Spring Boot(六):集成Shiro实现权限控制

最新推荐文章于 2022-10-03 18:54:01 发布
最新推荐文章于 2022-10-03 18:54:01 发布
阅读量223 收藏 2
点赞数
分类专栏: Spring Boot Shiro 文章标签: shiro SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36182135/article/details/82837020
版权

Shiro是Apache旗下的一款产品,是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。Shiro在日常工作开发中并不少见,因为相较于Spring Security成熟但是复杂的开发体系而言,Shiro的上手只需要几天,而且在授权和验证的配置上比较简单。

  • Shiro整体架构

Shiro的整体架构如下图:

Subject:即“当前操作用户”。泛指当前操作的事务,不仅仅局限于“人”这一概念,可以使后台进程,账户等类似的,不过管理系统中,由于Shiro主要是做用户的授权和验证,所以可以粗略的人为Subjec为当前用户
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。

Shiro主要功能:

  • Authentication(认证):用户身份识别,通常被称为用户“登录”

  • Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。

  • Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。

  • Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。

介绍到此,开始进行项目实践

  • 引入依赖

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

  • 表结构设计

总共五张表:用户、角色、权限表以及用户角色关联表,角色权限关联表,如下图:

  • shiro配置

继承AuthorizingRealm这个类后,会要求重写两个方法,一个是授权,一个是验证。

@Configuration
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;

    /**
     * 授权
     *
     * @param principalCollection
     * @return authorizationInfo
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        User user = (User) principalCollection.getPrimaryPrincipal();
        for (Role role : user.getRoleList()) {
            authorizationInfo.addRole(role.getRoleName());
            for (Permission permission : role.getPermissionList()) {
                authorizationInfo.addStringPermission(permission.getPermission());
            }
        }
        return authorizationInfo;
    }

    /**
     * 验证
     *
     * @param authenticationToken
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = (String) authenticationToken.getPrincipal();
        //Shiro有时间间隔机制,2分钟内不会重复执行该方法
        User user = userService.getUserByUserName(username);
        if (user != null) {
            SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getUserPasswrod(), getName());
            return authenticationInfo;
        }
        return null;
    }
}

然后是Shiro的配置 ,注入完realm和securityManager后,编写过滤器栈。

@Configuration
public class ShiroConfig {
    @Bean
    public MyRealm myRealm() {
        MyRealm myRealm = new MyRealm();
        //如果有加密类操作,在这里执行
        return myRealm;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager(myRealm());
        return manager;
    }

    /**
     * 配置过滤器栈
     */
    @Bean
    public ShiroFilterFactoryBean filterFactoryBean() {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager());
        //使用LinkHashMap保证有序执行
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //anon:可匿名访问
        //authc:需要认证
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setLoginUrl("/login");
        shiroFilterFactoryBean.setSuccessUrl("/index");
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 开启权限注解支持
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean(name = "simpleMappingExceptionResolver")
    public SimpleMappingExceptionResolver simpleMappingExceptionResolver() {
        SimpleMappingExceptionResolver simpleMappingExceptionResolver = new SimpleMappingExceptionResolver();
        Properties mapping = new Properties();
        mapping.setProperty("DatabaseExpection", "databaseError");
        mapping.setProperty("UnauthorizedException", "403");
        simpleMappingExceptionResolver.setExceptionMappings(mapping);
        simpleMappingExceptionResolver.setDefaultErrorView("error");
        simpleMappingExceptionResolver.setExceptionAttribute("ex");
        return simpleMappingExceptionResolver;
    }

}

  • controller层及测试

@Controller
public class LoginController {

    @RequestMapping({"/", "/index"})
    public String index() {
        return "/index";
    }

    @RequestMapping("/login")
    public String login(HttpServletRequest request, Map<String, Object> map) {
        String exception = (String) request.getAttribute("shiroLoginFailure");
        String msg = "";
        if (exception != null) {
            if (UnknownAccountException.class.getName().equals(exception)) {
                msg = "账号不存在";
            } else if (IncorrectCredentialsException.class.getName().equals(exception)) {
                msg = "密码错误";
            } else {
                msg = "其他错误" + exception;
            }
        }
        map.put("msg", msg);
        return "/login";
    }

    @RequestMapping("/403")
    public String unAuthorizedRole() {
        return "403";
    }

}

@Controller
@RequestMapping("user")
public class UserController {
    /**
     * 用户查询
     */
    @RequestMapping("/userList")
    @RequiresPermissions("user:view")
    public String userInfo() {
        return "userInfo";
    }

    /**
     * 用户添加;
     */
    @RequestMapping("/userAdd")
    @RequiresPermissions("user:add")
    public String userAdd() {
        return "userAdd";
    }

    /**
     * 用户删除;
     */
    @RequestMapping("/userDel")
    @RequiresPermissions("user:del")
    public String userDel() {
        return "userDel";
    }
}

访问:http://localhost:8080/login 显示登录界面

进去后根据不同的路径返回不同的结果

本文demo地址:https://github.com/hong52ni/SpringBoot-Demo-Aggregate

方木丶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot整合shiro实现权限管理
brsmsg的博客
08-05 212
接着之前的项目进行开发 先往项目中导入maven依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> <dependency> <groupId>org.ap
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
主要给大家介绍了关于Spring Boot集成Shiro实现动态加载权限的完整步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring BootShiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring BootShiro整合实现用户认证; Spring BootShiro整合实现用户授权; thymeleaf和shiro标签整合使用。
Springboot 整合shiro实现权限控制
qq_40699540的博客
11-02 347
Springboot 整合shiro实现权限控制 Author:jeffrey Date:2019-04-08 一、开发环境: 1、mysql - 5.7 2、navicat(mysql客户端管理工具) 3、idea 2017.2 4、jdk8 5、tomcat 8.5 6、springboot2.1.3 7、mybatis 3 8、shiro1.4 9、maven3.3.9 二、数据库设计 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CB46ByC1-1604249108
SpringBoot整合Shiro实现用户权限管理
LioSamson
03-19 277
核心API: Subject:用户主体(把操作交给SecurityManager) SecurityManager:安全管理器(关联Realm) Realm:Shiro连接数据的桥梁(从数据库中获取数据) Shiro内置过滤器: anon:无需认证(登录)可以访问 authc:必须认证才可以访问 user:如果使用RememberMe的功能可以直接访问 perms:该资源必须得到资源权限才可...
spring boot 集成 shiro权限控制框架
luhaichuan88的博客
01-19 450
本文主要是使用spring boot 集成shiro 实现shiro-spring-boot-starter 1、首先创建相关配置文件有两个ShiroProperties,JwtProperties package com.shiro.sdk.properties; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.boot.context...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能...
Spring BootShiro实现权限管理
11-12
**Spring Boot集成Shiro** 集成ShiroSpring Boot项目中,首先需要在pom.xml文件中添加Shiro和相关依赖。然后,创建Shiro的配置类,定义 Realm(领域对象)以处理用户认证和授权。 Realm通常会连接数据库,根据...
SpringBoot系列 - 集成Shiro权限管理
weixin_44981498的博客
06-21 146
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可
SpringBoot学习】30、SpringBoot 集成 Shiro 实现权限管理
Tellsea
11-29 453
文章目录SpringBoot 集成 Shiro 实现权限管理RBAC 设计模式跟着大佬学Shiro微信公众号 SpringBoot 集成 Shiro 实现权限管理 RBAC 设计模式 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成 用户—角色—资源 的授权模型。在这种模型中,用户与角色之间,角色与权限之间,权限与资源之间一般是多对多的关系。 跟着大佬学Shiro 这里
SpringBoot 整合 shiro 前后端分离
爱码猿的博客
06-28 761
SpringBoot 整合 shiro 前后端分离 最近看了个 github 的开源项目,里面就使用到了shiro实现前后端分离权限认证,写的挺好的,并且现在也刚刚学完Vue,就那这个项目练练手了。我会将写这个项目的经验分享出来。 虽然自己还很菜,当仍在努力中!! 附那个github的开源项目的地址:https://github.com/zykzhangyukang/Xinguan 1.导入依赖,编写工具类 Mavne 依赖 <!-- 前后端分离 采用 jwt生成token--> .
springboot + shiro 实现登录认证和权限控制
weixin_33908217的博客
04-23 173
前言 这段时间在学习springboot,在spring security和shiro中选择了shiro,原因就是shiro学习成本比较低,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,,而且粗粒度也可以根据需要来定制,所以使用小而简单的Shiro就足够了。本文主要参考了z77z的SpringBoot+shiro整合学习之登录认证和权限控制 源码项...
Springboot整合shiro(及yaml配置形式)
web13985085406的博客
04-26 951
1.shiro是什么 Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: 1. Subject:主体,一般指用户。 2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) 3. Realms:用于进行权限
springboot-shiro-jwt-redis实现用户登录的认证与授权(前后端分离)需要有一定shiro、jwt、redis、springboot基础
qq_50518856的博客
04-30 1396
shiro-jwt-redis实现后端认证授权工作
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
spring boot 集成shiro(用户授权和权限控制)
xiaogc_a的博客
09-08 966
(1) pom.xml中添加Shiro依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;version&gt;1.4.0&lt;/version&gt; &lt;/d
springboot整合shiro实现简单权限控制
听钱塘信来的博客
10-03 6759
springboot整合shiro实现简单权限控制
shiro授权流程分析
qiuxinfa123的博客
04-05 280
上一篇博客,写了shiro认证流程分析 ,shiro主要功能是认证和授权,接下来,看看授权是如何进行的,既然要授权,当然会执行我们自定义的授权方法,所以在授权方法打个断点看看情况,当访问需要角色或者权限的接口时,就会来到授权方法(这里暂时不考虑缓存的因素,可以看做是第一次请求): 我们看一下方法调用栈: 可以看到控制器AdminController是C...
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 5699
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
Spring Boot整合Shiro搭建权限管理系统 (2).docx
最新发布
11-28
"本文档详细介绍了如何在Spring Boot项目中整合Shiro来构建一个...总结来说,本文档是一份全面的指南,从Spring Boot基础到深入Shiro权限管理的实践,适合希望在Spring Boot项目中集成Shiro权限管理的开发人员参考。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方木丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值