主要对授权部分,缓存角色权限信息;但是每次调用API还是会调用doGetAuthenticationInfo方法,这就涉及到session缓存;
  2. 既然使用到了缓存,就需要保证缓存数据与Mysql一致性。
  3. 开发RememberMe功能
  4. 同一账号不能同时登录
  5. 熟悉Shiro工作原理,不能硬着头皮写代码,否则效率十分低。

引用

  • https://blog.csdn.net/u010514380/article/details/82185451 【很详细】
  • https://blog.csdn.net/baidu_33969289/article/details/86670054
  • https://www.cnblogs.com/youzhibing/tag/shiro/
我是旺领导
关注
专栏目录
Spring_shiro介绍
weixin_67695384的博客
06-23 3647
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理shiro属于轻量框架,越来越多企业项目开始使用shiro。应用场景:shiro 解决应用安全的四要素:Shiro的体系结构具有3个主要概念:Subject(主题)
[原创]Spring boot Shiro授权 授权缓存的清除
qq_40079715的博客
03-18 6252
Shiro授权时我们开启了缓存,导致更改用户权限无法生效,必须要清除缓存才能生效。Shiro他去查询你当前是否开始缓存缓存中是否有改Subject的principals。 Shiro查询授权的源码: protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) { if...
shiro之记住登录信息
08-29
Shiro提供了记住我(RememberMe)的功能,当关闭浏览器时下次再次打开还能记住你的信息,下面小编给大家分享shiro之记住登录信息的相关知识,感兴趣的朋友一起看看吧
Shiro 缓存认证信息授权信息
05-30 496
spring-shiro.xml文件配置 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="customAuthorizingRealm"/> <...
Shiro+ehcache配置缓存认证信息授权信息
KK的博客
09-23 720
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"/> <property name="cacheManager" ref="ehCacheMa...
Shiro--会话与角色权限信息缓存
BtWangZhi的博客
06-02 2006
会话 Shiro可以扩展Session至第三方缓存中,可以实现分布式下的缓存共享,如redis的话实现RedisSessionDao接口即可,本质为将session序列化后存储到redis中。 @Component public class RedisSessionDao extends AbstractSessionDAO { private static Logger logge...
一文搞定Shiro+EhCache,实现对认证、鉴权信息缓存
weixin_45121446的博客
04-23 1102
shiro+JWT+EhCache,实现认证、鉴权缓存的移除与更新。 每次请求都携带token,JWTFilter会调用shiro的login方法,进行认证 引入缓存,避免频繁的验证–EhCache shiroConfig开启缓存Spring Bean管理自动注入CacheManager @Bean("securityManager") public DefaultWebSecurityManager securityManager(MyRealm myRealm,EhCacheManager e
spring_boot_shiro
10-23
Spring Boot的配置文件(application.yml或application.properties)中,可以设置Shiro的一些基本属性,如缓存管理、session超时时间等。 3. 创建Shiro配置类 创建一个名为`ShiroConfig`的配置类,用于配置Shiro...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
spring boot+shiro 权限认证管理案例
12-20
通过以上步骤,我们可以构建一个集成了 Spring Boot 和 Shiro 的权限认证管理系统,能够实现用户登录、权限校验、会话管理等功能,同时利用缓存提升系统性能。在实际开发中,还可以根据需求扩展 Shiro 功能,例如...
Shiro缓存管理
JustinNeil的博客
07-15 3853
缓存管理为什么要使用缓存使用EhCache实现缓存导入依赖添加EhCache的配置文件在shiro的配置文件中配置缓存在自定义的Realm类中添加清除缓存的方法在Controller中添加清除缓存的业务总结 为什么要使用缓存 在没有使用缓存的情况下,每发送一次请求都会调用一次doGetAuthorizationInfo方法来进行用户的授权操作,但是我们知道,一个用户具有的权限一般不会频繁的修改,也...
2021年你还不会Shiro?----9.Shiro利用缓存存储权限信息
初心不忘、始终方得
03-30 1354
使用ehcache实现授权信息缓存
shiro缓存的理解
ITWANGBOIT的博客
10-21 1100
一:缓存的流程 1:缓存的作用:用于缓存认证信息授权信息,不用每次都去数据库里查询数据,而是从缓存中获取。 2:shiro的本质工作是认证和授权缓存的工作shiro没有做,而是预留了接口cache,cache中有对要缓存数据的操作方法,让开发者去做不同的实现。 3:我们可以对cache接口进行redis,memcache或者ehcache的实现。 4:CacheManager接口也是s...
Spring Boot Shiro 权限信息缓存处理,记住我,thymleaf使用shiro标签
热门推荐
爱笑的博客
08-29 2万+
转: http://412887952-qq-com.iteye.com/blog/2299784 权限信息缓存处理 实际中我们的权限信息是不怎么会改变的,所以我们希望是第一次访问,然后进行缓存处理,那么Shiro是否支持呢,答案是肯定的,我们在下一小节进行讲解,如何在Shiro中加入缓存机制。 主要分这么几个步骤:在pom.xml中加入缓存依赖;注入缓存; (a) 在pom.xml
Shiro漏洞检测
weixin_43554548的博客
05-10 9375
关于Shiro漏洞检测工具的使用说明Shiro-550反序列化漏洞简介漏洞检测工具工具一:ShiroExploit工具二:shiro_attack-2.2补充说明 Shiro-550反序列化漏洞简介 漏洞简介: Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户
shiro在编辑权限后,清除用户之前缓存的权限信息
m0_54849873的博客
04-07 1565
最近在做ssh+shiro的整合,完成自己的毕设,正好遇到这个问题,于是网上找了相关资源,现给出下列代码: /** * 重新赋值权限(在比如:给一个角色临时添加一个权限,需要调用此方法刷新权限,否则还是没有刚赋值的权限) * @param shiroRealm 自定义的realm * @param username 用户名 */ public static void reloadAuthorizing(ShiroRealm shiroRealm
Spring Boot + shiro 去除Redis缓存
雨陆聪辰的博客
10-20 1705
Spring Boot + shiro 去除Redis缓存
shiro退出登陆清空缓存实现
weixin_30670925的博客
06-15 824
  上一篇介绍了使用springmvc集成shiro登陆过程(http://www.cnblogs.com/nosqlcoco/p/5579081.html),通过FormAuthenticationFilter过滤器获取到用户输入的账号密码。   shiro是一个被广泛使用的安全层框架,通过xml配置方式与spring无缝对接,用户的登陆/退出/权限控制/Cookie等管理系统基础功能交给sh...
Shiro----Shiro 中的授权检查
qq_48788523的博客
01-12 266
Shiro授权检查方式有几种, 都了解了吗?
小米用户画像实践与Shiro授权缓存管理
而 Authorization Cache Invalidation 则是授权缓存失效机制,当用户的权限信息发生变化时,系统能够自动或手动触发缓存的失效,确保最新的权限信息被用于后续的授权判断。 Shiro 的核心功能包括认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值