【Spring Boot】016-Shiro请求授权实现

最新推荐文章于 2024-06-19 11:45:55 发布
最新推荐文章于 2024-06-19 11:45:55 发布
阅读量431 收藏
点赞数
分类专栏: Spring Boot 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29689343/article/details/108690073
版权

目录

一、授权

1、设置account拥有add权限才能访问

2、测试结果(访问add.html页面)

二、若未授权则跳转到一个指定的页面

1、在MyController添加一个跳转方法

2、在ShiroConfig类中设置未授权跳转的页面

3、测试结果

三、将权限授予用户

1、修改AccountRealm类,进行授权

2、测试结果

四、给指定用户授权(判断即可)

1、修改AccountRealm类

2、测试结果

五、用户注销

1、在MyController类中添加注销方法

2、修改首页index.html

3、测试结果

一、授权

1、设置account拥有add权限才能访问

package com.zibo.config;

import com.sun.org.apache.regexp.internal.RE;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfig {

    //1、创建Realm对象,需要自定义
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }

    //2、DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("accountRealm")AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //关联accountRealm
        manager.setRealm(accountRealm);
        return manager;
    }

    //3、ShiroFilterFactoryBean
    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager manager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(manager);

        //添加shiro内置过滤器
        /*
         * anon:无需认证就可以访问;
         * authc:必须认证了才能访问;
         * user:必须拥有记住我功能才能访问(一般不用);
         * perms:拥有对某个资源的权限才能访问;
         * role:拥有某个角色权限才能访问;
         */

        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();

        //★★★授权:只有account:add权限的账户才能访问
        //注意:注意这是一个有序map,需要卸载拦截前面,否则不生效!!!
        filterMap.put("/account/add","perms[account:add]");

        //拦截:设置认证了才能访问
        filterMap.put("/account/*","authc");

        bean.setFilterChainDefinitionMap(filterMap);

        //设置登录页面
        bean.setLoginUrl("/toLogin");


        return bean;
    }



}

 

2、测试结果(访问add.html页面)

(我们目前并没有给任何账户添加这个权限)

 

二、若未授权则跳转到一个指定的页面

1、在MyController添加一个跳转方法

package com.zibo.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class MyController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","Hello Shiro!");
        return "index";
    }

    @RequestMapping("/account/add")
    public String add(){
        return "account/add";
    }

    @RequestMapping("/account/update")
    public String update(){
        return "account/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username,String password,Model model){
        //获取当前的Subject
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //登录
        try{
            subject.login(token);
            return "index";
        }catch (UnknownAccountException e){//用户名不存在
            model.addAttribute("msg","用户名不存在!");
            return "login";
        } catch (IncorrectCredentialsException ice) {//密码错误
            model.addAttribute("msg","密码错误!");
            return "login";
        } catch (LockedAccountException lae) {//用户被锁定
            model.addAttribute("msg","用户被锁定!");
            return "login";
        }catch (AuthenticationException ae) {//认证异常:最大的异常,兜底
            model.addAttribute("msg","认证异常!");
            return "login";
        }
    }

    @RequestMapping("/noauth")
    @ResponseBody
    public String unauthorized(){
        return "未授权,无法访问此页面!";
    }
}

 

2、在ShiroConfig类中设置未授权跳转的页面

package com.zibo.config;

import com.sun.org.apache.regexp.internal.RE;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfig {

    //1、创建Realm对象,需要自定义
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }

    //2、DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("accountRealm")AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //关联accountRealm
        manager.setRealm(accountRealm);
        return manager;
    }

    //3、ShiroFilterFactoryBean
    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager manager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(manager);

        //添加shiro内置过滤器
        /*
         * anon:无需认证就可以访问;
         * authc:必须认证了才能访问;
         * user:必须拥有记住我功能才能访问(一般不用);
         * perms:拥有对某个资源的权限才能访问;
         * role:拥有某个角色权限才能访问;
         */

        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();


        //授权:只有account:add权限的账户才能访问
        //注意:注意这是一个有序map,需要卸载拦截前面,否则不生效!!!
        filterMap.put("/account/add","perms[account:add]");

        //拦截:设置认证了才能访问
        filterMap.put("/account/*","authc");

        bean.setFilterChainDefinitionMap(filterMap);

        //设置登录页面
        bean.setLoginUrl("/toLogin");

        //★★★设置未授权页面
        bean.setUnauthorizedUrl("/noauth");


        return bean;
    }



}

 

3、测试结果

 

三、将权限授予用户

1、修改AccountRealm类,进行授权

package com.zibo.config;

import com.zibo.pojo.Account;
import com.zibo.service.AccountService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

//自定义的AccountRealm,需要继承AuthorizingRealm
public class AccountRealm extends AuthorizingRealm {

    @Autowired
    AccountService accountService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权方法doGetAuthorizationInfo!");
        //★★★授权
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //授权user:add
        info.addStringPermission("account:add");

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证方法doGetAuthenticationInfo!");

        UsernamePasswordToken accountToken = (UsernamePasswordToken)authenticationToken;

        //我们这里不该这么写的,我们应该写一个通过用户名查询的方法,但是既然都写到这了,就这么写吧
        List<Account> all = accountService.findAll();
        String tokenUsername = accountToken.getUsername();
        boolean haveThisAccount = false;
        String password = null;
        for (Account account : all) {
            if(account.getName().equals(tokenUsername)){
                //说明存在这个用户名
                haveThisAccount = true;
                //我们假装其钱数就是其密码
                password = String.valueOf(account.getMoney());
                System.out.println(password);
                break;
            }
        }
        if(!haveThisAccount){
            return null;//抛出异常,用户名不存在
        }
        //密码认证,shiro做
        return new SimpleAuthenticationInfo("",password,"");
    }
}

 

2、测试结果

 

四、给指定用户授权(判断即可)

(这里简化操作,我们假定如果用户名为“訾博”,咱就授权给他)

1、修改AccountRealm类

package com.zibo.config;

import com.zibo.pojo.Account;
import com.zibo.service.AccountService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

//自定义的AccountRealm,需要继承AuthorizingRealm
public class AccountRealm extends AuthorizingRealm {

    @Autowired
    AccountService accountService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权方法doGetAuthorizationInfo!");
        //授权
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //★★★拿到当前登录的对象
        Subject subject = SecurityUtils.getSubject();
        //这是取的是下面存的:new SimpleAuthenticationInfo(tokenUsername,password,"");
        Account account = (Account)subject.getPrincipal();
        //这里简化操作,我们假定如果用户名为“訾博”,咱就授权给他
        //真是业务中,从数据库中获取权限信息进行授权即可
        if(account.getName().equals("訾博")){
            //授权user:add
            info.addStringPermission("account:add");
        }
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证方法doGetAuthenticationInfo!");

        UsernamePasswordToken accountToken = (UsernamePasswordToken)authenticationToken;

        //我们这里不该这么写的,我们应该写一个通过用户名查询的方法,但是既然都写到这了,就这么写吧
        List<Account> all = accountService.findAll();
        String tokenUsername = accountToken.getUsername();
        boolean haveThisAccount = false;
        String password = null;
        Account thisAccount = null;
        for (Account account : all) {
            if(account.getName().equals(tokenUsername)){
                //说明存在这个用户名
                haveThisAccount = true;
                thisAccount = account;
                //我们假装其钱数就是其密码
                password = String.valueOf(account.getMoney());
                System.out.println(password);
                break;
            }
        }
        if(!haveThisAccount){
            return null;//抛出异常,用户名不存在
        }
        //★★★密码认证,shiro做,传tokenUsername
        return new SimpleAuthenticationInfo(thisAccount,password,"");
    }
}

 

2、测试结果

 

五、用户注销

1、在MyController类中添加注销方法

package com.zibo.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class MyController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","Hello Shiro!");
        return "index";
    }

    @RequestMapping("/account/add")
    public String add(){
        return "account/add";
    }

    @RequestMapping("/account/update")
    public String update(){
        return "account/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username,String password,Model model){
        //获取当前的Subject
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //登录
        try{
            subject.login(token);
            return "index";
        }catch (UnknownAccountException e){//用户名不存在
            model.addAttribute("msg","用户名不存在!");
            return "login";
        } catch (IncorrectCredentialsException ice) {//密码错误
            model.addAttribute("msg","密码错误!");
            return "login";
        } catch (LockedAccountException lae) {//用户被锁定
            model.addAttribute("msg","用户被锁定!");
            return "login";
        }catch (AuthenticationException ae) {//认证异常:最大的异常,兜底
            model.addAttribute("msg","认证异常!");
            return "login";
        }
    }

    @RequestMapping("/noauth")
    @ResponseBody
    public String unauthorized(){
        return "未授权,无法访问此页面!";
    }

    //注销
    @RequestMapping("/logout")
    @ResponseBody
    public String logout(){
        //获取当前的Subject
        Subject subject = SecurityUtils.getSubject();
        //注销
        subject.logout();
        return "注销成功!";
    }
}

2、修改首页index.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>首页</h1>
    <p th:text="${msg}"></p>

    <a th:href="@{/account/add}">add</a>
    <a th:href="@{/account/update}">update</a>
    <a th:href="@{/logout}">注销</a>
</body>
</html>

 

3、测试结果

 

 

 

 

 

 

 

訾博ZiBo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSM整合开发CRUD
qq_43641035的博客
09-09 589
SSM:SpringMVC+Spring+MyBatis CRUD:Create Retrieve Update Delete 目录 功能点 技术点 项目结构目录 基础环境搭建 1.创建一个maven工程 2.引入项目依赖的jar包 3.引入bootstrap前端框架 4.编写ssm整合的关键配置文件 利用mybatis逆向工程生成 javabean、mapper.java、mapper.xml Department.java 5.测试mapper CRUD ...
关于shiro的和spring_boot集成shiro一些浅谈
weixin_71139319的博客
09-14 276
本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。(勿喷)
java中使用正则表达式:测试模式
窗前废雨
09-20 1903
import com.sun.org.apache.regexp.internal.RE; public class regex { /** * @param args */ public static void main(String[] args) { // TODO Auto-generated method stub          String patte
数据结构学习之java手写红黑树(左旋、右旋、插入后平衡)
weixin_44178366的博客
07-19 421
import com.sun.org.apache.regexp.internal.RE; import java.util.Comparator; /** * @Author PiHao * @Date 2020-07-19 18:34 * * 1、创建RbTree,定义颜色 * 2、创建内部类RbNode * 3、辅助方法定义:parentOf(RbNode)、isRed(RbNode)、isBlack(RbNode) setRed(RbNode)、setBlack(RbNode)、in
解决报错:程序包com.sun.org.apache.regexp.internal不存在
最新发布
weixin_62985435的博客
06-19 654
运行后端程序时发生如下报错:com.sun.org.apache.regexp.internal不存在,是jdk8的版本不对导致的报错,这个包属于JDK的内部包,通常不建议在应用程序中直接使用这些内部包,因为它们在不同版本的JDK中可能会发生变化或被移除。com.sun.org.apache.regexp.internal与正则表达式功能有关,建议使用标准的Java正则表达式包。
解决程序包com.sun.org.apache.regexp.internal不存在
two_brother_的博客
01-31 9406
解决程序包com.sun.org.apache.regexp.internal不存在
java注解
Ysh-uestc
05-21 133
自定义注解import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; import java.lang.reflect.Method; i...
SpringBoot 20 Shiro授权实现和整合Thymeleaf
小哞^同^学的技术博客
08-03 237
这样的话,你会发现 无论你登录 哪个 用户 都会 去 赋予 授权。诶?这样不就 完蛋了吗?
Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制
06-14
本项目以"Spring Boot-Shiro-Vue"为技术栈,构建了一套完整的权限管理系统,虽然最新版本已移除Shiro,但我们可以探讨基于Shiro的权限管理思路,以及Spring Boot和Vue.js如何协同实现这一目标。 **Spring Boot** 是...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求实现请求的过滤。自定义了relam和过滤器来实现这些功能
整合mybatis-spring-boot-2.0-shiro-thymeleaf
04-10
在本项目"整合mybatis-spring-boot-2.0-shiro-thymeleaf"中,开发者提供了一个简短但全面的教程,适用于那些刚开始接触这些技术的初学者。这个项目结合了四个关键组件:MyBatis、Spring BootShiro以及Thymeleaf,...
regexp.jar
05-29
regexp.jarregexp.jarregexp.jarregexp.jarregexp.jar
Spring-shiro-Boot-8 shiro项目中的实现登录-Login
良之才的专栏
03-21 593
实际项目中,使用shiro后登录的实例: 一、登录前端 (1)序列化提交表单 把form表单的值序列化成一个json对象,如{username:admin,password:admin123} $("#login-form").serialize() (2)表单 <form id="form1"> <input name="username" type="text" value="" /> <input name="p
记一次bug 误导入com.sun.org.apache.xpath.internal.operations.String 引起的
RUIMENG061511332的博客
12-11 7455
在学习rabbit时,打印生产者导入的信息时,报错:   Caused by: org.springframework.messaging.converter.MessageConversionException: Cannot convert from [java.lang.String] to [com.sun.org.apache.xpath.internal.operations.St...
HashMap1.8 -- 红黑树 --完整代码和测试
weixin_43564728的博客
03-15 479
完整代码和测试 package 红黑树; import com.sun.org.apache.regexp.internal.RE; import org.omg.CORBA.UNKNOWN; import 二叉排序树.TwoTree; /** * 红黑树 K:key(必须是可比较的 可以自定义比较规则) V:value * *性质1:每个节点要么是黑色,要么是红色。 *性质2:根节点是黑色。 *性质3:每个叶子节点(NIL)是黑色。 *性质4:每个红色节点的两个子节点一定都是黑
SpringBoot+EHcache实现缓存
热门推荐
飞往天空的雨的博客
04-04 3万+
撰文背景公司开发中的一个驱动模块,需要用到本地缓存,来提高驱动模块的访问速度和性能,然后就想到了Ehcache缓存,Ehcache是Hibernate 中默认的CacheProvider,hibernate就是使用Ehcache来实现二级缓存的。本质上来说Ehcache是一个缓存管理器,不仅仅可以和Hibernate配合实现缓存,也可以和其他框架比如spring boot 结合,作为一个缓存管理器...
Java简单锁机制,synchronized死锁并解决
Dextrad_ihacker的博客
11-17 6777
下面例子有一定概率deadLockimport com.sun.org.apache.regexp.internal.RE;/** * Created by butter on 16/11/15. */class Resource{ private String name; private int resource; public Resource(String name,
Spring Boot 中使用shiro配置自定义过滤器
09-06
### 回答1: ...通过以上步骤,在Spring Boot中使用Shiro配置自定义过滤器就可以实现对特定请求的拦截和处理。在`CustomFilter`类的`doFilterInternal`方法中编写自定义的过滤器逻辑,例如鉴权、权限验证等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值