SpringBoot+shiro+jwt实现根据链接中参数进行权限控制

最新推荐文章于 2024-07-24 10:31:44 发布
最新推荐文章于 2024-07-24 10:31:44 发布
阅读量673 收藏 2
点赞数
分类专栏: SpingBoot 笔记 文章标签: spring boot shiro jwt
本文为博主原创文章,未经博主允许不得转载。---by chen
本文链接:https://blog.csdn.net/qq_33637730/article/details/105472851
版权

实现思路:

doGetAuthorizationInfo中根据token获取到用户信息,从数据库中联合查询到可以访问的文章类型id,添加到用户权限中,isAccessAllowed中获取用户访问链接中的参数,调用

subject.isPermitted(id);

判断是否拥有该权限。

注意点:subject.isPermitted(id)调用前一定要先调用subject.login(token);方法,不然在isPermitted时不会进行授权

注意点:subject.isPermitted(id)调用前一定要先调用subject.login(token);方法,不然在isPermitted时不会进行授权

重点代码 :

自定义过滤器,重写

isAccessAllowed

自定义realm,重写

doGetAuthorizationInfo

我需要根据链接参数不同进行授权,就是通过这种方法的。

public class CustomRealm extends AuthorizingRealm

下面是授权代码

    /**
     * 获取权限
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        logger.info("开始鉴权------------doGetAuthorizationInfo");
        User user = (User) principalCollection.getPrimaryPrincipal();

        List<String> userRoles = new ArrayList<String>();
        Set<String> categoryIds = new HashSet<>();
        QueryWrapper queryUserWrapper = new QueryWrapper();
        queryUserWrapper.eq("uuid",user.getUuid());
        user = userService.getOne(queryUserWrapper);
        if(null != user){

            Ugroup ugroup = ugroupService.getById(user.getGroupId());

            userRoles.add(ugroup.getName());

            QueryWrapper queryWrapper = new QueryWrapper();
            queryWrapper.eq("idx_group_id",ugroup.getId());
            List<GroupCategory> groupCategories = groupCategoryService.list(queryWrapper);
            if (groupCategories.size() > 0){
                for (GroupCategory groupCategory : groupCategories){
                    categoryIds.add(groupCategory.getCategoryId().toString());
                }
            }

        }else{
            throw new AuthorizationException();
        }
        //为当前用户设置角色和权限
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRoles(userRoles);
        authorizationInfo.addStringPermissions(categoryIds);
        return authorizationInfo;
    }

过滤器中重写isAccessAllowed

public class JWTFilter extends AuthorizationFilter {
 ...
 @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        logger.info("-----isAccessAllowed----");
        if (isLoginAttempt(request, response)) {
            try {
                executeLogin(request, response);
            } catch (Exception e) {
                response401(response);
            }
        }

        String id =  request.getParameter("id");
        Subject subject = getSubject(request,response);

        boolean flag = subject.isPermitted(id);
        return  flag;
    }
    ...
}

 

下面贴上全部代码

CustomRealm.java

package com.zyc.shiro;


import com.baomidou.mybatisplus.core.conditions.Wrapper;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.zyc.constant.CommonConstant;
import com.zyc.dao.GroupCategoryMapper;
import com.zyc.dao.UgroupMapper;
import com.zyc.entity.GroupCategory;
import com.zyc.entity.Ugroup;
import com.zyc.entity.User;
import com.zyc.redis.JwtRedisDAO;
import com.zyc.service.GroupCategoryService;
import com.zyc.service.UgroupService;
import com.zyc.service.UserService;
import com.zyc.util.JWTUtils;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.*;

/**
 * 鉴权
 */
public class CustomRealm extends AuthorizingRealm {

    static Logger logger = LoggerFactory.getLogger(CustomRealm.class);

    @Autowired
    private UgroupService ugroupService;

    @Autowired
    private GroupCategoryService groupCategoryService;

    @Autowired
    private UserService userService;

    @Autowired
    private JwtRedisDAO jwtRedisDAO;



    /**
     * 必须重写此方法,不然Shiro会报错
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    /**
     * 获取权限
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        logger.info("开始鉴权------------doGetAuthorizationInfo");
        User user = (User) principalCollection.getPrimaryPrincipal();

        List<String> userRoles = new ArrayList<String>();
        Set<String> categoryIds = new HashSet<>();
        QueryWrapper queryUserWrapper = new QueryWrapper();
        queryUserWrapper.eq("uuid",user.getUuid());
        user = userService.getOne(queryUserWrapper);
        if(null != user){

            Ugroup ugroup = ugroupService.getById(user.getGroupId());

            userRoles.add(ugroup.getName());

            QueryWrapper queryWrapper = new QueryWrapper();
            queryWrapper.eq("idx_group_id",ugroup.getId());
            List<GroupCategory> groupCategories = groupCategoryService.list(queryWrapper);
            if (groupCategories.size() > 0){
                for (GroupCategory groupCategory : groupCategories){
                    categoryIds.add(groupCategory.getCategoryId().toString());
                }
            }

        }else{
            throw new AuthorizationException();
        }
        //为当前用户设置角色和权限
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRoles(userRoles);
        authorizationInfo.addStringPermissions(categoryIds);
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) {
        logger.info("CustomRealm------------------doGetAuthenticationInfo");
        Map claims = JWTUtils.getClaims(CommonConstant.JWT_SECRET, (String) authenticationToken.getPrincipal());

        if (claims == null) {
            //没找到帐号
            throw new UnknownAccountException();
        }

        String uuid = (String) claims.get("uuid");
        QueryWrapper queryWrapper = new QueryWrapper();
        queryWrapper.eq("uuid",uuid);
        User user = userService.getOne(queryWrapper);
        //logger.info(user.toString());
        if(null == user){
            throw new UnknownAccountException();
        }

        String token = jwtRedisDAO.get(CommonConstant.ADMIN_JWT_PREFIX + uuid);
        //logger.info("token {}", authenticationToken.getPrincipal());
        if (token == null || !token.equals(authenticationToken.getPrincipal())) {
            throw new AuthorizationException();
        }

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,可以自定义实现
        return new SimpleAuthenticationInfo(
                //用户信息
                user,
                authenticationToken.getPrincipal(),
                //realm name
                getName()
        );

    }

}

JWTFilter.java

package com.zyc.shiro;

import com.alibaba.fastjson.JSON;
import com.zyc.exception.enums.ErrorEnums;
import com.zyc.vo.RestResult;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

public class JWTFilter extends AuthorizationFilter {

    private static Logger logger = LoggerFactory.getLogger(JWTFilter.class);

    /**
     * 判断用户是否想要登入。
     * 检测header里面是否包含Authorization字段即可
     */
    //@Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        logger.info("-----isLoginAttempt----");
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader("Authorization");
        return authorization != null;
    }

    /**
     * 实现用户登录
     */
    //@Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        logger.info("-----executeLogin----");

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String authorization = httpServletRequest.getHeader("Authorization");

        JWTToken token = new JWTToken(authorization);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        getSubject(request, response).login(token);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

    /**
     * 该注释并非现在方法的注释,是以前版本的,不要受影响,写在这里只是提醒还有其他写法
     *
     * 这里我们详细说明下为什么最终返回的都是true,即允许访问
     * 例如我们提供一个地址 GET /article
     * 登入用户和游客看到的内容是不同的
     * 如果在这里返回了false,请求会被直接拦截,用户看不到任何东西
     * 所以我们在这里返回true,Controller中可以通过 subject.isAuthenticated() 来判断用户是否登入
     * 如果有些资源只有登入用户才能访问,我们只需要在方法上面加上 @RequiresAuthentication 注解即可
     * 但是这样做有一个缺点,就是不能够对GET,POST等请求进行分别过滤鉴权(因为我们重写了官方的方法),但实际上对应用影响不大
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        logger.info("-----isAccessAllowed----");
        if (isLoginAttempt(request, response)) {
            try {
                executeLogin(request, response);
            } catch (Exception e) {
                response401(response);
            }
        }

        String id =  request.getParameter("id");
        Subject subject = getSubject(request,response);

        boolean flag = subject.isPermitted(id);
        return  flag;
    }

    /**
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        logger.info("-----preHandle----");

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", httpServletRequest.getMethod());
        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));

        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return true;
        }
        return super.preHandle(request, response);
    }

    /**
     * onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回 true 表示需要继续处理;如果返回 false 表示该拦截器实例已经处理了,将直接返回即可。
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) {
        logger.info("当 isAccessAllowed 返回 false 的时候,才会执行 method onAccessDenied ");

        try {
            HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
            RestResult result = new RestResult();
            result.setCode(ErrorEnums.PERMISSION_DENIED.getCode());
            result.setMsg(ErrorEnums.PERMISSION_DENIED.getMsg());
            httpServletResponse.setContentType("application/json;charset=UTF-8");
            PrintWriter out = httpServletResponse.getWriter();
            out.print(JSON.toJSONString(result));
            out.flush();
            out.close();
        } catch (IOException e) {
            logger.error(e.getMessage());
        }

        // 返回 false 表示已经处理,例如页面跳转啥的,表示不在走以下的拦截器了(如果还有配置的话)
        return false;
    }

    /**
     * 非法请求返回code401
     */
    private void response401(ServletResponse resp) {
        logger.info("-----response401----");

        try {
            HttpServletResponse httpServletResponse = (HttpServletResponse) resp;

            RestResult result = new RestResult();
            result.setCode(ErrorEnums.TOKEN_MISS.getCode());
            result.setMsg(ErrorEnums.TOKEN_MISS.getMsg());
            httpServletResponse.setContentType("application/json;charset=UTF-8");
            PrintWriter out = httpServletResponse.getWriter();
            out.print(JSON.toJSONString(result));

            out.flush();
            out.close();
        } catch (IOException e) {
            logger.error(e.getMessage());
        }
    }
}

JWTToken.java

package com.zyc.shiro;

import org.apache.shiro.authc.AuthenticationToken;

public class JWTToken implements AuthenticationToken {

    private String token;

    public JWTToken(String token) {
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return getPrincipal();
    }
}

ShiroConfigurer.java

package com.zyc;

import com.zyc.shiro.*;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.ModularRealmAuthorizer;
import org.apache.shiro.authz.permission.PermissionResolver;
import org.apache.shiro.authz.permission.RolePermissionResolver;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import java.util.*;

@Configuration
public class ShiroConfigurer {

    private static final Logger logger = LoggerFactory.getLogger(ShiroConfigurer.class);

    /**
     * Shiro的Web过滤器Factory 命名:shiroFilter<br />
     *
     * @param securityManager
     * @return
     */
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        logger.info("注入Shiro的Web过滤器-->shiroFilter {}", ShiroFilterFactoryBean.class);
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面
        // shiroFilterFactoryBean.setLoginUrl("/login")
        // 登录成功后要跳转的连接,逻辑也可以自定义,例如返回上次请求的页面
        // shiroFilterFactoryBean.setSuccessUrl("/index")
        // 用户访问未对其授权的资源时,所显示的连接
        // shiroFilterFactoryBean.setUnauthorizedUrl("/pages/403")
        /* 定义shiro过滤器,例如实现自定义的FormAuthenticationFilter,需要继承FormAuthenticationFilter
         **本例中暂不自定义实现,在下一节实现验证码的例子中体现
         */

        /*定义shiro过滤链  Map结构
         * Map中key(xml中是指value值)的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的
         * anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种
         * authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter
         */
        // 添加自己的过滤器并且取名为jwt
        Map filterMap = new HashMap();
        filterMap.put("jwt", new JWTFilter());
        shiroFilterFactoryBean.setFilters(filterMap);


        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了

        // <!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        // filterChainDefinitionMap.put("/webui/**", "anon")
        // filterChainDefinitionMap.put("/webjars/**", "anon")
        //filterChainDefinitionMap.put("/sys/login", "anon");
        //filterChainDefinitionMap.put("/sys/logout", "anon");
        //filterChainDefinitionMap.put("/token/callback", "anon");
        //filterChainDefinitionMap.put("/dist", "anon");
        //filterChainDefinitionMap.put("/download/excel", "anon");
        //登陆相关api不需要被过滤器拦截
        filterChainDefinitionMap.put("/user/login", "anon");
        filterChainDefinitionMap.put("/**", "authc");
        // 所有请求通过JWT Filter
        filterChainDefinitionMap.put("/**", "jwt");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

    @Bean
    public JWTFilter jwtFilter() {
        return new JWTFilter();
    }

    /**
     * Shiro Realm 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户登录的类为自定义的
     *
     * @param
     * @return managerRealm
     */
    @Bean
    public CustomRealm userRealm() {
        CustomRealm userRealm = new CustomRealm();
        // 告诉realm,使用credentialsMatcher加密算法类来验证密文
        // userRealm.setCredentialsMatcher(hashedCredentialsMatcher())
        userRealm.setCachingEnabled(false);
        //自定义权限解析器
        return userRealm;
    }

    /**
     * 不指定名字的话,自动创建一个方法名第一个字母小写的bean
     *
     * @return
     * @Bean(name = "securityManager")
     */
    @Bean
    public SecurityManager securityManager() {
        logger.info("注入Shiro的Web过滤器-->securityManager {}", ShiroFilterFactoryBean.class);
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        // 关闭自带session
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        return securityManager;
    }


    /**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     * 所以我们需要修改下doGetAuthenticationInfo中的代码;
     * )
     * 可以扩展凭证匹配器,实现 输入密码错误次数后锁定等功能,下一次
     *
     * @return
     */
    @Bean(name = "credentialsMatcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("SHA-512");
        //散列的次数,比如散列两次,相当于 md5(md5(""))
        hashedCredentialsMatcher.setHashIterations(2);
        //storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
        return hashedCredentialsMatcher;
    }

    /**
     * Shiro生命周期处理器
     *
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     *
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        advisorAutoProxyCreator.setUsePrefix(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }

}

pom.xml

<!--aop-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>
<!--jwt-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>
<!-- Shiro-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

 赞

 

会飞的鱼__
关注
专栏目录
Springboot 集成Shiro自定义Filter
坤哥的博客
11-25 1万+
网上自定义Filter的实现很多,这里我提供一种Springboot在代码实现Shiro提供的Filter我这里不一一介绍了,一般基于web会话的都是使用authc(这是FormAuthenticationFilter)。根据我无状态的登陆需求,选择了AccessControlFilter,网上也有说这个是最被广泛使用的,具体还是看自己需求吧。Filter代码:/** * @author C
SpringBoot+shiro+redis+jwt .zip
01-03
这个项目实例将帮助开发者理解如何在`SpringBoot`集成`Shiro`、`JWT`和`Redis`,实现一套完整的鉴权流程。通过对这些组件的实践,开发者可以更深入地掌握Web安全管理和分布式系统的身份验证策略。
JWTShiro框架认证与授权详解
weixin_60414376的博客
01-29 4137
一)JWTShiro基础: 1、单点登录: 了解JWT之前,我们先了解一下JWT的最多应用场景----单点登录。 图有四个系统,sso只有登录的功能,1系统处理订单,2系统处理购物车,3系统处理用于数据的。如果没有单点登录,管理者就需要登录4次系统输入4次用户名和密码,这就导致我们要输入很多次用户名和密码。于是出现了单点登录,只需要在sso登录一次,然后所有与其绑定的信任系统都不用再次登录就可以使用。 再举一个简单的例子,淘宝和天猫是两个相互信任的系统,你会发现当你登录了天猫或者淘宝之后另一
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
基于JWTShiro 做接口权限认证
最新发布
ewii12567的博客
07-24 1164
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Spring 整合 Apache Shiro 实现各等级的权限管理
web13985085406的博客
04-25 276
Spring 整合 Apache Shiro 实现各等级的权限管理 2015-10-25 JAVA, SECURITY, SHIRO, SPRING Background 前几个月在做一个常规的权限隔离功能的时候,恰好使用过Apache Shiro. Apache Shiro 是一款Java的安全框架,通常用作Web应用的权限校验,身份验证. Apache Shiro is a powerful and easy-to-use Java security framework that performs a
创建权限对象、角色、并分配角色_SAP刘梦_新浪博客
森林木的博客
11-04 3786
因为本人账号没有那么大权限,借了头头的账号,做了此博客 整体步骤: 一、SU20:维护权限字段 二、SU21创建权限对象,分配权限字段: 三、SU24关联程序和自建权限对象(标准tcode会默认存在标准权限对象) 四、PFCG创建角色 五、SU01给用户分配角色 一、su20:维护权限字段 点新建: 填入需要控制的字段名称和数据元素 下面的 表名,主要是为了生成搜索帮助使用 ...
Shiro权限控制(七):Spring整合Shiro权限控制综合实践-按钮层级-超详细
kity9420的专栏
10-13 2350
前言 本文是Spring整合Shiro进行细粒度权限控制的综合实训,主要内容包括: 一、Spring引入Shiro框架 二、Shiro登录控制 三、权限表设计 四、服务权限配置 五、自定义标签控制页面(HTML)按钮权限 开始正文之前,先介绍一下我的工程环境:Spring+Spring MVC+Mybatis+MySql+Maven,下面从Spring引入Shiro框架开始本文的介绍 一、S...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
总结起来,这个项目通过Shiro进行用户身份认证和权限管理,JWT提供了无状态的身份表示,SpringBoot作为核心框架集成各个组件,MySQL存储用户和权限数据,而Redis利用Jedis实现JWT的安全存储和快速访问。这样的设计既...
SpringBoot集成ShiroJwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目集成ShiroJwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
基于SpringBoot+Shiro+JWT+Redis 小R商城 后台管理系统 的后端项目.zip
04-22
基于SpringBoot+Shiro+JWT+Redis+MongoDb+Mysql 进行实现的 主要包括 装修页面、商品管理、订单管理、活动管理、优惠券管理、权限管理等 MySQL 是一款广受欢迎的开源关系型数据库管理系统(RDBMS),由瑞典MySQL AB...
shiro使用自定义filter后,anon不生效解决方案
m0_67391683的博客
08-30 2269
参考:https://stackoverflow.com/questions/51552021/adding-custom-filter-apache-shiro-spring-boot。使用了LinkedHashMap,但配置了anon的接口还是会通过JwtFilter。改写后 配置了anon的接口不会再通过jwtFilter。
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter抛出的异常
weixin_43344930的博客
08-09 5110
springboot+shiro+jwt全局异常处理器无法处理JWTFilter抛出的异常一、shiro会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response2、使用重定向到处理该错误的controller 一、shiro会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro在登录认
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8918
文章目录一、前情提要二、整合ShiroJWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类三、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
SSM + Shiro 整合 (5)- 自定义过滤器及权限解析器、介绍权限匹配流程
热门推荐
李威威的博客
09-25 1万+
关于 Shiro权限匹配器和过滤器上一节,我们实现了自定义的 Realm,方式是继承 AuthorizingRealm 这个抽象类,分别实现认证的方法和授权的方法。这一节实现的代码的执行顺序 1、过滤器,在过滤器执行 Subject 对象的判断是否具有某项权限的方法 isPermitted() 传入某一个跟当前登录对象相关的特征值(这里是登录对象正在访问的 url 连接) 2、程序到自定义
SpringBoot+Shiro+JWT实现授权
帅帅气气的黑猫警长
09-03 1354
SpringBoot+JWT+Shiro实现前后端分离的授权
Shiro + JWT + Spring Boot Restful 简易教程
Java知音
04-17 1260
作者:Smith-Cruisegithub.com/Smith-Cruise/Spring-Boot-Shiro特性完全使用了 Shiro 的注解配置,保持高度的灵活性。放弃 Cooki...
shiro认证时拦截器的isAccessAllowed和onAccessDenied执行流程
zwj1030711290的CSDN
09-28 1698
执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 在使用Shiro框架的时候所有的请求经过过滤器都会来到此onPreHandle方法 isAccessAllowed:判断是否登录 在登录的情况下会走此方法,此方法返回true直接访问控制器 onAccessDenied:是否是拒绝登录 没有登录的情况下会走此方法 如果isAccessAllowed方法返回True,
SpringBoot+Shiro前后端分离项目通过JWT实现自动登录
asing1elife's blog
09-10 4925
SpringBoot+Shiro前后端分离项目通过JWT实现自动登录 虽然 Shiro 本身可以支持扩展 RememberMe 功能,但仅限于传统项目 因为 Shiro 的用户信息是基于 Session 进行管理,在前后端分离的项目无法实现 Session 状态的前后统一 所以本文通过 JWTShiro 原生的 Session 控制进行替换,从而实现用户信息的前后传递及...
springboot+shiro+jwt获取当前登录用户
09-01
Spring Boot使用ShiroJWT获取当前登录用户,可以按照以下步骤进行: 1. 配置ShiroJWT:在Spring Boot的配置文件配置ShiroJWT,包括配置Shiro的Realm、SessionManager和SecurityManager,以及配置JWT的密钥、过期时间等参数。 2. 创建ShiroRealm:继承Shiro的AuthorizingRealm类,重写doGetAuthenticationInfo和doGetAuthorizationInfo方法,用于验证用户身份和获取用户权限信息。 3. 创建JWT工具类:实现生成JWT、解析JWT和验证JWT的方法。 4. 创建登录接口:在登录接口,验证用户的身份和密码是否正确,并生成JWT返回给客户端。 5. 创建获取当前登录用户接口:在需要获取当前登录用户的接口,从请求头或请求参数获取JWT,并解析JWT获取用户信息。 6. 配置Shiro的过滤链:在Spring Boot的配置类配置Shiro的过滤链,将需要验证用户身份的接口配置为需要登录认证。 7. 编写前端代码:在前端页面,发送登录请求获取JWT,并在需要获取当前登录用户的地方带上JWT发送请求。 总结:通过配置ShiroJWT,重写ShiroRealm,创建JWT工具类,并在登录和获取用户接口进行相关操作,可以实现Spring Boot使用ShiroJWT获取当前登录用户的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值