Shiro安全框架09:springboot整合shiro实现动态授权(继上一篇)

最新推荐文章于 2023-08-09 22:59:11 发布
最新推荐文章于 2023-08-09 22:59:11 发布
阅读量279 收藏 1
点赞数
分类专栏: Shiro 文章标签: shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38198467/article/details/93161731
版权

目的:前端登录认证后可以进行相关的功能操作,具备访问权限的可访问,否则不可访问

第一步:前端代码

用于登录认证,这里就是上一篇的功能实现

<form action="/login" method="post">
    用户名:<input type="text" name="userName">
    密码:<input type="password" name="userPassword">
    <input type="submit" value="login">
</form>

点击相应的连接进入相应的模块,不过应该要具有相应的权限 

进入用户添加功能:<a href="/add">用户添加</a>
进入用户更新功能:<a href="/update">用户更新</a>

第二步:shiroconfig配置类

我在配置中添加了一个授权过滤器,

 //授权过滤器
        filterMap.put("/add","perms[user:add]");

 如上,这表示,对于这个连接请求,只有再具有user:add这个权限后才可以访问

@Configuration
public class ShiroConfig {

    /**
     * 创建shiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        /**
         * shiro内置过滤器
         * anon:无需认证(登录)就可以访问
         * authc:必须认证才可以访问
         * user:如哦使用了rememberMe的功能可以直接访问
         * perms:该资源必须得到资源权限才可以访问
         * role:该资源必须得到相应的角色权限才可以访问
         */
        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();

        filterMap.put("/login","anon");
        filterMap.put("/login.html","anon");

        //授权过滤器
        filterMap.put("/add","perms[user:add]");


        filterMap.put("/*","authc");

        //使用通配的方式设置某一个目录的访问级别
       /* filterMap.put("/templates","authc");*/

        //设置访问被拦截过后的跳转页面
        shiroFilterFactoryBean.setLoginUrl("/myError");
        //设置未授权提示页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        return shiroFilterFactoryBean;
    }


    /**
     * 创建defaultWebSecurityManageer
     */
    @Bean(value = "defaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联我们创建的realm
        securityManager.setRealm(userRealm);

        return securityManager;
    }


    /**
     * 创建realm
     */
    @Bean(value = "userRealm")
    public UserRealm getRealm(){
        return new UserRealm();
    }
}

第三步:自定义realm进行授权控制

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    /**
     * 认证
     * @param authenticationToken 令牌
     * @return 用户信息
     * @throws
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        //从数据库中取出用户
        User user = userService.getUserByName(token.getUsername());
        System.out.println(user);
        //判断用户名是否存在
        if (user !=null){
            if (!token.getUsername().equals(user.getUserName())){
                //用户名不存在
                return null;
            }

            //判断密码
            return new SimpleAuthenticationInfo(user,user.getUserPassword(),"");
        }else {
            return null;
        }


    }

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        /*添加授权信息
        从数据库中查询并确认用户*/

        //获取主体,这个是当时认真的时候传过来的
        Subject subject = SecurityUtils.getSubject();
        //对主体进行类型转换
        User user = (User)subject.getPrincipal();
        //通过认证时候的用户名查询到相关用户,并从数据库中查询用户的所有数据
        User user1 = userService.getUserByName(user.getUserName());
        //将查询出来的用户所具有的权限用来对用户进行授权
        info.addStringPermission(user1.getUserPerms());

        return info;
    }
}

观察下面的授权模块,这里是从数据库中查询出用户所具有的权限,然后对用户进行授权

总结:到这里就已经完成了对用户的动态授权,对于/add这个请求,如果用户没有得到相应的权限就无法访问该地址

 

qq_38198467
关注
专栏目录
springboot整合mybatis+shiro实现权限判定源码 下载
05-19
而Apache Shiro则是一个强大的安全框架,用于处理身份验证、授权和会话管理。本篇文章将详细介绍如何整合Spring Boot、MyBatis与Shiro实现权限判定。 首先,Spring Boot以其“约定优于配置”的理念,大大减少了...
Shiro授权
qq_57907966的博客
12-24 1247
在controller层创建接口使用shiro中的注解@RequiresRoles指定能访问的角色名称在自定义的MyRealm自定义授权方法其中的service层dao层数据库表role角色表角色用户关系表。
shiro授权
yzq102873的博客
08-29 993
shiro授权
SpringBoot集成Shiro实现认证和授权
loongkingwhat的博客
08-08 921
文章目录一、概念篇(一)关于Shiro(二)SpringBoot中使用Shiro实现自定义的授权与认证二、源码篇(一)依赖库(二)封装AuthenticationToken类型(三)创建自定义Filter类(四)实现自定义Realm类(五)配置自定义Reaml和FilterShiro 一、概念篇 (一)关于Shiro 关于Shiro的了解,推荐一门课程:Shiro知识精讲,和一篇文章:https://zhuanlan.zhihu.com/p/54176956 Shiro由三大部分组成,分别是Subjec
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro 授权
快乐的小三菊的博客
05-14 1927
shiro 授权源码探究
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例 ...该示例可以帮助开发者更好地理解 SpringBootShiro 框架整合,并且提供了一个基于 SpringBootShiro 框架的密码加密和登录失败次数限制的解决方案。
SpringBootShiro整合-权限管理实战视频+源码
02-25
Shiro框架可以完成包括认证、授权、加密、会话管理、Web集成等任务,并且易于扩展。 - **认证(Authentication)**:验证用户的身份。 - **授权(Authorization)**:决定用户可以做什么操作。 - **加密(Cryptography)*...
spring boot整合Shiro实现单点登录的示例代码
08-28
Shiro 是一个 Java 平台的开源权限框架,用于认证和访问授权。它满足对如下元素的支持:用户、角色、权限(仅仅是操作权限,数据权限必须与业务需求紧密结合)、资源(url)。Shiro 的主要特点是认证和授权,单点...
springBoot整合shiro,mybatis
06-25
Shiro是一个强大的Java安全框架,专注于身份验证、授权、会话管理和加密。它的设计目标是简单易用,使得开发者可以快速地实现应用的安全控制,而无需深入理解复杂的安全概念。 MyBatis是一个优秀的持久层框架,它...
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
SpringBoot整合Shiro实现从数据库加载权限、权限的动态更新、Session共享
01-28
SpringBoot整合Shiro实现从数据库加载权限、权限的动态更新、Session共享
Shiro 授权(权限)
我的博客----机械鱼人
01-09 1520
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro(一):shiro基本概念及基本使用(认证、授权)
weixin_39724194的博客
01-31 1266
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
shiro认证、授权和鉴权
最新发布
qq_37697436的博客
08-09 334
SecurityManager是Shiro的核心组件,负责管理所有的Subject,以及执行认证和授权的操作。在上面的示例中,我们首先创建了一个SecurityManager,并设置了一个Realm用于认证。在Shiro中,可以使用不同的方式进行鉴权,例如基于URL的鉴权、基于方法的鉴权等。在Shiro中,可以使用不同的方式进行授权,例如基于角色的授权、基于权限的授权等。在Shiro中,可以使用不同的方式进行认证,例如基于用户名和密码的认证、基于证书的认证等。首先,让我们来了解一下Shiro的基本概念。
Shiro的认证和授权过程
weixin_44736853的博客
07-30 2296
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
Shiro学习笔记(四):Shiro中的授权
weixin_47382783的博客
12-12 2579
一、授权介绍 1、授权 授权:即访问控制,控制谁能够访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于没有授权的资源则是无法访问的。 对于授权可以理解为谁对哪些资源进行什么操作,授权中的关键对象如下: 主体:主体需要访问系统中的资源 资源:如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为g01的商品则称为资源实例,订单编号为o01的订单也为资源实例。 权限/许可:规定了主体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值