SpringBoot项目集成ShiroFilter简单实现权限管理

最新推荐文章于 2023-07-08 11:21:00 发布
最新推荐文章于 2023-07-08 11:21:00 发布
阅读量802 收藏 1
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40403688/article/details/104538617
版权

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
由于项目需求,自学了Shiro框架,本文记录一下所用到的技术和一些无法理解的坑。
其中Shiro框架包含了很多bean属性,这些bean是可以通过自定义的方式更加符合开发需求,开发者可以通过@Configuration注释重写ShiroConfig配置文件,来设置自己需要用到的bean,上代码

package com.xfs.admin.web.config;

import com.xfs.admin.web.shiro.ShiroUtils;
import com.xfs.admin.web.shiro.UserRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    private static final String anon = "anon";      // 匿名用户可访问
    private static final String authc = "authc";    // 认证用户可访问

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName(ShiroUtils.HASH_ALGORITHM);
        credentialsMatcher.setHashIterations(ShiroUtils.HASH_ITERATIONS);
        credentialsMatcher.setStoredCredentialsHexEncoded(true);
        return credentialsMatcher;
    }

    @Bean
    public UserRealm userRealm() {
        UserRealm userRealm = new UserRealm();
        userRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return userRealm;
    }

    private static final String COOKIE_NAME = "rememberMe";
    /** cookie对象管理 */
    public SimpleCookie rememberMeCookie(){
        SimpleCookie simpleCookie = new SimpleCookie(COOKIE_NAME);
        simpleCookie.setMaxAge(604800);//记住我cookie生效时间7天 ,单位秒
        return simpleCookie;
    }

    /** cookie管理对象 : 记住我功能 */
    public CookieRememberMeManager rememberMeManager(){
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(Base64.decode("3AvVhmFLUs0KTA3Kprsdag=="));
        return cookieRememberMeManager;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        securityManager.setCacheManager(new EhCacheManager());
        //注入记住我管理器;
        securityManager.setRememberMeManager(rememberMeManager());
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter() {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager());
        shiroFilter.setLoginUrl("/login.html");
        shiroFilter.setUnauthorizedUrl("/");

        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/AdminLTE30/**", anon);
        filterMap.put("/images/**", anon);
        filterMap.put("/captcha", anon);
        filterMap.put("/login.html", anon);
        filterMap.put("/login", anon);
        // 用户页面的权限
        filterMap.put("/user/delete", "perms[/user/delete]");
        filterMap.put("/user/list", "perms[/user/list]");
        filterMap.put("/user/edit", "perms[/user/edit]");
        filterMap.put("/user/add", "perms[/user/add]");
        // 日志页面的权限
        filterMap.put("/tasklog/list", "perms[/tasklog/list]");
        filterMap.put("/tasklog/add", "perms[/tasklog/add]");
        filterMap.put("/tasklog/delete", "perms[/tasklog/delete]");
        filterMap.put("/tasklog/edit", "perms[/tasklog/edit]");

        filterMap.put("/**", authc);
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }
}

简单解释一下这个文件
比如:hashedCredentialsMatcher 定义了密码的编码加密方式,这里隐藏了。
securityManager 定义了安全管理器,按需要注入自定义的realm类(自定义doGetAuthorizationInfo方法及doGetAuthenticationInfo方法)、cookie管理对象(登录页面的“记住我”功能)、session管理对象(查询数据库后的数据缓存)
advisorAutoProxyCreator 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
authorizationAttributeSourceAdvisor 开启aop注解支持
shiroFilter定义了URL的访问规则(设置登录页、没有权限支持返回页)
------------------------分割一下-------------------------
那么设置好配置类,怎么调用呢?既然说到了自定义的realm类,那就重写一下试试,so…

package com.xfs.admin.web.shiro;

import com.xfs.admin.web.config.ShiroConfig;
import com.xfs.admin.web.entity.Role;
import com.xfs.admin.web.entity.User;
import com.xfs.admin.web.service.RoleService;
import com.xfs.admin.web.service.UserService;
import org.apache.commons.lang.StringUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;
    @Autowired
    RoleService roleService;


    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        User user = (User) principals.getPrimaryPrincipal();
        if (user != null) {
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            Integer userId = user.getId();
            List<String> permList = userService.queryAllPerms(userId);

            Set<String> permSet = new HashSet<String>();
            for (String perm : permList) {
                if (StringUtils.isBlank(perm)) {
                    continue;
                }
                permSet.add(perm);
            }
            if(permSet.size() != 0){
                info.setStringPermissions(permSet);
            }
            return info;
        }
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        User user = userService.selectByLoginName(token.getUsername());

        if (null == user) {
            throw new UnknownAccountException("账号或密码不正确");
        }

        if (user.getStatus() == User.UserStatus.LOCKED.getCode()) {
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }

        ByteSource byteSource = ByteSource.Util.bytes(user.getSalt());
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), byteSource, getName());

        return info;
    }

    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        HashedCredentialsMatcher shaCredentialsMatcher = new HashedCredentialsMatcher();
        shaCredentialsMatcher.setHashAlgorithmName(ShiroUtils.HASH_ALGORITHM);
        shaCredentialsMatcher.setHashIterations(ShiroUtils.HASH_ITERATIONS);
        super.setCredentialsMatcher(shaCredentialsMatcher);
    }
}

一定一定要继承AuthorizingRealm 类,很重要!!!
这个类的doGetAuthorizationInfo方法是需要一定的条件才可以触发,而doGetAuthenticationInfo方法是框架给你的简单的登录验证方法,其中的user是要在数据库查数据来进行对比才可以验证通过,而数据库其中的password是加密后的,也就是说在页面登录输入的明码是在这个方法加密后去和数据库拿到的密码String.equals的,而上面提到的加密方式正是这里需要的。
-------------------------重点来了。。。再割一下------------------------
doGetAuthorizationInfo方法的触发正是实现权限控制的重中之重。
而触发doGetAuthorizationInfo方法有两种方式:
一、通过Shiro的注解(如@RequiresRoles,@RequiresPermissions)
@RequiresRoles通过角色控制 @RequiresPermissions通过权限控制
使用在Controller中,位置在@RequestMapping上添加例如@RequiresPermissions({"/user/add"} )
当出现注释时,Shiro启动配置好的自定义的realm类中doGetAuthorizationInfo方法,该方法返回的SimpleAuthorizationInfo可调用setStringPermissions方法及setRoles方法添加数据库查询出的权限和角色,然后和注释里的进行比较
当需要多个权限才可访问时,可设置@RequiresRoles(value={“user”,“admin”},logical=Logical.OR)
Logical.OR表示角色为user或者admin才可访问,AND表示同时拥有两者才可访问,也可不设置,
拥有权限>>运行页面,否则>>返回一个叫UnauthorizedException的异常,这个异常是需要自定义全局异常处理的,比如

@ExceptionHandler({UnauthorizedException.class})
public String unException (UnauthorizedException e){
    return "没有权限,请联系管理员";
}

二、通过shiroFilter的Bean
使用ShiroFilterFactoryBean.setFilterChainDefinitionMap方法需要传入map,而使用new LinkedHashMap<>()是保证扫描的先后顺序,Shiro会从上到下,从左到右扫描
当有perms或roles(如"/user/**", “roles[user]”)出现时,调用doGetAuthorizationInfo方法
这个方法是无法设置多个权限的,也就是一对一的权限设置,而且当权限不通过时会找到setUnauthorizedUrl设置的页面,我这里是选择了重新登录。
这样就完成了

参考文献
https://blog.csdn.net/kity9420/article/details/89067794
https://blog.csdn.net/qi923701/article/details/75224554?utm_source=blogxgwz2

IT新丁Hoz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
SpringBoot2.0整合Shiro框架实现用户权限管理的示例 本文主要介绍了SpringBoot2.0整合Shiro框架实现用户权限管理的示例,通过详细的示例代码,展示了如何使用Shiro框架来实现用户权限管理。下面是对应的知识点: 1...
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1262
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
最新发布
yhl15736773842的博客
07-08 1085
OverrideResult result = new Result(401, "未登录,请先登陆", null);
Spring boot开发总结四(整合shiro)
zp的博客
07-16 698
1. shiro简单配置 1.1 pom坐标 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <ve...
spring boot配置shiro自定义shiro filter匹配异常
qq_46416934的博客
04-22 910
原文地址:http://www.hillfly.com/2017/179.html 最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。 自定义 FilterTOC Shiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 AccessToken 是否有效。 // AccessTokenFilter.java public cl
SpringBootShirofilter
Coder_Joker的博客 joke a joker
08-12 1896
  Shiro 一段时间没用,好多东西忘了,今天自定义Filter 注册到Shiro中的时候发现了几个问题: 1.这个Filter会执行2次  2.受Shiro管理的filter 无法使用Spring 的bean 所以干脆直接debug源码一探究竟: 先声明一点,我们在配置中通常都是通过ShiroFilterFactoryBean来配置的 public class ShiroFilt...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
springboot集成shiro、jpa实现安全登录,权限校验
12-10
在Spring Boot应用中,集成Apache Shiro或Spring Security可以实现用户认证和授权功能,而这里主要讨论的是如何结合Shiro和JPA(Java Persistence API)来构建一个安全的登录及权限校验系统。Shiro是一个轻量级的...
springboot 1.5 集成 shiro 1.4
12-05
集成 ShiroSpringBoot 项目中,可以方便地实现用户身份验证、权限控制和会话管理,提高应用的安全性。以下是集成过程中的关键知识点: 1. **Shiro 的基本概念**: - **认证**:确认用户身份的过程,即登录。 ...
Springboot 集成Shiro自定义Filter
热门推荐
坤哥的博客
11-25 1万+
网上自定义Filter实现很多,这里我提供一种Springboot在代码中的实现Shiro提供的Filter我这里不一一介绍了,一般基于web会话的都是使用authc(这是FormAuthenticationFilter)。根据我无状态的登陆需求,选择了AccessControlFilter,网上也有说这个是最被广泛使用的,具体还是看自己需求吧。Filter代码:/** * @author C
Spring-boot shiro中使用Filter
u010727398的博客
11-28 367
开始这个话题之前,应该先明白request的inputStream是不可以重复读的。但是在有些业务场景下,我们需要读出请求信息,做拦截或者记录。因此我们需要继承HttpServletRequestWrapper实现自己的requestWrapper。具体代码如下: import javax.servlet.ReadListener; import javax.servlet.ServletIn...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2803
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiro的@RequiresPermissions不生效和无权限跳异常而不是shiro指定的无权页面
老王的博客
06-06 5848
shiro和springmvc结合时需要关注的2个问题一个是shiro的@RequiresPermissions不生效一个是无权限跳异常而不是shiro的无权指定页面错误页面 applicationContext-shiro.xml中的关于过滤链的配置: 一、 shiro的@RequiresPermissions不生效产生原因:由于fillter是在spring容器中,而不是在springmvc容...
springboot下使用shiro自定义filter的个人经验
BHSZZY的博客
12-28 8844
springboot中使用shiro,由于没有了xml配置文件,因此使用的方法与spring中有些区别。在踩了无数个坑后,在此将springboot下使用shiro的步骤总结如下。由于本人对shiro的了解不是很深入,在实现了工作需求后就没有继续研究了,因此可能存在遗漏的地方或有错误的地方,还请多包涵。   目标: 在springboot中使用shiro 1.实现用户的登录验证 2.对...
java☞过滤器和拦截器的区别
qq_1641486826的博客
07-05 201
过滤器和拦截器的区别,百度了一下: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调。   ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器。   ③拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求起作用。   ④拦截器可以访问action上下文、值栈里的对象,而过滤器不能访问。   ⑤在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容...
springboot整合shiro 配置详解及原理分析
fl8545的博客
03-23 1739
springboot整合shiro+jwt实现前后端分离认证授权前言问题ShiroFilter什么是ShiroFilterSecurityManager什么是SecurityManager?ShiroConfig写在前面的话:ShiroConfig类:CustomRealm类:shiroConfig原理 前言 最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合到 SpringBoot
Springboot集成shiro过滤器拦截策略配置
商朝
06-23 933
依赖 <!-- shiro 认证与授权 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</ver
Springboot+Shiro实现安全(过滤器)权限控制
weixin_63920305的博客
12-04 833
三个核心组件:Subject, SecurityManager 和 Realms. 关键依赖:shiro包和thymeleaf包 二:数据库和Service层 创建user用户表,字段:username用户名,password密码,perms权限,role角色UserMapper接口继承BaseMapper类 编写getUser()方法在后面用于shiro调用验证信息Realm称之为Shiro与安全数据之间的桥梁,Shiro从Realm中获取认证和授权信息 继承AuthorizingR
SpringBoot整合Shiro搭建权限管理组织系统.pdf
07-02
SpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdfSpringBoot整合Shiro搭建权限管理组织系统.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值