shiro在springcloud中的权限路由配置

最新推荐文章于 2024-05-31 11:42:39 发布
最新推荐文章于 2024-05-31 11:42:39 发布
阅读量1.3k 收藏 24
点赞数 21
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joshuahost/article/details/136762878
版权

shiro在springboot中一般为统一配置,每个需要的请求都可以用注解拦截和认证。在springcloud中,你可以单拉一个shiro模块,每个模块pom文件引入这个shiro模块,也可以只在网关模块配置shiro。

如果只是实现请求拦截,spring拦截器和注解AOP也方便实现。但本文拉入了shiro,原理是同spirng拦截器实现的,具体如下。

引入shiro/jwt/session实现所需依赖:

<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis-spring-boot-starter</artifactId>
    <version>3.2.1</version>
</dependency>
<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>

jwt工具类:

@Slf4j
@Data
@Component
@ConfigurationProperties(prefix = "xzc.jwt")
public class JwtUtils {
 
    private String secret;
    private long expire;
    private String header;
 
    /**
     * 生成jwt token
     */
    public String generateToken(long userId) {
        Date nowDate = new Date();
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);
 
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId+"")
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }
 
    public Claims getClaimByToken(String token) {
 
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
 
    }
 
    /**
     * token是否过期
     * @return  true:过期
     */
    public boolean isTokenExpired(Date expiration) {
        return expiration.before(new Date());
    }
}

shiroConfig配置:


@Configuration
public class ShiroConfig {
    @Autowired
    JwtFilter jwtFilter;
 
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager,
                                                         ShiroFilterChainDefinition shiroFilterChainDefinition) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(defaultWebSecurityManager);
        Map<String, String> map = shiroFilterChainDefinition.getFilterChainMap();
//        map.put("/user/test", "perms[user:add]"); 这里不用,而采用AuthParams列表。
        bean.setFilterChainDefinitionMap(map);
        Map<String, Filter> filters = new HashMap<>();
        filters.put("jwt", jwtFilter);
        bean.setFilters(filters);
        bean.setLoginUrl("/user/goLogin");
        bean.setUnauthorizedUrl("/user/noauth");
        return bean;
    }
 
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/user/test", "jwt"); 
        filterMap.put("/user/test2", "jwt");
        chainDefinition.addPathDefinitions(filterMap);
        return chainDefinition;
    }
 
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(AccountRealm accountRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(accountRealm);
        return securityManager;
    }
 
    @Bean
    public AccountRealm accountRealm() {
        return new AccountRealm();
    }
}

AccountRealm配置在本篇中没什么作用,所以public class AccountRealm extends AuthorizingRealm 简单实现一下就行。

实现逻辑在shiroConfig所引入的JwtFilter类,所有要做权限拦截的路由都是在shiroFilterChainDefinition()方法通过filterMap.put("/user/test", "jwt");添加,如果嫌太多也可以用通配符"/**/t"表示所有末尾加"/t"的路径,然后shiroFilterFactoryBean()方法里filters.put("jwt", jwtFilter);实现。


@Component
public class JwtFilter extends AuthenticatingFilter {
 
    @Autowired
    JwtUtils jwtUtils;
    @Autowired
    AuthParams authParams;
 
    @Autowired
    RestTemplate restTemplate;
 
    @Autowired
    StringRedisTemplate stringRedisTemplate;
 
    @Override
    protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
 
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String jwt = request.getHeader("Authorization");
        if (StringUtils.isEmpty(jwt)) {
            return null;
        }
 
        return new JwtToken(jwt);
    }
 
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
 
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String jwt = request.getHeader("Authorization");
        if (StringUtils.isEmpty(jwt)) {
            servletResponse.setContentType("0");  //通过返回前端type判断jwt错误类型
            return false;
        } else {
            Claims claim = jwtUtils.getClaimByToken(jwt);
            if (claim == null || jwtUtils.isTokenExpired(claim.getExpiration())) {
                servletResponse.setContentType("1");
                throw new ExpiredCredentialsException("token已过期,请重新登录");
            }
            String requestURI = ((HttpServletRequest) servletRequest).getRequestURI();
            String param = authParams.GetPerms().get(requestURI);
 
            String userId = claim.getSubject();
            HttpSession httpSession = ((ShiroHttpServletRequest) servletRequest).getSession();
            Object userObj = httpSession.getAttribute("user");
            Map<String, Object> userMap;
            if (userObj == null) {
                User user = restTemplate.postForObject("http://user/getbyid", Long.valueOf(userId), User.class);
                if (user == null) {
                    servletResponse.setContentType("2");
                    return false;
                }
                String jsonStr = JSONObject.toJSONString(user);
                userMap = JSONObject.parseObject(jsonStr, Map.class);
                httpSession.setAttribute("user", user);
            } else {
                userMap = JSONObject.parseObject(userObj.toString(), Map.class);
            }
            if (param == null) {
                return true;
            }
            if (userMap.get("promission").indexOf(param)==-1) {
                servletResponse.setContentType("3");
                return false;
            }
            return true;
        }
    }
 
    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
 
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
 
        Throwable throwable = e.getCause() == null ? e : e.getCause();
        Result result = Result.error(throwable.getMessage());
        String json = JSONUtil.toJsonStr(result);
 
        try {
            httpServletResponse.getWriter().print(json);
        } catch (IOException ioException) {
 
        }
        return false;
    }
 
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
 
        HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
        HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个OPTIONS请求,这里我们给OPTIONS请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(org.springframework.http.HttpStatus.OK.value());
            return false;
        }
 
        return super.preHandle(request, response);
    }
}
public class JwtToken implements AuthenticationToken {
    private String token;
    public JwtToken(String token) {
        this.token = token;
    }
    @Override
    public Object getPrincipal() {
        return token;
    }
    @Override
    public Object getCredentials() {
        return token;
    }
}
@Component
public class AuthParams {
 
    public Map<String,String> GetPerms(){
        Map<String,String> map=new HashMap<>();
        map.put("/user/test","user:add");
        map.put("/order/test2","order:delete");
        return map;
    }
}

onAccessDenied()判断逻辑:每个登录用户在请求中都会携带一个“Authorization”请求头,如果没有servletResponse.setContentType("0"),作用是约定“0”代表token为空,“1”表示已过期,“2”表示用户不存在,“3”代表没有操作权限。这个ContentType可给前端返回值的头部信息中获得,而实现相关的控制逻辑。

尝试通过httpSession获取当前用户,如果为空则通过token获取用户id,然后通过id重新获取该用户信息,并写入httpSession。

权限列表写在AuthParams里,通过判断当前用户权限列表里是否包含该请求路径权限值,验证是否具有操作权限。

当然也能用角色管理权限,例如map.put("/user/test","admin,student");不过可以用mysql管理,登录时把所有请求路径权限处理成("/user/test","admin,student")map集合,保存在httpSession里。那么判断就要改成:

if(param.indexOf(userMap.get("role"))==-1){
        servletResponse.setContentType("3");
        return false;
    }

方便操作的实现还是第一种,因为让mysql维护请求路径不太现实。没添加在AuthParams里的请求路径直接放行,而当程序员把请求权限写入后,也需要在添加请求权限的页面上添加入库。添加页面包括请求名称/权限值,以及父级路由,这样在编辑角色权限时,也能在权限路由子级下显示细粒度的权限请求。那么未指定父级路由的,可在编辑角色权限页面单独显示即可,全选全不选或点选。注册用户应该有个默认角色,通常只有管理员可以分配角色,用户登录时就可以根据角色加载promission的集合了。

「已注销」
关注
  • 21
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springcloud】--zuul+Shiro搭建
寻梦友的博客
01-23 1109
目录一、说明二、代码实现三、基本组件完整架构实现四、zuul+Shiro实现 一、说明 Zuul的主要功能是由转发和过滤器。由功能是微服务的一部分。 二、代码实现 引用jar包 <!--zuul --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-zuul</artif
Springcloudshiro的一种权限实现方案
u014203449的博客
03-03 2万+
探讨下几种SpringCloud权限实现方案,以zuul和shiro的思做了实现,简写了搭建过程. github地址https://github.com/MeloFocus/FocusCloudWork 一.目标 1.外部请求统一从网关zuul进入,并且服务内部互相调用接口要校验权限 2.cloud和shiro结合,达到单点登录,和集一个服务完成权限管理,其他业务服务不需要关注权限...
Spring Cloud Zuul原理与注意事项
热门推荐
张彦峰的博客
02-14 164万+
微服务架构Spring Cloud Zuul原理与注意事项详解分析
手把手教你集成spring cloud + shiro微服务框架
嫒de洫天使
11-15 2万+
背景 假设我们有很多java实现的项目,认证授权用的是shiro框架,可能还有一个sso单点登录平台 突然有一天,你的项目经理说要做微服务,可能这个项目经理并不懂什么是微服务 ???? 然后,你就给了你领导很多建议,什么dubbo、什么spring cloud等等;涉及的内容可能方方面面 但是! ???? 该项目经理说:小明,你晚上加加班,花点时间来改造一下现有的项目就好了,我们现有的项目改造起来也不是很麻烦...
【无标题】Spring Cloud Gateway 与权限认证
SuperChen12356的博客
12-02 2886
服务网关的概念有点类似于传统的反向代理服务器(如nginx),但反向代理一般都只是做业务无关的转发请求,而服务网关与服务的整合程度更高,可以看作也是整个服务体系的组成部分,通过过滤器等组件可以在网关集成一些业务处理的操作(比如权限认证等)。Spring Cloud Gateway正是Spring官方推出的服务网关的实现框架,它主要包含三个核心的概念: Route: 负责将某个外部请求由到一个合适的地址,包含一个ID,一个目标地址,一系列的Predicate和Filter; Predicate: 基于Ja
springcloud vue.js 前后分离 微服务分布式 flowable 工作流 shiro权限
cnmeimei的博客
07-17 401
1.代码生成器: [正反双向](单表、主表、明细表、树形表,快速开发利器)freemaker模版技术 ,0个代码不用写,生成完整的一个模块,带页面、建表sql脚本、处理类、service等完整模块2.多数据源:(支持同时连接无数个数据库,可以不同的模块连接不同数的据库)支持N个数据源3.阿里数据库连接池druid,安全权限框架 shiro(菜单权限和按钮权限), 缓存框架 ehcache4.代码编辑器,在线模版编辑,仿开发工具编辑器5.调用摄像头拍照 自定义裁剪编辑头像,头像图片色度调节6.websock.
Spring Cloud笔记(5)Spring Cloud Gateway与权限认证
weixin_46628206的博客
04-21 5024
上一篇,我们构建了一个简单的Spring Cloud Demo项目,涵盖了服务注册/发现,服务间的相互调用,以及熔断降级等内容。但如果服务需要暴露给外部进行使用,比如移动端,或者web端,则还需要考虑更多的事情。整个服务端的部署情况对于外部调用方应该是一个黑盒,外部调用方无法了解到每个服务具体是部署到哪一个IP或者域名下面,为了安全性也不太可能允许外部调用方直接连接到Consul去查询服务注册的...
Springcloud zuul和shiro结合
haohao123nana的专栏
12-10 554
一.目标 1.外部请求统一从网关zuul进入,并且服务内部互相调用接口要校验权限 2.cloud和shiro结合,达到单点登录,和集一个服务完成权限管理,其他业务服务不需要关注权限如何实现 3.其他服务依然可以控制权限细粒度到接口,如在接口上使用@RequirePermisson等注解,方便开发 二.思 SpirngCloud zuul网关有两个作用,一个是分配由,一个是过滤。 zuul的过滤器作用有限,只能简单的做一些某个url是否能够访问之类的,无法像shiro一样细粒度到某个用户是否有某种权限
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
springcloud-shiro
02-21
基於springboot的shiro項目,使用了zuul等springcloud項目
springboot,springboog+shiro,springcloud视频连接
09-27
springboot视频,springboot+shiro 权限控制,springcloud视频,请下载使用!!!!
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
主要给大家介绍了关于Spring Boot集成Shiro实现动态加载权限的完整步骤,文通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
spring-shiro-training-master.zip_guide8go_shiro_spring_spring 权限
09-19
使用spring框架,shiro权限管理的后台权限管理应用,可以做为企业基础架构
springboot mqtt收发消息
最新发布
qq_34874784的博客
05-31 250
​在Spring Boot,可以使用MQTT协议来收发消息。这样,就可以使用Spring Boot和MQTT协议来收发消息了。5. 使用MQTT消息接收和发送服务。3. 创建MQTT消息接收服务。4. 创建MQTT消息发送服务。2. 配置MQTT连接工厂。
SpringBoot集成腾讯COS流程
weixin_67727883的博客
05-30 140
SpringBoot集成腾讯COS流程
SpringBoot 异步编程
凤凰的博客
05-29 643
使用@Async注解,在默认情况下用的是线程池,该线程池不是真正意义上的线程池。使用此线程池无法实现线程重用,每次调用都会新建一条线程。若系统不断的创建线程,最终会导致系统占用内存过高,引发= null?//判断是否开启限流,默认为否//执行前置操作,进行限流} else {//未限流的情况,执行线程任务//不断创建线程= null?//创建线程//指定线程名,task-1,task-2...
SpringBoot 的 Java 代码配置(二)
xiaotu的博客
05-29 1087
因此,如果使用 HikariCP 只用声明你要用它就行,而声明要使用 Druid,你需要自己指定所使用的版本。上面的 DruidDataSource ,我们为其属性赋值时,它的四个属性都是简单类型属性,因此十分容易处理。但是,在 Spring 的容器,Java Bean 可能会存在引用。在上面的 Druid 的配置,数据库连接的四大属性值是在代码『写死』的。而在 Java 代码配置,通过 @Bean 方法的入参来表达 Bean 之间的引用关系。,所以,我们可以直接将自定义的配置项写在。
java运行普通jar包和springboot对应的jar包指定类的main方法
liaomingwu的专栏
05-30 226
这里分几种情况进行说明,包括普通jar包和springboot生成的jar包,运行默认启动类,运行默认启动类以外的指定类。
springcloud shiro
08-13
- *2* [shiro结合springboot多登录方式在springcloud配置](https://blog.csdn.net/weixin_53690059/article/details/127953163)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值