Springboot+Shiro理解一个简易的权限管理系统

最新推荐文章于 2023-07-10 15:09:11 发布
最新推荐文章于 2023-07-10 15:09:11 发布
阅读量198 收藏 2
点赞数
分类专栏: SpringBoot 文章标签: Springboot Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40167974/article/details/113985009
版权


项目地址:https://github.com/fanta04/PermissionExample

一、表结构

权限管理核心表结构

四张表就可以表示每个用户拥有的角色,以及每个角色对应的资源权限。通过资源权限表可以对管理模块进行增删改查级别(也就是按钮级别)的权限划分,具体可以看资源权限表的内容:
在这里插入图片描述

二、Shiro配置

/**
 * shiro配置类
 * */
@Configuration
public class ShiroConfiguration {

    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //将自定义的拦截器覆盖掉shiro自带的拦截器
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("authc",new AjaxPermissionAuthorizationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        /**
         * 定义shiro的过滤链
         * authc:该url需要通过验证才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter
         * anon:该url可以匿名访问
         * */
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/","anon");
        filterChainDefinitionMap.put("/static/**","anon");
        filterChainDefinitionMap.put("/login/auth","anon");
        filterChainDefinitionMap.put("/login/logout","anon");
        filterChainDefinitionMap.put("/error","anon");
        filterChainDefinitionMap.put("/**","authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(userRealm());
        return defaultWebSecurityManager;
    }

    @Bean
    public UserRealm userRealm(){
        UserRealm userRealm = new UserRealm();
        return userRealm;
    }

    /**
     * Shiro生命周期处理器
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }
}

自定义Realm

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private LoginService loginService;

    @Override
    /**
     * loginService(getInfo方法:将用户的基本信息和权限信息放入session)<---
     * permissionService(getUserPermission)<---permissionMapper.xml拿到用户的权限列表
     *
     * 当碰到注解@RequiresPermission时调用这个授权方法
     * */
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Session session = SecurityUtils.getSubject().getSession();
        //查询用户的权限
        JSONObject permission = (JSONObject) session.getAttribute(Constants.SESSION_USER_PERMISSION);
        //为当前用户设置角色和权限
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addStringPermissions((Collection<String>) permission.get("permissionList"));
        return authorizationInfo;
    }
    

    /**
     * subject.login(token)最终会调用到doGetAuthenticationInfo这个认证方法
     * */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取输入的用户名和密码
        String loginName = (String) authenticationToken.getPrincipal();
        String passowrd = new String((char[]) authenticationToken.getCredentials());
        //从数据库中查询用户名和密码
        JSONObject user = loginService.getUser(loginName, passowrd);
        if(user == null){
            throw new UnknownAccountException();
        }
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
                user.getString("username"),
                user.getString("password"),
                this.getName()
        );
        user.remove("password");
        
       //当认证通过之后将用户的基本信息放入session里 
       SecurityUtils.getSubject().getSession().setAttribute(Constants.SESSION_USER_INFO,user);
        return simpleAuthenticationInfo;
    }
}

Shiro最主要的功能就是认证授权

认证比较好理解,就是判断用户的登录名和密码是否正确。

其步骤为:

  • 通过SecurityManager拿到认证主体subjectSecurityManager.getSubject()
  • 生成用户名密码凭证tokennew UsernamePasswordToken(user.getUsername(),user.getPassword())
  • 登录认证:subject.login(token)

然后shiro源码会指引我们到自定义Realm中的认证方法doGetAuthenticationInfo(),完成认证。

授权,当访问的链接配置在shiro的过滤器链中,Controller方法上有shiro权限注解时,或者前端页面标签中含有shiro权限标签时,以上情况都需要进行。

比较常用的是在Controller方法上加shiro注解,如@RequiresPermissions("article:add")

当访问这类有注解的方法时,shiro会调用自定义Realm中的doGetAuthorizationInfo()授权方法。

在登录认证的过程中,会把用户的基本信息和权限信息查询出来放到session中(本文中没写出来,代码里面有),所以授权方法要做的就是从session中取出权限信息,放入到SimpleAuthorizationInfo中。

过期汽水
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot之整合Shiro(最详细)
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
SpringBoot+Shiro实现的权限后台管理系统
西里古里的博客
08-17 388
一款 Java 语言基于SpringBoot2、Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪、富文本编辑器等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架,框架已集成了完整的RBAC权限架构
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:https://blog.csdn.net/weixin_42686388/article/details/103084289
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
Springboot整合Shiro框架入门
web15285868498的博客
04-08 4977
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
Spring Boot学习之Shiro
缘友一世的博客
01-27 2309
Apache Shiro一个Java 的安全(权限)框架。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。Shiro官网。
Springboot+Vue后台管理系统-简单的权限管理
drnrrwfs的博客
03-01 1279
首先说一次下最简单的实现权限管理的方法,那就是在数据库中新增一个字段也就是role,然后设置0就是超级管理员1就是普通用户,然后前端我们在左侧导航栏这里这样写: 我们这里data里面传一个·user,然后在create方法里面做一个调取用户数据的方法然后后端相应写一个根据用户id查询的接口: 这里对应前端: request.get("/user/"+this.user.id) 就可以做到对于不同的用户实现不同的界面效果 总之就是在create方法里面增加: let userStr = sessionS
SpringBoot + Shiro + Vue 实现权限管理系统.zip
03-23
本项目通过结合SpringBootShiro和Vue.js三大技术栈,构建了一个完整的权限管理系统,旨在帮助学生深入理解和实践软件开发的全生命周期。 首先,SpringBoot作为Java开发中的主流框架,以其简洁、快速开发的特点,...
SpringBoot+Shiro权限管理系统脚手架.zip
03-23
这个名为"SpringBoot+Shiro权限管理系统脚手架"的项目,为初学者提供了一个深入理解软件开发流程的绝佳实践平台,涵盖需求分析、系统设计、编码实现到测试部署的各个环节。 SpringBoot是基于Spring框架的简化版本,...
springboot+shiro+vue实现的简易教务系统.zip
最新发布
03-23
通过这个项目,学习者可以了解到一个完整的教务系统如何利用SpringBoot构建后台服务,通过Shiro实现安全控制,再结合Vue.js开发用户友好的前端界面。此外,还需要掌握Maven或Gradle等构建工具,以及数据库设计、...
Springboot整合shiro
chao的博客
07-10 2253
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
SpringBootShiro整合
fangliangke的博客
02-01 6097
本文章介绍了Spring boot下shiro与thymeleaf、mybatis的整合过程,Apache Shiro一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 775
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 2744
🚩1.1 什么是ShiroShiro一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
springboot整合shiro入门,实现认证和授权功能(非常详细)
沐雨橙风ιε的博客
07-02 5431
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2782
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
SpringBoot整合Shiro(超详细,适合新手学习,附有源码)
lianaozhe的博客
03-24 1296
shiro是什么呢?Shiro一个功能强大,简单易用的 Java 安全框架,提供了用户认证、授权、加密、会话管理、缓存等功能。和目前另一款Java安全框架Spring Security相比,Shiro更加轻便,易于上手。各功能点介绍Authentication:用户身份认证/登录,即验证用户是不是合法用户Authorization:用户权限验证,即验证用户是否拥有某个角色,是否拥有某个权限
springboot整合shiro实现简单权限控制
听钱塘信来的博客
10-03 6759
springboot整合shiro实现简单权限控制
基于SpringBoot+PF4J+Shiro的发票管理系统设计与实现.docx
11-06
"基于SpringBoot+PF4J+Shiro的发票管理系统设计与实现"的论文详细探讨了构建这样一个系统的各个方面,包括核心技术的介绍、系统设计与实现的流程以及系统的安全性和可扩展性。以下是各章节的主要知识点: 1. 第一章...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值