shiro 权限校验

最新推荐文章于 2023-08-08 19:44:13 发布
最新推荐文章于 2023-08-08 19:44:13 发布
阅读量416 收藏
点赞数
分类专栏: eclispe 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40877660/article/details/79222512
版权

applicationContext 中配置 

<!-- Shiro配置 -->
    
    <!-- 用户授权信息Cache:缓存控制器,来管理如用户、角色、权限等的缓存的;
  	 		因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能  --> 
    <bean id="memoryConstrainedCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />
   
    <!-- 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证的类 -->  
    <bean id="myRealm" class="com.lanou.shiro.MyShiroRealm">
    		<!-- 把realm对象添加到shiro的缓存中 -->
    	 	<property name="cacheManager" ref="memoryConstrainedCacheManager" /> 
    </bean> 
  
    <!-- 这里主要是设置自定义的单Realm应用,若有多个Realm,可使用'realms'属性代替
    		securityManager相当于SpringMVC中的DispatcherServlet,所有的校验工作都先进入它,
    		由它指派具体的校验realm
     -->  
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
        <!-- 把自定义的realm注入到SecurityManager中:
        	     把realm对象交由SercurityManager进行管理
         -->
        <property name="realm" ref="myRealm"/>  
        <!-- 配置多个realm -->
<!--         <property name="realms">  
       	 	<list>  
            		<ref bean="realm1"/>  
           	 	<ref bean="realm2"/>  
        		</list>  
   	 	</property>  --> 
    </bean>  
  
    <!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的自定义过滤器的执行 -->  
    <!-- Web应用中,Shiro可控制Web请求必须经过Shiro主过滤器进行拦截,Shiro对基于Spring的Web应用提供了完美的支持 -->  
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
        <!-- Shiro的核心安全接口,这个属性是必须的 -->  
        <property name="securityManager" ref="securityManager"/>  
        <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找webapp根目录下的"/login.jsp"页面 -->  
        <property name="loginUrl" value="/admin/login.jsp"/>  
        <!-- 登录成功后要跳转的连接(我们这里该属性用不到,因为登录成功后的处理逻辑在login.js中硬编码为index.jsp了) -->  
        <!-- <property name="successUrl" value="/admin/index.jsp"/> -->  
        <!-- 用户访问未对其授权的资源时,所显示的视图 -->  
        <property name="unauthorizedUrl" value="/admin/no-perm.jsp"/>  
        <!-- Shiro约束配置,即过滤链的定义 -->  
        <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath() -->  
        <!-- anon:放行,不进行校验 -->  
        <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->  
        <property name="filterChainDefinitions">  
            <value>  
                <!-- 登录页面和错误不需要验证 -->  
            	/admin/login.jsp = anon
            	/admin/no-perm.jsp = anon
            	<!-- 需要验证 -->
导shiro相关jar包或者在maven 中注入依赖 
<!-- Shiro 安全校验框架 -->
		<!-- Spring 整合Shiro需要的依赖 -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.2.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.2.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>1.2.1</version>
		</dependency>







<!-- 需要放行的地址 -->
 /admin/index.jsp = authc /admin/system-menu-list.jsp = authc,perms["system-menu-list"] /admin/system-role-list.jsp = authc,perms["system-role-list"] 等等等等 <!-- 需要验证具有role_001角色的用户可以访问,多用于跳转页面 可以配置多个,要用英文双引号扩起来用英文逗号分隔,例如roles["role_001,role_002"]
 --> <!-- /user/toImportUsers.do = authc,roles[role_001] /ztree/toZtree.do = authc,roles["role_001,role_002"] 需要验证具有role_001角色的selUserInfo权限的用户可以访问 ,多用于页面中某个请求 /user/selUserInfo.do = authc,perms[role_001:selUserInfo] 需要验证具有role_001角色的selUserInfo权限的用户可以访问 ,多用于页面中某个请求
 /user/importUsers.do = authc,perms["role_001:add:,role_002:modify"] --> <!-- 不在被校验的url全部放行 --> /** = anon </value> </property> </bean> <!-- 管理shiroBean的生命周期 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
 <!-- 权限shiro配置 结束 -->






在 web.xml 中 添加  shiro 过滤器配置 





<!-- shiro过滤器配置一定要写到DispatcherServlet之前 -->
	<filter>
		<!-- 注意DelegatingFilterProxy是一个代理类:
			web.xml中的filter-name必须和applicationContext.xml中配置的filter的id一致 -->
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<!-- 交由Spring管理Shiro对象的创建和销毁 -->
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
---------------------神秘的分割线-------------------------------------------------------


controller 中加一个shiro 类





package com.lanou.shiro;

import java.util.ArrayList;
import java.util.List;


import org.apache.commons.lang.builder.ReflectionToStringBuilder;
import org.apache.commons.lang.builder.ToStringStyle;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.lanou.domain.Menu;
import com.lanou.domain.User;
import com.lanou.service.MenuService;
import com.lanou.service.UserService;


/**
 * 自定义Shiro校验规则:继承AuthorizingRealm
 * 
 * 
 */
public class MyShiroRealm extends AuthorizingRealm {
	@Autowired
	private MenuService menuService;
    @Autowired
   	private UserService userService;
    
    /**
	 * 权限校验:Authorization授权 为当前登录的Subject授予角色和权限 该方法在为需授权资源被访问时调用
	 * Principal是Subject的标识,一般情况下是唯一标识,比如用户名。
	 */  
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 
		System.err.println("----验证当前登录用户拥有的权限或角色----");
		// 获取当前登录的用户名
    		String currentUsername = (String)super.getAvailablePrincipal(principals);  
		// 角色列表
    		List<String> roleList = new ArrayList<String>(); 
		// 权限列表
    		List<String> permissionList = new ArrayList<String>();  
		// 从数据库中获取当前登录用户拥有的所有菜单
    		List<Menu> menus = menuService.getByUsername(currentUsername);  
    		if(menus != null && menus.size() > 0){  
    			for(Menu menu : menus){
    				permissionList.add(menu.getUrlkey());
    			}
    		}  
		// 为当前用户设置角色和权限
		// 把校验信息封装到SimpleAuthorizationInfo对象中
    		SimpleAuthorizationInfo simpleAuthorInfo = new SimpleAuthorizationInfo();  
    		simpleAuthorInfo.addRoles(roleList);  
    		simpleAuthorInfo.addStringPermissions(permissionList);  
    		return simpleAuthorInfo;  
    }  
  
      
    /**
	 * 登录校验:Authentication身份认证 验证当前登录的Subject
	 * 该方法在LoginController的login()方法执行Subject.login()时被调用 进行身份认证的目的:
校验了3次 登录 一次 权限检验中一次 
	 * 1.一定程度上防止非法登录 2.把通过身份认证的用户信息封装到AuthenticationInfo对象中,
	 * 从而把已认证的用户交由SecurityManager进行管理 在logout之前不再对该用户的后续请求进行身份校验
	 * 
	 */  
    @Override  
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {  
		// 获取基于用户名和密码的令牌
		// 参数中的authcToken是从LoginController里面currentUser.login(token)传过来的
        UsernamePasswordToken token = (UsernamePasswordToken)authcToken;  
		System.err.println(
				"验证当前Subject获取到的token为:" + ReflectionToStringBuilder.toString(token, ToStringStyle.MULTI_LINE_STYLE));
		// 通过token.getUsername():获取登录的用户名
        User user = userService.getUserByName(token.getUsername());
        System.err.println("principal:" + token.getPrincipal());
        if(user != null){  
        		//this.getName():org.apache.shiro.realm.CachingRealm.getName()
			// 把通过身份校验的用户信息封装到AuthenticationInfo对象中 封装到缓存中 浏览器退出之前 ,可以不用重新登录 
			// 在logout之前不再对该用户的后续请求进行身份校验
        		AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), 
        				this.getName());  
        		return authcInfo;  
        }  
        return null;  
    }  

}


在登录的 时候 进行 shiro 判断 



shiro 判断 1.先检验 用户身份 


 2.shiro 中再次 调用 user.getUsername 和user.password 再次检验 避免 非法登录
























                

        

        

    




    

      

        

            

              
                
                  qq_40877660
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
java的细粒度权限shiro权限校验 ssh

				
			

			

				

					11-22
				

			

		

		

			
				
java的细粒度权限shiro权限校验 Spring + Struts + hibernate

			
		

	



                

              
                



	

		

			

				
					
Shiro学习笔记(3)——授权(Authorization

					
热门推荐

				
			

			

				

					君君的专栏
				

				

					05-28
					
					1万+
					
				

			

		

		

			
				
什么是授权
授权三要素
Shiro的三种授权方式
1 编码方式授权
2 基于注解的授权
3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素
权限
  请看Shiro学习笔记(1)——shiro入门中权限部分内容角色
  通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户

			
		

	



                


  
              

                


	

		

			

				
					
Shiro配置跳过权限验证

				
			

			

				

					web18484626332的博客
				

				

					03-28
					
					2292
					
				

			

		

		

			
				
需求
因为在开发环境,测试环境,有时候需要跳过shiro权限验证.所以想写个简单的配置跳过shiro权限验证.
跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件中写一个开关,最后通过Aop注入进去就大功告成.
@RequiresPermissions 处理类
在 org.apache.shiro.authz.aop.PermissionAnnotationHandler 中处理这个注解,这就是我们要
覆写的类.我准备将它替换成log日志.
/**
 * 检

			
		

	





	

		

			

				
					
浅谈shiro之登陆校验

				
			

			

				

					hnbcjzj的专栏
				

				

					09-28
					
					709
					
				

			

		

		

			
				
说说shiro的登陆校验吧,shiro的功能就是校验用户的身份和授权用户能访问哪些功能。如果不用shiro我们是如何去实现这个功能呢,一般我们都是在页面让用户输入用户密码,后台控制层接收前台传过来的用户密码,然后根据用户名去库里把对应的密码查出来与用户输的密码进行比较,如果一致,就认为校验通过了。
  只要我们知道上面的原理就行了,shiro也是一样的,我们在jsp页面输入用户密码提交到后台控制...

			
		

	



		

			
		



	

		

			

				
					
项目笔记之权限校验

				
			

			

				

					weixin_73348815的博客
				

				

					09-23
					
					845
					
				

			

		

		

			
				
Spring Security概述Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。官网地址: https://projects.spring.io/spring-security/Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或

			
		

	





	

		

			

				
					
SpringSecurity的权限校验详解说明(附完整代码)

				
			

			

				

					qq_51076413的博客
				

				

					02-19
					
					3487
					
				

			

		

		

			
				
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验、SpringSecurity自定义校验、SpringSecurity自定义校验规则、SpringSecurity异常处理器

			
		

	





	

		

			

				
					
shiro登录拦截校验demo

				
			

			

				

					07-19
				

			

		

		

			
				
自己做的一个shiro登录校验权限拦截的demo

			
		

	





	

		

			

				
					
spring boot shiro demo项目

				
			

			

				

					04-03
				

			

		

		

			
				
用springboot shiro 做的一个小demo ,方便快速入门shiro  会比security容易上手很多;

			
		

	





	

		

			

				
					
springboot集成shiro、jpa实现安全登录,权限校验

				
			

			

				

					12-10
				

			

		

		

			
				
springboot集成shiro实现安全权限登录框架

			
		

	





	

		

			

				
					
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip

				
			

			

				

					09-04
				

			

		

		

			
				
shiro-ssm整合案例,对登录认证和权限授予进行详细的讲解,对权限验证的三种方式:编程方式、注解方式、JSP标签方式进行案例说明,很详细的讲解

			
		

	





	

		

			

				
					
简单的权限验证

				
			

			

				

					不知名路人甲的博客
				

				

					11-01
					
					881
					
				

			

		

		

			
				
如果采用spring家族进行后端开发,想要实现多用户多权限很容易联想到spring security,shiro两大常见框架,但是两者都有一定的学习成本,并且由于兼容了很多设计模式的思想,源码很复杂,短时间不容易上手。那么,我们能不能通过一些java基础知识实现呢?因此本文使用。

			
		

	





	

		

			

				
					
权限校验—接口检验

				
			

			

				

					一起加油吧~
				

				

					08-08
					
					2127
					
				

			

		

		

			
				
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限

			
		

	





	

		

			

				
					
SpringBoot 统一功能处理:用户登录权限校验-拦截器、异常处理、数据格式返回

				
			

			

				

					2301_77463738的博客
				

				

					05-15
					
					1149
					
				

			

		

		

			
				
但是需要考虑的一点是,如果每个异常都这样写,那么工作量是非常大的,并且还有自定义异常,所以上面这样写肯定是不好的,既然是异常直接写 Exception 就好了,它是所有异常的父类,如果遇到不是前面写的两种异常,那么就会直接匹配到 Exception。我们要对一部分方法进行拦截,而另一部分方法不拦截,比如注册方法和登录方法是不拦截的,也就是实际的拦截规则很复杂,使用简单的 aspectJ 表达式无法满足拦截的需求。通过源码分析,可以看出,Sping 中的拦截器也是通过动态代理和环绕通知的思想实现的。

			
		

	





	

		

			

				
					
前端权限校验(以Vue2为例)

				
			

			

				

					weixin_44145894的博客
				

				

					07-10
					
					2019
					
				

			

		

		

			
				
前端权限校验仅作为一种辅助手段,真正的权限控制应当在后端进行。

			
		

	





	

		

			

				
					
权限验证框架之Shiro

				
			

			

				

					`or 1 or 不正经の泡泡
				

				

					06-15
					
					967
					
				

			

		

		

			
				
交替换个脑子,一直搞考研的东西,实在是无聊。所以顺便把工程上的东西,拿来遛一遛。你问我,为啥不是机器学习,深度学习,那玩意搞起来头更大,累了。权当是打游戏放松了,那么废话不多说,这里要玩玩的是Shiro,其实一开始我还是喜欢玩这个Security,不过后来,经常用这个人人开源,也就接触这个玩意了,说实话,先前用那个玩意的时候,也是习惯性的把shiro改成security,但是实话实说,太麻烦了,懒得改,所以的话,干脆就是直接使用这个Shiro

			
		

	





	

		

			

				
					
使用Shiro实现权限验证

				
			

			

				

					m0_61083409的博客
				

				

					08-28
					
					1737
					
				

			

		

		

			
				
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...

			
		

	





	

		

			

				
					
用户权限校验的两种方式 1.cookie结合session 2.jwt(token)。(cookie与session的认识与作用)

				
			

			

				

					weixin_54000091的博客
				

				

					01-04
					
					1569
					
				

			

		

		

			
				
cookie结合session,以及使用jwt。这两种方式解决权限校验问题

			
		

	





	

		

			

				
					
Shiro | 实现权限验证完整版

				
			

			

				

					冯文议技术博客
				

				

					10-22
					
					7903
					
				

			

		

		

			
				
写在前面的话
提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。
Shiro框架
1、Shiro是基于Apache开源的强大灵活的开源安全框架。
2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。
3、Shiro与Security对比

4、Shiro整体架构

5、特性

6、认证流程

认证
当我们理解Shi...

			
		

	





	

		

			

				
					
Springboot整合Shiro进行权限认证-两种获取realm的方式

				
			

			

				

					规则中找出不规则,挫折中找出突破点
				

				

					07-12
					
					1112
					
				

			

		

		

			
				
Shiro安全框架
在学习之前先了解了解shiro,防止掉坑。
1. 什么是Shiro?
1.1 Shiro的官网解释
Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序

特点:属于Apache开源组织的一个产品,功能强大并且易用的Java安全框架


可以完成用户认证、授权、密码以及会话管理
可以在任何的应用系统中使用(主要针对单体项

			
		

	





	

		

			

				
					
gateway shiro

					
最新发布

				
			

			

				

					08-16
				

			

		

		

			
				
一种方式是在gateway之后与应用app之间再额外加一个权限校验层app,但这可能会导致性能问题。另一种方式是将shiro放到一个common模块中,所有模块都依赖,但这样会失去gateway网关统一鉴权的分布式意义。  引用指出...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值