shiro整合springboot作为权限控制的学习

最新推荐文章于 2022-03-29 21:52:58 发布
最新推荐文章于 2022-03-29 21:52:58 发布
阅读量144 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35558665/article/details/96114728
版权

2019年7月16

最近在学习shiro关于权限控制这一块,对shiro理解了一些,有一部分知识点还没有弄清楚,先记录一部分的内容,之后会加以补充,直接上代码

1、pom.xm代码

<properties>
    <java.version>1.8</java.version>
    <mybatisplus.version>3.0.7.1</mybatisplus.version>
    <shiro.version>1.4.0</shiro.version>
</properties>
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>

    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>${shiro.version}</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>${shiro.version}</version>
    </dependency>
</dependencies>

 

2、ShiroConfig 配置文件,对拦截器的配置,自定义拦截类,也可以自定义记住密码类以及缓存类,这里面有一个坑,那就是SecurityManager类默认导入的类,有问题,需要自己引入import org.apache.shiro.mgt.SecurityManager;

OAuth2Realm类是自己定义的类,需要实现AuthorizingRealm

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro配置
 *
 * @author Mark sunlightcs@gmail.com
 */
@Configuration
public class ShiroConfig {

    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(oAuth2Realm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        Map<String, String> filterMap = new LinkedHashMap<>();
        //oauth过滤
        Map<String, Filter> filters = new HashMap<>();
        filters.put("oauth2", new OAuth2Filter());
        shiroFilter.setFilters(filters);
      /*  filterMap.put("/api/**", "roles[admin]");*/
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}
3、OAuth2Realm自定义类。重写用户身份认证方法和权限验证方法
@Component
public class OAuth2Realm extends AuthorizingRealm {
    @Autowired
    private ShiroService shiroService;
    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("————权限认证————");
        SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获得该用户角色
        Set<String> set = new HashSet<>();
        //需要将 role 封装到 Set 作为 info.setRoles() 的参数
        set.add("user");
        //设置该用户拥有的角色
        info.setRoles(set);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("————身份认证方法————");
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // 从数据库获取对应用户名密码的用户
        String userName = token.getUsername();
        SysUserEntity s = shiroService.getPassword(userName);
        if (null == s.getPassword()) {
            throw new AccountException("用户名不正确");
        } else if (! s.getPassword().equals(new String((char[]) token.getCredentials()))) {
            throw new AccountException("密码不正确");
        }
        return new SimpleAuthenticationInfo(token.getPrincipal(),  s.getPassword(), getName());
    }
}

4、自定义拦截类 ,在shiroConfig类中加入该拦截类,当需要走该拦截类时,会实现onAccessDenied方法

OAuth2Filter

 

5、其他工具类。可有可无,只是为了方便OAuth2Token 
public class OAuth2Token implements AuthenticationToken {
    private String token;

    public OAuth2Token(String token){
        this.token = token;
    }

    @Override
    public String getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

6、controller方法(登录的controller)==验证权限这一块,没走通,不知道为什么没有走验证权限这个方法,如果密码正确,则返回login方法里的return信息,如果密码不正确或者用户名不正确,则走身份验证方法的异常类,

if (null == s.getPassword()) {
    throw new AccountException("用户名不正确");
} else if (! s.getPassword().equals(new String((char[]) token.getCredentials()))) {
    throw new AccountException("密码不正确");
}

如果用户名不正确,用Postman跑接口时,会返回用户名不正确的信息,如果密码不正确,则返回密码不正确的信息。

@RestController
@RequestMapping("/api")
public class LoginController {

    @Autowired
    private ShiroService shiroService;
    @RequestMapping(value = "/notLogin", method = RequestMethod.GET)
    public String notLogin() {
        return "您尚未登陆!";
    }



    @RequestMapping(value = "/notRole", method = RequestMethod.GET)
    public String notRole() {
        return "您没有权限!";
    }



    @RequestMapping(value = "/logout", method = RequestMethod.GET)
    public String logout() {
        Subject subject = SecurityUtils.getSubject();
        //注销
        subject.logout();
        return "成功注销!";
    }



    /**
     * 登陆
     *
     * @param username 用户名
     * @param password 密码
     */

    @RequestMapping(value = "/login", method = RequestMethod.GET)
    @RequiresPermissions("generator:stuhonor:save")
    public String login(String username, String password) {
        // 从SecurityUtils里边创建一个 subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备 token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 执行认证登陆
        subject.login(token);
        System.out.println(subject.getPreviousPrincipals());
        System.out.println(subject.getPrincipal());//获取用户名
        System.out.println(subject.getPrincipals());//获取用户名
        subject.getSession().setAttribute("username",subject.getPrincipals());
        System.out.println(subject.getSession().getAttribute("username"));
        String role="admin";
        //根据权限,指定返回数据
        if ("user".equals(role)) {
            return "欢迎登陆";
        }
        if ("admin".equals(role)) {
         return "欢迎来到管理员页面";
        }
        return "权限错误!";
    }
}

 

胖小鱼
关注
终于用Java-SpringBoot+vue实现前后端分离信息管理系统设计,真的实用
q1472750149的博客
11-26 1845
前言: 当今社会,随着科学技术的发展,以及市场经济的多元化,使人才的流动速度大大增加,因此也对党建工作的管理层面工作带来了空前且复杂的挑战, 从而使得如何高效的开展管理党建工作成为了亟待解决的问题。为此将高速发展的信息科学技术引入到党建工作管理的应用中,力求合理有效的提升全面各项工作的进展,实现以人为本的科学发展思想和意识,是一种高效可实现的方法。 Java作为一种面向对象的、可以撰写跨平台应用软件的程序设计语言,其技术具有卓越的通用性、高效性、平台移植性以及安全性,如今已广泛应用于 PC、数...
springboot结合oauth2实现权限认证
qq_25460159的博客
09-28 2685
1.什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 2.优点 体积小、传输快 支持跨域授权,因为跨域无法共享cookie 分布
Shiro过滤器配置(ShiroFilterFactoryBean)
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
spring-boot项目shiro运行流程分析
reee112的博客
01-10 1230
  spring-boot框架 1.注入bean交由spring管理 项目debug可以看到,项目初始启动的时候,依次创建"sessionManager","securityManager","shiroFilter"对象交由spring管理 仔细看,是先创建了sessionManager,然后sessionManager为参数创建了securityManager,然后securityMa...
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5033
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
shiro整合SpringBoot
10-14
在 "shiro整合SpringBoot" 的过程中,我们需要关注以下几个核心知识点: 1. **Shiro 配置**: - 创建 `ShiroConfig` 类,用于配置 Shiro 过滤器链。在这里,我们将定义哪些 URL 需要通过 Shiro 进行拦截和处理。 ...
shiro整合springboot前后端分离
08-25
"shiro整合springboot前后端分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
Shiro整合springboot报错代码
06-18
Apache Shiro是一个强大且易用的Java安全框架,负责身份认证、授权(权限控制)、加密以及会话管理。它为开发人员提供了一种直观、简洁的方式来处理应用程序的安全性,而无需深入理解底层复杂的安全细节。 2. **...
权限管理(项目和源码):springbootshiro整合
11-02
本项目旨在帮助开发者理解和实践如何将Shiro框架与Spring Boot相结合,用于权限控制和用户认证。下面将详细介绍这个实践项目中的主要知识点。 1. **Spring Boot简介**: Spring Boot 是由 Pivotal 团队提供的全新...
Shiro整合springboot,freemaker,redis(含权限系统完整源码).zip
最新发布
09-17
【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛...
Shrio中添加自定义认证过滤器
wangdaoyin2010的专栏
03-29 665
1、添加自定义认证过滤器类 创建一个类继承与AuthenticatingFilter 2、在Shrio配置中配置ShiroFilterFactoryBean,在配置ShiroFilterFactoryBean的时候设置setFilters为过滤器。 注意:添加的自定义过滤器一定不能注入成bean,不然可能会发生No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.Thre
springboot Oauth2配置OAuth2AuthenticationProcessingFilter
huhanguang89的博客
05-23 1万+
工作中遇到一个比较蛋疼的情况,Oauth2人家的jar包封装的好好的,当access_token超时的时候,返回的是OAuth2Exception,格式是{"error":"invalid_request","error_description":"code:'401','msg'='Invalid access token'"}。可是公司其他和我对接的同事非要我统一所有的返回为code,msg。
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
filter java oauth_java – 带有自定义安全过滤器的Spring Boot OAuth2
weixin_31642733的博客
12-24 452
我有一个带有OAuth2授权和资源服务器的spring boot设置.用户可以通过向/ oauth / token发出POST请求来获取令牌.到现在为止还挺好.但是,我不想通过BASIC auth保护/ oauth / token,而是通过自定义安全过滤器.我尝试了以下内容,但从未调用过DemoAuthenticationFilter:@Configuration@EnableResourceSe...
在前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制
Little_fxc的博客
06-18 1万+
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制 在搭建完 spring-security-oauth2 整个微服务框架后,来了一个需求: 每个微服务都需要对访问进行鉴权,每个微服务应用都需要明确当前访问用户和他的权限。 auth 系统的主要功能是授权认证和鉴权。 授权认证已经完成,那么如何对用户的访问进行鉴权呢? 首先需要明确什么时候发生鉴权?...
shirofilter会自动添加CORS访问
kekefen01的博客
12-03 311
设置shiroFilter Map<String, Filter> filters = new HashMap<>(); filters.put("oauth2", new OAuth2Filter()); shiroFilter.setFilters(filters); Map<String, String> filterMap = new LinkedHashMap<>(); filte
【超详细】SpringBootShiro整合-权限管理实战实操(附源码地址)
丶自定义
04-02 9071
一、搭建SpringBoot开发环境 1. 安装好开发软件和Maven等 开发工具:Spring Tool Suite(TST) Maven :3.3.9。 jdk:1.8 2. 创建springboot项目(此功能需要联网) 3. pom.xml文件配置 <?xml version="1.0" encoding="UTF-8"?> <projec...
2020最新版Shiro教程,整合SpringBoot项目实战教程
拉格朗日的学习笔记
11-22 968
** 手敲不易,各位老板,打赏一下 ** 链接:https://pan.baidu.com/s/19_35wIZ5arhpZLPyXeEMoA 提取码:pjbg 复制这段内容后打开百度网盘手机App,操作更方便哦
shiro整合springboot
07-28
对于使用Shiro整合Spring Boot,你可以按照以下步骤进行操作: 1. 添加Shiro依赖:在你的Spring Boot项目的pom.xml文件中添加Shiro的依赖。你可以在Maven中央仓库中找到最新版本的Shiro依赖。 2. 配置Shiro:创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值