SpringBoot+shiro整合学习之登录认证和权限控制

最新推荐文章于 2024-04-02 13:50:17 发布
最新推荐文章于 2024-04-02 13:50:17 发布
阅读量8.1k 收藏 19
点赞数 4
分类专栏: 框架整合 文章标签: jsp springboot shiro 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20954959/article/details/55055355
版权

学习任务目标

  1. 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。

  2. 对链接进行权限控制,只有当当前登录用户有这个链接访问权限才可以访问,否则跳转到指定页面。

  3. 输入错误密码用户名或则用户被设置为静止登录,返回相应json串信息。

我是用的是之前搭建的一个springboot+mybatisplus+jsp的一个基础框架。在这之上进行shiro的整合。需要的同学可以去我的码云下载。

个人博客:http://z77z.oschina.io/

此项目下载地址:https://git.oschina.net/z77z/springboot_mybatisplus

导入shiro依赖包到pom.xml

<!-- shiro权限控制框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

采用RBAC模式建立数据库

RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

/*表结构插入*/
DROP TABLE IF EXISTS `u_permission`;

CREATE TABLE `u_permission` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `url` varchar(256) DEFAULT NULL COMMENT 'url地址',
  `name` varchar(64) DEFAULT NULL COMMENT 'url描述',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=21 DEFAULT CHARSET=utf8;

/*Table structure for table `u_role` */

DROP TABLE IF EXISTS `u_role`;

CREATE TABLE `u_role` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `name` varchar(32) DEFAULT NULL COMMENT '角色名称',
  `type` varchar(10) DEFAULT NULL COMMENT '角色类型',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

/*Table structure for table `u_role_permission` */

DROP TABLE IF EXISTS `u_role_permission`;

CREATE TABLE `u_role_permission` (
  `rid` bigint(20) DEFAULT NULL COMMENT '角色ID',
  `pid` bigint(20) DEFAULT NULL COMMENT '权限ID'
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Table structure for table `u_user` */

DROP TABLE IF EXISTS `u_user`;

CREATE TABLE `u_user` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `nickname` varchar(20) DEFAULT NULL COMMENT '用户昵称',
  `email` varchar(128) DEFAULT NULL COMMENT '邮箱|登录帐号',
  `pswd` varchar(32) DEFAULT NULL COMMENT '密码',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `last_login_time` datetime DEFAULT NULL COMMENT '最后登录时间',
  `status` bigint(1) DEFAULT '1' COMMENT '1:有效,0:禁止登录',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8;

/*Table structure for table `u_user_role` */

DROP TABLE IF EXISTS `u_user_role`;

CREATE TABLE `u_user_role` (
  `uid` bigint(20) DEFAULT NULL COMMENT '用户ID',
  `rid` bigint(20) DEFAULT NULL COMMENT '角色ID'
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Dao层代码的编写

Dao层的entity,service,mapper等我是采用mybatisplus的代码自动生成工具生成的,具备了单表的增删改查功能和分页功能,比较方便,这里我就不贴代码了。

配置shiro

ShiroConfig.java

/**
 * @author 作者 z77z
 * @date 创建时间:2017年2月10日 下午1:16:38
 * 
 */
@Configuration
public class ShiroConfig {
   
    /**
     * ShiroFilterFactoryBean 处理拦截资源文件问题。
     * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在
     * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
     *
     * Filter Chain定义说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过
     * 3、部分过滤器可指定参数,如perms,roles
     *
     */
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        // 拦截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put(
最低0.47元/天 解锁文章
z77z
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis实现用户登陆失败次数限制
qq_38531706的博客
07-14 3833
Redis实现用户登陆失败次数限制 这里使用的是SpringBoot + Redis搭建,基于RedisAtomicInteger的一个简单的应用实例,具体实现是10分钟内用户登录失败次数不能超过3次,超过则返回相关上限提示,时间间隔可以根据个人需求修改。 引入Redis依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-star
SpringBoot整合Shiro实现权限管理
最新发布
2401_85112749的博客
06-24 944
分布式技术专题+面试解析+相关的手写和学习笔记pdf还有更多Java笔记分享如下:取 消2、修改登录方法//创建Token分布式技术专题+面试解析+相关的手写和学习笔记pdf还有更多Java笔记分享如下:[外链图片转存中…(img-947RFXDN-1719174128767)]
springboot集成shiro实现用户权限认证和sh
liyingying111111的专栏
03-15 389
shiro是apache下的一个开源的权限认证框架。相对于spring security来说是一个轻量级的安全认证组件。今天用shiro讲原来的权限认证给替换掉。总结一下如下: 第一步肯定是要引入shiro的相关依赖的: &lt;!-- shiro --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId...
springboot+redis实现登录失败次数限制
爱java的小蓝的博客
10-25 2531
需求:为了防止枚举攻击,完成安全性测试扫描。先是保证账号和密码其一错误但返回错误一致,添加Referer拦截,现在需要限制登录失败次数限制,本文做的是登录失败五次账号锁定3小时。 登录Controller添加如下代码 @Autowired private RedisTemplate<String, String> redisTemplate; //用户登录是否被锁定 三小时 redisKey 前缀 private String SHIRO_IS_.
springboot整合shiro-登录失败次数限制(八)
热门推荐
这个名字想了很久
09-03 1万+
原文地址,转载请注明出处:&amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80461177&amp;amp;nbsp;&amp;amp;nbsp; &amp;amp;nbsp;&amp;amp;nbsp;©王赛超&amp;amp;nbsp; 这次讲讲如何限制用户登录尝试次数,防止坏人多次尝试,恶意暴力破解密码的情况出现,要限制用户登录尝试次数,必然要对用户名密码验证失败做记录,S
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
在本项目中,Shiro主要负责用户的登录认证权限校验。它可以通过配置或编程方式轻松集成到SpringBoot应用中,实现对用户角色和权限控制。 1. **身份验证**:Shiro提供了RememberMe、验证码、多因素认证等多种...
springboot+shiro+redis整合
03-12
SpringBootShiro和Redis整合,主要目的是利用Shiro进行用户认证和授权,而Redis作为Session的共享存储,解决分布式环境下的会话一致性问题。以下是整合步骤: 1. **引入依赖**:在SpringBoot的pom.xml文件中...
springboot +shiro+redis实现session共享(方案二)1
08-08
"Spring Boot + Shiro + Redis 实现 Session 共享方案二" 1. 概述 本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis...通过使用 Redis 作为 Session 存储和 Shiro 权限控制,可以实现高效、可靠的 Session 共享。
springboot+shiro+swagger2前后端分离整合
03-03
本项目"springboot+shiro+swagger2前后端分离整合"提供了一个实用的框架组合,旨在帮助开发者快速搭建这样的应用。以下是对这个项目及其组成部分的详细解析: 1. **Spring Boot**: Spring Boot是由Pivotal团队...
springboot整合shiro登录失败次数限制功能的实现代码
08-27
主要介绍了springboot整合shiro-登录失败次数限制功能,实现此功能如果是防止坏人多次尝试,破解密码的情况,所以要限制用户登录尝试次数,需要的朋友可以参考下
springboot + shiro 尝试登录次数限制
2301_77093780的博客
04-02 482
Realm在验证用户身份的时候,要进行密码匹配。最简单的情况就是明文直接匹配,然后就是加密匹配,这里的匹配工作则就是交给CredentalsMatcher来完成的。我们在这里继承这个接口,自定义一个密码匹配,缓存入键值对用户名以及匹配次数,若通过密码匹配,则删除该键值对,若不匹配则匹配次数自增。超过给定的次数限制则抛出错误。这里缓存用的是ehcache。1、encache配置。4、shiro配置修改。
Shiro安全框架学习04 - 登录失败次数限制
itmyhome的专栏
12-23 899
为了防止被恶意暴力破解,我们都会进行登录失败超过一定次数进行锁定账号禁止登录。使用Ehcache提供缓存服务。 在前几篇代码的基础上添加ehcache依赖 <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache-core</artifactId> <...
spring boot+shiro+ehcache 用户尝试登录错误次数
mywordandyourword的专栏
08-17 1767
本文主要实践用spring boot + shiro+ ehcache实现用户登录错误次数的判断,关于spring boot, shiro, ehcache的理论知识这里将不作为介绍,这些知识可以在它们的官网或其它博客上能够找到 。下面将进入正文: pom.xml 本文主要引用的jar如下: &lt;dependency&gt; &lt;groupId&gt;org.apache....
springboot+shiro实现登录系数限定,thymeleaf中使用shiro标签
01-24 110
1.实现登录次数限定 CredentialsMatcher是shiro提供的用于加密密码和验证密码服务的接口,而HashedCredentialsMatcher正是CredentialsMatcher的一个实现类。 新写一个类继承HashedCredentialsMatcher,在重写d...
springboot整合shiro 认证与授权与记住密码与密码错过锁定次数
xiaozhou_zi的博客
09-05 5252
                                                                       Spring Boot + Shiro总结 背景:最近领导要完成用户管理、菜单管理,角色管理等系统功能,上家公司的时候想过用了shiro来对整个系统进行权限控制,就想多一项技术,总归是好事,不过现在框架是spring boot,省去了沉于的配置,花了两天时...
SpringBoot Shiro实现登录失败次数限制(三)
pukun888的博客
11-04 1261
1. 修改CustomRealm.java中 doGetAuthenticationInfo 方法 之前我们会在里面进行密码的判断,现在我们把密码判断交给密码比较 /** * 登录查询 * * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGet
springboot整合shiro-登录失败次数限制
weixin_39654286的博客
01-04 7018
防止多次尝试,恶意暴力破解密码的情况出现,要限制用户登录尝试次数,必然要对用户名密码验证失败做记录,Shiro中用户名密码的验证交给了CredentialsMatcher 所以在CredentialsMatcher里面检查,记录登录次数是最简单的做法。当登录失败次数达到限制,修改数据库中的状态字段,并返回前台错误信息。 RetryLimitHashedCredentialsMatcher配置:...
springboot+shiro权限管理
09-09
Spring Boot和Shiro是常用的权限管理框架,可以通过整合它们来搭建一个包含权限控制的后台管理系统。具体可以参考以下链接提供的资源:这些资源提供了关于如何通过Spring Boot整合Shiro实现认证和授权的详细指导和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值