spring 整合shiro ,并实现动态url 配置

最新推荐文章于 2024-07-20 16:51:13 发布
最新推荐文章于 2024-07-20 16:51:13 发布
阅读量286 收藏
点赞数
分类专栏: java 文章标签: spring java 后端 缓存 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67391377/article/details/126505348
版权

shiro 与Spring 结合

  • 数据库实现,参考RBAC角色权限控制的实现

  • maven 导入相关包

        <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.3.2</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-web -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.3.2</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.3.2</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-ehcache -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-ehcache</artifactId>
        <version>1.3.2</version>
    </dependency>

  • web.xml 配置

    shiroFilter org.springframework.web.filter.DelegatingFilterProxy shiroFilter /*

  • spring_shiro.xml

    <bean id="myRealm" class="com.nzs.listener.MyShiroRealm"/>
<!-- 缓存管理 -->
<bean id="mycacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/>

<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm"/>
    <property name="cacheManager" ref="mycacheManager"></property>
</bean>

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>


<!-- Shiro过滤器 -->
<!--<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">-->
<bean id="shiroFilter" class="com.nzs.listener.ShiroPermissionFactory">

    <property name="manageUserService" ref="manageUserService"/>
    <!-- Shiro的核心安全接口,这个属性是必须的 -->
    <property name="securityManager" ref="securityManager"/>
    <!-- 身份认证失败,则跳转到登录页面的配置 -->
    <property name="loginUrl" value="/login.jsp"/>
    <!-- 登录成功跳转页面的配置 -->
    <property name="successUrl" value="/index"/>
    <!-- 权限认证失败,则跳转到指定页面 -->
    <property name="unauthorizedUrl" value="/norole.jsp"/>
    <!-- Shiro连接约束配置,即过滤链的定义 -->
    <property name="filterChainDefinitions">
        <value>
            /manageUser/login=anon
            <!--/** = authc-->
        </value>
    </property>
</bean>

  • 自定义的realm

    public class MyShiroRealm extends AuthorizingRealm {
    static IManageUserService manageUserService;
    public static final String SESSION_USER_KEY = “temp”;

    /**
 * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用,负责在应用程序中决定用户的访问控制的方法
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
//可自定义实现内容
    SecurityUtils.getSubject().getSession()
 .getAttribute(OneballShiroRealm.SESSION_USER_KEY);
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    return info;
}

/**
 * 认证回调函数,登录信息和用户验证信息验证
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
        AuthenticationToken authcToken) throws AuthenticationException {
    //判断 manageUserService 是否为空
    if (manageUserService == null) {
        manageUserService = (ManageUserService) ApplicationContextUtil.getBean("manageUserService");
    }
    UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
    String userName = token.getUsername();
    String passWord = String.valueOf(token.getPassword());
    ManageUser manageUser = manageUserService.login(userName, passWord);

    if (manageUser == null) {
        return null; // 异常处理,找不到数据
    }

    Subject subject =  SecurityUtils.getSubject();

    //shiro session
    Session session = SecurityUtils.getSubject().getSession();
    session.setTimeout(60 * 60 * 3 * 1000);
    session.setAttribute(OneballShiroRealm.SESSION_USER_KEY, manageUser);

    //当前 Realm 的 name
    String realmName = this.getName();
    //登陆的主要信息: 可以是一个实体类的对象, 但该实体类的对象一定是根据 token 的 username 查询得到的.
    Object principal = authcToken.getPrincipal();
    return new SimpleAuthenticationInfo(principal, passWord, realmName);
}


public IManageUserService getManageUserService() {
    return manageUserService;
}

public void setManageUserService(IManageUserService manageUserService) {
    this.manageUserService = manageUserService;
}

    }

  • 继承ShiroFilterFactoryBean,实现从数据库动态加载权限信息

    public class ShiroPermissionFactory extends ShiroFilterFactoryBean {

    private ManageUserService manageUserService;


/**记录配置中的过滤链*/
public static String definition="";


/**
 * 初始化设置过滤链
 */
@Override
public void setFilterChainDefinitions(String definitions) {

    // String token = manageUserService.getAdminToken(0);

        //可从数据库读取后,添加至过滤链,参考此处已注释的代码
    definition = definitions;//记录配置的静态过滤链

    // List permissions = permissService.findAll();
    Map<String, String> otherChains = new HashMap<String,String>();
    // permissions.forEach(permiss->{
    // //perms.add(e)
    otherChains.put(“/discover/newstag”, “authc,roles[user,admin]”);
    // });
    //加载配置默认的过滤链
    Ini ini = new Ini();
    ini.load(definitions);
    Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);
    if (CollectionUtils.isEmpty(section)) {
    section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
    }
    //加上数据库中过滤链
    section.putAll(otherChains);
    setFilterChainDefinitionMap(section);

    }

public ManageUserService getManageUserService() {
    return manageUserService;
}

public void setManageUserService(ManageUserService manageUserService) {
    this.manageUserService = manageUserService;
}

    }

  • FilterChainDefinitionsService实现,无需部署,重新加载权限

    @Service
    public class FilterChainDefinitionsService implements IFilterChainDefinitionsService {
    @Autowired
    private ShiroPermissionFactory permissFactory;

    @Override
public void reloadFilterChains() {
    synchronized (permissFactory) {   //强制同步,控制线程安全
        AbstractShiroFilter shiroFilter = null;

        try {
            shiroFilter = (AbstractShiroFilter) permissFactory.getObject();

            PathMatchingFilterChainResolver resolver = (PathMatchingFilterChainResolver) shiroFilter
                    .getFilterChainResolver();
            // 过滤管理器
            DefaultFilterChainManager manager = (DefaultFilterChainManager) resolver.getFilterChainManager();
            // 清除权限配置
            manager.getFilterChains().clear();
            permissFactory.getFilterChainDefinitionMap().clear();
            // 重新设置权限
            permissFactory.setFilterChainDefinitions(ShiroPermissionFactory.definition);//传入配置中的filterchains

            Map<String, String> chains = permissFactory.getFilterChainDefinitionMap();
            //重新生成过滤链
            if (!CollectionUtils.isEmpty(chains)) {
                chains.forEach((url, definitionChains) -> {
                    manager.createChain(url, definitionChains.trim().replace(" ", ""));
                });
            }
            // manager.addToChain("/discover/banner", "perms", "sssss");


        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

    }

  • 登录验证的实现

    //示例代码,未实现加密验证
    private String loginUser(ManageUser user) {
    // if (isRelogin(user)) {
    // // 如果已经登陆,无需重新登录
    // return “success”;
    // }
    return shiroLogin(user); // 调用shiro的登陆验证
    }

    private String shiroLogin(ManageUser user) {
    UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword().toCharArray(), null);

    // token.setRememberMe(true);
    // shiro登陆验证
    try {
    // System.out.println(SecurityUtils.getSubject());
    SecurityUtils.getSubject().login(token);
    } catch (UnknownAccountException ex) {
    return “用户不存在或者密码错误!”;
    } catch (IncorrectCredentialsException ex) {
    return “用户不存在或者密码错误!”;
    }catch (ExcessiveAttemptsException ex) {
    return “账号或密码错误次数过多,请稍后重试!”;
    } catch (AuthenticationException ex) {
    return ex.getMessage(); // 自定义报错信息
    } catch (Exception ex) {
    ex.printStackTrace();
    return “内部错误,请重试!”;
    }
    return “success”;
    }

    private boolean isRelogin(ManageUser user) {
    Subject us = SecurityUtils.getSubject();
    if (us.isAuthenticated()) {
        return true; // 参数未改变,无需重新登录,默认为已经登录成功
    }
    return false; // 需要重新登陆
}
嗯嗯嗯吧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
shiro配置详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
08-24 2779
*Shiro 从 ****Realm 获取安全数据(如用户、角色、权限),****就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作.5.添加shirospring集成的配置文件application-shiro.xml。4.首先在web.xml中加入shiro过滤器。2.shiro架构的核心内容介绍。且其管理着所有Subject。7.自定义realm。
Shiro 入门教程 - Shiro 动态 URL
最新发布
smart_an的专栏
07-20 572
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Boot使用JDBC连接,注入jdbc属性
yanweijie0317的专栏
02-02 774
这篇文章来说一下,如果使用jdbc,如何注入jdbc连接的一些属性呢? 1. 是配置文件中定义jdbc连接的属性 dataSource.driverClassName=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/mysql?characterEncoding=utf-8&serverTimezone=GMT%2B8 dataSource.username=username dataSource.pas
SpringCloudGateway实现数字签名与URL动态加密
Zhangsama1的博客
10-03 9422
再上面我们了解了RSA对称加密,那么当我们进行数据交换的时候,如下:假设有AB两个人,假设前面他们已经交换完毕了公钥。那么此时当A使用B的公钥加密原始数据然后发送数据给B的时候,它可以再数据的后面再携带上一个原始数据hash计算之后得到的hash值,然后用自己的私钥进行加密。
Shiro整合JWT – 通过URL控制权限
果酱 の 博客
07-28 1630
权限控制是保护Web应用中敏感资源的关键。Shiro是一个功能强大且易于使用的Java安全框架,提供了身份验证、授权、加密和会话管理等功能。而JWT是一种轻量级的身份验证和授权机制,通过使用JSON格式的令牌来传递安全凭据。
Spring 整合Shiro 并扩展使用EL表达式的实例详解
08-27
本文将详细介绍 Spring 整合 Shiro 框架,并通过扩展使用 Spring 的 EL 表达式来实现权限控制。Shiro 是一个轻量级的权限控制框架,应用非常广泛。下面是 Spring 整合 Shiro 的实例详解。 一、Shiro 框架简介 ...
spring boot整合Shiro实现单点登录的示例代码
08-28
实现 Spring Boot 整合 Shiro 实现单点登录,需要加入以下配置: 1. 加入shiro-cas包 首先,我们需要加入shiro-cas包,以便实现单点登录。 ```xml <groupId>org.apache.shiro <artifactId>shiro-cas ...
springboot整合shiro实现动态菜单
06-14
首先,要实现"springboot整合shiro实现动态菜单",我们需要理解这两个框架的核心概念: 1. **Spring Boot**: Spring Boot的核心特性包括自动配置、起步依赖、内嵌HTTP服务器(如Tomcat)以及健康检查等。它使得我们...
spring shiro整合
11-10
Spring应用中整合Shiro,可以利用Spring的依赖注入特性,将Shiro的相关组件如SecurityManager、Realm等注入到Spring容器中,方便管理和配置。 1. **认证**:Shiro提供了Subject接口,它是用户与系统交互的接口,...
权限管理系统之集成Shiro实现登录、url和页面按钮的访问控制
weixin_30314793的博客
03-02 507
用户权限管理一般是对用户页面、按钮的访问权限管理。Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法,在权限管理系统中集成Shiro实现登录、url和页面按钮的访问控制。 一、引入依赖 使用SpringBoot集成Shiro时,在pom.xml中可以引入shiro-spring-bo...
Shiro 控制url访问
码农的世界
02-07 1209
之前的项目用shiro实现了菜单和按钮的隐藏显示功能,但是如果懂点技术的,直接模拟你的url访问,还会直接跳到相应页面。 为了杜绝以上问题,shiro里可以在Controller的方法上加入注解来控制url访问,例如springmvc加上以下注解: 但是这个注解只是拦截验证是否有访问当前url的权限,如果无访问权限,直接抛出org.apache.shiro.authz.Unau...
shiro动态控制url资源
weixin_30278311的博客
04-09 235
怎么利用shiro权限动态控制每个url资源呢?主要包括jsp(html)页面、action的url访问,而静态资源和登录资源则可直接访问。 所谓动态控制url就是url的权限控制不是手动写死在配置文件中,而是根据数据库的变化而变化。 表结构: user2:用户表 t_role:角色表 t_user_role:用户角色表 t_privilege:权限资源表 t_r...
spring实现定制化网关,动态修改url
大道坦荡的博客
05-27 1861
文章目录前言源码分析找到入口代码实践总结 前言 在项目中,我们常常使用api网关来统一对接前端的请求,在api网关中,通过Rpc调用后端服务,理论上每一个rpc服务都要有一个固定url与之匹配,按照正常的开发流程, @RequestMapping("/test.do") @ResponseBody public String test(){ return xxService.xxx(); } 我们会写出如上的代码,每次都是固定的代码格式,url一开始就
Spring Security 动态url权限控制
程序员小明1024
12-19 2530
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一)blog....
Springboot+Shiro 基于URL 动态控制权限
热门推荐
Joe_elena的博客
08-13 1万+
前言:    权限控制有 注解的方式,jsp shiro标签的方式,还有url 动态控制的方式。这里我使用最后一种方式来控制权限 思路: 0.利用  PathMatchingFilter 拦截器 1.根据用户名 来查询角色, 2.根据角色查询权限 3.获取请求的url  4判断 根据用户名查询的权限 是否包括 请求的url 5.如果包括 则 放行,不包括重定向到 未授权界面 p...
shirospring整合shiroFilter配置参数loginUrl及unauthorizedUrl含义小记
TYOUKAI_的博客
03-15 7308
&nbsp;&nbsp;&nbsp;&nbsp; shirospring整合的时候一般会使用shiro的Filter来代理网站的Filter。网上有很多关于配置shiroFilter的例子,但是感觉都没有给出参数的具体含义。在此小小的记录一下。 shiroFilter的xml配置如下: &lt;!-- Shiro Filter --&gt; &lt;bean id="sh...
Spring整合Shiro权限管理与数据库设计方案
"本文将深入探讨如何整合Spring与Apache Shiro进行权限管理,并涉及相关的数据库设计。通过这个过程,我们将实现细粒度的权限控制,不仅覆盖到菜单,还涵盖到页面上的具体功能按钮,确保从前端展示到后端逻辑都能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值