使用shiro拦截器链实现权限管理

最新推荐文章于 2024-04-27 09:13:51 发布
最新推荐文章于 2024-04-27 09:13:51 发布
阅读量689 收藏 3
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392811/article/details/124467587
版权

在开篇之前,先介绍一下shiro,那么

什么是shiro呢?

Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。

Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API:
认证 - 用户身份识别,常被称为用户“登录”;
授权 - 访问控制;
密码加密 - 保护或隐藏数据防止被偷窥;
会话管理 -每用户相关的时间敏感的状态。

Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在强化了上面提到的四个要素

由上面介绍可知,shiro可以实现认证及授权,这也是本篇的重点,使用shiro实现认证和授权。

使用shiro实现权限管理

首先看一下我的项目结构:
这里写图片描述
图 1.项目结构

项目代码地址:GitHub地址

我们跳过无关紧要的内容,直接讲最关建的shiro部分。

shiro

我们先看一下项目中和shiro有关的文件,java文件三个,分别是:MyRealm.javaShiroConfig.javaShiroManager.java
spring-mvc.xml文件中,我们对shiro的bean注解开启了配置

<context:component-scan base-package="shiro"/>

web.xml文件中,我们配置了shiro的过滤器

<!-- shiro过滤器定义 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/a/*</url-pattern>
  </filter-mapping>

由此,我们开始整理shiro的实现脉路。

shiro拦截器链的实现原理

首先我们的请求通过web.xml的时候被shiro的拦截器过滤了一波,也就是

<!-- shiro过滤器定义 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/a/*</url-pattern>
  </filter-mapping>

在起效,这里看一看到所有的/a开头的url都需要经过shiro的过滤器。
spring-mvc.xml中的注解开启配置就不说了,主要是shiro的java代码中涉及了比较多的注解配置,所以这条配置是必须的

<context:component-scan base-package="shiro"/>

接下来,我们看shiro的主体部分,也是本篇的重点
首先是MyRealm.java

package shiro;

import model.Role;
import model.User;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.AllowAllCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import service.RoleService;
import service.UserService;
import util.SplitUtil;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

/**
 * Created by yubotao on 2017/12/03.
 */
@SuppressWarnings("ALL")
@Component
public class MyRealm extends AuthorizingRealm{
    private static final Log log = LogFactory.getLog(MyRealm.class);
    public MyRealm(){
        super(new AllowAllCredentialsMatcher());
        setAuthenticationTokenClass(UsernamePasswordToken.class);
        //FIXME:暂时禁用Cache
        setCachingEnabled(false);
    }

    @Autowired
    UserService userService;
    @Autowired
    RoleService roleService;

    //验证时调用
    //此方法调用subject.hasRole("admin")或subject.isPermitted("admin");
    //自己去调用这个是否有什么角色或有什么权限
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
        User user = (User) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        User user1 = null;

        /*新建角色与权限的set*/
        Set<String> shiroPermissions = new HashSet<>();
        Set<String> roleSet = new HashSet<>();
        try{
            /*1.通过userName获取userId*/
            user1 = userService.getUserByName(user.getName());
            if(user1 != null){
                Role role = roleService.getRoleById(user.getRole());
                log.info("role permission : " + role.getPermission());
                SplitUtil splitUtil = new SplitUtil();
                List<Integer> permissionList = splitUtil.stringToIntegerList(role.getPermission());
                log.info("permisson list : " + permissionList);
                for (int i = 0; i < permissionList.size(); i++){
                    shiroPermissions.add(permissionList.get(i).toString());
                }
                authorizationInfo.setStringPermissions(shiroPermissions);
                log.info("shiroPermissions : " + shiroPermissions);
                return authorizationInfo;
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return null;
    }

    //登陆时调用
    //调用Subject currentUser = SecurityUtils.getSubject();
    //    currentUser.login(token);
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token){
        String username = (String) token.getPrincipal();
        log.info("username : " + username);
        User user = null;
        String password = null;

        try{
            /*通过username获取User*/
            user = userService.getUserByName(username);
            log.info("user : " + user);
            password = new String((char[]) token.getCredentials());
            log.info("password : " + password);
            //账号不存在
            if(user == null){
                throw new UnknownAccountException("账号不正确");
            }
            //密码错误
            //简单起见,没有加密,应该加上
            if(!password.equals(user.getPassword())){
                throw new UnknownAccountException("密码错误");
            }
        }catch (Exception e){
            throw new AuthenticationException();
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,password,getName());

        return info;
    }

}

在讲解该部分代码前,我们首先介绍一下Realm这个shiro的组件。

Realm

此部分内容参考该blog:Realm的介绍

Realm 是一个能够访问应用程序特定的安全数据(如用户、角色及权限)的组件。

Realm 通常和数据源是一对一的对应关系,如关系数据库,LDAP 目录,文件系统,或其他类似资源。Realm
实质上就是一个特定安全的DAO。

因为这些数据源大多通常存储身份验证数据(如密码的凭证)以及授权数据(如角色或权限),每个Realm能够执行身份验证和授权操作。

由这篇blog我们可以整理出如下信息:
1.shiro的认证最后是交给Realm的,调用的是doGetAuthenticationInfo()方法;
2.如果验证通过,会返回一个非空的AuthenticationInfo实例来代表来自该数据源的Subject账户信息。

为了便于理解,这里首先介绍俩个词:
Authorization —— 授权
Authentication —— 认证
然后我们看一下我们自定义的MyRealm的内容,首先是构造函数

 public MyRealm(){
        super(new AllowAllCredentialsMatcher());
        setAuthenticationTokenClass(UsernamePasswordToken.class);
        //FIXME:暂时禁用Cache
        setCachingEnabled(false);
    }

这里借用一张图:该图源自对于shiro有比较深入的介绍
这里写图片描述
这张图展示了shiro的认证匹配接口结构图,这里面就有我们提到的AllowAllCredentialsMatcher,它的含义是:只要该用户名存在即可,不用去验证密码是否匹配。
然后我们在构造函数中将Cache设为暂不使用。

接下来是Realm中的认证内容

@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
        User user = (User) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        User user1 = null;

        /*新建角色与权限的set*/
        Set<String> shiroPermissions = new HashSet<>();
        Set<String> roleSet = new HashSet<>();
        try{
            /*1.通过userName获取userId*/
            user1 = userService.getUserByName(user.getName());
            if(user1 != null){
                Role role = roleService.getRoleById(user.getRole());
                log.info("role permission : " + role.getPermission());
                SplitUtil splitUtil = new SplitUtil();
                List<Integer> permissionList = splitUtil.stringToIntegerList(role.getPermission());
                log.info("permisson list : " + permissionList);
                for (int i = 0; i < permissionList.size(); i++){
                    shiroPermissions.add(permissionList.get(i).toString());
                }
                authorizationInfo.setStringPermissions(shiroPermissions);
                log.info("shiroPermissions : " + shiroPermissions);
                return authorizationInfo;
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return null;
    }

这里可以看到,该代码块的主要逻辑就是,获取用户对应角色所拥有的权限,然后将这些权限放到SimpleAuthorizationInfo的权限认证书中,这个地方是为了之后的shiro权限认证所做的铺垫。
这里使用了PrincipalCollection,这个接口是干什么用的呢,经过查阅,发现该值是唯一的,在所有用户帐户中唯一的字符串用户名。所以代码中的

User user = (User) principals.getPrimaryPrincipal();

使用它来获取当前subject中的唯一用户。
到此,我们已经完成了授权,接下来就就是认证了。

 @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token){
        String username = (String) token.getPrincipal();
        log.info("username : " + username);
        User user = null;
        String password = null;

        try{
            /*通过username获取User*/
            user = userService.getUserByName(username);
            log.info("user : " + user);
            password = new String((char[]) token.getCredentials());
            log.info("password : " + password);
            //账号不存在
            if(user == null){
                throw new UnknownAccountException("账号不正确");
            }
            //密码错误
            //简单起见,没有加密,应该加上
            if(!password.equals(user.getPassword())){
                throw new UnknownAccountException("密码错误");
            }
        }catch (Exception e){
            throw new AuthenticationException();
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,password,getName());

        return info;
    }

这部分的代码块主要逻辑是:通过token.getPrincipal()方法获取到Token中的用户名,然后根据用户名查找数据库,找出数据库中记录并进行对比,如果确实有该用户,并且帐密无误,那么就会通过

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,password,getName());

生成一个认证信息。
到此,我们的自定义Realm内容就完毕了。

ShiroManager

首先看一下ShiroManager.java的代码:

package shiro;

/**
 * Created by yubotao on 2017/12/03.
 */

import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.DependsOn;

/**
 * shiro Config Manager
 * */
public class ShiroManager {

    /**
     * 保证了实现shiro内部的lifecycle函数的bean执行
     * */
    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){return new LifecycleBeanPostProcessor();}

    @Bean(name = "defaultAdvisorAutoProxyCreator")
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(DefaultSecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor();
        aasa.setSecurityManager(securityManager);
        return aasa;
    }

}

首先这个ShiroManager的名字就暴露出,这部分是管理shiro的一些bean的,那么我们先来看第一个代码块:

@Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){return new LifecycleBeanPostProcessor();}

查看shiro的官方文档我们发现,这个LifecycleBeanPostProcessor是shiro和Spring整合的一个生命周期bean,自动使用init和destroy,无需我们进行管理;
接下来第二个代码块

 @Bean(name = "defaultAdvisorAutoProxyCreator")
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

这里关键的类时DefaultAdvisorAutoProxyCreator,该类时spring-aop包下的类,具体功能为:自动创建代理,它会搜寻所有的Advisor,并自动将Advisor应用到符合的PointCuts(切点)物件上。
通俗讲就是我们生成了一个可以自动帮我们实现aop代理的bean,并且对相应的切点使用已有的Advisor。
接下来我们看第三个代码块

@Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(DefaultSecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor();
        aasa.setSecurityManager(securityManager);
        return aasa;
    }

这个类可以在shiro官方文档中查看,我们通过查看可以看到这个AuthorizationAttributeSourceAdvisor就是我们刚才提到的Advisor,并且它实际上使用了AopAllianceAnnotationsAuthorizingMethodInterceptor,而该类的官方文档解释为:

Allows Shiro Annotations to work in any AOP Alliance specific implementation environment (for example, Spring).

使shiro注解能够在任意的特定AOP联合环境工作,比如我们现在使用的Spring。
至此,ShiroManager的讲解也完毕了。

ShiroConfig

这里是整个shiro拦截链的关键。
ShiroConfig.java

package shiro;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.context.annotation.Import;

import java.util.LinkedHashMap;

/**
 * Created by yubotao on 2017/12/03.
 */
@Configuration
@Import(ShiroManager.class)
public class ShiroConfig {
    private static final Log log = LogFactory.getLog(ShiroConfig.class);

    @Bean(name = "realm")
    @DependsOn("lifecycleBeanPostProcessor")
    public Realm realm(){return new MyRealm();}

    /**
     * 用户授权信息Cache
     * */
    @Bean(name = "shiroCacheManager")
    public CacheManager cacheManager(){return new MemoryConstrainedCacheManager();}

    @Bean(name = "securityManager")
    public DefaultSecurityManager securityManager(){
        //这里注意,需要实现DefaultWebSecurityManager
        DefaultSecurityManager sm = new DefaultWebSecurityManager();
        sm.setCacheManager(cacheManager());
        return sm;
    }

    /**
     * shiro核心,拦截器链,顺序执行
     * */
    @Bean(name = "shiroFilter")
    @DependsOn("securityManager")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultSecurityManager securityManager,Realm realm){
        securityManager.setRealm(realm);

        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        shiroFilter.setLoginUrl("/a/login/fail");//未登录跳转
        shiroFilter.setUnauthorizedUrl("/a/login/fail");//未授权跳转
        LinkedHashMap<String,String> filterChainDefinitionMap = new LinkedHashMap<>();

        filterChainDefinitionMap.put("/a/u/first","perms[1]");
        log.info("第一链");
        filterChainDefinitionMap.put("/a/u/second","perms[2]");
        log.info("第二链");
        filterChainDefinitionMap.put("/a/u/third","perms[3]");
        log.info("第三链");

        filterChainDefinitionMap.put("/a//**","anon");

        log.info("执行顺序 : " + filterChainDefinitionMap);

        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilter;
    }


}

和之前一样,我们还是逐个击破。
首先这里使用了注解@Import(ShiroManager.class),也就是引用了我们刚才配置的ShiroManager,也就是在这个类里,完成了所有shiro配置的大汇合。
先看第一个代码块

@Bean(name = "realm")
    @DependsOn("lifecycleBeanPostProcessor")
    public Realm realm(){return new MyRealm();}

这里我们依赖了刚才配置的生命周期bean,并且配置出了我们自定义的MyRealm。
然后是第二个代码块

/**
     * 用户授权信息Cache
     * */
    @Bean(name = "shiroCacheManager")
    public CacheManager cacheManager(){return new MemoryConstrainedCacheManager();}

这里我们将使用用户授权信息的Cache。
第三个代码块

 @Bean(name = "securityManager")
    public DefaultSecurityManager securityManager(){
        //这里注意,需要实现DefaultWebSecurityManager
        DefaultSecurityManager sm = new DefaultWebSecurityManager();
        sm.setCacheManager(cacheManager());
        return sm;
    }

这里需要注意的是需要实现DefaultWebSecurityManager,否则会在使用shiro拦截链的时候报错,一开始的时候我在这里没有注意,少写了个Web,然后就出错了,一定要特别注意。
那么为什么这个类这么重要呢?
我们可以参考该文章:对于DefaultWebSecurityManager的介绍
大概解释如下

DefaultWebSecurityManager类主要定义了设置subjectDao,获取会话模式,设置会话模式,设置会话管理器,是否是http会话模式等操作,它继承了DefaultSecurityManager类,实现了WebSecurityManager接口

也就是说,如果没有使用这个类,我们无法验证会话中登陆的用户,也就无法进行登陆、校验、登出等操作;主要和Subject有关。
接下来就是本文的核心,shiro的拦截器链:

/**
     * shiro核心,拦截器链,顺序执行
     * */
    @Bean(name = "shiroFilter")
    @DependsOn("securityManager")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultSecurityManager securityManager,Realm realm){
        securityManager.setRealm(realm);

        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        shiroFilter.setLoginUrl("/a/login/fail");//未登录跳转
        shiroFilter.setUnauthorizedUrl("/a/login/fail");//未授权跳转
        LinkedHashMap<String,String> filterChainDefinitionMap = new LinkedHashMap<>();

        filterChainDefinitionMap.put("/a/u/first","perms[1]");
        log.info("第一链");
        filterChainDefinitionMap.put("/a/u/second","perms[2]");
        log.info("第二链");
        filterChainDefinitionMap.put("/a/u/third","perms[3]");
        log.info("第三链");

        filterChainDefinitionMap.put("/a//**","anon");

        log.info("执行顺序 : " + filterChainDefinitionMap);

        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilter;
    }

相信注解已经很清楚了,这里的逻辑就是:新建shiro的拦截链,然后设置未登录和未授权的两种跳转,这里为了简便,我将两种跳转设置为一个了;然后向拦截链里添加规则,最后返回shiro的拦截链信息。

成果展示

经过如上的讲解,我们检验一下效果。
当我们处于未登录状态的时候,请求权限url会跳转至之前设定的失败页面
这里写图片描述

当我们登陆后有对应权限时
这里写图片描述

当我们登陆后无权限访问时
这里写图片描述

至此整个shiro的拦截器链实现权限管理讲解结束,如有疏漏或错误,还请不吝赐教。
m0_67392811
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文接:https://vti-iteye.iteye.com/blog/1963397
Java 权限管理系统 shiro + ssm实现
05-05
Java 权限管理系统 shiro + ssm实现权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis 和com.xe.demo.common.support.redis包下的注释去掉,
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 973
自定义注解+拦截器实现权限管理
Spring Shiro流程简析 注解驱动的权限管理
我家有猫已长成的博客
02-01 544
Spring Shiro流程简析 注解驱动的权限管理 简介。
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 1706
一、前言 由于之前没有使用Shiro,最近开始使用,故对其部分流程和源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
shiro原理
tiantian929的博客
02-19 3870
shiro原理
shiro授权和认证(三)
weixin_46403305的博客
10-28 1053
1、过滤器授权 1、在realm中查询用户的权限和角色放到缓存中 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { //第一步:先获取用户名 User user= (User) principalCollection.getPrimaryPrincipal(); //第二步:通过用户名查询数据库
Shiro框架常用配置
weixin_55229531的博客
06-02 4143
Shiro框架常用配置
SpringBoot开启aop后导致shiroAuthorizationAttributeSourceAdvisor的bean创建失败
LuLuke_lucky的博客
02-25 528
解决shiro无法创建AuthorizationAttributeSourceAdvisor的Bean问题
Springboot2集成Shiro框架(六)使用MemoryConstrainedCacheManager缓存
New_Yao的博客
09-12 2364
目录1. 什么是MemoryConstrainedCacheManager2. 为什么要使用缓存3. 如何使用4.如何清理缓存4.1调用logout方法4.2 主动清理缓存4.2.1部分新增缓存代码4.2.2配置主动缓存清理5.测试4、源码 1. 什么是MemoryConstrainedCacheManager 我们可以查看shiro提供给我们的信息了解这个 MemoryConstrainedCa...
shiro使用CacheManager
菜鸡的博客
11-17 3000
1.Cache 作用 Cache 缓存: 计算机内存中一段数据 作用: 用来减轻DB的访问压力,从而提高系统的查询效率 流程: 2.使用shiro中默认EhCache实现缓存 引入依赖 <!--引入shiro和ehcache--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <v
权限管理系统 shiro + ssm实现
09-22
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器)...
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器)...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
Spring boot整合 Shiro实现RBAC权限控制
06-21
4.shiro拦截器:对静态文件(HTML/JS/CSS等)进行权限控制,无权限则请求不到; 5.后台接口权限控制:对后台接口启用权限控制,对应的接口若不满足权限或角色要求,则请求失败; 6.用户-角色-权限使用常规RBAC的...
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 761
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 831
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1750
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1031
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
shiro权限拦截的实现
05-29
Shiro权限拦截的实现主要分为两个部分,一是定义自己的Realm实现类,二是在Shiro的配置文件中配置过滤器。 1. 定义自己的Realm实现类 在自定义的Realm实现类中,需要重写doGetAuthorizationInfo方法来授权用户的访问权限。该方法会在用户登录成功后进行调用,并返回该用户所具有的角色和权限信息。在该方法中,可以通过调用Subject对象的getPrincipal方法来获取当前用户的身份信息,然后根据用户的身份信息查询数据库或者其他数据源,获取该用户所具有的角色和权限信息。最后将角色和权限信息封装到一个SimpleAuthorizationInfo对象中并返回。 ``` public class MyRealm extends AuthorizingRealm { /** * 获取用户授权信息 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = (String) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); // 查询用户角色和权限信息 Set<String> roles = new HashSet<>(); roles.add("admin"); authorizationInfo.setRoles(roles); Set<String> permissions = new HashSet<>(); permissions.add("user:add"); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } /** * 获取用户认证信息 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // ... } } ``` 2. 配置过滤器Shiro的配置文件中,通过配置过滤器实现权限拦截。在过滤器中,可以根据URL路径的不同设置不同的过滤器来实现不同的拦截效果。 例如,我们可以使用authc过滤器来拦截需要认证的URL路径,使用perms过滤器来拦截需要特定权限才能访问的URL路径,使用roles过滤器来拦截需要特定角色才能访问的URL路径。具体的配置如下: ``` [urls] /login = anon /logout = logout /user/** = authc, perms[user:manage] /admin/** = authc, roles[admin] ``` 上述配置表示: - /login路径可以匿名访问 - /logout路径需要登录并且执行登出操作 - /user/**路径需要登录,并且需要user:manage权限才能访问 - /admin/**路径需要登录,并且需要admin角色才能访问 通过以上配置,就可以实现Shiro的权限拦截功能。如果用户没有登录或者没有特定的角色或权限,就无法访问被拦截的URL路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值