SSM整合shiro安全框架

最新推荐文章于 2024-09-10 06:28:39 发布
最新推荐文章于 2024-09-10 06:28:39 发布
阅读量132 收藏 2
点赞数 6
文章标签: 安全架构 java mybatis spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64693079/article/details/138719695
版权

前提:你已经创建了一个基于ssm的web项目,并配置好了相关文件,项目能正常运行。

1.引入核心依赖

<!--shiro的依赖-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>

2.在spring.xml配置文件新增以下配置

 <!--SecurityManager-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myRealm"></property>
    </bean>

    <!--创建realm对象-->
    <bean id="myRealm" class="com.zjh.realm.MyRealm">
        <!--设置密码加密器-->
        <property name="credentialsMatcher" ref="credentialsMatcher"/>
    </bean>

    <!--密码加密器对象-->
    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <property name="hashAlgorithmName" value="MD5"/>
        <property name="hashIterations" value="5"/>
    </bean>


    <!--shiro代理过滤器 id的值必须和web.xml中过滤器的名称一致-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!--未登录时跳转的路径-->
        <property name="loginUrl" value="/unLogin"/>
        <!--配置拦截规则-->
        <property name="filterChainDefinitions">
            <!--路径资源=anon  authc-->
            <value>
                /login=anon
                /login.jsp=anon
                /**=authc
            </value>
        </property>
    </bean>

3.在web.xml文件中新增以下配置

<!--shiro的过滤器 filter-name必须和shiroFilterFactoryBean的id值一样-->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

注意:在配置的DispatcherServlet中一定要修改为tomcat启动时加载该类,否则,项目每次重新启动没有错误,但是重新部署会报错。

3.编写realm类

public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;

    @Autowired
    private PermissionService permissionService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //这里根据你自己查询的实体类可以进行修改
        User user = (User) principals.getPrimaryPrincipal();
        //根据id查询该用户具有的权限
        List<Permission> permissions = permissionService.selectByUserId(user.getUserid());
        if (permissions.size() > 0) {
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            List<String> list = permissions.stream().map(item -> item.getPercode()).collect(Collectors.toList());
            info.addStringPermissions(list);
            return info;
        }
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取输入账号的名称
        Object username = token.getPrincipal();
        //调用UserService中根据名称查询用户信息
        User user = userService.selectByName(username);
        //判断user是否为null
        if (user != null) {
            ByteSource salt = ByteSource.Util.bytes(user.getSalt());
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getUserpwd(), salt, this.getName());
            return info;
        }
        return null;
    }
}

4.后端使用权限限制注解

@GetMapping("list")
//@RequiresPermissions(value = {"user:query", "user:delete"}, logical = Logical.OR) 
//value的值为,该方法想要实现的权限
@RequiresPermissions(value = "user:query")
public String list() {
    return "user: list";
}

要想让该注解生效,还需要在spring配置文件中加入

<!-- 启动Shrio的注解 shiro加在controller应该属于springmvc的配置 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

5.加一个全局异常类,用来处理权限不足时的异常。

@RestControllerAdvice
public class MyGlobalException {
    @ExceptionHandler(value = UnauthorizedException.class)
    public Res exception01(UnauthorizedException e) {
        return new Res(401, "权限不足", null);
    }
}

6.未登录访问其他资源

第一种: 未登录跳转到controller接口

@RestController
public class LonginController {

    @PostMapping("/login")
    public Res login(String username, String userpwd) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, userpwd);
        try {
            subject.login(token);
            return new Res(200, "登录成功", null);
        } catch (Exception e) {
            return new Res(500, "登录失败", null);
        }
    }

    @GetMapping("/unLogin")
    public Res unLogin() {
        return new Res(402, "未登录", null);
    }
}

第二种: 自定义登录过滤器

public class LoginVerifyFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        response.setContentType("json/application;charset=utf-8");
        PrintWriter writer = response.getWriter();

        Res res = new Res(402, "未登录2", null);
        String s = JSON.toJSONString(res);
        writer.println(s);

        writer.flush();
        writer.close();

        return false;
    }
}
丶君莫笑丶
关注
SSM和安全框架Shiro
m0_46674387的博客
12-01 387
Spring框架 1.什么是spring框架spring是一个开放源代码的设计层面框架,它解决的是业务逻辑层和其他各层的松耦合问题,是一个分层的javaEE一站式轻量级开 源框架 2.spring的作用 方便解耦,简化开发,AOP编程支持,声明式事务支持,集成Junit更加方便的进行分层测试,方便集成各种优秀框架 3.什么是IOC? 控制反转,把创建对象的权利交给spring 4.什么是DI 属性的依赖注入,spring在通过IOC创建对象的时候,如果对象还有属性,就一并给赋值进去DI是在I
SSM集成Shiro安全框架(三)
qq_36090190的博客
10-23 260
七、实现or关系的角色过滤 1.RoleOrFilterAuthorizationFilter.java package com.yan.shiro.common; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import org.apache.shiro.subject.Subje...
ssm整合shiro
08-15
ssm整合shiro的项目代码,shiro相关配置说明请参考博客------->https://blog.csdn.net/qq_35776126/article/details/81671088
SSM-整合Shiro
战无道的博客
10-05 135
一、 密码加密-Hash散列算法 基础的比较流程 1.1 MD5加密 md5只执行了加密,没有解密的方法。 网上很多说的md5解密其实就是把常见的字符串解密结果存起来,去进行一个一个的比对,并没有能真正的把md5解密的方法 盐值加密 原来的字符串再加一个字符串,把密码的复杂程度再次提高 迭代次数 按照md5的算法再算一次,默认就是1次,迭代一次就是2,迭代两次就是3 1.2 改自定义realm 这段代码应该是注册时使用,对密码进行加密 把数据库储存的盐值转换为credenti
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
SSM+Shiro安全框架代码
07-06
10. **实战演练**:通过实际运行提供的代码,可以模拟用户登录、权限控制、会话管理等操作,加深对SSM+Shiro框架的理解。 这个"shiro-ssm"项目为开发者提供了一个实践平台,通过深入学习和调试这些代码,可以帮助你...
SSM整合shiro实现角色权限
03-31
SSM整合Shiro实现角色权限是一项常见的Web应用安全实践,主要目的是为了实现用户登录认证、权限控制以及会话管理等功能。SSM框架是由SpringSpring MVC和MyBatis三个组件组成的,而Apache Shiro则是一个强大且易用...
ssm+maven+shiro完美整合可跑
11-06
很完整可跑,权限管理齐全,自己简单的表就可用。不用修改
SSM整合Shiro-登录案例.zip
09-04
SSM整合Shiro登录案例是一个基于SpringSpringMVC和MyBatisJava Web项目,其中集成了Apache Shiro安全框架来实现用户的身份认证和授权功能。在这个案例中,我们将探讨如何将这三个主流的Java Web开发框架有效地...
Maven工程 SSM 整合Shiro
04-14
**SSM整合Shiro** 1. **SpringShiro整合**:在Spring中配置Shiro,通常需要创建一个DelegatingSecurity Lifecycle Bean,它允许ShiroSpring启动时初始化。此外,还需要配置Realm,如自定义的UserRealm,该Realm...
SSM集成Shiro
Janet的博客
04-18 448
一、Shiro概述 二、Shiro核心概念 三、Shiro认证 1.什么是认证 2.使用ini完成认证 1)创建工程 2)在maven中添加依赖jar包(不知道放在哪的话上篇文有讲哦) <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-...
SSM整合shiro
BUG专业户
08-05 1581
SSM整合shiro安全框架
SSM整合Shiro
qq_38975806的博客
06-06 278
[main] myRealm = CustomRealm securityManager.realms = $myRealm #定义凭证匹配器 credentialsMatcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher #散列算法 credentialsMatcher.hashAlgorithmName = md5 #散列次数 credentialsMatcher.hashIterations = 1 myRealm.cr
系统架构师考试学习笔记第四篇——架构设计实践知识(21)安全架构设计理论与实践
最新发布
weixin_38812575的博客
09-10 955
第21课时主要学习信息系统中安全架构设计的理论和工作中的实践。根据考试大纲,本课时知识点会涉及案例分析题和论文题(各占25分),而在历年考试中,综合知识选择题目中也有过诸多考查。本课时内容侧重于知识点记忆;,按照以往的出题规律,安全架构设计基础知识点主要来源于教材,但随着形势和技术的发展,也可能会联系最新时事考查新颁布的安全标准。本课时知识架构如图21.1所示。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丶君莫笑丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值