Shiro权限管理实现(详解)

最新推荐文章于 2024-06-24 04:22:21 发布
最新推荐文章于 2024-06-24 04:22:21 发布
阅读量7.3k 收藏 38
点赞数 3
分类专栏: Shiro SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llll20000/article/details/80212420
版权
Apache Shiro是一个简洁易用的Java安全框架,提供认证、授权、加密和会话管理功能。本文详细介绍了如何在Spring环境中配置Shiro,包括SecurityManager的实现、资源-角色-权限的配置、用户信息和权限的缓存处理,以及动态权限的管理。通过自定义Realm并实现用户信息和权限的获取,结合Redis缓存Session,实现了高效的权限管理。同时,文章还展示了如何进行权限资源的动态更新,以适应权限变动的需求。
摘要由CSDN通过智能技术生成

前言

Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。

功能介绍

资源-角色-权限
登录认证,密码加密(Authentication, Authorization, Cryptography)
用户角色和权限放入缓存(Caching)
会话管理(Session Management)

功能实现

实现说明

基于Spring开发Shiro的话,我们只需要实现ShiroFilterFactoryBean即可。

ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
filterFactoryBean.setLoginUrl("/login");// 未登录时候跳转URL
filterFactoryBean.setSuccessUrl("/index");// 成功后欢迎页面
filterFactoryBean.setUnauthorizedUrl("/unAuthorized");// 未认证页面

filterFactoryBean.setSecurityManager(securityManager);
filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

上面我们看到:

SecurityManager是登录认证,缓存管理和会话管理等的具体实现;filterChainDefinitionMap是资源对应的各种Filter的实现;

资源-角色-权限

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
// /user/下面的需要ROLE_USER角色
filterChainDefinitionMap.put("/user/**", "roles[ROLE_USER]");
// /admin/下面的所有需要ROLE_ADMIN的角色才能访问
filterChainDefinitionMap.put("/admin/**", "roles[ROLE_ADMIN]");
//登录注册不需要认证
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/register", "anon");
// 其他资源地址全部需要用户认证才能访问
filterChainDefinitionMap.put("/**", "authc");

上面是设置当用户请求某个api的时候,使用对应的filter进行拦截处理,从而判断是否有对应的权限;默认的filter有以下几种:

/**
 * Enum representing all of the default Shiro Filter instances available to web applications.  Each filter instance is
 * typically accessible in configuration the {
   @link #name() name} of the enum constant.
 *
 * @since 1.0
 */
public enum DefaultFilter {

    anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class);

登录认证,密码加密

因为用户信息和对应的角色权限信息,都是由应用方提供,所以Shiro抽象了一个接口,由应用方去实现这个接口(AuthorizingRealm),有两个方法需要应用方自己去实现:

//用户登录认证
protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

//用户权限认证
protected abstract AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals);

以下是自己抽象了一个类:

@Slf4j
public abstract class AbstractAuthorizingRealm extends AuthorizingRealm {
   

    public AbstractAuthorizingRealm() {
        HashedCredentialsMatcher credentialsMatcher = new RetryLimitHashedCredentialsMatcher(EhCacheManagerFactory.getCacheManager());
        credentialsMatcher.setHashAlgorithmName(ShiroConstant.hashAlgorithmName);
        credentialsMatcher.setHashIterations(ShiroConstant.hashIterations);//加密次数
        credentialsMatcher.setStoredCredentialsHexEncoded(true);
        setCredentialsMatcher(credentialsMatcher);
    }

    /**
     * 获取当前用户的角色和权限
     */
    public abstract RoleAndPermissions getRoleAndPermissionsFromUsername(String username);

    /**
     * 获取认证信息
     * @param username 用户名
     */
    public abstract UserAuthInfo getAuthInfoFromUsername(String username);

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("##################执行Shiro权限认证(默认)##################"
最低0.47元/天 解锁文章
gitlee
关注
  • 3
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Shiro权限管理
ycfxhsw的博客
04-25 694
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
Shiro权限管理示例(包括数据库结构)
02-07
一个完整的Shiro项目,实现Shiro权限管理,附件里包括数据库结构(mysql),可直接运行
使用shiro实现权限控制学习总结
热门推荐
kaka0509的专栏
04-16 3万+
参考了http://blog.csdn.net/frankcheng5143/article/details/50836619这篇文章。感谢GW_Cheng大神的启发。 参考shiro官方文档将shiro和spring集成。spring的基本配置默认都懂,不说了。项目用maven管理,这个也不细说了,大不了启动的时候看报错缺什么文件写什么依赖吧- -哈哈。后面我会做一个完整项目放在github上。
SpringBoot整合Shiro实现权限管理
最新发布
2401_85112749的博客
06-24 961
分布式技术专题+面试解析+相关的手写和学习的笔记pdf还有更多Java笔记分享如下:取 消2、修改登录方法//创建Token分布式技术专题+面试解析+相关的手写和学习的笔记pdf还有更多Java笔记分享如下:[外链图片转存中…(img-947RFXDN-1719174128767)]
shiro权限认证与授权
weixin_34085658的博客
03-16 111
什么是shiroShiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。   为什么要用shiro? 既然可以基于url实现权限的管理,为什么还要用shiro呢?? 1.shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统...
Shiro实现访问权限控制
渣渣想逆袭
02-18 4241
用户权限管理一般是对用户页面、按钮的访问权限管理Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法,在权限管理系统中集成Shiro实现登录、url和页面按钮的访问控制。 一、引入依赖 使用SpringBoot集成Shiro时,在pom.xml中可以引入shiro-spring-bo...
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
详解spring整合shiro权限管理与数据库设计
08-30
Spring整合Shiro权限管理与数据库设计 本文主要介绍了Spring整合Shiro权限管理...本文介绍了Spring整合Shiro权限管理与数据库设计的相关知识点,并提供了一些基本的实现步骤和思路。希望这篇文章能够对读者有所帮助。
Shiro权限管理框架详解与实践
介绍Shiro权限管理框架 ## 1.1 什么是Shiro权限管理框架 Apache Shiro是一个强大易用的Java安全框架,提供了身份认证、授权、加密和会话管理等功能,可广泛应用于各种Java应用程序中。Shiro的设计目标是使安全...
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
shiro框架的三种权限控制方式
浩瀚星空
07-27 972
Shiro权限控制方式
Shiro 权限管理
心猿意码
06-24 4178
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
shiro实现基于角色的权限授权
XWJ
06-03 1万+
shiro除了登陆验证之外,还有一点就是对系统进行相应的权限操作,而基于角色的授权是目前最通用的做法,也是符合业务逻辑的。具体思路如下: 1.数据库设计好权限表,角色表(权限标识是自定义的,shiro会根据表格里面相应的权限对系统做出管理) 2.将权限表与角色表做外键关联(多对一),用户表与角色表做外键关联 3.在自定义的Realm里实现授权 4.在controller层的方法里加上对应权
springboot整合shiro实现基础的用户角色权限管理
m0_54852350的博客
04-08 917
文章目录 1. 用户角色权限需要解决的问题及shiro的解决方案 2. 过滤器 3. 登录并获取菜单权限 4. shiro授权 5. 总结 项目地址 1. 用户角色权限需要解决的问题及shiro的解决方案 灵活配置需要和不需要拦截的页面 shiro提供了过滤器可以灵活配置需要和不需要拦截的页面 实现用户认证 shiro整合了HttpSession(web应用)可以保存用户登录的信息。 根据当前认证用户加载不同的菜单权限 这个和shiro无关,直接展示用户具有的菜单权
基于shiro的权限设计
weixin_34179762的博客
10-24 780
shiro介绍 Apache shiro是一个权限控制框架,它将安全认证抽取出来,实现用户身份认证,权限授权,加密,会话管理等功能,是一个通用的安全认证框架,而且还可以用于分布式集群。功能如下 1.验证用户 2.对用户执行访问控制,如:判断用户是否具有角色admin,判断用户是否拥有访问的资源权限。 3.无论...
最简洁的权限(菜单)控制
weixin_30597269的博客
12-09 629
  生活中常见的管理系统中,都会有权限的控制,让不同类型的用户看到不同的菜单。其实,类似于uasyui这样的前端框架,是有提供成熟的解决方案的,但是不够灵活。在某一次的开发过程中,楼主终于忍受不了了,决定自己写。其逻辑并不复杂,直接上代码。 1.先看一下效果图,有父级菜单,有子级菜单。数据库需要5个表。user表,role表,menu表,role_menu表,user_role表 下面贴出最简...
Shiro权限管理框架:认证与授权详解
"Shiro权限管理框架详解" Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。本文将深入探讨Shiro框架在权限管理中的应用。 1. 权限...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值