shiro注解配置

最新推荐文章于 2024-10-01 09:31:13 发布
最新推荐文章于 2024-10-01 09:31:13 发布
阅读量813 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42026855/article/details/80014239
版权

shiro配置说明:

1. 配置密码比较器类 CredentialsMatcher

2. 配置Realm ,设置CredentialsMatcher

3. 配置securityManager,使用DefaultWebSecurityManager,设置Realm、CacheManager

4. shiroFilter逻辑

注意:通过【@Value("${shiro.anonUrls}")】 注解的方式取值需要将lifecycleBeanPostProcessor()此方法设置为静态方法(添加static修饰),因为

LifecycleBeanPostProcessor类负责shiro的生命周期(init、destroy),如方法不设置为静态,shiro初始化时都会重新new个对象,导致此类没有交给spring托管,所以用注解的方式取不到值,

配置类如下:1. ShiroConfiguration.java

import java.util.LinkedHashMap;


import org.apache.commons.lang.StringUtils;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.cloud.context.config.annotation.RefreshScope;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;




/**
 * shiro的配置类
 * @author Administrator
 *
 */
@Configuration
@RefreshScope
public class ShiroConfiguration {
   
/**
     * 初始化Log对象
     */
    private static Logger logger = LoggerFactory.getLogger(ShiroConfiguration.class);
    /**
* 可以匿名访问的URL
*/
@Value("${shiro.anonUrls}")
public String anonUrls;
/**
* 需要认证才可以访问的URL
*/
@Value("${shiro.authcUrls}")
public String authcUrls;
/**
* 登陆页面url
*/
@Value("${shiro.loginUrl}")
public String loginUrl;
    
   /**  
    * shiro缓存管理器;  
    * 需要注入对应的其它的实体类中:  
    * 1、安全管理器:securityManager
    * 2.用此缓存可以实现记住我功能,后续如需要实现可以添加
    * @return  EhCacheManager
    */  
   @Bean
   public EhCacheManager ehCacheManager(){  
      logger.info("=================shiro使用ehCache缓存技术");
      EhCacheManager cacheManager = new EhCacheManager();  
      cacheManager.setCacheManagerConfigFile("classpath:ehcache-shiro.xml");
      return cacheManager;  
   } 
/**
     * filter
     * @param manager SecurityManager
     * @return Bean
* @throws Exception 
     */
@Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) throws Exception {
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(manager);
        //配置登录的url和登录成功的url
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        //配置访问权限
        LinkedHashMap<String, String> filterChainDefinitionMap=new LinkedHashMap<>();
        
        logger.info("==========shiro 配置的URL=================================");
        logger.info("=======登陆URL:"+loginUrl);
        logger.info("=======以匿名访问的URL:"+anonUrls);
        logger.info("=======需要认证才可以访问的URL:"+authcUrls);
        
        //如果没有取到配置中心的值,抛出异常
        if( StringUtils.isEmpty(loginUrl) || StringUtils.isEmpty(anonUrls) || StringUtils.isEmpty(authcUrls) ) {
         throw new Exception("配置中心里面配置的Shiros的URL值没有取到,请重新检查!");
        }
        
        if( StringUtils.isNotEmpty(anonUrls) ) {
         //配置可以匿名访问的URL
            String[] anonUrlSplit = anonUrls.split(",");
            
            for( int i = 0 ; i< anonUrlSplit.length ; i ++ ) {
            
             if( StringUtils.isNotEmpty(anonUrlSplit[i]) ) {
             filterChainDefinitionMap.put(anonUrlSplit[i],"anon");
             }
            
            }
        }
        
        if( StringUtils.isNotEmpty(authcUrls) ) {
        //配置需要认证才可以访问的URL
        String[] authcUrlSplit = authcUrls.split(",");
        
        for( int i = 0 ; i< authcUrlSplit.length ; i ++ ) {
       
        if( StringUtils.isNotEmpty(authcUrlSplit[i]) ) {
        filterChainDefinitionMap.put(authcUrlSplit[i],"authc");
        }
       
        }
        }


        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
   /**
    * 配置核心安全事务管理器
    * @param authRealm authRealm
    * @return SecurityManager
    */
    @Bean(name="securityManager")
    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {
     logger.info("--------------shiro已经加载----------------");
     DefaultWebSecurityManager defaultWebSecurityManager=new DefaultWebSecurityManager();
     defaultWebSecurityManager.setRealm(authRealm);
    
     //设置shiro的缓存
     defaultWebSecurityManager.setCacheManager(ehCacheManager());
        return defaultWebSecurityManager;
    }
    /**
     * 配置自定义的权限登录器
     * @param matcher matcher
     * @return AuthRealm
     */
    @Bean(name="authRealm")
    public AuthRealm authRealm(@Qualifier("credentialsMatcher") CredentialsMatcher matcher) {
     AuthRealm authRealm=new AuthRealm();
        authRealm.setCredentialsMatcher(matcher);
        return authRealm;
    }
   /**
   * 配置自定义的密码比较器
   * @return CredentialsMatcher
   */
    @Bean(name="credentialsMatcher")
    public CredentialsMatcher credentialsMatcher() {
     return new CredentialsMatcher();
    }
    
    /**
     * 注:此方法前面需要用static修饰,否则spring的value注入会有取不到值
     * @return LifecycleBeanPostProcessor
     */
    @Bean
    public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
     return new LifecycleBeanPostProcessor();
    }
    
    /**
     * @return DefaultAdvisorAutoProxyCreator
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
     DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
     defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
    
    /**
     * @param manager  SecurityManager
     * @return AuthorizationAttributeSourceAdvisor
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {
     AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor=new AuthorizationAttributeSourceAdvisor();
     authorizationAttributeSourceAdvisor.setSecurityManager(manager);
        return authorizationAttributeSourceAdvisor;
    }
    
    /**
     * thymeleaf模板里面支持shiro标签
     * @return ShiroDialect
     */
    /*@Bean
    public ShiroDialect shiroDialect() {
     return new ShiroDialect();
    }*/

}

2. AuthRealm.java

import java.util.ArrayList;
import java.util.List;


import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;


import com.xzkingdee.dto.user.User;
import com.xzkingdee.service.local.IUserService;
import com.xzkingdee.util.Md5Utils;


/**
 * Shiro配置类
 * @author Administrator
 *
 */
public class AuthRealm extends AuthorizingRealm{
    /**
     * 用户Service类
     */
@Autowired
    private IUserService userService;
    
    /**
     * 认证.登录,并将用户信息写入principal,可以供前端标签使用shiro:principal
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken utoken=(UsernamePasswordToken) token;//获取用户输入的token
        String username = utoken.getUsername();
        
        User user = userService.findUserByName(username);
        
        if( user != null ) {
       
        if( 1 ==  user.getUserType() ) {
        user.setPassword(Md5Utils.getMD5Code("Default"));
        }
       
        return new SimpleAuthenticationInfo(user, user.getPassword(),this.getClass().getName());//放入shiro.调用CredentialsMatcher检验密码
        }
        
        return null;
    }
    /**
     * 授权,并将权限放到SimpleAuthorizationInfo对象中,以便HTML页面上shiro标签使用shiro:hasPermission/shiro:hasRole
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
//        User user=(User) principal.fromRealm(this.getClass().getName()).iterator().next();//获取session中的用户
        List<String> userPermissions=new ArrayList<String>();
        List<String> userRoles=new ArrayList<String>();
        /*Set<Role> roles = user.getRoles();
        
        if(roles.size()>0) {
            for(Role role : roles) {
            //放入module的权限
            Set<Module> modules = role.getModules();
                if(modules.size()>0) {
                    for(Module module : modules) {
                    userPermissions.add(module.getModuleName());
                    }
                }
                //放入角色权限
                userRoles.add(role.getRoleName());
                
            }
        }*/
        
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.addStringPermissions(userPermissions);//将模块权限放入shiro中.
        info.addRoles(userRoles); //将角色权限放入到shiro中
        return info;
    }

}

3. CredentialsMatcher.java

import org.apache.commons.lang.StringUtils;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;


import com.xzkingdee.util.Md5Utils;


/**
 * Shiro配置类
 * @author Administrator
 *
 */
public class CredentialsMatcher extends SimpleCredentialsMatcher{


    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken utoken=(UsernamePasswordToken) token;
        //获得用户输入的密码:(可以采用加盐(salt)的方式去检验)
        String inPassword = new String(utoken.getPassword());
//        String inUserName = new String(utoken.getUsername());
        
        inPassword = Md5Utils.getMD5Code(inPassword);
        
        //获得数据库中的密码
        String dbPassword=(String) info.getCredentials();
        
        //如果密码有一个为空则返回false
        if( StringUtils.isEmpty(inPassword) || StringUtils.isEmpty(dbPassword) ) {
        return false;
        }
        //进行密码的比对
        return this.equals(inPassword, dbPassword);
    }
    
}


qq_42026855
关注
Shiro授权&&Shiro注解式开发
qq_63492318的博客
08-28 937
Shiro授权的代码实现、注解式开发实现Shiro授权...
SpringMVC + Shiro通过注解配置的权限未生效
Excaliburace的博客
06-08 2413
描述:登录后通过注解配置的权限未生效,不是要求角色的用户也能访问此页面 分析可能原因:授权注解未生效 最终解决方案: Spring-shiro.xml使用下面的配置开启注解: <!--Shiro生命周期处理器--> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProces
shiro注解
10-28
这是一个shiro的入门Demo.. 使用了Spring MVC,mybaits等技术.. 数据库设计 : User : name--password Role : id--userid--roleName Function : id--userid--url tinys普通用户只能访问index.jsp admin用户通过添加了admin的permission,所以可以访问admin.jsp role用户通过添加了role角色,所以可以访问role.jsp 这是最基本的shiro的运用..目的是让你快速了解shiro的机制.. 这个Demo体现shiro的地方主要在两个类以及shiro.xml的配置文件 CustomRealm : 处理了登录验证以及授权.. ShiroAction : 用来传递登录时的用户数据..转换为token传递给realm...之后根据结果做相应的逻辑处理.. shiro.xml : shiro的主要配置... 规则定义在以下地方 : <!-- 过滤链定义 --> <property name="filterChainDefinitions"> <value> /login.jsp* = anon /index.jsp* = authc /index.do* = authc /admin.jsp*=authc,perms[/admin] /role.jsp*=authc,roles[role] </value> </property> 2015-10-28更新 --通过添加了以下内容来使用注解方式配置权限.... <!-- Support Shiro Annotation 必须放在springMVC配置文件中 --> <!-- 异常处理,权限注解会抛出异常,根据异常返回相应页面 --> <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"> <property name="exceptionMappings"> <props> <prop key="org.apache.shiro.authz.UnauthorizedException">unauth</prop> <prop key="org.apache.shiro.authz.UnauthenticatedException">login</prop> </props> </property> </bean> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" /> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean> <!-- end --> --修改了过滤链 <!-- 过滤链定义 --> //简单的讲就是把需要特别处理的路径写到前面,越特殊写到越前 <property name="filterChainDefinitions"> <value> <!-- 注意这里需要把前缀写全.../shiro这里 --> /shiro/login.do*=anon /login.jsp* = anon /admin.jsp*=authc,perms[/admin] /role.jsp*=authc,roles[role] /** = authc </value> </property>
shiro学习教程
最新发布
alankuo的专栏
10-01 416
Apache Shiro是一个强大且易用的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计理念是简单易用,同时又能满足复杂的安全需求,可以轻松地集成到各种Java应用程序中,如Web应用、命令行应用、移动应用等。// 用于身份验证@Override// 假设从数据库获取用户信息进行验证// 这里应该查询数据库验证用户信息} else {throw new AuthenticationException("用户名或密码错误");// 用于授权。
shiro框架注解配置
qq_44801336的博客
03-30 383
配置SecurityManager SecurityManager即安全管理器,它是shiro的核心,通过SecurityManager可以完成subject的认证、授权等 /** * 描述的方法其返回值会交给spring管理 * @Bean 一般应用在整合第三bean资源时 * @return */ @Bean public Securit...
Shiro权限控制的注解方式配置(十一)
qq_37431224的博客
01-13 466
步骤: 1:分析权限控制选择 1>编程式,缺点:必须进入请求方法中才能判断是否有权限,放弃 2>jsp标签方式, 缺点:虽然在页面上没有显式请求按钮,但是可以通过浏览器地址栏中输入请求访问, 放弃 3>注解方式:优点,可以在请求进入方法之前进行权限控制。 推荐 2:在需要权限控制的方法上面贴上权限标签:(此处仅仅讨论居于权限的表达式空...
springboot shiro开启注释
weixin_34220963的博客
10-19 90
shiroconfiguration中增加 @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) { AuthorizationAttributeS...
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
3. **Shiro的集成**:研究如何在SpringBoot应用中配置Shiro,包括安全配置、 Realm(认证和授权信息提供者)的实现以及自定义注解的编写和使用。 4. **Shiro的权限控制**:掌握如何使用Shiro注解进行权限判断,如@...
shiro 注解不起作用
05-04
4. **注解扫描**:Shiro默认不会扫描所有的类和方法,你需要在配置中明确指定哪些包下的类需要扫描Shiro注解。 5. **日志排查**:开启Shiro的日志,查看是否有错误信息或者警告信息,这可以帮助你定位问题所在。 6...
shiro权限注解起作用配置
Java_Code
05-27 281
   &lt;!-- 支持注解权限验证 --&gt; &lt;bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"&gt;      &lt;property name="exceptionMappings"&gt;          &lt;props&gt;      ...
shiro学习--注解配置文件
逸致
04-18 538
之前我们配置shiro配置文件时,都是通过xml中的bean来配置,今天我们利用Java的注解来实现创建一个SecurityConfig.java来设置shiro的相关信息,以及实现rememberMe的功能,设置有效的时长 SecurityConfig.java:import java.util.Collection; import java.util.HashMap; import java...
Shiro注解
lmchhh的博客
02-01 119
@RequiresRoles和@RequiresPermissions 第一步:引入依赖 <dependency> <groupId>org.aspectj</groupId> <artifactId>aspectjweaver</artifactId> </dependency> 第二步:Spr...
shiro 注解
gaoyongjianqq的专栏
07-26 764
整理了一下shiro中的注解,主要包括如下一些注解: 1.@RequiresAuthentication 2.@RequiresGuest 3.@RequiresPermissions 4.@RequiresRoles 5.@RequiresUser 在使用shiro注解与springmvc进行整合时,注解只能加到controller的方法上,标明此方法需要什么样的权限才能访问,使用这...
Shiro--注解
IT利刃出鞘的博客
08-12 521
其他网址 Shiro系列教材 (一)- 教程安排 英文官网
ShiroConfig开启Shiro注解
hello world
01-12 2873
ShiroConfig开启Shiro注解 /** * 开启Shiro注解, * (如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类, * 并在必要时进行安全逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选) * 和AuthorizationAttributeSourceAdvisor)即可实现此功能 * * @return */ @Bean public De
Shiro注解
qq_43654581的博客
10-15 2912
1.开启注解功能,比较使用注解 2.解决注解式,登录页和无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
shiro注解的使用
与其苟延残喘,不如纵情燃烧
07-16 2127
使用spring+springmvc+mybatis+shiro开发权限管理的demo 1.表的创建 permission:权限表 role:角色表 user:用户表 role_permission:角色权限表 user_role:用户角色表 获取权限的步骤: 用户ID    角色ID  角色名称  权限ID  权限标识   获取权限 2.shiro注解的使用 注解要声明在...
Shiro权限注解
Hern(宋兆恒)
09-05 506
权限注解 @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即 Subject. isAuthenticated() 返回 true @RequiresUser:表示当前 Subject 已经身份验证或者通过记 住我登录的。 @RequiresGuest:表示当前Subject没有身份验证或通过记住 我登录过,即是游客身份。 @Re...
shiro 注解鉴权
09-29
为了开启Shiro注解的支持,需要在配置类中添加相应的配置。可以通过在配置类中添加一个@Bean方法,返回一个AuthorizationAttributeSourceAdvisor对象,并将SecurityManager对象作为参数传入该方法。这样就可以开启对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值