Shiro学习

最新推荐文章于 2022-06-25 21:15:00 发布
最新推荐文章于 2022-06-25 21:15:00 发布
阅读量165 收藏
点赞数
分类专栏: 《十次方》项目 文章标签: shiro 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21443203/article/details/89449009
版权

1.自定义ShiroConfiguration

package com.hgys.iptv.configuration.shiro;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

import java.util.LinkedHashMap;
import java.util.Map;
import java.util.Properties;

/**
 * @author: wangzhen
 * @date:2019/4/19 16:53
 */
@Configuration
public class ShiroConfiguration {

    //将自己的验证方式加入容器
    @Bean
    public ShiroRealmDetails getShiroRealmDetails() {
        return new ShiroRealmDetails();
    }

    //权限管理,配置主要是Realm的管理认证
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getShiroRealmDetails());
        securityManager.setSessionManager(getShiroSessionManager());
        return securityManager;
    }

    //自定义session管理
    @Bean
    public ShiroSessionManager getShiroSessionManager(){
        return new ShiroSessionManager();
    }
    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
//        System.out.println("ShiroConfiguration.shiroFilterFactoryBean()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //注意过滤器配置顺序 不能颠倒
        filterChainDefinitionMap.put("/logout", "logout");
        // 配置不会被拦截的action 顺序判断
//        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/LoginFail", "anon");
        filterChainDefinitionMap.put("/unauth", "anon");
        // 现在资源的角色
       // filterChainDefinitionMap.put("/admin.html", "roles[admin]");
        // filterChainDefinitionMap.put("/user.html", "roles[user]");
        filterChainDefinitionMap.put("/**", "authc");
        //filterChainDefinitionMap.put("/**", "user");--设置rememberMe(true),在/**=authc权限下是不起作用的,需要user

        //配置shiro默认登录action,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据
        shiroFilterFactoryBean.setLoginUrl("/loginHtml");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/LoginSuccess");
        //未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    //处理未授权异常跳转问题
    @Bean
    public SimpleMappingExceptionResolver simpleMappingExceptionResolver(){
        SimpleMappingExceptionResolver resolver=new SimpleMappingExceptionResolver();
        Properties properties = new Properties();
        properties.setProperty("UnauthorizedException","/unauth");
        resolver.setExceptionMappings(properties);
        return resolver;
    }
}

2.继承AuthorizingRealm重写两个方法

package com.hgys.iptv.configuration.shiro;

import com.hgys.iptv.model.Permission;
import com.hgys.iptv.model.Role;
import com.hgys.iptv.model.User;
import com.hgys.iptv.service.LoginService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;

/**
 * @author: wangzhen
 * @date:2019/4/19 16:39
 */
public class ShiroRealmDetails extends AuthorizingRealm {

    @Autowired
    private LoginService loginService;

    /**
     * 鉴权授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("进入doGetAuthorizationInfo授权。");
        //获取登录用户名
        String principal= (String) principalCollection.getPrimaryPrincipal();
        // 根据用户名来查询数据库赋予用户角色,权限(查数据库)
        User user = loginService.findByUsername(principal);
        SimpleAuthorizationInfo simpleAuthorizationInfo = null;
        if(user!=null){
            Set<String> roles = new HashSet<>();
            Set<String> permissions = new HashSet<>();
            simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            for (Role role:user.getRoles()) {
                roles.add(role.getName());
                for (Permission permission:role.getPermissions()) {
                    permissions.add(permission.getPermission());
                }
            }
            //关联角色
            simpleAuthorizationInfo.setRoles(roles);
            //关联权限
            simpleAuthorizationInfo.setStringPermissions(permissions);
        }

        System.out.println(principal+"具有的角色:=="+Arrays.toString(simpleAuthorizationInfo.getRoles().toArray()));
        System.out.println(principal+"具有的权限:=="+Arrays.toString(simpleAuthorizationInfo.getStringPermissions().toArray()));
        return simpleAuthorizationInfo;
    }


    /**
     * 获取身份验证信息
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("进入doGetAuthenticationInfo查用户信息。");
        if (authenticationToken.getPrincipal() == null) {
            return null;
        }
//        UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
//        // 获得从表单传过来的用户名
//        String username = upToken.getUsername();
        //获取用户信息
        String name = authenticationToken.getPrincipal().toString();
        // 从数据库查看是否存在用户
        User user = loginService.findByUsername(name);
        if (user == null) {
            throw new UnknownAccountException("用户名不存在!");
        }
        //验证authenticationToken和simpleAuthenticationInfo的信息
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
                name,
                user.getPassword(),
                getName());
        return simpleAuthenticationInfo;
    }
}

3.自定义ShiroSessionManager(可选)

package com.hgys.iptv.configuration.shiro;

import org.springframework.util.StringUtils;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
 * @author: wangzhen
 * @date:2019/4/20 21:13
 */
public class ShiroSessionManager extends DefaultWebSessionManager {
    private static final String AUTHORIZATION = "Authorization";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        //如果请求头中有 Authorization 则其值为sessionId
        if (!StringUtils.isEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

4.自定义ShiroCatheManager(可选)

5.subject.login(new UsernamePasswordToken(username, password))

    @RequestMapping("/login")
    public String login(@RequestParam("username") String username, @RequestParam("password") String password) {
        Subject subject = SecurityUtils.getSubject();
        // 验证用户是否已登录过
        if (!subject.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
           // token.setRememberMe(true);
            try {
                subject.login(token);
                boolean f =subject.hasRole("ROLE_ADMIN");
                System.out.println("admin角色标志=="+f);
                return "redirect:/LoginSuccess";
            } catch (IncorrectCredentialsException e) {
                System.out.println("登录密码错误!!!" + e);
                return "redirect:/LoginFail";
            } catch (ExcessiveAttemptsException e) {
                System.out.println("登录失败次数过多!!!" + e);
            } catch (LockedAccountException e) {
                System.out.println("帐号已被锁定!!!" + e);
            } catch (DisabledAccountException e) {
                System.out.println("帐号已被禁用!!!" + e);
            } catch (ExpiredCredentialsException e) {
                System.out.println("帐号已过期!!!" + e);
            } catch (UnknownAccountException e) {
                System.out.println("帐号不存在!!!" + e);
            } catch (UnauthorizedException e) {
                System.out.println("您没有得到相应的授权!" + e);
                return "redirect:/unauth";
            } catch (Exception e) {
                System.out.println("出错!!!" + e);
            }
            return "/login";
        }
        // 已成功登录过则直接重定向到LoginSuccess
        return "redirect:/LoginSuccess";
    }

6.在方法上设置需要权限

    @RequestMapping("/showUserHtml")
    @RequiresRoles(value = { "ROLE_USER", "ROLE_ADMIN"},logical = Logical.OR)
   // @RequiresPermissions("user:query")
    @RequiresPermissions("QUERY")
    public String userHtml() {
        return "/user";
    }
今辞拂衣
关注
专栏目录
shiro-demo
09-02
shiro做的一个demo, 工程使用maven构建, 直接用eclipse导入即可. 功能演示:用户点击表单登陆后跳转到/admin/index.jsp, 在未登录情况下在浏览器输入/admin/index.jsp会自动跳转到登陆页面
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
Shiro简介及简单入门demo
m0_67402026的博客
03-28 999
Shiro 安全框架:简单说对访问权限进行控制,安全性包括用户认证和用户授权。 用户认证一般要求用户提供用户名和密码,系统通过校验两者来完成认证。 用户授权指验证某个用户是否有权限执行某个操作。 一般来说,系统会为不同的用户分配不同的角色,而每个角色对应一系列权限。 1.什么是Shiro Shiro是apache的一个开源框架,将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密,会话管理等,组成一个通用的安全认证框架。 1.1 Shiro模块内容具体意义 Subject 即“
Shiro-demo
weixin_43886588的博客
06-25 216
Shiro小案例
Shiro Demo
y19910825的博客
01-10 422
Shiro Demo 准备工作 转自:http://www.sojson.com/shiro 运行前申明 请看完本页面的所有细节,对你掌握这个项目来说很重要,别一上来就搞,你不爽,我也不爽。本项目需要一定的Java功底,需要对SpringMvc,Mybatis,有基本的了解,其次对Redis有了解和使用更佳。本项目理论上,只需要一个Redis,然后一个Mysql和一个有Maven
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
shiro 学习资料
12-27
学习 Apache Shiro 的过程中,你需要理解它的核心组件、配置方式以及如何与具体应用结合。Shiro 的灵活性和易用性使其成为 Java 开发者处理安全问题的首选工具之一。通过深入学习和实践,你可以更好地掌握这个框架...
shiro学习源码与资料
02-24
这个压缩包包含的资源是关于Shiro学习的源码和课件,适合对Java安全有兴趣或者正在学习Shiro的开发者。 首先,我们来深入理解Shiro的核心概念: 1. **身份认证(Authentication)**:这是验证用户身份的过程。...
ShiroDemo:一个简单的shiro demo用于快速上手shiro
02-23
ShiroDemo 一个简单的shiro demo用于快速上手shiro 为了最简明教程没有使用数据库 测试用户: 管理员管理员 测试一下 登录接口localhost:8098 / api / user / login 可以使用Postman等工具测试
Shiro_Demo 一个简单的Shiro验证框架实例
04-07
Shiro_Demo 一个简单的Shiro验证框架实例
shiro实例demo
11-24
shiro实例demo,别人的自己已经测试过可以正常运行,感觉跟springMVC的aop机制有点类似,将访问方法交给shiro进行批量管理,来做对用户的验证和管理。demo讲的很详细,可以拿去看看
shiro案例 demo
12-01
shiro 框架的案例,用于学习研究。 用户名 admin 密码 sojson
shiro简单的demo.zip
07-14
springboot整合shiro整合redis做的权限认证框架有参考代码以及参考文档
shiro使用简单Demo
11-01
基于url和注解的权限管理shiro简单易用的例子,好用易上手,适合初次接触shiro的人员,使用中如有疑问,可以留言,我修改了积分,只需要1积分便可下载,目的分享资源,不为其他。
shiro基础概念
robin912的专栏
05-29 455
原文 shiro的功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。 Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它...
Shiro Demo 示例(SpringMVC-Mybatis-Shiro-redis)
weixin_34347651的博客
03-14 185
Shiro Demo 准备工作 运行前申明 请看完本页面的所有细节,对你掌握这个项目来说很重要,别一上来就搞,你不爽,我也不爽。 本项目需要一定的Java功底,需要对SpringMvc,Mybatis,有基本的了解,其次对Redis有了解和使用更佳。 本项目理论上,只需要一个Redis,然后一个Mysql和一个...
Shiro实战Demo
我要,我要,我还要
11-15 574
Shiro 使用 hello shiro 首先创建Maven项目并引入最新的shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> <
SpringMVC+Shiro权限管理
LzwGlory的专栏
02-24 2477
博文目录 权限的简单描述实例表结构及内容及POJOShiro-pom.xmlShiro-web.xmlShiro-MyShiro-权限认证,登录认证层Shiro-applicationContext-shiro.xmlHomeController三个JSP文件  什么是权限呢?举个简单的例子: 我有一个论坛,注册的用户分为normal用户,manager用户。 对论坛的帖子的操
Shiro权限管理框架学习笔记
"Shiro学习心得与应用" Apache Shiro 是一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值