springboot+shiro+redis权限管理

最新推荐文章于 2021-12-20 16:44:46 发布
最新推荐文章于 2021-12-20 16:44:46 发布
阅读量584 收藏 1
点赞数
分类专栏: springboot 集成
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38999509/article/details/108232945
版权

1.pom.xml

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.6.0</version>
        </dependency>
        <!-- shiro+redis缓存插件 -->
        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>2.4.2.1-RELEASE</version>
        </dependency>

2.shiro配置类

@Slf4j
@Configuration
public class ShiroConfig {

    @Value("${spring.redis.host}")
    private String host;

    @Value("${spring.redis.password}")
    private String password;

    @Value("${spring.redis.port}")
    private String port;

    @Value("${spring.redis.timeout}")
    private String timeout;

    @Value("${spring.redis.database}")
    private String database;

    @Autowired
    private RoleService roleService;

    @Autowired
    private RedisTemplate redisTemplate;

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // setLoginUrl 如果不设置值,默认会自动寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
        shiroFilterFactoryBean.setLoginUrl("/notLogin");
        // 设置无权限时跳转的 url;
        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");

        Map<String, Filter> filtersMap = new LinkedHashMap<>();
        //可以配置RoleOrFilter的Bean
        filtersMap.put("roleOrFilter",new RolesOrFilterAuthorizationFilter());

        filtersMap.put("kickout",kickoutSessionControlFilter());


        shiroFilterFactoryBean.setFilters(filtersMap);
        // 设置拦截器
        Map<String, String> filterChainDefinitionMap = ShiroUtil.getFilterChainDefinitionMap(roleService);

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        log.info("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(shiroRealm());
        // 自定义缓存实现 使用redis
        securityManager.setCacheManager(cacheManager());
        // 自定义session管理 使用redis
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * 身份认证realm; (这个需要自己写,账号密码校验;权限等)
     *
     * @return
     */
    @Bean
    public RealmConfig shiroRealm() {
        RealmConfig realmConfig = new RealmConfig();
        realmConfig.setCredentialsMatcher(hashedCredentialsMatcher());
        return realmConfig;
    }

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        RetryLimitHashedCredentialsMatcher hct = new RetryLimitHashedCredentialsMatcher();
       /* // 加密算法的名称
        hct.setHashAlgorithmName("md5");
        // 配置加密的次数
        hct.setHashIterations(2);
        // 是否存储为16进制
        hct.setStoredCredentialsHexEncoded(true);*/
        return hct;
    }


    /**
     * cacheManager 缓存 redis实现
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

    /**
     * 配置shiro redisManager
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(host);
        redisManager.setPort(Integer.parseInt(port));
        // 配置缓存过期时间  毫秒为单位
        redisManager.setExpire(Integer.parseInt(timeout));
        redisManager.setTimeout(Integer.parseInt(timeout));
        redisManager.setPassword(password);
        return redisManager;
    }

    /**
     * Session Manager
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        SessionConfig sessionManager = new SessionConfig();
        sessionManager.setSessionDAO(redisSessionDAO());
        return sessionManager;
    }

    /**
     * RedisSessionDAO shiro sessionDao层的实现 通过redis
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public EnterpriseCacheSessionDAO redisSessionDAO() {
        SessionDaoConfig sessionDaoConfig=new SessionDaoConfig();
        sessionDaoConfig.setRedisManager(redisManager());
        sessionDaoConfig.setSessionIdGenerator(new UuidSessionIdGenerator());
        return sessionDaoConfig;
    }

    /**
     * 限制同一账号登录同时登录人数控制
     *
     * @return
     */
    @Bean
    public KickoutSessionControlFilter kickoutSessionControlFilter() {
        KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
        kickoutSessionControlFilter.setCacheManager(cacheManager());
        kickoutSessionControlFilter.setSessionManager(sessionManager());
        kickoutSessionControlFilter.setKickoutAfter(false);
        kickoutSessionControlFilter.setMaxSession(1);
        kickoutSessionControlFilter.setKickoutUrl("/kickout");
        return kickoutSessionControlFilter;
    }


    /***
     * 授权所用配置
     *
     * @return
     */
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /***
     * 使授权注解起作用不如不想配置可以在pom文件中加入
     * <dependency>
     *<groupId>org.springframework.boot</groupId>
     *<artifactId>spring-boot-starter-aop</artifactId>
     *</dependency>
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * Shiro生命周期处理器
     *
     */
    @Bean
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

}

2.认证和授权 

@Slf4j
public class RealmConfig extends AuthorizingRealm {
    //如果项目中用到了事物,@Autowired注解会使事物失效,可以自己用get方法获取值

    @Autowired
    @Lazy
    private com.ccp.provider.auth.service.UserService userService;

    @Autowired
    @Lazy
    private com.ccp.provider.customer.service.UserService customerService;

    @Autowired
    @Lazy
    private WriteOffUserService writOffUserService;

    @Autowired
    private CompanyMapper companyMapper;

    @Autowired
    private UserMapper userMapper;

    /**
     * 授权
     */

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        logger.info("---------------- 执行 Shiro 权限获取 ---------------------");
        Object principal = principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        if (principal instanceof SysUser) {
            SysUser userLogin = (SysUser) principal;
            Set<String> roles = roleService.findRoleNameByUserId(userLogin.getId());
            authorizationInfo.addRoles(roles);

            Set<String> permissions = userService.findPermissionsByUserId(userLogin.getId());
            authorizationInfo.addStringPermissions(permissions);
        }
        logger.info("---- 获取到以下权限 ----");
        logger.info(authorizationInfo.getStringPermissions().toString());
        logger.info("---------------- Shiro 权限获取成功 ----------------------");
        return authorizationInfo;
    }

   
    /**
     * 认证信息.(身份验证) : Authentication 是用来验证用户身份
     *
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authctoken) throws AuthenticationException {
        logger.info("---------------- 执行 Shiro 凭证认证 ----------------------");
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        String name = token.getUsername();
        String password = String.valueOf(token.getPassword());
        SysUser user = new SysUser();
        user.setUserName(name);
        user.setPassWord(password);
        // 从数据库获取对应用户名密码的用户
        SysUser userList = userService.getUser(user);
        if (userList != null) {
            // 用户为禁用状态
            if (userList.getUserEnable() != 1) {
                throw new DisabledAccountException();
            }
            logger.info("---------------- Shiro 凭证认证成功 ----------------------");
            SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                    userList, //用户
                    userList.getPassWord(), //密码
                    getName()  //realm name
            );
            return authenticationInfo;
        }
        throw new UnknownAccountException();
    }

    

    /**
     * 清空已经放入缓存的授权信息。
     * */
    public void clearCache() {
        PrincipalCollection principals=SecurityUtils.getSubject().getPrincipals();
        super.clearCache(principals);
    }
}

3.密码校验

public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher{


    /**
     *  验证密码
     * @param token
     * @param info
     * @return
     */
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
            //如果是免密登录直接返回true
            if(tk.getType().equals(LoginType.NOPASSWD)){
                  return true;
            }
             //不是免密登录,调用父类的方法
            return super.doCredentialsMatch(tk, info);
    }
}

4.刷新权限

/**
 * @Title: ShiroUtil
 * @Description: shiro工具类
 * @Author <a href="mailto:chenxb1993@126.com">陈晓博</a>
 * @Date 2019-05-23 15:37
 * @Version V1.0
 */
public class ShiroUtil {

    public static Map<String, String> getFilterChainDefinitionMap(RoleService roleService){
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        List<Permission> list = roleService.selectPermissionAll();

        filterChainDefinitionMap.put("/loginTest", "anon");
        filterChainDefinitionMap.put("/logoutTest", "anon");
        filterChainDefinitionMap.put("/excel", "anon");
        filterChainDefinitionMap.put("/druid/**", "anon");
        filterChainDefinitionMap.put("/h5decoration/detail", "anon");



        List<String> excludePathPatterns=WebMvcConfig.getExcludePathPatterns();
        for(String string:excludePathPatterns){
            filterChainDefinitionMap.put(string, "anon");

        }

        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
        for(Permission filter : list){
            filterChainDefinitionMap.put(filter.getHref()+"/**","roleOrFilter["+(filter.getRoles()==null?"":filter.getRoles())+"]");
        }
        filterChainDefinitionMap.put("/**", "authc");
        return filterChainDefinitionMap;
    }


    /**
     * 重新赋值权限(在比如:给一个角色临时添加一个权限,需要调用此方法刷新权限,否则还是没有刚赋值的权限)
     * @param myRealm 自定义的realm
     * @param token 用户登录信息
     */
    public static void reloadAuthorizing(RealmConfig myRealm,LoginToken token){
        Subject subject = SecurityUtils.getSubject();
        String realmName = subject.getPrincipals().getRealmNames().iterator().next();
        //第一个参数为用户名,第二个参数为realmName,test想要操作权限的用户
        SimplePrincipalCollection principals = new SimplePrincipalCollection(token,realmName);
        subject.runAs(principals);
        subject.releaseRunAs();
    }

    /**
     * @title 刷新用户权限
     * @desc principal为用户的认证信息
     */
    public static void  reloadAuthorizing() throws Exception{
        Subject subject = SecurityUtils.getSubject();
        LoginToken principal=(LoginToken) subject.getPrincipal();
        RealmSecurityManager rsm = (RealmSecurityManager) SecurityUtils.getSecurityManager();
        RealmConfig myShiroRealm = (RealmConfig) rsm.getRealms().iterator().next();
        String realmName="";
        if(subject.getPrincipals() !=null && subject.getPrincipals().getRealmNames() !=null && subject.getPrincipals().getRealmNames().iterator() != null){
            realmName = subject.getPrincipals().getRealmNames().iterator().next();
        }
        SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, realmName);
        subject.runAs(principals);
        if(myShiroRealm.isAuthenticationCachingEnabled()) {
            myShiroRealm.getAuthenticationCache().remove(principals);
        }
        if(myShiroRealm.isAuthorizationCachingEnabled()) {
            // 删除指定用户shiro权限
            myShiroRealm.getAuthorizationCache().remove(principals);
        }
        myShiroRealm.clearCache();
        // 刷新权限
        subject.releaseRunAs();

    }

}

 

qq_38999509
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot +shiro+redis实现session共享(方案二)1
08-08
"Spring Boot + Shiro + Redis 实现 Session 共享方案二" 1. 概述 本文档旨在介绍如何使用 Spring Boot、ShiroRedis...通过使用 Redis 作为 Session 存储和 Shiro 权限控制,可以实现高效、可靠的 Session 共享。
shiro-redis异常解决
qq_31986651的博客
11-29 886
1.异常信息 org.apache.shiro.session.ExpiredSessionException: Session with id [4608cc87-4f8f-4617-8e9c-6a31f5e68efb] has expired. Last access time: 19-11-29 上午9:32. Current time: 19-11-29 上午9:32. Sessi...
Shiro + redis 前后端管理用户权限
xuSir_1的博客
08-07 1988
这几天一直在开发前后端权限管理,就想到刚好用用shiro吧,就在网上找了找,然后根据业务需求做了一下合并,如下。 1、ShiroRealm.java  主要用来验证用户和角色权限。 package shiro; import utils.ApplicationContextRegister; import org.apache.shiro.authc.*; import org.apa...
SpringBoot+Shiro学习之数据库动态权限管理Redis缓存
热门推荐
qq_20954959的博客
02-16 1万+
发现问题,需找解决思路。之前我们整合Shiro,完成了登录认证和权限管理的实现,登录认证没什么说的,需要实现AuthorizingRealm中的doGetAuthenticationInfo方法进行认证,但是我们在实现doGetAuthorizationInfo权限控制这个方法的时候发现以下两个问题: 第一个问题:我们在ShiroConfig中配置链接权限的时候,每次只要有一个新的链接,或则权限需要
SpringBootShiro-整合-Redis,也不用担心用户投诉啦,java注解开发原理
m0_65321095的博客
12-20 721
org.crazycake shiro-redis 3.2.3 配置 application.properties: Redis 数据库索引(默认为0) redis.database=0 服务器地址 变更为自己的 redis.host=127.0.0.1 服务器连接端口 redis.port=6379 服务器连接密码,如果不设置密码注释掉即可 redis.password= 连接超时时间(毫秒) redis.timeout=30000 本来crazycake插件已经实现了RedisManage.
springboot 集成 Redis 缓存
暗星涌动
10-15 120
本文内容:Redis 的安装及设置,springbootRedis 集成的实现。1Redis 安装从 github 下载:https://github.com/MSOpenTech/redis/releases解压缩得到以下文件:2Redis设置设置密码:Redis 的默认配置是没有密码。 在刚刚解压的目录下,我们能够找到文件名为redis.windows-service.conf的配...
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统.rar
08-12
项目描述 在上家公司...SpringMvc+Shiro+Redis企业级报表后台管理系统Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统
springboot+shiro+redis整合
03-12
SpringBootShiroRedis整合,主要目的是利用Shiro进行用户认证和授权,而Redis作为Session的共享存储,解决分布式环境下的会话一致性问题。以下是整合步骤: 1. **引入依赖**:在SpringBoot的pom.xml文件中...
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统
04-19
报表后端采用技术: SpringBoot整合SSM,spring security 全注解式的权限管理和JWT方式禁用Session,采用redis存储token及权限信息 报表前端采用Bootstrap框架,结合Jquery Ajax,整合前端Layer.js(提供弹窗)+...
shiro框架实现基于redis的SessionDao
山间明月江上清风的专栏
03-09 1万+
今天有个项目要从单价改成分布式部署,但是安全框架shiro只有单机存储的SessionDao。 于是自己实现了个基于redis存储的SessionDao。 配置文件: <bean id="jedisPoolConfig" class="redis.clients.jedis.JedisPoolConfig"> <property name="maxIdle" valu...
SpringBoot整合Redis实现Shiro权限控制的集群Session共享
calonmo的专栏
05-21 2187
网上很多介绍springboot+shiro+redis解决session共享的文章,但大部分都是基于springboot1.5版本的,有些接口发生变化。 本篇文章主要记录在SpringBoot2.x的基础上整合ShiroRedis,实现权限控制与支持集群下的Session共享。 1、项目依赖 项目是基于Maven的,首先在pom.xml添加以下文件: <parent> ...
Apache Shiro安全框架(5)-会话管理和缓存
一点点的积累
07-12 824
会话会话,即用户保持和服务端之间的联系,保证用户在下一次访问服务端时不必在提交用户身份信息。而服务端可以通过用户提交的sessionId判断用户身份。Subject subject = SecurityUtils.getSubject(); Session session = subject.getSession()可以通过以上方法获取当前登录用/** *Subject.getSession(t...
Shiro配置以及redis配置
wucaifang819787的专栏
08-25 593
//druid连接池配置 @Configuration public class DruidConfig { @Bean public ServletRegistrationBean druidServlet() { ServletRegistrationBean servletRegistrationBean = new ServletRegistrati...
若依(RuoYi)集成redis集群实现集群会话
yuming的专栏
07-06 3185
若依官网提供的集成redis实现集群会话 http://doc.ruoyi.vip/ruoyi/document/cjjc.html,redis使用的是单机版,如果需要采用Redis集群还有做小的修改 application.yml配置示例 spring: redis: password: # 密码(默认为空) timeout: 3000 # 连接超时时长(毫秒) cluster: nodes: #改...
SpringBoot整合Shiro使用redis做缓存
xk147258的博客
09-23 778
1、添加依赖 <!--shiro依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> &...
六。shiro集群,将session保存到数据库和redis使用户保持登录状态
u014203449的博客
07-08 8732
1.目标 1.web端,用户第一次登陆之后,以后不需要再输入用户密码,就可以直接访问。使用cookie 2.shiro集群使用,需要共享session,把session放到数据库或redis就实现了这个目的 2.原理 会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除、失效、验证等工作。是Shiro 的核心组件,顶层组件 SecurityManager 直接继承了 Ses...
shiro实现基于redis的sessionDao
rightkk的博客
01-13 1594
shiro实现基于redis的sessionDao 将session持久化到数据库的一个关键步骤是对session对象的序列化和反序列化操作,另外在使用redis保存session时一定要设置过期时间,或在编码中检查过期并及时删除缓存,否则会导致session堆积。 具体代码如下: /** * 自定义基于redis的session持久化dao * @author ah */ public class RedisSessionDao extends CachingSessionDAO {
apache shiro集成redis缓存
冷雨夜@leon
07-07 5783
项目中经常使用shiro做权限认证与授权功能,当用户认证成功后,第一次访问受限的资源时,shiro会去加载用户能访问的所有权限标识。默认情况下,shiro并未缓存这些权限标识。当再次访问受限的资源时,还会去加载用户能访问的权限标识。 当请求多时,这样处理显然不适合生产环境,因此需要为shiro加缓存。shiro本身内置有缓存功能,需要配置启用它。shiro为我们提供了两个缓存实现,一个是基于本地内
shiro mgt包下SessionsSecurityManager
weixin_45912825的博客
12-06 305
2021SC@SDUSC SessionsSecurityManager类继承关系图: Shiro 支持SecurityManager类层次结构,它将所有session操作委托给一个包装SessionManager实例。 也就是说,这个类实现了SessionManager接口中的方法,但实际上,这些方法只是对底层“真实” SessionManager实例的传递调用。 此类或其父类未实现的其余SecurityManager方法由子类实现。 为了与此层次结构中的其他类保持一致,以及 Shiro 尽可能减少配置
springboot+shiro+jwt+redis
最新发布
08-18
Spring Boot是一个开源的Java框架,用于构建独立的、可执行的、生产级的Spring应用程序。它极大地简化了Spring应用程序的搭建和部署过程,提供了一整套开箱即用的特性和插件,极大地提高了开发效率。 Shiro是一个强大且灵活的开源Java安全框架,提供了身份验证、授权、加密和会话管理等功能,用于保护应用程序的安全。它采用插件化的设计,支持与Spring等常用框架的无缝集成,使开发者能够轻松地在应用程序中添加安全功能。 JWT(JSON Web Token)是一种用于在客户端和服务端之间传输安全信息的开放标准。它使用JSON格式对信息进行包装,并使用数字签名进行验证,确保信息的完整性和安全性。JWT具有无状态性、可扩展性和灵活性的特点,适用于多种应用场景,例如身份验证和授权。 Redis是一个开源的、高性能的、支持多种数据结构的内存数据库,同时也可以持久化到磁盘中。它主要用于缓存、消息队列、会话管理等场景,为应用程序提供高速、可靠的数据访问服务。Redis支持丰富的数据类型,并提供了强大的操作命令,使开发者能够灵活地处理各种数据需求。 综上所述,Spring Boot结合Shiro、JWT和Redis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全;JWT用于安全传输信息,确保信息的完整性和安全性;Redis作为缓存和持久化数据库,提供了高速、可靠的数据访问服务。通过使用这些技术,开发者能够快速、高效地构建出符合安全和性能需求的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值