进阶SpringBoot之 Shiro(5)请求授权实现

已于 2024-09-03 16:15:47 修改
阅读量123 收藏
点赞数 1
文章标签: spring boot 后端 java
于 2024-09-03 16:14:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58838332/article/details/141860071
版权

授权:正常情况下,没有授权会跳转到未授权的页面

filterMap.put("/user/add","perms[user:add]");

setUnauthorizedUrl 未授权页面

package com.demo.shirospringboot.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    //第三步:ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

        /*添加Shiro的内置过滤器
            anon:无需认证就能访问
            authc:认证才能访问
            user:拥有“记住我”功能才能使用
            perms:拥有对某个资源的权限才能访问
            role:拥有某个角色权限才能访问
         */
        //拦截
        Map<String,String> filterMap = new LinkedHashMap<>();

        //授权
        filterMap.put("/user/add","perms[user:add]");

        filterMap.put("/user/*","authc");
        bean.setFilterChainDefinitionMap(filterMap);

        //设置登录的请求
        bean.setLoginUrl("/toLogin");

        //未授权页面
        bean.setUnauthorizedUrl("/noauth");

        return bean;
    }

    //第二步:DefaultWebSecurityManager
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //第一步:创建realm对象,需自定义类
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
}

Controller 类添加未授权地址

    @RequestMapping("/noauth")
    @ResponseBody
    public String unauthorized(){
        return "未经授权无法访问此页面";
    }

user 表添加一列 perms

alter table mybatis.user add perms varchar(100) null;

表字段权限设置 user:add

User 实体类

package com.demo.shirospringboot.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private int id;
    private String name;
    private String pwd;
    private String perms;
}

UserRealm 类

授权 new 一个 SimpleAuthorizationInfo

SecurityUtils.getSubject() 拿到当前登录的对象

再拿到 User 对象(认证的 principal 设置成 user)

addStringPermission 设置当前用户权限,最后返回

package com.demo.shirospringboot.config;

import com.demo.shirospringboot.pojo.User;
import com.demo.shirospringboot.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

//自定义UserRealm
public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权");

        //SimpleAuthorizationInfo
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //info.addStringPermission("user:add");

        //拿到当前登录的对象
        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User) subject.getPrincipal(); //拿到User对象

        //设置当前用户的权限
        info.addStringPermission(currentUser.getPerms());

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证");

        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;

        //连接数据库
        User user = userService.queryUserByName(userToken.getUsername());

        if(user == null){
            return null; //UnknownAccountException
        }

        //密码认证
        return new SimpleAuthenticationInfo(user,user.getPwd(),"");
    }
}
m0_58838332
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot整合shiro_springboot shiro,程序人生
m0_60567881的博客
04-18 468
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
SpringBoot 集成 Shiro 实现后端分离
进阶的球儿
09-27 4899
近期,工作需求也是涉及到 Shiro 权限的问题,而且目前项目是前后端分离的,所以要求做到实现后端分离。作为一个攻城狮,自然不能推辞。 鉴于之前未接触过 SpringBoot 中 用 ShIro授权和认证,然后去各大网站上搜了一番,果然,还和以前一样,千篇一律,Copy的居多,而且即使 GitHub 上有 demo 的,下载之后也是跑步不起来,无计可施。 ...
进阶SpringBootShiro(3)实现登录拦截和用户认证
m0_58838332的博客
08-31 257
捕获异常,判断用户名和密码是否存在,成功则进入首页,错误则返回登录页。Realm 类继承 AuthorizingRealm,重写认证方法。设置了 authc 未认证无法访问(拦截),需跳转到登录页。Config 配置类添加 Shiro 的内置过滤器。设置用户数据,完善 Controller 类。perms:拥有对某个资源的权限才能访问。user:拥有“记住我”功能才能使用。Controller 类实现用户认证。role:拥有某个角色权限才能访问。anon:无需认证就能访问。authc:认证才能访问。
进阶SpringBootShiro(4)整合 Mybatis
m0_58838332的博客
09-02 489
resources 目录下新建 mapper 包,创建 UserMapper.xml 配置文件。测试类,自动装配 UserServiceImpl,调用 queryUserByName 方法。自动装配 UserService,连接数据库,对用户名和密码做简单判断。UserServiceImpl 类实现 UserService 接口。service 包下创建 UserService 接口。config 包下自定义 UserRealm 配置类。mapper 包下创建 UserMapper 接口。
SpringBoot 整合 Shiro 权限框架
qq_54429571的博客
11-23 1332
SpringBoot 整合 Shiro 权限框架:Shiro概述、功能及架构、环境搭建登录、退出、授权、角色认证实现、多个 realm 的认证策略设置、会话管理等。
SpringBoot+shiro+mybatis实现权限登录
2401_83703893的博客
04-03 758
我们需要自定义,认证和授权:@Autowired/**@MethodName doGetAuthorizationInfo 授权操作@Description 权限配置类*/@Override// 获取用户名信息// 创建一个简单授权验证信息// 给这个用户设置从 role 表获取到的角色信息//给这个用户设置从 permission 表获取的权限信息/**@MethodName doGetAuthenticationInfo 身份验证。
基于springboot,采用mybatis和mapper3插件,基于shiro的sso cookies单机实现+源代码+文档说
11-28
10. 基于 shiro 改造的 sso 单机实现,登录生成 token 存储在用户 cookies 中,请求解析 cookies,以解析成功作为标识。 11. 交互上使用 layui,使用第三方功能。 12. 热刷新实体 mapper.xml文件 MapperRefresh.java...
springboot shiro后端分离以及数据库内容
04-22
对于前后端分离的项目,Spring BootShiro可以实现授权和认证方案是:前端在发送请求时需要携带Token信息,该Token信息需要通过登录接口获取。后端在接受到请求后,通过Shiro进行Token的认证和鉴权,从而保证请求...
Spring Boot中处理JSON日期格式
fengyanglian的博客
08-30 794
Spring Boot中处理JSON日期格式
使用Spring Boot拦截器实现时间戳校验以防止接口被恶意刷
程序员二胖
09-03 631
通过Spring Boot的拦截器,我们可以非常方便地在所有请求之前进行时间戳校验。这种通用的解决方案不仅提高了系统的安全性,而且易于维护和扩展。您可以根据实际需求对校验算法进行调整和优化,确保接口的安全性。希望本文能对你在防止接口被恶意刷请求方面提供一些有用的思路和参考!
Spring Boot项目中使用MySQL数据库
qq_62512874的博客
08-30 1877
通过本文,你已经了解了如何在 Spring Boot 项目中集成 MySQL 数据库,并通过简单的 API 来管理用户数据。Spring Boot 的简洁性和 MySQL 的强大功能结合,使得开发高效且愉快。
Spring Boot 3.3新特性解析:CDS支持与Base64配置
最新发布
weixin_40381772的博客
09-03 515
Spring Boot 3.3.0 已经发布,其中包含对 CDS支持与Base64配置。 CDS(Class Data Sharing)是一项JVM功能,允许在多个JVM实例之间共享类元数据,从而减少应用程序的启动时间和内存占用。Spring Boot 3.3提供了对CDS的支持,使得开发者可以更容易地创建与CDS兼容的应用布局。
使用Spring Boot集成Redis缓存
qq_62512874的博客
09-03 1404
通过本文,您已经了解了如何在Spring Boot中集成Redis并进行基本的缓存操作。Redis缓存不仅可以提升应用的性能,还能减少对数据库的压力,是一个非常实用的工具。在实际项目中,根据业务需求合理配置和使用Redis,将会为您带来显著的性能提升。
Spring Boot 入门
ksn5461378的博客
08-30 2137
Spring Boot通过使用特定的配置方式,使得开发人员不再需要定义样板化的配置,从而在快速应用开发领域成为领导者。它的设计目的是为了消除大量的配置工作,通过自动配置来简化项目的创建和运行过程,使得开发者能够更快速地构建和部署基于Spring的应用。Spring Boot遵循“约定优于配置”的原则,集成了绝大部分流行的开发框架,就像Maven集成了所有的JAR包一样,Spring Boot集成了几乎所有的框架,从而使得开发者能快速搭建Spring项目。
Spring Boot 启动时循环依赖的详细排查和解决步骤
qq_42631788的博客
08-30 1197
使用 IDE 工具:可以使用Spring工具窗口来查看 Bean 的依赖关系。Eclipse:可以使用插件来查看 Bean 依赖图。手动检查查看所有@Component@Service和注解的类,检查它们的依赖关系。分析和排查:查看日志、使用 IDE 工具、检查 Bean 定义和依赖注入方式。解决策略:使用@Lazy注解、改用 Setter 注入、重构 Bean 设计、在类中定义 Bean。通过这些步骤,你可以有效地解决 Spring Boot 应用中的循环依赖问题,确保应用能够顺利启动。
深入解析 Spring Boot 中 MyBatis 自动配置的流程
weixin_54574094的博客
08-30 2648
标记当前类为配置类,相当于。:启用自动配置机制。:自动扫描并加载指定包及其子包中的组件。这些注解共同作用,启动并配置 Spring Boot 应用。Spring Boot 启动注解启动了整个 Spring Boot 应用,触发机制。读取配置类从文件中读取 MyBatis 的自动配置类,并将其注入 Spring 容器。自动配置 MyBatis根据项目中的配置和依赖,自动配置 MyBatis 的核心组件。配置数据源:通过引入。
Spring Boot集成Spring Cloud Scheduler进行任务调度
技术研究中心
08-31 1449
任务调度是后端服务中常见的需求,用于执行定时任务或周期性的工作。Spring Cloud Scheduler提供了对Spring Boot应用的任务调度支持,允许开发者以声明式的方式配置和执行任务。Spring Cloud Scheduler为Spring Boot应用提供了强大的任务调度功能。首先,在Spring Boot项目中添加Spring Cloud Scheduler的依赖。注解,提供了更灵活的任务调度功能,并且支持多种调度源,如数据库、分布式配置中心等。注解来配置任务的执行计划。
初学者指南:Spring Boot入门
apple_64847327的博客
08-26 1843
在当今快速发展的软件开发领域,Spring Boot已经成为了构建现代Java应用程序的首选框架之一。它以其简洁、易用和强大的特性,帮助开发者快速搭建起基于Spring的应用程序。如果你是Java开发新手,或者正在寻找一种更高效的开发方式,那么Spring Boot无疑是一个值得学习的技术。Spring Boot是一个开源的Java框架,由Pivotal团队(现为VMware的一部分)开发。它基于Spring框架,旨在简化Spring应用程序的初始搭建和开发过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值