shiro

最新推荐文章于 2023-07-11 20:42:20 发布
最新推荐文章于 2023-07-11 20:42:20 发布
阅读量219 收藏
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37012236/article/details/106665968
版权

shiro很适合用来解决登录认证与权限控制

shiro就是过滤器做请求拦截,拦截url,redis里面存session,代表是支持分布式的,

session是用户信息,

依赖如下:

        <!-- shiro插件 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.2</version>
        </dependency>
        <!-- shiro+redis缓存插件 -->
        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>2.4.2.1-RELEASE</version>
        </dependency>

搭建步骤:

现在主流是和SpringBoot项目整合

@Configuration
public class ShiroConfig {
    
    @Value("${shiro.session.timeout}")
    private Long globalSessionTimeout;
    
    @Value("${spring.redis.host}")
    private String redisHost;
    
    @Value("${spring.redis.port}")
    private Integer redisPort;
    
    @Autowired
    private OnsAppService appService;
    
    
    //@Bean
    public TokenFilter tokenFilter(){
        TokenFilter f=new TokenFilter();
        return f;
    };
    
    public FeignSimpleFilter feignSimpleFilter() {
        return new FeignSimpleFilter();
    }
    
    //@Bean
    public SignatureFilter signatureFilter(){
        return new SignatureFilter();
    };
    //@Bean
    private ApiFilter apiFilter(){
        ApiFilter a=new ApiFilter();
        a.setAppService(appService);
        return a;
    }
    
    
    @Bean
    public ShiroDBRealm shiroDBRealm(){
        return new ShiroDBRealm();//此处自己实现了shiro的认证方法,后续有介绍
    };
    
    @Bean
    public DefaultWebSecurityManager securityManager(){
        DefaultWebSecurityManager d=new DefaultWebSecurityManager();
        d.setSessionManager(sessionManager());
        d.setRealm(shiroDBRealm());
        d.setCacheManager(cacheManager());
        return d;
    }
    
    public CacheManager cacheManager(){
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }
    
    @Bean
    public DefaultWebSessionManager sessionManager(){
        DefaultWebSessionManager dwsm=new DefaultWebSessionManager();
        dwsm.setGlobalSessionTimeout(globalSessionTimeout);
        //dwsm.setGlobalSessionTimeout(6000);
        dwsm.setSessionDAO(redisSessionDAO());
        dwsm.getSessionIdCookie().setName("JSID");
        return dwsm;
    }
    
    @Bean
    public RedisSessionDAO redisSessionDAO(){
        RedisSessionDAO rs=new RedisSessionDAO();
        rs.setRedisManager(redisManager());
        return rs;
    }
    
    
    @Bean
    public RedisManager redisManager(){
        RedisManager rm=new RedisManager();
        rm.setHost(redisHost);
        //rm.setExpire(globalSessionTimeout.intValue()/1000);
        rm.setExpire(60);
        rm.setPort(redisPort);
        return rm;
    }
    
    @Bean
    public ShiroFilterFactoryBean shiroFilter(){
        ShiroFilterFactoryBean sff=new ShiroFilterFactoryBean();
        sff.setSecurityManager(securityManager());
        sff.setLoginUrl("/login");
        sff.setSuccessUrl("/home");
        sff.setUnauthorizedUrl("/login");
        Map<String,Filter> filters=new HashMap<>();
        //filters.put("tkf", tokenFilter());
        filters.put("snf", signatureFilter());
        filters.put("af", apiFilter());
        filters.put("feignFilter", feignSimpleFilter());
        

        ItsmSpiFilter a = new ItsmSpiFilter();
//        a.setAppService(appService);
        filters.put("spi", a);
        RestTokenFilter restTokenFilter = new RestTokenFilter();
        filters.put("rest", restTokenFilter);
        
        sff.setFilters(filters);
        Map<String,String> filterChain = new LinkedHashMap<>();
        
        filterChain.put("/favicon.ico", "anon");
        filterChain.put("/login", "anon");
        filterChain.put("/updatePwd", "anon");
        filterChain.put("/toLogin", "anon");
        filterChain.put("/captcha.png", "anon");
        filterChain.put("/logout", "logout");
        filterChain.put("/static/**", "anon");
        filterChain.put("/forgetPwd/**", "anon");
        filterChain.put("/cxf/**", "anon");
        filterChain.put("/ras-itsm/authentication", "anon");
        
        filterChain.put("/ras-itsm/**", "anon,af");
        filterChain.put("/pocOrderApi/**", "anon");
        filterChain.put("/itsm-spi/**", "anon,spi");
        
        //filterChain.put("/ras-itsm/**", "anon");
        
        filterChain.put("/itsm-spi/v1/**", "anon,snf");
        filterChain.put("/weixin/**", "anon");
        filterChain.put("/rmsPern/valiDate*", "anon");
        filterChain.put("/rmsPern/registerUser.do", "anon");
        filterChain.put("/rmsPern/emailConfirmUser", "anon");
        filterChain.put("/rmsPern/itsm/savePerson", "anon");
        filterChain.put("/api/oauth2/**", "anon");
        filterChain.put("/api/**", "anon,af");
        filterChain.put("/syncData/**", "anon,af");
        filterChain.put("/restApi/getToken", "anon");
        //filterChain.put("/restApi/**", "anon");
        filterChain.put("/restApi/**", "anon");

        filterChain.put("/org/queryOrgBranchListByCost", "anon,feignFilter");
        filterChain.put("/feign/**", "anon,feignFilter");


        filterChain.put("/**", "authc");
        sff.setFilterChainDefinitionMap(filterChain);
        
        return sff;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
    @Bean
    public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }

shiro的redisMangeer对session和权限数据的缓存时长都有影响,当我们刷新页面session的缓存有效时长会刷新为最长时效,但是权限数据缓存不会随之刷新,权限数据缓存到期后,session时间若没有失效则会自动重新加载权限数据到缓存中,若session失效则需要重新登录,登录完成后session与权限的过期时间全部更新为最新时效

配置类中的Realm

查询出用户信息与用户角色权限信息

public class ShiroDBRealm extends AuthorizingRealm {

    private Logger log = LoggerFactory.getLogger(ShiroDBRealm.class);
    
    
    @Autowired
    private UserService userService;
    @Autowired
    private SysResourceService sysResourceService;
    @Autowired
    private StringRedisTemplate stringTpl;
    @Autowired
    private OAuthService oauthService;

    //功能权限中更改的部分在这能查出来,系统权限和项目权限都加到了info中
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Set<String> roles = new HashSet<String>();
        Set<String> permissions = new HashSet<String>();
        SysUser user = (SysUser) principals.getPrimaryPrincipal();
        log.info("用户 :account:[{}],userId:[{}] 进行权限认证 !", user.getAccount(), user.getId());
        List<SysRole> sysRoles = userService.getUserRoles(user.getId());
        for (SysRole r : sysRoles) {
            roles.add(r.getRoleCode());
            List<SysResource> sysResources = userService.getRoleResourcese(r.getRoleId());
            log.info("用户 :权限:[{}] 进行权限认证 !", sysResources.stream().map(it -> it.getCode()).collect(Collectors.toList()));
            for (SysResource re : sysResources) {
                permissions.add(re.getCode());
            }
        }
        info.addRoles(roles);
        info.addStringPermissions(permissions);

        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
        List<Map<String, Object>> menus = null;
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        //SysUser user = userService.getUserByName(token.getUsername());
        
        String password = String.valueOf(token.getPassword());
        String client=token.getHost()==null?Project.UNKNOW.name():token.getHost();
        SysUser user=oauthService.authUsers(token.getUsername(), password, client);
        
        user.setPassword(password);
        SimpleAuthenticationInfo sai = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        String projectCode = stringTpl.boundValueOps(token.getUsername() + Project.class.getName()).get();
        switch (Project.valueOf(projectCode)) {
        case RAS:
            menus = sysResourceService.findResourceByUser(user, Project.RAS);
            break;
        case RMS:
            menus = sysResourceService.findResourceByUser(user, Project.RMS);
            break;
        case RAS_WEIXIN:
        case RAS_MANAGER:
            break;
        default:
            menus = sysResourceService.findResourceByUser(user, Project.RAS);
            break;
        }
        String strMenu = JacksonUtil.getJson(menus);
        stringTpl.boundValueOps(user.getAccount() + projectCode + "_menu").set(strMenu);
        return sai;
    }

}

到此为止便可以完成登录的校验

也可以使用如下注解来完成对权限按钮的校验

飞天神猪ll
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 847
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro
热门推荐
MinggeQingchun的博客
08-27 3万+
以下引自百度百科Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject,SecurityManager 和 Realms。...
shiro权限
天地无名
09-30 666
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Shiro简介
hmj2181629495的博客
08-30 5743
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。...
Shiro教程(一):入门概述与基本使用
最新发布
WwLK123的博客
07-11 4896
Shiro入门概述与基本使用
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
shiro1.6版本
09-07
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证...
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
shiro_tool.zip
11-18
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在"shiro_tool.zip"这个压缩包中,我们可以推测可能包含了一些关于Shiro使用的工具类、...
shiro1.7.1全包修补漏洞.rar
07-18
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的...
shiro反序列化漏洞检测工具,含链接教程
08-17
Apache Shiro是一款强大的Java安全框架,它为开发者提供了身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能。在网络安全领域,Shiro的反序列化...
shiro授权的实现原理
08-29
Shiro 授权的实现原理 Shiro 授权的实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
Shiro
小牧的博客
08-03 624
Shiro Apache旗下的一款安全权限框架 shiro可以完成:认证,加密,授权,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现`对用户访问系统的
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
什么是Shiro
星空椰
02-16 2413
Shiro是一款功能强大且易于使用的 Java 安全框架,是实现安全认证和权限控制的必选框架之一一、Shiro是什么?使用Shiro的好处?
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2839
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Apache Shiro授权机制详解
"Apache Shiro是一个强大的Java安全框架,用于实现身份验证、授权、会话管理和缓存等功能。本文将深入探讨Shiro的授权机制,包括其核心组件、权限分配和授权流程。" Apache Shiro的授权机制是其功能的重要组成部分...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值