SpringBoot集成Shiro权限管理框架

已于 2022-10-11 19:07:01 修改
阅读量499 收藏 2
点赞数 1
文章标签: spring boot java spring
于 2022-10-11 19:06:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuerpeng1904/article/details/127269544
版权

Shiro用户权限管理设计

Shiro 简介与功能 (Shiro能干什么)

  • Apache Shiro 是 Java 的一个安全(权限)框架;
  • Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境;
  • Shiro 可以完成:认证、授权、加密、会话管理、Web 集成、缓存等
  • Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
  • Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;

Shiro主要有三大功能模块:

  • Subiect : 主题 , 一般指用户
  • SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)
  • Realms:用于进行权限信息的验证,一般需要自己实现。

细分功能:

  1. Authentication:身份认证/登录(账号密码验证)。
  2. Authorization:授权,即角色或者权限验证。
  3. Session Manager:会话管理,用户登录后的session相关管理。
  4. Cryptography:加密,密码加密等。
  5. Web Support:Web支持,集成Web环境。
  6. Caching:缓存,用户信息、角色、权限等缓存到如redis等缓存中。
  7. Concurrency:多线程并发验证,在一个线程中开启另一个线程,可以把权限自动传播过去。
  8. Testing:测试支持;
  9. Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
  10. Remember Me:记住我,登录后,下次再来的话不用登录了。

Spring Boot 集成 Shiro 教程

1. pom.xml文件引入相关依赖

     <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.6.0</version>
        </dependency>

2. 创建对应的实体类 , 用户类,角色类和权限类

  1. 用户类
package com.example.springtest.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;

import java.util.List;

/**
 * 用户表,包含用户的基本信息
 */
@Data
@AllArgsConstructor
public class User {

    // 用户的id
    private Long id;

    // 用户的名字
    private String name;

    // 用户的密码
    private String password;

    /**
     * 用户对应的角色集合(角色对应了权限)
     */
    private List<Role> roles;
}
  1. 角色类
package com.example.springtest.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;

import java.util.List;

/**
 * 角色表,用户与角色挂钩,角色与权限挂钩
 */
@Data
@AllArgsConstructor
public class Role {

    // 角色的id
    private Long id;

    // 角色的名字
    private String roleName;

    /**
     * 角色对应权限集合
     */
    private List<Permissions> permissions;
}
  1. 权限类
package com.example.springtest.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;

/**
 * 权限对应的实体类,权限与角色挂钩
 */
@Data
@AllArgsConstructor
public class Permissions {

    // 权限的id
    private Long id;
    // 权限的名字
    private String permissionsName;
}
  • 三个实体类之间的关系如下

用户类 : 用户用户用户类包含了用户的基本信息以及包含了用户所属的所有的角色 , 我们来用一个列表进行封装
{.is-info}

角色类 : 角色类与用户类进行挂钩,表示中用户代表这个角色 , 角色又与权限进行绑定(每一个角色的权限我们用一个列表进行封装),那么角色的用处就是建立了用户与权限之间的桥梁,建立二者之间的关系 (用户与权限相关联)
{.is-info}

权限类 : 代表了权限 , 权限与角色进行挂钩 , 权限属于角色 , 角色又属于用户 , 所以也可以这样说 权限间接性属于用户,那么用户再访问后端接口时 , 就会获取到当前登录的用户的权限与接口的权限作对比,没有这个用户没有权限访问这个接口 , 那么接口将防返回没有权限
{.is-info}

3. 创建工具类,来模拟操作数据库

package com.example.springtest.pojo;

import lombok.Data;

import java.util.ArrayList;
import java.util.List;

/**
 * @author lep
 * @date 2022-06-22 11:45
 */
@Data
public class MySqlTool {

    // 所有的用户 (以及用户的角色,和角色的权限) : 模拟数据库
    public static List<User> users = new ArrayList<>();

    //    静态初始化块 , 初始化数据
    static {
//        添加两个用户 张三和李四
//          1.1 创建四个权限
        Permissions permissions1 = new Permissions(1L, "delete"); //删除
        Permissions permissions2 = new Permissions(2L, "add");    //添加
        Permissions permissions3 = new Permissions(3L, "select"); //查询
        Permissions permissions4 = new Permissions(4L, "update"); //修改

//          1.2 创建一个角色(role1:拥有查询权限)
        List<Permissions> permissions_1 = new ArrayList<>();
        permissions_1.add(permissions3);
        permissions_1.add(permissions4);
        Role role1 = new Role(1L, "role1", permissions_1); //查询和修改
//          1.3 创建一个角色(role2 : 拥有添加和查询的权限)
        List<Permissions> permissions_2 = new ArrayList<>();
        permissions_2.add(permissions2);
        permissions_2.add(permissions3);
        Role role2 = new Role(2L, "role2", permissions_2); //查询和添加
//        2.1 创建一个张三 , 分配角色1(role1)
        List<Role> roles1 = new ArrayList<>();
        roles1.add(role1);
        User user1 = new User(1L, "张三", "88888888", roles1);
//        2.2 创建一个李四 , 分配角色2(role2)
        List<Role> roles2 = new ArrayList<>();
        roles2.add(role2);
        User user2 = new User(1L, "李四", "77777777", roles2);
        users.add(user1);
        users.add(user2);
    }

    /**
     * 获取一个指定的用户
     *
     * @param name 用户的名字
     * @return 返回用户的信息(模拟查询数据库)
     */
    public static User getUser(String name) {

        for (User user : users) {
            if (user.getName().equals(name)) {
                return user;
            }
        }
        return null;
    }

}

4. 自定义Realm用于查询用户的角色权限并把角色权限保存到权限管理器 (重要)

package com.example.springtest.config;

import com.example.springtest.pojo.MySqlTool;
import com.example.springtest.pojo.Permissions;
import com.example.springtest.pojo.Role;
import com.example.springtest.pojo.User;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.util.StringUtils;

/**
 * 自定义Realm用于查询用户的角色和权限信息并保存到权限管理器:
 */
public class CustomRealm extends AuthorizingRealm {


    /**
     * @MethodName doGetAuthorizationInfo
     * @Description 权限配置类
     * @Param [principalCollection]
     * @Return AuthorizationInfo
     * @Author WangShiLin
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录用户名
        String name = (String) principalCollection.getPrimaryPrincipal();
        //查询用户名称
        User user = MySqlTool.getUser(name);
        //添加角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//        循环用户的角色,来添加角色
        for (Role role : user.getRoles()) {
            //添加角色
            simpleAuthorizationInfo.addRole(role.getRoleName());
            //循环每一个角色的权限来添加权限
            for (Permissions permissions : role.getPermissions()) {
                simpleAuthorizationInfo.addStringPermission(permissions.getPermissionsName());
            }
        }
        return simpleAuthorizationInfo;
    }

    /**
     * @MethodName doGetAuthenticationInfo
     * @Description 认证配置类
     * @Param [authenticationToken]
     * @Return AuthenticationInfo
     * @Author WangShiLin
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (StringUtils.isEmpty(authenticationToken.getPrincipal())) {
            return null;
        }
//        获取用户信息
        String name = authenticationToken.getPrincipal().toString();
//        获取到用户信息
        User user = MySqlTool.getUser(name);
        if (user == null) {
            //这里返回后会报出对应异常
            return null;
        } else {
            //这里验证authenticationToken和simpleAuthenticationInfo的信息
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(name, user.getPassword().toString(), getName());
            return simpleAuthenticationInfo;
        }
    }
}

5. 把自定义的Realm和权限管理器(SecurityManager)注入到Spring容器中 (重要)

package com.example.springtest.config;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

/**
 * ShiroConfig.java,把CustomRealm和SecurityManager等注入到spring容器中:
 */
@Configuration
public class ShiroConfig {

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

    //将自己的验证方式加入容器
    @Bean
    public CustomRealm myShiroRealm() {
        CustomRealm customRealm = new CustomRealm();
        return customRealm;
    }

    //权限管理,配置主要是Realm的管理认证
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new HashMap<>();
        //登出
        map.put("user/logout", "logout");
        //对所有用户认证
        map.put("/**", "authc");
        //登录
        shiroFilterFactoryBean.setLoginUrl("/user/login");
        //首页
        shiroFilterFactoryBean.setSuccessUrl("user/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }


    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

5. 创建一个全局异常拦截,用于拦截当用户访问接口没有权限的情况

package com.example.springtest.config;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authz.AuthorizationException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * 统一异常捕获
 */
@ControllerAdvice
@Slf4j
public class MyExceptionHandler {

    @ExceptionHandler
    @ResponseBody
    public String ErrorHandler(AuthorizationException e) {
        log.error("没有通过权限验证!", e);
        return "没有通过权限验证!";
    }
}

6. 创建一个controller来测试Shiro权限管理

package com.example.springtest.controller;

import com.example.springtest.pojo.User;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * user对应的Controller , 模拟用户的登录,以及获取信息
 */
@RestController
@RequestMapping("/user")
@Slf4j
public class UserController {

    /**
     * 目前的权限是 :
     * 张三  88888888
     * 权限 : 查询(select)和修改(update)
     * <p>
     * 李四 77777777
     * 权限 : 查询(select)和添加(add)
     */


    @GetMapping("/login")
    public String login(User user) {
        if (StringUtils.isEmpty(user.getName()) || StringUtils.isEmpty(user.getPassword())) {
            return "请输入用户名和密码!";
        }
        System.out.println("开始登录 : " + user);
        //用户认证信息 , 把用户添加到认证中
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
                user.getName(),
                user.getPassword()
        );
        try {
            //进行验证,这里可以捕获异常,然后返回对应信息
            subject.login(usernamePasswordToken);
        } catch (UnknownAccountException e) {
            log.error("用户名不存在!", e);
            return "用户名不存在!";
        } catch (AuthenticationException e) {
            log.error("账号或密码错误!", e);
            return "账号或密码错误!";
        } catch (AuthorizationException e) {
            log.error("没有权限!", e);
            return "没有权限";
        }
        return "登录成功!";
    }

//  根据角色来进行指定权限(那么拥有role1角色的用户可访问此接口)
    @RequiresRoles("role1")
    @GetMapping("/test1")
    public String test1() {
        return "role1!";
    }

    @RequiresRoles("role2")
    @GetMapping("/test2")
    public String test2() {
        return "role2!";
    }

//  根据具体的权限来限制(那么拥有select权限的人可访问此接口)
    @RequiresPermissions("select")
    @GetMapping("/select")
    public String select() {
        return "查询成功!";
    }

    @RequiresPermissions("update")
    @GetMapping("/update")
    public String update() {
        return "修改成功!";
    }

    @RequiresPermissions("delete")
    @GetMapping("/delete")
    public String delete() {
        return "删除成功!";
    }

    @RequiresPermissions("add")
    @GetMapping("/add")
    public String add() {
        return "添加成功!";
    }
}

最后添加一下常用的Shiro的异常

AuthenticationException 认证异常

Shiro在登录认证过程中,认证失败需要抛出的异常。 AuthenticationException包含以下子类:

  1. CredentitalsException 凭证异常
  2. IncorrectCredentialsException 不正确的凭证
  3. ExpiredCredentialsException 凭证过期
  4. AccountException 账号异常

ConcurrentAccessException: 并发访问异常(多个用户同时登录时抛出)

UnknownAccountException: 未知的账号

ExcessiveAttemptsException: 认证次数超过限制

DisabledAccountException: 禁用的账号

LockedAccountException: 账号被锁定

UnsupportedTokenException: 使用了不支持的Token

AuthorizationException: 授权异常

Shiro在登录认证过程中,授权失败需要抛出的异常。 AuthorizationException包含以下子类:

  1. UnauthorizedException:
    抛出以指示请求的操作或对请求的资源的访问是不允许的。
  2. UnanthenticatedException:
    当尚未完成成功认证时,尝试执行授权操作时引发异常。
欢乐少年1904
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
SpringBoot 后台权限框架搭建(一)—后台框架搭建
jin07430119的专栏
02-22 3219
主要实现后端权限管理系统,包括用户管理、角色管理、部门管理、菜单管理等。项目采用前后端分离模式开发,后端使springboot+shiro+mybatis+MySQL等;前端选用Element UI框架,直接基于vue-element-admin的基础上扩展开发。
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
低调做人,低调编码,神码都是浮云
04-12 1189
SpringBoot整合Shiro权限控制
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 815
spring boot 集成 shiroshiro介绍,shirospringSecurity区别,shiro优缺点
SpringBoot 整合 Shiro 权限框架
qq_54429571的博客
11-23 878
SpringBoot 整合 Shiro 权限框架Shiro概述、功能及架构、环境搭建登录、退出、授权、角色认证实现、多个 realm 的认证策略设置、会话管理等。
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2352
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
SpringBoot集成权限认证框架(Sa-Token)
孙霸天的专栏
03-28 6097
SpringBoot集成权限认证框架(Sa-Token) 介绍 身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。在日常生活中,身份验证并不罕见;比如,通过检查对方的证件,我们一般可以确信对方的身份。 在互联网中身份验证极为重要,不论是web端还是移动端、小程序等,在与后台交互的过程中都是需要携带身份信息的,只有通过身份认证后,后台才会执行相关请求。 常见的认证模式 Cookie模式 所谓 Cookie ,本质上是
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
SpringBoot整合Shiro框架集成权限管理
06-17
1、SpringBoot框架的优秀整合能力结合Shrio轻量安全高适用的权限框架,可以将权限运用到实质,方便高效 2、该文件中包含有shiro的介绍及整合过程 3、SpringBoot整合Shiro的相关教程视频
springboot集成freemarker和shiro框架
03-14
**SpringBoot集成Freemarker与Shiro框架详解** 在现代Web开发中,SpringBoot因其简洁、高效的特性,已经成为很多开发者的选择。而FreeMarker和Shiro则分别是常用的模板引擎和安全框架,它们能帮助我们构建出功能...
SpringBoot整合Shiro,实现从数据库加载权限权限的动态更新、Session共享
01-28
SpringBoot整合Shiro,实现从数据库加载权限权限的动态更新、Session共享
SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法
08-25
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理 ,需要的朋友可以参考下
spring boot 集成 shiro权限控制框架
luhaichuan88的博客
01-19 451
本文主要是使用spring boot 集成shiro 实现shiro-spring-boot-starter 1、首先创建相关配置文件有两个ShiroProperties,JwtProperties package com.shiro.sdk.properties; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.boot.context...
springboot 整合shiro实现权限控制-枫桥
weixin_45612889的博客
08-31 650
springboot 整合shiro实现权限控制-枫桥 shiro Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。 以下是我自己的学习心得 在这里说一下,b站的【狂神说Java】Sprin
shiro权限框架
欢迎来到编程小栈
04-20 2300
文章目录Shiro架构与功能介绍1.认证与授权相关基本概念2.Shiro四大核心功能3.Shiro三个核心组件spring security和shiro的区别相同点:不同点:第一章 权限概述1、什么是权限2、认证概念【1】什么是认证【2】认证流程【3】关键对象3、授权概念【1】什么是授权【2】授权流程【3】关键对象第二章 Shiro概述1、Shiro简介【1】什么是Shiro?【2】Shiro 的特点2、核心组件第三章 Shiro入门1.1什么是shiro1.2shiro功能简介2.1外部来看Shiro2
springboot shiro权限管理
m0_67393828的博客
04-25 522
集成shiro大概分这么一个步骤: (一) pom.xml中添加Shiro依赖; (二)注入Shiro Factory和SecurityManager。 (三)身份认证 (四)权限控制 一:pom.xml中添加Shiro依赖 1.1:要使用Shiro进行权限控制,那么很明显的就需要添加对Shiro的依赖包,在pom.xml中加入如下配置: <!-- shiro权限控制框架 --> <dependency> <groupId>org.apach
Shiro动态权限(整合Spring Boot
qq_53432338的博客
06-27 2068
1、说明 2、数据库 3、代码 4、测试 5、小结动态权限是程序运行期间,对用户的权限进行更改而不需要修改源码。在shiro中,实现动态权限只需要实现一个自定义的过滤器即可,这里使用的方法是继承。需要注意的是,任何的动态权限都会损耗服务器的资源,因为所谓的动态权限就是根据数据库的变化,实时的将情况反应到客户端,即每次请求都需要对数据库发送请求,因为需要的是实时的数据,所以没办法使用Redis解决这个问题,因为即使存储到Redis中,Redis也需要去向数据库发送请求来更新数据,甚至因为请求经过了Redis,
springboot集成shiro权限管理
07-08
### 回答1: Spring Boot是基于Spring框架的快速开发应用程序的工具,而Shiro则是一个强大且灵活的Java安全框架。将Spring BootShiro结合使用可以实现权限管理的功能。 首先需要在Spring Boot项目中引入相关依赖,包括Spring Boot的依赖和Shiro的依赖。可以在pom.xml文件中添加如下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> ``` 接下来,需要配置Shiro的配置类。可以创建一个继承自org.apache.shiro.web.mgt.DefaultWebSecurityManager的类,并在该类中配置Shiro的相关信息,包括认证器和授权器。 认证器负责验证用户的身份,可以使用Shiro提供的Realm来实现自定义的身份验证逻辑。授权器负责判断用户是否有权限执行某个操作,可以使用Shiro提供的Permission类来实现权限的控制。 然后,需要为Spring Boot应用程序配置Shiro过滤器链。可以使用Shiro的FilterChainDefinitionMap类来配置URL与权限的映射关系。可以在一个继承自org.apache.shiro.web.env.AbstractWebEnvironment的类中配置这些过滤器链。 最后,在Spring Boot应用程序的入口类中启动Shiro配置。在main()方法中,可以使用org.apache.shiro.SecurityUtils类的setSecurityManager()方法来设置Shiro的安全管理器。 完成以上步骤后,Spring Boot应用程序就集成Shiro权限管理功能。可以通过编写相应的Controller和页面来测试权限管理的效果。 总之,通过将Spring BootShiro结合使用,可以实现权限管理的功能。通过配置Shiro的相关类和过滤器链,以及编写自定义的Realm和Permission,可以实现身份验证和权限控制的逻辑。 ### 回答2: Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架Shiro是一个强大的Java安全框架,提供了身份认证、授权、加密等安全功能。下面是使用Spring Boot集成Shiro权限管理的步骤和注意事项。 1. 添加依赖:在Maven或Gradle中添加Spring BootShiro的依赖项。 2. 创建Shiro配置类:创建一个继承自`org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration`的配置类。在该类中配置Shiro的安全相关属性,比如加密算法、身份认证方式等。 3. 创建用户实体类:创建表示用户的实体类,并为其添加相关属性,如用户名、密码等。 4. 创建用户服务类:创建一个用户服务类,用于处理用户相关的操作,如用户注册、查询用户等。 5. 创建Realm类:创建一个继承自`org.apache.shiro.realm.AuthorizingRealm`的自定义Realm类。在该类中,实现身份认证和授权的逻辑。 6. 配置Shiro过滤器:在`application.properties`文件中配置Shiro的过滤器链,指定URL与权限之间的对应关系。 7. 创建Controller类:创建一个Controller类,用于处理用户请求。在该类中,通过`@RequiresRoles`和`@RequiresPermissions`等注解为方法添加授权需求。 8. 启动应用程序:使用Spring Boot的注解启动应用程序,让Spring Boot自动配置并启用Shiro。 注意事项: - 在配置Shiro时,需要根据实际需要选择适当的安全策略、加密算法和认证方式。 - 在自定义Realm类中,需要根据实际需求进行身份认证和授权的实现。 - 在通过Shiro注解为方法添加授权需求时,需要确保用户已经成功登录。 - 需要根据实际业务需求,合理配置Shiro的过滤器链,以获得所需的权限控制效果。 总之,使用Spring Boot集成Shiro权限管理可以方便地实现应用程序的安全认证和授权功能。通过配置Shiro的相关属性和自定义Realm类,可以实现灵活的权限管理,保护应用程序的安全。 ### 回答3: Spring Boot集成Shiro权限管理是一种常用的方式,可以实现安全的身份验证和授权功能。以下是一个简单的步骤,来演示如何实现这个集成。 第一步,导入相关依赖。在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 第二步,编写Shiro的配置文件。创建一个类,命名为ShiroConfig,并使用@Configuration注解将其声明为一个配置类。在配置类中,使用@RequiresPermissions注解来定义URL的访问权限,使用@Bean注解来创建ShiroFilterFactoryBean和DefaultWebSecurityManager等Bean。 第三步,创建一个自定义的Realm类。这个类需要继承自AuthenticatingRealm,并实现其中的认证和授权方法。在认证方法中,需要根据用户名和密码来进行验证用户的身份。在授权方法中,需要判断用户是否具有访问某个URL的权限。 第四步,在Spring Boot的启动类中,添加@EnableCaching注解来启用缓存功能。这样可以提高系统的性能。 第五步,编写Controller类。在Controller中,使用@RequiresPermissions注解来定义URL的访问权限。在方法中,可以使用Subject进行身份验证和授权操作。 最后,启动应用程序。通过访问配置的URL,可以验证是否成功实现了Shiro权限管理功能。 通过以上步骤,我们可以实现Spring Boot集成Shiro权限管理。这样就可以在应用程序中实现安全的身份验证和授权功能,确保只有具备相应权限的用户可以访问指定的URL。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

欢乐少年1904

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值