springboot+shiro简单的权限管理

最新推荐文章于 2023-03-31 16:34:40 发布
最新推荐文章于 2023-03-31 16:34:40 发布
阅读量395 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40650378/article/details/90205711
版权

shiro是我接触关于安全认证这块最早的东西,以前单纯的写代码没深入的时候(非科班出身)就对这个感到很新奇,简简单单的对web.xml多了个配置(以前的web项目里),就能实现用户接口进行拦截,实用又简单,这次就正好是有了一定了解后对它进行一次自我总结,不好或者有片面的可以留言我来补充:

  一.理解shiro的基础就需要先了解什么是filter(过滤器),而理解过滤器就需要了解过滤器和拦截器的区别,自我总结2点差别如       下:

1.拦截器是基于java反射机制的,过滤器是基于函数回调;过滤器依赖serlevt容器,拦截器依赖bean对象;导致拦截器可以调用内部任意接口(但自身限制在controller层),而过滤器只在serlevt容器初始化的时候调用一次(过滤适用于所有匹配的接口)

2假设serlevt应用服务是tomcat,那么对应的关系是:过滤器在前,然后是serlevt容器创建后,然后才是拦截器的种种对接口的限制

3filter常用业务场景都是在对数或者请求地址进行分发路由(如网关),Interceptor(或者通常shandler)

 

不好意思工作中此文章写了一半停了(忙其他的去了),耽误了好几天,更新继续!

 

虽然Apache官网已整合了springboot,但是对实际项目中的一些问题,类如验证码、密码错误次数限制,错误自定义没有明确的说明(也有可能是我没仔细研究查看),感兴趣的自己可以找找 https://shiro.apache.org/spring-boot.html ,我这里就没用整合包,直接实用shiro和spring整合包

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

第一步,配置shiroConfig

1创建shiroConfig类,增加shirofilter过滤器

 @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        //过滤所有请求(专为前后分离添加的过滤请求)
        filterMap.put("custom", new ShiroUserFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
         // 过滤链定义,从上向下顺序执行,一般将 / ** 放在最为下边:这是一个坑呢,一不小心代码就不好使了;
        filterChainDefinitionMap.put("/", "anon");
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/login/auth", "anon");
        filterChainDefinitionMap.put("/login/logout", "anon");
        filterChainDefinitionMap.put("/error", "anon");
        // 使用该过滤器过滤所有的链接
        filterChainDefinitionMap.put("/**","custom");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

2加载securityManager的bean

@Bean
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(userRealm());
    return securityManager;
}

3加载自定义ReaLm类

@Bean
public UserRealm userRealm() {
    UserRealm userRealm = new UserRealm();
    return userRealm;
}

4开启注解所需的bean

/**
 * Shiro生命周期处理器
 */
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
}

/**
 * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
 */
@Bean
@DependsOn({"lifecycleBeanPostProcessor"})
public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
    advisorAutoProxyCreator.setProxyTargetClass(true);
    return advisorAutoProxyCreator;
}

@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
    return authorizationAttributeSourceAdvisor;
}

二重写Realm类(doGetAuthorizationInfo验证用户身份,authcToken在登陆时候设定)

public class UserRealm extends AuthorizingRealm {


@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 //todo
}

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { //todo
}
}

三.登陆登出方法(其中/login/auth必须在过滤器中设置anon匿名可进入参数)

RestController
@Api(tags = "认证登陆登出接口")
public class LoginController {
@PostMapping("/login/auth")
@ApiOperation(value = "认证接口")
    public Response login(@RequestBody User user) {// 登录测试
        Subject currentUser = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUserCode(),user.getLoginPwd());
        try {
            currentUser.login(token);
            return new Response(CodeEnum.SUCCESS, null);
        } catch (IncorrectCredentialsException e) {
            //密码错误
            return new Response(CodeEnum.AUTH_UNMATCH, null);
        }
         catch (UnknownAccountException e) {
            //用户不存在
            return new Response(CodeEnum.USER_IS_NOT_EXISTS, null);
        }
         catch (DisabledAccountException e) {
            //用户已停用
            return new Response(CodeEnum.STOP_USE, null);

        } catch (ExcessiveAttemptsException e) {
            //用户被锁定
            return new Response(CodeEnum.AUTH_LOCKED, null);
        }catch (Exception e){
            //其他错误
            return new Response(CodeEnum.ERR_STATUS, null);
        }

    }
    @ApiOperation(value = "退出接口")
    @GetMapping("/logout")
    public Response logOut() {
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return new Response(CodeEnum.SUCCESS, null);
    }

}

当 currentUser.login(token)执行到时就调用userRealm类的doGetAuthenticationInfo(AuthenticationToken authcToken)来现实认证功能,具体实现功能根据数据库设计而已,其主要SimpleAuthenticationInfo(认证信息)

       SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                userEntity.getUserCode(),
                userEntity.getLoginPwd(),
                ByteSource.Util.bytes(salt),
//                ByteSource.Util.bytes("salt"), //salt=username+salt,  //采用明文访问时,不需要此句
                getName()
        );

因为我这里是将用户大部分信息放在session作为缓存中,所以认证信息只保留了当前用户名

//将用户信息放入session中
SecurityUtils.getSubject().getSession().setAttribute(Constants.SESSION_USER_INFO(自定义一个字符key), userEntity(用户信息));

四,细节问题(个人认为比较大的几个注意问题)

    1自定义异常问题:

doGetAuthenticationInfo(AuthenticationToken authcToken)有AuthenticationException,其下异常可自定义(比如我在登陆的时候就做了catch模块对不同异常不同定义)

  2在将seesion放入用户信息之前,最好将密码信息(如密码,盐等)进行清空

//session中去掉密码和盐,防止泄露

userEntity.setLoginPwd("");

userEntity.setSalt("");

3用户角色信息,可以放在登陆认证中,也可以放在认证拦截器方法时,主要方法:

authorizationInfo.addRoles(roles);

五跨域问题

filterMap.put("custom", new ShiroUserFilter())在拦截器过滤链上增加一个shiroUserFilter过滤器

import com.alibaba.fastjson.JSONObject;
import com.wjx.product.els.config.common.CodeEnum;
import com.wjx.product.els.config.common.Response;
import org.apache.shiro.web.filter.authc.UserFilter;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @author zhouxl
 * 重写shiro的filter
 */
public class ShiroUserFilter extends UserFilter {

    /**
     * 在访问过来的时候检测是否为OPTIONS请求,如果是就直接返回true
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            setHeader(httpRequest,httpResponse);
            return true;
        }
        return super.preHandle(request,response);
    }

    /**
     * 该方法会在验证失败后调用,这里由于是前后端分离,后台不控制页面跳转
     * 因此重写改成传输JSON数据
     */
    @Override
    protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        setHeader((HttpServletRequest) request,(HttpServletResponse) response);
        PrintWriter out = response.getWriter();
//       重写没有认证通过返回的状态码和异常
        out.println(JSONObject.toJSONString(new Response<>(CodeEnum.AUTH_NOTLOGIN, null)));
        out.flush();
        out.close();
    }

    /**
     * 为response设置header,实现跨域
     */
    private void setHeader(HttpServletRequest request,HttpServletResponse response){
        //跨域的header设置
        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", request.getMethod());
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        //防止乱码,适用于传输JSON数据
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }

}

 

 


     
 

qq_40650378
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springBoot整合shiro解决读取不到@value值的问题
hzau_itdog的博客
10-23 1816
1、通过@value将值注入shiroconfigure静态属性 private static String dropmenu_post; @Value("${dropmenu.post}") public void setDropmenu_post(String dropmenu_post) { ShiroConfig.dropmenu_post = dropmenu_po...
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
Shiro+JWT出现拦截Swagger3的问题
mingzq123的博客
03-31 548
只需要在拦截器放行一下接口就可以。
shiro权限入门(二)
GMaya的博客
07-24 302
这个是用的自带的登录验证:shiro权限入门(一) 这次又搞了一个基于token的,没有使用redis缓存,用了一个ehcache缓存 直接使用上面的mp项目框架加了一个模块 思路: ① 登录调用登录接口,生成token,将权限,token等返回,并存入缓存 ② 登录之后调用其他任意接口,首先会经过shiroFilter,然后调用shiroRealm认证,在这里面只需要判断缓存中有没...
springboot+bootstrap+shiro权限管理
03-28
本系统是有springboot结合shiro开发的一款权限管理系统,前端用的是bootstrap,界面美观,含数据库文件。
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **组件交互**:通过LayuiMini的API,可以实现与后端Shiro权限控制的联动,例如根据用户权限动态加载菜单或按钮。 3. **美化界面**:LayuiMini的样式和图标设计使得后台系统具有良好的用户体验,提高工作效率。 ...
SpringBoot+MyBatis+Shiro权限管理系统
12-23
适合学习SpringBoot、MyBatis、Shiro的开发小白,包含源码和数据脚本,文章地址:https://blog.csdn.net/u013343114/article/details/111592137
springboot+mybatis+layui+shiro权限管理
06-24
"springboot+mybatis+layui+shiro权限管理"是一个基于这些技术栈的解决方案,旨在提供一套灵活且全面的权限控制机制,适用于各种企业级应用。 SpringBoot是Spring框架的一个轻量级封装,它简化了Spring应用程序的...
SpringBoot+layui+Thymeleaf+Mybatis+Shiro后台管理系统脚手架
08-05
Apache Shiro是Java的安全管理框架,它为身份验证、授权、会话管理和加密提供简单直观的API。在后台管理系统中,Shiro主要负责权限控制,确保只有经过认证和授权的用户才能访问特定的资源。 描述中的"初始模块有:...
springboot +shiro+redis实现session共享(方案二)1
08-08
Shiro 是一个功能强大且灵活的权限控制框架,可以与 Spring Boot 集成以实现权限控制。在本方案中,Shiro 将用于实现登录 session 的统一。 6. Session 共享 通过使用 Redis 作为 Session 存储,多个应用服务器...
SSM+Shiro+Bootstrap实现权限整合(信息管理系统)
01-25
IMS:信息管理系统,基于SSM+Shiro+Bootstrap开发,包含用户管理、角色管理、权限管理(权限树)、系统管理等模块。其他功能:注册邮件校验、发送邮件找回密码、系统性能监控。系统截图请参照“东云网”小编博客。
Springboot+shiro简单登录案例
06-06
Shiro简单登录,如若没有足够积分下载可留下邮箱或者私信我,直接发到你们邮箱,文章链接:https://blog.csdn.net/sutongxuevip/article/details/80584607
Spring Boot实现简单的用户权限管理(超详细版)
热门推荐
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景中,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
Spring Boot + Security + Mybatis 简单权限控制(入门 + 记录篇)
温故而知新,可以为师矣。
08-22 9183
Spring Boot Security 权限 这两天研究了一下权限管理框架。。 查阅资料的过程中,JAVA中常用的安全框架有Shiro和Spring Security。Shiro比Spring Security学习起来更加简单,功能够用。而这两天的学习中,就我自己的体会而言,学习Spring Security还是有一定难度的。虽然它的扩展性非常的好,我们可以重载它默认的类,重写方法...
SpringBoot权限控制,实现CRUD
qq_35125495的博客
04-16 1743
转自https://www.cnblogs.com/xuwujing/p/8260935.html SpringBoot介绍 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。 简单的来说就是,只需几个jar和一些简单的配置,就可以快速开发项目。 假如...
成长记录贴之springboot+shiro(二) {完成一个完整的权限控制,详细步骤}
weixin_41778712的博客
10-18 1347
       近一个月比较忙,公司接了一个新项目,领导要求用shiro进行安全管理,而且全公司只有我一个java,从项目搭建到具体接口全是一个人再弄。不过刚好前段时间大概学习了一下shiro的使用,还算顺利。        下面将项目中的shiro部分记录下来,为以后使用做一个备份。(因为是个人测试用的demo,好多地方再设计和实现的时候都是使用了最方便或者最简单的方法,希望不会误导各位看官) ...
Apache Shiro 身份验证
biaozhun90的博客
09-01 958
1、什么是Apache Shiro Apache Shiro,Java的一个开源安全框架,类似的还有Spring Security,用于简洁地处理身份验证,授权,企业多个系统会话管理,加密服务等。 2、三大主要组件 Subject:代表了当前用户,与应用代码直接交互的shiro对外API; SecurityManager:安全管理器,所有与安全有关的操作都会与SecurityManager
SpringBoot基本操作(七)——SpringBoot整合Shiro权限管理(完整demo+界面)
zhulier1124的博客
09-01 3万+
SpringBoot2.0笔记 (一)SpringBoot基本操作——环境搭建及项目创建(有demo) (二)SpringBoot基本操作——使用IDEA打war包发布及测试 (三)SpringBoot基本操作——SpringBoot整合SpringDataJpa(有demo) (四)SpringBoot基本操作——SpringBoot使用RedisTemplate整合Redis(有dem...
springboot+shiro权限管理
最新发布
09-09
Spring Boot和Shiro是常用的权限管理框架,可以通过整合它们来搭建一个包含权限控制的后台管理系统。具体可以参考以下链接提供的资源:这些资源提供了关于如何通过Spring Boot整合Shiro实现认证和授权的详细指导和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值