权限设计,以及使用优秀的权限框架shiro整合SpringMVC

最新推荐文章于 2024-06-24 11:25:24 发布
最新推荐文章于 2024-06-24 11:25:24 发布
阅读量4.4k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq383264679/article/details/49247677
版权

权限设计最后归纳为:
      主体进行身份认证,身份认证后,进行给出认证凭证,执行通过操作后,进行相应的授权,有权限则执行,没有权限就不能操作。

解决权限这一块的问题,主要还是使用javaweb的filter过滤器,shiro的核心也就是使用filter过滤器进行相应的权限管理。

环境相应的jar包导入就不说了。

关键配置文件信息:
web.xml 
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
	http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
  <display-name>Archetype Created Web Application</display-name>
  <context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>
			classpath:config/spring/spring-beans.xml
			classpath:shiro/spring-shiro-web.xml
		</param-value>
	</context-param>
	
	<!-- 自动找查找名字为shiroFilter的bean--> 
    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
        <init-param>  
            <param-name>targetFilterLifecycle</param-name>  
            <param-value>true</param-value>  
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>shiroFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
	
	<listener>
		<listener-class>
			org.springframework.web.context.ContextLoaderListener
		</listener-class>
	</listener>
	<servlet>
        <servlet-name>springMVC</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:config/springmvc/spring-mvc.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
        <async-supported>true</async-supported>
    </servlet>
    <servlet-mapping>
        <servlet-name>springMVC</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>
</web-app>

spring-shiro-web.xml: 
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:util="http://www.springframework.org/schema/util"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd
       http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd">
    <!-- Realm实现 -->
    <bean id="userRealm" class="com.lgy.web.shiro.UserRealm" />
        

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm"/>
    </bean>




	<!-- 基于Form表单的身份验证过滤器 -->
    <bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
        <property name="usernameParam" value="username"/>
        <property name="passwordParam" value="password"/>
        <property name="rememberMeParam" value="rememberMe"/>
      <!--   <property name="loginUrl" value="/login"/> -->
    </bean>
    
    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
            	<!-- 对静态资源不需要进行认证 -->
            	/images/** = anon
            	/js/** = anon
            	/styles/** = anon
            	/login = anon
            	<!-- 对所有url都需要进行认证 -->
                /** = authc
            </value>
        </property>
    </bean>


</beans>

基本的环境就完成了,核心在于Shiro的Web过滤器,执行步骤如下:。
(1)关于filterChainDefinitions这个属性,这是Shiro的一个过滤器链。Shiro提供的过滤器如下:

默认拦截器名

拦截器类

说明(括号里的表示默认值)

身份验证相关的

 

 

authc

org.apache.shiro.web.filter.authc

.FormAuthenticationFilter

基于表单的拦截器;如“/**=authc”,如果没有登录会跳到相应的登录页面登录;主要属性:usernameParam:表单提交的用户名参数名( username);  passwordParam:表单提交的密码参数名(password); rememberMeParam:表单提交的密码参数名(rememberMe);  loginUrl:登录页面地址(/login.jsp);successUrl:登录成功后的默认重定向地址; failureKeyAttribute:登录失败后错误信息存储key(shiroLoginFailure);

authcBasic

org.apache.shiro.web.filter.authc

.BasicHttpAuthenticationFilter

Basic HTTP身份验证拦截器,主要属性: applicationName:弹出登录框显示的信息(application);

logout

org.apache.shiro.web.filter.authc

.LogoutFilter

退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/);示例“/logout=logout”

user

org.apache.shiro.web.filter.authc

.UserFilter

用户拦截器,用户已经身份验证/记住我登录的都可;示例“/**=user”

anon

org.apache.shiro.web.filter.authc

.AnonymousFilter

匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”

授权相关的

 

 

roles

org.apache.shiro.web.filter.authz

.RolesAuthorizationFilter

角色授权拦截器,验证用户是否拥有所有角色;主要属性: loginUrl:登录页面地址(/login.jsp);unauthorizedUrl:未授权后重定向的地址;示例“/admin/**=roles[admin]”

perms

org.apache.shiro.web.filter.authz

.PermissionsAuthorizationFilter

权限授权拦截器,验证用户是否拥有所有权限;属性和roles一样;示例“/user/**=perms["user:create"]”

port

org.apache.shiro.web.filter.authz

.PortFilter

端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样

rest

org.apache.shiro.web.filter.authz

.HttpMethodPermissionFilter

rest风格拦截器,自动根据请求方法构建权限字符串(GET=read, POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read, MKCOL=create)构建权限字符串;示例“/users=rest[user]”,会自动拼出“user:read,user:create,user:update,user:delete”权限字符串进行权限匹配(所有都得匹配,isPermittedAll);

ssl

org.apache.shiro.web.filter.authz

.SslFilter

SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;

其他

 

 

noSessionCreation

org.apache.shiro.web.filter.session

.NoSessionCreationFilter

不创建会话拦截器,调用 subject.getSession(false)不会有什么问题,但是如果 subject.getSession(true)将抛出 DisabledSessionException异常;

           所以/** = authc 会默认走表单认证过滤器,关于表单过滤器的一些属性可以直接查看源码,或者查看上面的说明。所以只要走authc的URL都会被这个过滤器所拦截,拦截后会进行相应的页面跳转,这个过滤器继承了AuthenticationFilter,该基类过滤器有一个executeLogin()方法,所以只要表单提交(action的路径写空,不然又会被这个过滤器拦截,请求方式为post),就会被Realm进行拦截(这个Realm一般需要自定义)。

2.关于属性filters
         这个可以自定义Filter,设定自定义拦截器名,编写自定义Filter,在进行相应的subject.login()进行身份验证。

一般项目中这样书写登录表单过滤器的loginUrl:
SpringMVC中的loginAction: 
// 用户登陆提交
	@RequestMapping("/login")
	public String loginsubmit(HttpServletRequest request, HttpServletResponse response) throws Exception {
		// 如果登陆失败从request中获取认证异常信息,shiroLoginFailure就是shiro异常类的全限定名
		String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");
		// 根据shiro返回的异常类路径判断,抛出指定异常信息
		if (exceptionClassName != null) {
			if (UnknownAccountException.class.getName().equals(exceptionClassName)) {
				// 最终会抛给异常处理器
				// /throw new CustomException("账号不存在");
			} else if (IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {
				// throw new CustomException("用户名/密码错误");
			} else if ("randomCodeError".equals(exceptionClassName)) {
				// throw new CustomException("验证码错误 ");
			} else {
				throw new Exception();// 最终在异常处理器生成未知错误
			}
		}
		// 此方法不处理登陆成功(认证成功),shiro认证成功会自动跳转到上一个请求路径
		// 登陆失败还到login页面
		return "login";
	}

shiro-web.xml中的表单过滤器配置: 
    <!-- 基于Form表单的身份验证过滤器 -->
    <bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
        <property name="usernameParam" value="username"/>
        <property name="passwordParam" value="password"/>
        <property name="rememberMeParam" value="rememberMe"/>
        <property name="loginUrl" value="/login"/> 
    </bean>

这样只要是authc的URL路径都会请求这个Action,该Action会获取认证的异常情况,来返回给前台用户进行友好提示。

小勇Oo
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro数据库设计 五张表
11-07
shiro权限框架数据库设计,附少量数据,仅供测试,非实际项目
权限框架Shiro学习之表结构设计
weixin_34018169的博客
09-18 695
2019独角兽企业重金招聘Python工程师标准>>> ...
基于spring boot的spring security的权限系统的设计
最新发布
m0_49726578的博客
06-24 1390
在非登陆请求过来时在认证token的过滤器中 取出 redis 中的 userid的权限 然后注入到 UsernamePasswordAuthenticationToken 中。然后在执行到controller时就会去校验当前用户的权限是否满足当前接口的权限权限是在任何应用中都有的系统。这就需要编写一个类继承 security 提供的 UserDetails 类他提供了一个重写的方法 用于返回用户的权限
基于shiro权限设计
weixin_34179762的博客
10-24 778
shiro介绍 Apache shiro是一个权限控制框架,它将安全认证抽取出来,实现用户身份认证,权限授权,加密,会话管理等功能,是一个通用的安全认证框架,而且还可以用于分布式集群。功能如下 1.验证用户 2.对用户执行访问控制,如:判断用户是否具有角色admin,判断用户是否拥有访问的资源权限。 3.无论...
Shrio之权限设计
绣花针
12-23 800
一、经典5张表 ①用户表 ②角色表 ③用户-角色表 ④菜单表(权限表) ⑤角色菜单表(权限表) 二、权限设计 1. 菜单表 -- 菜单 CREATE TABLE `sys_menu` ( `menu_id` bigint NOT NULL AUTO_INCREMENT, `parent_id` bigint COMMENT '父菜单ID,一级菜单为0', `n...
Shiro 权限管理
心猿意码
06-24 4070
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
Spring MVC整合Shiro权限控制的方法
08-27
Spring MVC整合Shiro权限控制的方法 Spring MVC 是一个流行的 Java Web 框架,而 Shiro 是一个功能强大且灵活的开放源代码安全框架。为了实现权限控制,需要将 Spring MVC 和 Shiro 进行整合。下面是 Spring MVC ...
shiro springmvc mybatis bootstarp maven 整合框架(带完整权限数据库)
01-20
整合框架是一个基于Java的Web应用开发框架,它将Apache ShiroSpringMVC、MyBatis和Bootstrap以及Maven等多个流行技术集成为一体,旨在提供一个高效且易用的开发环境。下面将分别对这些关键技术进行详细解释。 1...
shirodemo整合spring+springmvc+shiro
12-25
本文将详细介绍如何将Shiro与Spring、SpringMVC进行整合,构建一个高效的J2EE安全框架,以实现对用户身份验证和权限控制。 首先,让我们理解这三个组件的角色: 1. **Apache Shiro**:Shiro的核心在于它提供了一套...
pringmvc整合shiro权限控制的实例教程共15页
11-21
SpringMVCShiro整合是Java Web开发中常见的权限管理框架组合,它们的结合能够帮助开发者轻松实现用户登录验证、权限控制以及会话管理等功能。本教程将详细讲解如何将SpringMVC与Apache Shiro进行整合,以实现一个...
java私塾 shiro_Shiro权限设计基础-权限和验证
weixin_31827003的博客
02-16 69
安全实体:就是被权限系统保护的对象,比如工资数据。权限:就是需要被校验的权限对象,比如查看、修改等。n安全实体和权限通常要一起描述才有意义:比如有这么个描述:“现在要检测登录人员对工资数据是否有查看的权限”, “工资数据”这个安全实体和“查看”这个权限一定要一起描述。如果只出现安全实体描述,那就变成这样:“现在要检测登录人员对工资数据”,对工资数据干什 么呀,没有后半截,一看就知道不完整;当然只有...
Shiro权限管理示例(包括数据库结构)
02-07
一个完整的Shiro项目,实现了Shiro权限管理,附件里包括数据库结构(mysql),可直接运行
基于Spring Cloud的权限管理系统【可做毕业设计、可做商用框架
06-23
- 基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC **权限管理系统** - 基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手 - 提供对常见容器化支持 Docker、Kubernetes、Rancher2 支持 - 提供 lambda 、stream api 、webflux 的生产实践 ### 核心依赖 | 依赖 | 版本 | | ---------------------- |------------| | Spring Boot | 2.7.0 | | Spring Cloud | 2021.0.3 | | Spring Cloud Alibaba | 2021.0.1.0 | | Spring Authorization Server | 0.3.0 | | Mybatis Plus | 3.5.2 | | hutool
我的shiro之旅: 十一 shiro权限设计
Dylan的博文
02-24 5357
博客已移至 http://blog.gogl.top 在这里,介绍一个简单,基本的权限设计。其中包括3个类,有User,Role,Auth。下面是类信息。   import java.io.Serializable; import java.util.HashMap; import java.util.HashSet; import java.util.Map; import java.u...
Shiro权限框架之数据库表设计
雩风初拾
09-11 1220
使用Shiro作为权限框架,我们一般用到 5 张表: 用户表 (user) 角色表 (role) 权限表 (permission) 用户 - 角色关联表 (user_role ;一对多的关系,一个角色对应多个用户) 角色- 权限关联表 (role_permission ;多对多关系) 创建表: drop table if exists sys_users; drop table ...
权限设计
u014398624的专栏
08-25 323
使用 Shiro 设计基于用户、角色、权限的通用权限管理系统
热门推荐
IT小村
04-06 5万+
一、前言 在大型的信息管理系统中,经常涉及到权限管理系统 下面来个 demo,很多复杂的系统的设计都来自它 Coding(github)地址:https://git.coding.net/larger5/urp.git https://git.coding.net/larger5/urp.git 2018.4.3 版本0.5 在 SpringBoot 中使用 Shiro+MySQL...
SpringSecurity(一):权限管理设计与实现(官文英解+源码调试+基本环境搭建)
左灯右行的爱情
06-18 1066
加油
Shiro视频教程:SpringMVC+MyBatis+EasyUI+权限管理实战
Shiro视频教程是一套针对Spring MVC、MyBatis、EasyUI以及Shiro框架进行整合的技术讲解视频,共有22集,由经验丰富的讲师录制。这套课程为期两天,主要涵盖了以下几个核心知识点: 1. **Shiro基础**: - 第一天的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值