Shiro授权管理,缓存使用,session管理,RememberMe的配置

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量568 收藏 1
点赞数
分类专栏: Shiro 文章标签: servlet java html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61107050/article/details/126986712
版权

授权管理

1.HTML授权

在菜单页面中只显示当前用户拥有权限操作的菜单

shiro标签

<!--guest判断用户是否是游客身份,是则显示此标签内容-->
<shiro:guest>
    游客:<a href="login.html">登录</a>
</shiro:guest>
<!--user判断用户是否是认证身份,是则显示-->
<shiro:user>
<!--principal获取当前登录用户名-->
    用户【<shiro:principal/>】欢迎您
<!--    hasRole获取用户角色-->
    当前用户为<shiro:hasRole name="admin">超级管理员</shiro:hasRole>
    订单管理
<!--    hasPermission当前用户有权限则显示-->
    <shiro:hasPermission name="sys:x:save"><a href="#">添加订单</a></shiro:hasPermission>
</shiro:user>

2.过滤器授权

在shiro过滤器中对请求的url进行权限设置

filterMap.put("/c_add.html","perms[sys:c:save]");
//设置未授权访问的页面路径,当权限不足时显示此页面
filter.setUnauthorizedUrl("/lesspermission.html");

3.注解授权

配置Spring对Shiro注解的支持

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor                         getAuthorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor = new         AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

在请求的控制器添加权限注解

    @RequiresPermissions("sys:k:find")
    @RequiresRoles("")

通过全局异常处理,指定权限不足时的页面跳转

@ControllerAdvice
public class GlobalExceptionHandler {
    @ExceptionHandler
    public String doException(Exception e){
        if (e instanceof AuthorizationException){
            return "lesspermission";
        }
        return null;
    }
}

缓存使用

使用shiro进行权限管理过程中,每次授权都会访问realm中的doGetAuthorizationInfo方法查询当前用户的角色及权限信息,如果系统的用户量比较大则会对数据库造成压力

shiro支持缓存以降低对数据库的访问压力(缓存的是授权信息)

1.导入依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-cache</artifactId>
        </dependency>
        <dependency>
            <groupId>net.sf.ehcache</groupId>
            <artifactId>ehcache</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.5.3</version>
        </dependency>

2.配置缓存策略

resoures目录下创建ehcache.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd"
         updateCheck="false">
    <!--
       diskStore:为缓存路径,ehcache分为内存和磁盘两级,此属性定义磁盘的缓存位置。参数解释如下:
       user.home – 用户主目录
       user.dir  – 用户当前工作目录
       java.io.tmpdir – 默认临时文件路径
     -->
    <diskStore path="java.io.tmpdir/Tmp_EhCache"/>
    <!--
       defaultCache:默认缓存策略,当ehcache找不到定义的缓存时,则使用这个缓存策略。只能定义一个。
     -->
    <!--
      name:缓存名称。
      maxElementsInMemory:缓存最大数目
      maxElementsOnDisk:硬盘最大缓存个数。
      eternal:对象是否永久有效,一但设置了,timeout将不起作用。
      overflowToDisk:是否保存到磁盘,当系统当机时
      timeToIdleSeconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。
      timeToLiveSeconds:设置对象在失效前允许存活时间(单位:秒)。最大时间介于创建时间和失效时间之间。仅当eternal=false对象不是永久有效时使用,默认是0.,也就是对象存活时间无穷大。
      diskPersistent:是否缓存虚拟机重启期数据 Whether the disk store persists between restarts of the Virtual Machine. The default value is false.
      diskSpoolBufferSizeMB:这个参数设置DiskStore(磁盘缓存)的缓存区大小。默认是30MB。每个Cache都应该有自己的一个缓冲区。
      diskExpiryThreadIntervalSeconds:磁盘失效线程运行时间间隔,默认是120秒。
      memoryStoreEvictionPolicy:当达到maxElementsInMemory限制时,Ehcache将会根据指定的策略去清理内存。默认策略是LRU(最近最少使用)。你可以设置为FIFO(先进先出)或是LFU(较少使用)。
      clearOnFlush:内存数量最大时是否清除。
      memoryStoreEvictionPolicy:可选策略有:LRU(最近最少使用,默认策略)、FIFO(先进先出)、LFU(最少访问次数)。
      FIFO,first in first out,这个是大家最熟的,先进先出。
      LFU, Less Frequently Used,就是上面例子中使用的策略,直白一点就是讲一直以来最少被使用的。如上面所讲,缓存的元素有一个hit属性,hit值最小的将会被清出缓存。
      LRU,Least Recently Used,最近最少使用的,缓存的元素有一个时间戳,当缓存容量满了,而又需要腾出地方来缓存新的元素的时候,那么现有缓存元素中时间戳离当前时间最远的元素将被清出缓存。
   -->
    <defaultCache
            name="defaultCache"
            eternal="false"
            maxElementsInMemory="10000"
            overflowToDisk="false"
            diskPersistent="false"
            timeToIdleSeconds="1800"
            timeToLiveSeconds="259200"
            memoryStoreEvictionPolicy="LRU"/>

    <cache
            name="users"
            eternal="false"
            maxElementsInMemory="5000"
            overflowToDisk="false"
            diskPersistent="false"
            timeToIdleSeconds="1800"
            timeToLiveSeconds="1800"
            memoryStoreEvictionPolicy="LRU"/>

</ehcache>

3.加入缓存管理

ShiroConfig.java

    @Bean
    public EhCacheManager getEhCacheManager(){
        EhCacheManager ehCacheManager = new EhCacheManager();
        ehCacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
        return ehCacheManager;
    }
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        securityManager.setCacheManager(getEhCacheManager());
        return securityManager;
    }

3.session管理

shiro进行认证和授权是基于session实现的,shiro包含了对session的管理
如果我们需要对session进行管理

  • 自定义session管理器
  • 将自定义session管理器设置给SecurityManager
    @Bean
    public DefaultWebSessionManager getDefaultWebSessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setGlobalSessionTimeout(5*60*1000);
        return sessionManager;
    }
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        securityManager.setCacheManager(getEhCacheManager());
        securityManager.setSessionManager(getDefaultWebSessionManager());
        return securityManager;
    }

4.RememberMe

将用户的访问权限分为三个级别

1.未认证 可访问的页面

2.记住我 可访问的页面

3.已认证 可访问的页面

1.在过滤器中设置“记住我”可访问的url

        /*设置shiro的拦截规则
        anon    匿名用户可访问
        authc   认证用户可访问
        user    使用RemeberMe的用户可访问
        perms   对应权限可访问
        logout  指定退出的url
        role    对应角色可访问
         */
        Map<String,String> filterMap=new HashMap<>();
        filterMap.put("/", "anon");
        filterMap.put("/login.html", "anon");
        filterMap.put("/regist.html", "anon");
        filterMap.put("/user/login", "anon");
        filterMap.put("user/regist", "anon");
        filterMap.put("/static/**", "anon");
        filterMap.put("/**", "authc");
        filterMap.put("/c_add.html", "perms[sys:c:save]");
        filterMap.put("/exit","logout");

2.在shiroConfig.java中配置基于cookie的rememberMe管理器

    @Bean
    public CookieRememberMeManager cookieRememberMeManager(){
        CookieRememberMeManager rememberMeManager = new CookieRememberMeManager();
        SimpleCookie cookie = new SimpleCookie("rememberMe");
        cookie.setMaxAge(30*24*60*60);
        rememberMeManager.setCookie(cookie);
        return rememberMeManager;
    }
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        securityManager.setCacheManager(getEhCacheManager());
        securityManager.setSessionManager(getDefaultWebSessionManager());
        securityManager.setRememberMeManager(cookieRememberMeManager());
        return securityManager;
    }

3.登录认证时设置token"记住我"

@Service
public class UserServiceImpl {

    public void checkLogin(String userName,String userPwd,Boolean rememberMe) throws Exception{
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(userName, userPwd);
        token.setRememberMe(rememberMe);
        subject.login(token);
    }
}

mymk01
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
【SpringBoot】23、SpringBoot中整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目中使用shiro,发现 shiro 的权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro 中,Subje
shiro教程(session和remember me)
慕北丶
04-30 641
文章目录sessionsession常用方法实现登录成功后保存登录信息到session中创建FormAuthenticationFilter的子类重写onLoginSuccess方法配置文件中配置(applicationContext-shiro.xml)测试![在这里插入图片描述](https://img-blog.csdnimg.cn/20190430194703314.png?x-oss-p...
Shiro 之rememberMe / session
Zllvincent的博客
09-24 7781
一、简介 ssm web 中记住用户信息可在下次用户访问时直接访问相关数据。web 中记住用户信息时使用Cookie 技术实现记住用户相关信息。 二、创建Maven Web 工程 本项目基于Shiro缓存 修改实现。 1.application.xml 修改为如下: <bean id="shiroFilter" class="org.apache.shiro.spring.web.Shi...
Shiro自定义加密、授权缓存session管理和退出
u014748504的博客
08-09 554
一、总结与计划 1.1 总结 SpringBoot整合Shiro完成权限管理 Shiro功能 认证 授权 SpringBoot项目部署 jar包 nohup java -jar *.jar layui使用 1.2 计划 shiro 加密(认证) 授权 过滤器 注解 java代码 ..
Shiro——通过EhCache缓存用户信息、权限信息和角色信息来提高系统性能
程序员阿皓的博客
05-07 190
Shiro——通过EhCache缓存用户信息、权限信息和角色信息来提高系统性能
Shiro框架:缓存session会话、自定义FormAuthenticationFilter、RemenberMe
张维鹏的博客
08-03 1515
上篇的地址:https://blog.csdn.net/a745233700/article/details/81350191   一、Shiro缓存--cacheManager: 针对上一篇授权的时候频繁查询数据库的问题,可以使用shiro缓存来解决。 1、缓存流程: (1)shiro中提供了对认证信息和授权信息的缓存shiro默认是关闭认证信息缓存的,对于授权信息的缓存shiro默...
【Spring】权限管理_Shiro缓存授权信息
hebaojing的博客
11-07 121
Shiro集成Redis
shiro整合redis,使用redis缓存session共享
ghx123456ghx的博客
07-16 697
shiro整合原理 shiro整合redis分2个部分,1 session管理使用redis管理 2 cache缓存管理使用redis管理。如下通过2种方式实现 二 springboot自带的 加入pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</a
Shiro采用shiro实现登录认证与权限授权管理
lgxzzz的博客
10-15 198
Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。 spring,springMVC,maven,shiro shiro配置,通过maven加入shiro相关jar包 1.shiro配置,通过maven加入shiro相关jar包 1 <!-- shiro --> 2 <depen...
Shiro总结一会话,缓存管理,RememberMe
weixin_34401479的博客
03-20 186
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro入门-缓存Session概念讲解 [文档]
小哇
03-23 350
什么是shiro缓存 shiro中提供了对认证信息和授权信息的缓存。 默认是关闭认证信息缓存的,对于授权信息的缓存shiro默认开启的(因为授权的数据量大) AuthenticatingRealm 及 AuthorizingRealm 分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓存。 讲解Shiro Session模块作用和Sessi...
简单的介绍,简单的配置,简单的扩展 shiro入门学习手册 共35页.pptx
01-08
3. **会话管理 (Session Management)**:Shiro 提供了一个跨平台的会话管理机制,使得即使在非 Web 环境下,比如桌面应用(CS程序),也能使用会话来跟踪用户状态。SessionManager 接口管理着所有用户的会话,并可...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
在本篇文章中,我们将详细介绍如何在 SpringBoot 项目中配置自定义密码加密器代码实例,使用 Shiro 框架来实现身份认证和授权管理Shiro 框架提供了一个灵活的安全管理系统,可以满足各种应用场景的需求。 Shiro ...
shiro权限管理(一)
08-08
同时,Shiro还提供了Remember Me功能,允许用户在下次访问时自动登录。 总之,Apache Shiro是一个全面的Java安全框架,适用于各种规模的项目。它不仅提供了核心的安全服务,还有丰富的扩展点,使得定制和扩展变得...
shiro管理端权限控制
12-15
4. **安全管理配置**:在应用的配置文件中(如 `shiro.ini` 或者 `Web.xml`),你可以定义 Realm 对象、Session 管理策略、缓存策略等,这些配置将影响 Shiro 的整体行为。 5. **动态权限控制**:Shiro 允许在运行...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话管理功能,适用于Java SE和Java EE环境,甚至能在分布式集群环境中运行。Shiro因其简单易用而受到青睐,相比于依赖Spring的Spring Security,...
golang 接口
m0_70982551的博客
07-24 895
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 478
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 591
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mymk01

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值