Shiro安全框架09:springboot整合shiro实现动态授权(继上一篇)

最新推荐文章于 2021-02-05 05:09:24 发布
最新推荐文章于 2021-02-05 05:09:24 发布
阅读量278 收藏 1
点赞数
分类专栏: Shiro 文章标签: shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38198467/article/details/93161731
版权

目的:前端登录认证后可以进行相关的功能操作,具备访问权限的可访问,否则不可访问

第一步:前端代码

用于登录认证,这里就是上一篇的功能实现

<form action="/login" method="post">
    用户名:<input type="text" name="userName">
    密码:<input type="password" name="userPassword">
    <input type="submit" value="login">
</form>

点击相应的连接进入相应的模块,不过应该要具有相应的权限 

进入用户添加功能:<a href="/add">用户添加</a>
进入用户更新功能:<a href="/update">用户更新</a>

第二步:shiroconfig配置类

我在配置中添加了一个授权过滤器,

 //授权过滤器
        filterMap.put("/add","perms[user:add]");

 如上,这表示,对于这个连接请求,只有再具有user:add这个权限后才可以访问

@Configuration
public class ShiroConfig {

    /**
     * 创建shiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        /**
         * shiro内置过滤器
         * anon:无需认证(登录)就可以访问
         * authc:必须认证才可以访问
         * user:如哦使用了rememberMe的功能可以直接访问
         * perms:该资源必须得到资源权限才可以访问
         * role:该资源必须得到相应的角色权限才可以访问
         */
        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();

        filterMap.put("/login","anon");
        filterMap.put("/login.html","anon");

        //授权过滤器
        filterMap.put("/add","perms[user:add]");


        filterMap.put("/*","authc");

        //使用通配的方式设置某一个目录的访问级别
       /* filterMap.put("/templates","authc");*/

        //设置访问被拦截过后的跳转页面
        shiroFilterFactoryBean.setLoginUrl("/myError");
        //设置未授权提示页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        return shiroFilterFactoryBean;
    }


    /**
     * 创建defaultWebSecurityManageer
     */
    @Bean(value = "defaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联我们创建的realm
        securityManager.setRealm(userRealm);

        return securityManager;
    }


    /**
     * 创建realm
     */
    @Bean(value = "userRealm")
    public UserRealm getRealm(){
        return new UserRealm();
    }
}

第三步:自定义realm进行授权控制

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    /**
     * 认证
     * @param authenticationToken 令牌
     * @return 用户信息
     * @throws
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        //从数据库中取出用户
        User user = userService.getUserByName(token.getUsername());
        System.out.println(user);
        //判断用户名是否存在
        if (user !=null){
            if (!token.getUsername().equals(user.getUserName())){
                //用户名不存在
                return null;
            }

            //判断密码
            return new SimpleAuthenticationInfo(user,user.getUserPassword(),"");
        }else {
            return null;
        }


    }

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        /*添加授权信息
        从数据库中查询并确认用户*/

        //获取主体,这个是当时认真的时候传过来的
        Subject subject = SecurityUtils.getSubject();
        //对主体进行类型转换
        User user = (User)subject.getPrincipal();
        //通过认证时候的用户名查询到相关用户,并从数据库中查询用户的所有数据
        User user1 = userService.getUserByName(user.getUserName());
        //将查询出来的用户所具有的权限用来对用户进行授权
        info.addStringPermission(user1.getUserPerms());

        return info;
    }
}

观察下面的授权模块,这里是从数据库中查询出用户所具有的权限,然后对用户进行授权

总结:到这里就已经完成了对用户的动态授权,对于/add这个请求,如果用户没有得到相应的权限就无法访问该地址

 

qq_38198467
关注
专栏目录
一篇文章带你搞定 SpringBoot 整合 Shiro
南淮北安的博客
10-02 2351
文章目录一、Shiro 和 SpringSecurity 比较二、原生的整合1. 环境搭建2. 创建 Realm3. 配置 ShiroConfig4. 配置 Controller三、使用 Shiro Starter 实现1. 环境搭建2. 配置 ShiroConfig3. 配置 Shiro 信息 一、Shiro 和 SpringSecurity 比较 在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。 一般来
实战-SpringBootShiro安全框架整合实现认证以及权限管理
啊杰的博客
11-02 954
SpringBoot是最近比较火的变态版spring系列框架,但是本文这里不是讲解springboot相关方知识的博文,如果有兴趣,博主会抽空整理写一篇。至于Shiro的相关理论知识以及实战(SSM),博主在之前的博文有详细介绍。 1.实战-Shiro安全框架(一)认证 2.实战-Shiro安全框架(二)权限控制 要实现ShiroSpringBoot整合,最核心的就是要将shiro的配置...
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
shiro授权
weixin_45180769的博客
11-05 110
注:此篇博客是在上篇shiro认证基础上写的 一、shiro授权角色、权限 ShiroUserMapper package com.ningjie.ssm.mapper; import com.ningjie.ssm.model.ShiroUser; import org.apache.ibatis.annotations.Param; import org.springframework.s...
shiro利用mysql动态授权_shiro实现动态权限管理
weixin_34770855的博客
02-05 431
用到shiro框架实现权限控制时,根据实际要求,权限在数据库增删改后都要把权限过滤链变化实时更新到服务器中。1、配置文件里配置的filterchains都是静态的,但实际开发中更多的是从数据库中动态的获取filterchains。我们都知道ShiroFilterFactoryBean中的setFilterChainDefinitions()是读取配置文件里默认的filterchains,所以我们的...
SpringBoot实现Shiro+thymeleaf动态权限认证管理
qq_33010161的博客
03-30 1920
什么是Shiro? shiro是一个开源的安全管理框架,可以完成认证、授权、加密、会话管理、缓存等功能。 Shrio有哪些核心API,各有什么用? Subject:用户主体,是和应用代码直接进行交互的对象; SecurityManager:安全管理器,所有与安全相关的操作都会与SecurityManager进行交互,是shiro的核心; Realm:连接数据库的桥梁 Shiro具有哪些...
Shiro安全框架ShiroSpringBoot整合开发)
JavaJieRui的博客
10-20 2029
一、整合的思路 继上次说完了Shiro中的授权之后,Shiro中的认证和授权就全部为大家讲解完了,相信大家是跟着前两篇文章看过来的对Shiro在程序中进行认证和授权的操作都已经略知一二了,下面就为大家讲解一下ShiroSpringBoot中的应用整合,同时在之前我们做的认证授权都是在代码中硬编码直接写死的,而在我们这次与SpringBoot整合开发中,将会使用数据库中的数据来替代代码中的数据,更加真实的模拟我们日常在工作中对权限控制开发。 首先我们不论是开发任何功能,都是要对需求和思路进...
Shiro安全框架(ShiroSpringBoot整合开发)缓存(五)Shiro缓存实现(redis缓存)
JavaJieRui的博客
01-04 306
这篇文章我们接上回的shiro自带缓存ehcahe cacheManager的实现,但是暴露了一个小问题是程序一结束缓存就会消失,所以此时我们就用redis做缓存,解决这个问题。 首先我们将redis的坐标引进来到POM文件中: <!--redis整合springboot--> <dependency> <groupId>org.springframework.boot</groupId>
springboot整合mybatis+shiro实现权限判定源码 下载
05-19
而Apache Shiro则是一个强大的安全框架,用于处理身份验证、授权和会话管理。本篇文章将详细介绍如何整合Spring Boot、MyBatis与Shiro实现权限判定。 首先,Spring Boot以其“约定优于配置”的理念,大大减少了...
SpringBoot整合Shiro实现从数据库加载权限、权限的动态更新、Session共享
01-28
SpringBoot整合Shiro实现从数据库加载权限、权限的动态更新、Session共享
Shiro实现授权
史天航的博客
12-10 7156
shiro实现授权 授权,也叫做访问控制,即在应用中控制谁能访问哪些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 授权的概念 主体: 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 资源: 在应用中用户可以...
SimpleAuthenticationInfo的参数
dxyzhbb的博客
01-09 2723
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
shiro 授权和注解开发
LIN_17970的博客
10-15 402
shiro 授权和注解开发shiro授权shiro注解式开发 数据库的表设计: shiro授权ShiroUserMapper.xml中新增内容 <!-- 这是根据用户id获取到所拥有的角色集合--> <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang....
Apache Shiro安全框架详解:认证、授权与架构解析
"Apache Shiro是一个全面的Java安全框架,用于处理认证、授权、加密和会话管理等安全需求。它可以应用于JavaSE和JavaEE环境。Shiro的核心组件包括Subject、SecurityManager、Realms,以及相应的配置文件如shiro.ini...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值