springboot集成shiro基于注解权限控制,remember me功能

最新推荐文章于 2023-04-09 00:29:48 发布
最新推荐文章于 2023-04-09 00:29:48 发布
阅读量579 收藏
点赞数
分类专栏: other
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39506978/article/details/104877100
版权

1.依赖

 <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

2.数据库三张表:用户角色权限

-- auto-generated definition
create table t_user
(
  id       int auto_increment
  comment '用户主键'
    primary key,
  username varchar(20) not null
  comment '用户名',
  password varchar(20) not null
  comment '密码',
  role_id  int         null
  comment '关联role表'
)

-- auto-generated definition
create table t_role
(
  id       int auto_increment
  comment '主键'
    primary key,
  rolename varchar(20) null
  comment '角色名称'
)
  charset = utf8;

-- auto-generated definition
create table t_permission
(
  id             int auto_increment
  comment '主键'
    primary key,
  permissionname varchar(50) not null  
  comment '权限名,如/user/teacher',
  role_id        int         null
  comment '关联role'
)
  charset = utf8;

3.自定义ream

public class CustomRealm extends AuthorizingRealm {

        @Autowired
        private UserMapper userMapper;

        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
            // 获取用户会话对象,即登录认证的
            User user = (User) principalCollection.getPrimaryPrincipal();
            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
            //根据用户名或id从数据库/redis读取用户角色与权限进行权限校验
            authorizationInfo.setRoles(userMapper.getRoles(user.getUserName()));
            authorizationInfo.setStringPermissions(userMapper.getPermissions(user.getUserName()));
            return authorizationInfo;
        }
        
        //登录认证
        @Override
        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
            String userName = (String) authenticationToken.getPrincipal();
            User user = userMapper.getByUsername(userName);
            //传入要本地session或redis存储的会话对象user,第二个为要与登录入参密码比对的user表用户密码
            return user==null?null:new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());

        }
    }

4.几个测试接口

@RestController
@RequestMapping("/user")
public class HomeController {


    @PostMapping("/login")
    public String login(@RequestBody User user, HttpServletRequest request) {
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword(),user.isRememberMe());
        Subject subject = SecurityUtils.getSubject();
        try{
            subject.login(token);  // 开始认证,这一步会跳到我们自定义的 Realm 中
            return "success";
        }catch(Exception e){
            e.printStackTrace();
            request.setAttribute("error", "用户名或密码错误!");
            return "login";
        }
    }

        /**
         * 身份认证测试接口
         * @param request
         * @return
         */
        @RequestMapping("/admin")
        public String admin(HttpServletRequest request) {
            return "success";
        }

        /**
         * 角色认证测试接口
         * @param request
         * @return
         */
        @RequiresRoles(value = "student")
        @RequestMapping("/student")
        public String student(HttpServletRequest request) {
            return "success";
        }

        /**
         * 权限认证测试接口
         * @param request
         * @return
         */
        @RequiresPermissions(value = "/user/teacher")
        @RequestMapping("/teacher")
        public String teacher(HttpServletRequest request) {
            return "success";
        }

}

5.shiro核心配置


@Configuration
@Slf4j
public class ShiroConfig {

        //shiro过滤器配置
        @Bean
        public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
            ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
            shiroFilterFactoryBean.setSecurityManager(securityManager);
            // 设置默认登录的 URL,身份认证失败会访问该 URL
            shiroFilterFactoryBean.setLoginUrl("/user/login");
            // 设置成功之后要跳转的链接
            shiroFilterFactoryBean.setSuccessUrl("/success");
            // 设置未授权界面,权限认证失败会访问该URL
            shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
            // LinkedHashMap 是有序的,进行顺序拦截器配置
            Map<String,String> filterChainMap = new LinkedHashMap<>();
            // 配置可以匿名访问的地址,可以根据实际情况自己添加,放行一些静态资源等,anon 表示放行
            filterChainMap.put("/css/**", "anon");
            filterChainMap.put("/imgs/**", "anon");
            filterChainMap.put("/js/**", "anon");
            filterChainMap.put("/swagger-*/**", "anon");
            filterChainMap.put("/swagger-ui.html/**", "anon");
            filterChainMap.put("/login", "anon");
            // 具有“admin”角色才允许,一般在接口使用@RequiresRoles配置
            //filterChainMap.put("/user/student*/**", "roles[admin]");
            // 具有“user:create”权限才允许一般在接口使用@RequiresPermissions配置
            // filterChainMap.put("/user/teacher*/**", "perms[\"user:create\"]");
            // 配置 logout 过滤器
            filterChainMap.put("/logout", "logout");
            //没匹配上前面过滤器链中任何过滤器,最后都走authc过滤器,即必须登录
            filterChainMap.put("/**", "authc");
            shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
            return shiroFilterFactoryBean;
        }



    //shiro核心bean
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(customRealm());
        defaultSecurityManager.setRememberMeManager(getCookieRememberMeManager());
        //集群部署时需要自定义redis保存会话信息
        //defaultSecurityManager.setCacheManager();
        //defaultSecurityManager.setSessionManager();
        return defaultSecurityManager;
    }

    @Bean
    public CustomRealm customRealm() {
        return new CustomRealm();
    }

    //首先在登录页面选中RememberMe然后/login接口登录成功,浏览器会把名为RememberMe的Cookie写到客户端并保存下来,重新打开浏览器还能正常调用各接口不用重新登录;是否热rememberMe有用户登录传入参数,并在登录接口中UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword(),user.isRememberMe());进行设置;
如下两个bean配置rememberMe功能的cookie,不配置默认有效期1d
    @Bean
    public CookieRememberMeManager getCookieRememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(getSimpleCookie());
        cookieRememberMeManager.setCipherKey(Base64.decode("Z3VucwAAAAAAAAAAAAAAAA=="));
        return cookieRememberMeManager;
    }
    @Bean
    public SimpleCookie getSimpleCookie() {
        SimpleCookie cookie = new SimpleCookie("rememberMe");
        cookie.setHttpOnly(true);
        cookie.setMaxAge(7 * 24 * 60 * 60);//7天
        return cookie;
    }


    //开启权限shiro注解 @RequiresRoles @RequiresPermissions,aop实现的
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
    
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }


}

public class RequestUtils {
    
    /**
     * 获取当前登录的用户,若用户未登录,则返回未登录 json
     * @return
     */
    public static SysUser currentLoginUser() {
        Subject subject = SecurityUtils.getSubject();
        if (subject.isAuthenticated()) {
            Object principal = subject.getPrincipals().getPrimaryPrincipal();
            if (principal instanceof SysUser) {
                return (SysUser) principal;
            }
        }
        return null;
    }
    
}

 

测试注意:shiro依赖cookie-session机制实现的,需要使用浏览器进行测试,postman等工具不保存jsessionid,会导致每次访问不能根据jsessionid找到上次请求的session信息。

使用感触:感觉还是挺麻烦,单机系统前后端不分离如一些后台管理系统等可能比较适合,分布式集群系统不如直接jwt保存用户session(当然集群部署时shiro是可以结合redis实现session共享的),自定义注解+aop+redis实现权限控制灵活,易于理解。

参考文章:https://blog.csdn.net/taojin12/article/details/88343990?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

jwolf2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot +spring security,实现RememberMe和实现原理分析
weixin_40991408的博客
05-24 814
Springboot +spring security,实现RememberMe和实现原理分析
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
主要介绍了SpringBoot集成Shiro进行权限控制和管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot + shiro 实现记住我
快乐的小三菊的博客
05-21 1553
第一次登录的时候,需要用户自己输入用户名和密码,选中记住的标签。登录成功之后,此时关掉浏览器,再打开浏览器,再次输入刚才的网址,即可发现这次登录不需要再输入用户名和密码,即可直接进入验证通过的界面。达到的最终效果就是第一次使用账号和密码登录(登录成功),此时退出浏览器,然后重新打开网页登录界面,就会自动登录到登录成功的网页上。我们平常在登录网站的时候,经常会发现网页上有个。是如何实现,说白了就是携带参数,将请求发送到。此时,启动工程,输入网址。类是如何实现,需要注意的是。,看下浏览器帮我们保存的。
springboot整合shiro 认证与授权与记住密码与密码错过锁定次数
emgexgb_sef的博客
04-26 451
Spring Boot + Shiro总结 背景:最近领导要完成用户管理、菜单管理,角色管理等系统功能,上家公司的时候想过用了shiro来对整个系统进行权限控制,就想多一项技术,总归是好事,不过现在框架是spring boot,省去了沉于的配置,花了两天时间,大致认证、授权、以及记住密码完成了,后期开发菜单的时候,在整上动态更改shiro权限与角色,以下是我shiro boot整合shiro的艰难历程 第一步:引入shiro所需的必备jar包如下(shiro.version为:1.4.0): 第二步:配置
避免Mysql插入重复数据的几种方法
itbestboy的博客
01-10 3560
避免mysql插入重复数据的几种方式
数据库左连接、右连接、内连接、全连接笔记
u014371381的专栏
06-11 403
准备 表A: -- auto-generated definition CREATE TABLE table_a ( PK INT(10) NOT NULL PRIMARY KEY, Value VARCHAR(25) NULL ) COMMENT '表A'; 表B: -- auto-generated definition CREATE TABLE...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
SpringBootShiro、 自定义注解权限控制源码下载
04-06
SpringBootShiro、 自定义注解权限控制
基于SpringbootShiro权限管理系统设计源码
最新发布
04-09
该项目提供了一个基于SpringbootShiro权限管理系统,通过界面交互和功能模块,为用户提供了一个高效、易用的权限管理解决方案。该系统流程详细、代码干净、配置简单,非常适合初学者上手学习。
SpringBoot整合Shiro框架集成权限管理
06-17
1、SpringBoot框架的优秀整合能力结合Shrio轻量安全高适用的权限框架,可以将权限运用到实质,方便高效 2、该文件中包含有shiro的介绍及整合过程 3、SpringBoot整合Shiro的相关教程视频
MybatisPlus 时间处理
weixin_53184944的博客
03-23 1546
MybatisPlus 时间处理
5.Mybatis中万能的Map
dency
11-15 400
假设,我们将来的实体类中,或者数据库中的表字段过多。还有就是在关联查询中可以使用Map快速的返回想要的对象集合。我们应当考虑使用Map! 1.map作为查询参数 user表 -- auto-generated definition create table user ( id int(20) auto_increment primary key, name varchar(30) null, pwd varchar(30) null ); o..
基于springboot下利用shiro注解完成权限控制的超详细记录
0117
10-01 4482
首先先说明一下,由于某些问题,不能将代码上传到github,但是可以展示出足够说明流程的代码和sql。 项目涉及到的技术:redis,shirospringboot,jpa 权限分配架构:RABC模型 数据库截图 务必注意这个id=11123的exm,是用它举的例子,总结一下上面的截图: 这个id=11123的人,拥有名字叫boss的角色名,而这个叫boss的角色,拥有名为boss的权...
【MySQL】SQL之CASE WHEN用法详解
热门推荐
人类所有真实的快乐,一定是恒久的努力
10-18 3万+
SQL之CASE WHEN用法详解
springboot整合shiro实现简单权限控制
听钱塘信来的博客
10-03 6594
springboot整合shiro实现简单权限控制
springboot使用shiro框架实现在controller层加注解权限控制
weixin_42759398的博客
04-09 864
2. 配置Shiro的安全管理器和其他必要的组件,比如Realm、CacheManager等。// 从数据库或其他数据源中获取用户的角色和权限信息,并添加到AuthorizationInfo中。以上就是使用Shiro框架在Spring Boot中进行权限控制的基本操作,希望能够对你有所帮助。// 获取用户输入的账号密码。// 模拟数据库中的账号密码。return "用户列表";return "添加用户";return "删除用户";// 获取用户身份信息。// 实现用户认证逻辑。// 实现用户授权逻辑。
SpringBoot整合Shiro实现RememberMe
xzh109的博客
02-08 1919
接上Springboot Shiro实现用户验 shiro提供了RememberMe功能,用户登录状态不会因为浏览器的关闭而失效,知道cookie过期 更改ShiroConfig 加入cookie管理配置 /** * cookie对象 * @return */ public SimpleCookie rememberMeCookie() { // 设置cookie名称,对应login.htm...
Springboot2集成Shiro框架(五)使用rememberMe功能
New_Yao的博客
09-10 1570
目录1、什么是rememberMe2、rememberMe工作原理2.1 1、什么是rememberMe shiro为我们提供了rememberMe功能,也就是记住我功能,这个功能的作用很简单,就是记住我,很多网站上都会有15天免登陆之类的功能,当我们设置了rememberMe功能后,只要登录一次,在不手动退出登录的情况下直接关闭浏览器,然后再次打开浏览器,仍然可以直接访问到属于自己的信息,这里就...
Spring Boot系列(十五) 安全框架Apache Shiro(三)RememberMe
xtiawxf的专栏
09-22 1万+
Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端还是知道你是谁,且能正常
springboot集成shiro权限管理
07-08
总之,使用Spring Boot集成Shiro权限管理可以方便地实现应用程序的安全认证和授权功能。通过配置Shiro的相关属性和自定义Realm类,可以实现灵活的权限管理,保护应用程序的安全。 ### 回答3: Spring Boot集成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值