Springboot 整合 Shiro

最新推荐文章于 2021-04-01 18:04:19 发布
最新推荐文章于 2021-04-01 18:04:19 发布
阅读量156 收藏
点赞数
分类专栏: SpringBoot java 文章标签: shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42449106/article/details/103171841
版权

本文内容:讲述Springboot 整合 Shiro 的相关步鄹、demo 实现以及 Shiro 与 Thymeleaf 的整合。

1

数据准备

 新建数据库:hospital

新建数据表并添加测试数据:

dzm_his_member:{ uid 、user_name、password}

dzm_his_auth_rule :{ id、menu_name、title}

dzm_his_auth_group :{ id、title、rules}

其中,menu_name 为权限的具体执行方法,rules 为对应权限组的权限集合。

2

引入依赖

在 pom.xml 文件中引入 Shiro 的相关依赖:

<!-- shiro与spring整合依赖 -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>1.4.0</version>
    </dependency>
<!-- thymel对shiro的扩展坐标 -->
    <dependency>
      <groupId>com.github.theborakompanioni</groupId>
      <artifactId>thymeleaf-extras-shiro</artifactId>
      <version>2.0.0</version>
    </dependency>

3

修改配置文件

在 application.properties 配置文件中添加连接数据库的相关信息:

# mysql
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/hospital?characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=root
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.jpa.properties.hibernate.hbm2ddl.auto=update

4

编写数据库实体代码

使用代码生成器自动生成第一步中三个数据表对应的实体以及他们的Mapper 文件和 Service 文件。

5

配置Shiro

以下三个为Shiro的核心 API :

Subject: 用户主体(把操作交给SecurityManager)

SecurityManager:安全管理器(关联Realm)

Realm:Shiro连接数据的桥梁

ShiroConfig.java

@Configuration
public class ShiroConfig {


  /**
   * 创建ShiroFilterFactoryBean
   */
  @Bean
  public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    
    //设置安全管理器
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    
    //添加Shiro内置过滤器
    /**
     * Shiro内置过滤器,可以实现权限相关的拦截器
     *    常用的过滤器:
     *       anon: 无需认证(登录)可以访问
     *       authc: 必须认证才可以访问
     *       user: 如果使用rememberMe的功能可以直接访问
     *       perms:该资源必须得到资源权限才可以访问
     *       role: 该资源必须得到角色权限才可以访问
     */
    Map<String,String> filterMap = new LinkedHashMap<String,String>();
    
    //放行login.html页面
    filterMap.put("/login", "anon");
    //授权过滤器
    //注意:当前授权拦截后,shiro会自动跳转到未授权页面
    filterMap.put("/add", "perms[user:add]");
    filterMap.put("/update", "perms[user:update]");
    
    filterMap.put("/*", "authc");
    
    //修改调整的登录页面
    shiroFilterFactoryBean.setLoginUrl("/");
    //设置未授权提示页面
    shiroFilterFactoryBean.setUnauthorizedUrl("/noAuth");
    
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
    
    
    return shiroFilterFactoryBean;
  }
  
  /**
   * 创建DefaultWebSecurityManager
   */
  @Bean(name="securityManager")
  public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    //关联realm
    securityManager.setRealm(userRealm);
    return securityManager;
  }
  
  /**
   * 创建Realm
   */
  @Bean(name="userRealm")
  public UserRealm getRealm(){
    return new UserRealm();
  }
  
  /**
   * 配置ShiroDialect,用于thymeleaf和shiro标签配合使用
   */
  @Bean
  public ShiroDialect getShiroDialect(){
    return new ShiroDialect();
  }
}

 UserRealm.java

public class UserRealm extends AuthorizingRealm{


  @Autowired
  private DzmHisMemberService memberService;
  @Autowired
  private DzmHisAuthGroupService authGroupService;
  @Autowired
  private DzmHisAuthRuleService authRuleService;
  
  /**
   * 执行授权逻辑
   */
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
    System.out.println("执行授权逻辑");
    
    //给资源进行授权
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    
    //添加资源的授权字符串
    //info.addStringPermission("user:add");
    
    //到数据库查询当前登录用户的授权字符串
    //获取当前登录用户
    Subject subject = SecurityUtils.getSubject();
    DzmHisMember member = (DzmHisMember)subject.getPrincipal();
    // 得到当前用户的权限类别
    int typeById =member.getType();
    System.out.println("1111111111111111111111111111111111111111111111111111111111111111111111111111111111");
    System.out.println(typeById);
    DzmHisAuthGroup authGroup=authGroupService.findById(typeById);
    // 得到当前用户权限类别的具体权限序列
    String rules=authGroup.getRules();
    System.out.println("2222222222222222222222222222222222222222222222222222222222222222222222222222222222");
    System.out.println(rules);
    if (rules!=null || !rules.isEmpty()) {
      // 拆分权限序列,得到具体权限
      String[] ruleStrings=rules.split(",");
      int id;
      DzmHisAuthRule authRule;
      String rule;
      System.out.println("3333333333333333333333333333333333333333333333333333333333333333333333333333333333");
      for (int i = 0; i < ruleStrings.length; i++) {
        id=Integer.parseInt(ruleStrings[i]);
        authRule=authRuleService.findById(id);
        rule=authRule.getMenuName();
        rule=rule.replace("/", ":");
        info.addStringPermission(rule);
      }
      System.out.println();
    }
    try {
            //不确定是什么原因导致权限可能会生成一个空值"", 会报错,所以将空值删除
            if (info != null && info.getStringPermissions() != null) {
                Set<String> permissions = info.getStringPermissions();
                for (String permission : permissions) {
                    if (StringUtils.isEmpty(permission)) {
                        permissions.remove(permission);
                    }
                }
            }
        } catch (Exception e) {
            System.out.println("移除空值权限出错---"+e.getMessage());
        }


    return info;
  }
  


  /**
   * 执行认证逻辑
   */
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
    System.out.println("执行认证逻辑");
    
    //编写shiro判断逻辑,判断用户名和密码
    //1.判断用户名
    UsernamePasswordToken token = (UsernamePasswordToken)arg0;
    
    DzmHisMember member = memberService.findByName(token.getUsername());
    
    if(member==null){
      //用户名不存在
      return null;//shiro底层会抛出UnKnowAccountException
    }
    
    //2.判断密码
    return new SimpleAuthenticationInfo(member,member.getPassword(),"");
  }
}

6

Shiro 整合 Thymeleaf

测试:实现权限的动态显示,即根据用户权限集的不同显示不同的菜单

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>主页面</title>
</head>
<body>
<h3 th:text="${name}"></h3>


<hr/>
<div shiro:hasPermission="Doctor:index">
进入用户添加功能:<a href="add">用户添加</a><br/>
</div>
<div shiro:hasPermission="user:update">
进入用户更新功能:<a href="update">用户更新</a><br/>
</div>
<a href="login">登录</a>
</body>
</html>

7

编写控制器

loginController.java

@Controller
public class loginController {


  @RequestMapping(value="/login",method = RequestMethod.GET)
  public String toLogin() {
    return "login";
  }


  @RequestMapping(value="/login",method = RequestMethod.POST)
  public String login(String userName,String password,Model model)  {
    /**
     * 使用Shiro编写认证操作
     */
//1.获取Subject
    Subject subject = SecurityUtils.getSubject();  
//2.封装用户数据
    UsernamePasswordToken token = new UsernamePasswordToken(userName,password);
//3.执行登录方法
    try {
      subject.login(token);
      //登录成功,跳转到主页面
      return "redirect:/toHome";
    } catch (UnknownAccountException e) {
      //登录失败:用户名不存在
      model.addAttribute("msg", "用户名不存在");
      return "login";
    }catch (IncorrectCredentialsException e) {
      //登录失败:密码错误
      model.addAttribute("msg", "密码错误");
      return "login";
    }
  }
  
  @RequestMapping("/toHome")
  public String toHome() {
    return "home";
  }
}

8

测试

在浏览器地址栏输入:

http://localhost:8080/hospital/login

进入登录页面,输入账号密码,验证通过后到达主菜单界面,显示当前用户所能看到的权限。

如:我的账号密码是 root 、root ,只有添加的权限而没有更新的权限,进入主界面之后应当只显示出添加的访问链接。

至此,本文结束。欢迎各位关注我的公众号:暗星涌动。

暗星涌动
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Java参数前加...是什么意思呢
weixin_44371237的博客
01-25 1207
如图,Stringpermissions这种写法是从Java 5开始的,Java语言对方法参数支持一种新写法,叫可变长度参数列表 表示此处接受的参数为0到多个String 类型的对象,或者是一个String[]
权限认证
祈祷之手
06-27 952
权限认证流程 对 isPermitted 进行分析 public static void main(String[] args) { Factory&amp;lt;SecurityManager&amp;gt; factory = new IniSecurityManagerFactory(&quot;classpath:shiro.ini&quot;); Secur...
Shiro的三种授权(十二)
qq_35222843的博客
05-11 414
前提就是在Realm的授权方法中查询出权限并返回List<String>形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthentication...
android 权限判断
介亭的博客
03-27 2523
1.SplashActivity @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); if (Build.VERSION.SDK_INT >= 23) {//...
Shiro简单授权原理分析
懒人的博客
03-03 3965
Shiro授权简介Shiro授权简单来说分为两种类型: 粗粒度的:也就是代码中直接写入和角色的绑定。 细粒度的:代码中写入的是和权限的绑定,而角色到权限和可配置的。 对于粗粒度来说,若角色对应权限有改变的话,那么则需要更改代码,很不方便。而细粒度的好处显而易见,所以一般项目中应该都采用细粒度的权限配置。源码及流程分析那么Shiro中是如何来完成权限检验的呢? 通过调用Subject.hasRole
springboot整合shiro
12-28
springboot整合shiro实现登录权限管理的一个demo,根据注解形式控制操作权限及角色权限。包含sql
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Springboot整合Shiro的代码实例
08-25
主要介绍了Springboot整合Shiro的代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
一个兼容Kotlin和Java的简单android 动态权限框架
qq_20543129的博客
06-12 961
首先是常用的一些权限组合 /** * Created by dk on 2018/6/7 * 常用的一些权限组合 */ public interface PermissionConsts { String[] CONTACTS = { Manifest.permission.WRITE_CONTACTS, Manifest.perm...
java 自定义注解实现权限判断
Nagisazz的博客
12-19 4197
近期因为业务需求,用户类型进行了细致的区分,各个接口的权限都要进行判断,一开始在每个接口中写判断方法,后来实在太多,所以采用注解的形式实现粗粒度的鉴权。 自定义注解 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface Authenticate { /*...
【SaaS - Export项目】22 - shrio的过滤器和标签,apache shiro登录认证功能(拦截非登录用户访问登录模块权限)
Java小皮孩
11-10 856
文章目录1. Shiro的过滤器和标签介绍1.1 shiro过滤器1.2 shiro标签2. Shiro实现登录认证(判断session有无user信息)2.1 拦截路径的三个属性`/ /* /**`区别2.2 applicationContext-shiro.xml配置登录认证拦截2.3 Shiro的登录认证(用户名密码验证)UserController2.4 AuthRealm配置认证Authorization(认证账号密码)2.5 效果 1. Shiro的过滤器和标签介绍 作用:判断 sesion中是
Shiro入门这篇就够了【Shiro的基础知识、回顾URL拦截】
weixin_34005042的博客
03-21 77
前言 本文主要讲解的知识点有以下: 权限管理的基础知识 模型 粗粒度和细粒度的概念 回顾URL拦截的实现 Shiro的介绍与简单入门 一、Shiro基础知识 在学习Shiro这个框架之前,首先我们要先了解Shiro需要的基础知识:权限管理 1.1什么是权限管理? 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系...
使用shiro完成权限判断
weixin_44860790的博客
07-13 3538
一、权限判断 获取到所有权限进行判断,应该从数据库中获取 public class FilterChainDefinitionMapFactory { @Autowired private IPermissionService iPermissionService; public LinkedHashMap<String,String> builderFilter...
shiro学习_Subject的使用
it_lihongmin的博客
07-15 5468
Shiro为我们暴露的认证授权组件Subject,为我们提供了当前用户、角色和授权的相关信息,并且允许我们在实际项目中通过以下三种方式进行调用 (当然最终的认证授权部分的还是Subject通过SecurityManager调用具体实现的realm进行判定): 1、编程式授权(当然在实际的生产环境中很少使用) 1) 直接通过角色的访问控制(即调用数据库查看当前subject对应的用户是否具有某
SpringBoot+shiro整合学习之登录认证和权限控制
qq_20954959的博客
02-13 8104
学习任务目标 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。 对链接进行权限控制,只有当当前登录用户有这个链接访问权限才可以访问,否则跳转到指定页面。 输入错误密码用户名或则用户被设置为静止登录,返回相应json串信息。 我是用的是之前搭建的一个springboot+mybatisplus+jsp的一个基础框架。在这之上进行shiro整合。需要的同学可以去我的码云下载。 导入shiro
SpringBoot+Shiro实现登陆拦截功能
loliDapao的博客
04-01 423
上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。 首先介绍下Shiro:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架: Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义...
SpringBoot+Shiro学习(四):Realm授权
weixin_33754913的博客
12-16 138
上一节我们讲了自定义Realm中的认证(doGetAuthenticationInfo),这节我们继续讲另一个方法doGetAuthorizationInfo授权 授权流程 流程如下: 首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer; Authorizer是真正的授权...
permissions 权限
我只是好奇
05-10 2924
如果我们想知道某个权限怎么使用,有什么制约怎么办? pm list permissions -f 来查看系统所有权限的描述 如果我们需要在系统中增加一个权限,怎么办?那我们照下列的步骤来做 1.确定你的权限属于文件访问控制,还是接口调用控制。 2.在frameworks/base/core/res/AndroidManif...
springboot 整合 shiro
最新发布
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

暗星涌动

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值