在web项目中Spring整合Shiro做权限管理以及用户认证、权限缓存(一),

最新推荐文章于 2024-09-19 06:21:34 发布
最新推荐文章于 2024-09-19 06:21:34 发布
阅读量244 收藏
点赞数
分类专栏: java 文章标签: spring整合Shiro Shiro权限管理以及认证 Shiro权限管理系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42450237/article/details/82082068
版权

      也是为了自己以后方便记忆,自己看了很久怎么用Shiro去做用户认证以及权限校验,特此把这个过程记录下来。也搜索很多教程都觉得讲的云里雾里,其实最后很大的帮助还是官方文档。或许是博主比较笨,废话不说直接写流程。也不知道对不对,如有不对还希望高人指点一下。

http://shiro.apache.org/spring.html :这个地址是官方整合spring的一个教程,好像只有配置文件,但是我没找到具体代                                                                  码, 具 体例子。所以也不明白。

我写的这个教程建立在你知道了Shiro一些概念,以及一些主要对象的基础上的。

第一步:先说一下Shiro的认证流程吧。这是在网上看的一个视频中讲的,自我感觉讲的很好,因为没有视频中的源码就截了个图

        

其实这个流程可以帮助我们明白Shiro认证的一些过程,下面开始

  1,引入Shrio的相关包以及整合spring的包:

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.5</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.5</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.5</version>
        </dependency>

2,在web.xml文件中配置Shiro过滤器,

<!-- 添加shiro过滤器 -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
		<!-- 该值缺省为false,表示声明周期由SpringApplicationContext管理,设置为true表示 
                   ServletContainer管理 -->
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

3,但是Shiro过滤器又是由Spring容器来管理的,所以我们要在Spring容器中配置一个Shiro过滤器的bean。但是呢其实在Spring配置的是一个工厂bean对象,但是这个工厂bean对象中有很多属性可以设置。其中有个过滤器链,在这个过滤器链中就可以设置对项目资源的权限控制。其中还有个属性是<property name="securityManager" ref="securityManager"/>,这个叫做安全管理器,也是需要我们在Spring容器中去配置的。但是呢在securityManager对象中看到需要注入一个<property name="realm" ref="myRelam"/>,这个是需要我们自己去定义一个类,在下一步中会写。还有一点是<property name="unauthorizedUrl" value="/refused.jsp" />这个属性,说是当没有权限时会自动跳转到这个页面,但是我配置了之后没作用,所以就先注释掉。对于 <property name="loginUrl" value="/index.jsp" />这个属性就不用解释了吧,就是你没有认证成功,就会跳转到这个页面。对于过滤器链中的配置是什么意思应该在初步学习Shiro的认证和授权时就应该就已经知道了。

<!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myRelam"/>        
    </bean>


 <!-- shiro过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 身份认证失败,则跳转到登录页面的配置 -->
         <property name="loginUrl" value="/index.jsp" />
        <!-- 权限认证失败,则跳转到指定页面, -->
        <!--<property name="unauthorizedUrl" value="/refused.jsp" /> -->
        <!-- Shiro连接约束配置,即过滤链的定义   authc -->
        <property name="filterChainDefinitions">
            <value>
            	/user/login=anon
            	/static/**=anon
                /index.jsp=anon
                /refused.jsp=anon
                /**=authc
            </value>
        </property>
    </bean>

4,自定义一个realm继承AuthorizingRealm类。(个人理解这个realm就可以干认证和授权的事)里面的代码先不管什么意思             

public class MyRealm extends AuthorizingRealm {
    
   @Autowired
    private UserService userService;

    //这个方法是用来授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
          User user = (User)principalCollection.getPrimaryPrincipal();
          List<String> userPermissions = userService.findUserPermissions(user.getId());
          SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
          authorizationInfo.addStringPermissions(userPermissions);
          log.debug("从数据库中查询");
          return authorizationInfo;
    }
    
    
    //这个方法是用来认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        User user = userService.getUserByName(username);
        if (user == null){
            throw new UnknownAccountException("账户不存在");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),getName());

        return info;
    }
   
}

  4,接下来就可以写认证的Controller了。在controller中不多解释,最重要的就是当执行subject.login(usernamePasswordToken);这个方法的时候,就会执行我们自定义的realm中的认证方法。至于里面是怎么认证的我自己也不是非常的清楚,可以参考一开始的认证流程。如果前端传来的账号密码不匹配,在realm中就会抛出一个异常,然后在controller中捕捉到异常就会提示认证失败,并且还是在inde页面。如果认证成功了,就会执行redirect:/admin/main.jsp 这个转发到系统的首页。到这里用Shiro做认证就算完成了。

@Controller
@RequestMapping("/user")
public class UserAdminController {
    private static final Logger log = Logger.getLogger(UserAdminController.class);// 日志文
	
	
	@RequestMapping(value = "/login", method = RequestMethod.POST)
    public String login(User user, Model model) {
	    Subject subject = SecurityUtils.getSubject();
	   /* if (user == null){ return "login";}*///前端已经设置了账号密码不为空

        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(user.getUsername(),user.getPassword());
        try {
            subject.login(usernamePasswordToken);
  
        } catch (AuthenticationException e) {
            e.printStackTrace();
            model.addAttribute("msg","账号或密码错误");
            log.info("==============================认证失败");
            return "index";
        }
        log.info("=================================认证成功");
        return "redirect:/admin/main.jsp";

    }

    5,我看到视频上在Controller中是直接判断是否有异常,然后前端页面表单的name值好像也有一些规定。但是我在网上找到有例子是这样写的。所以我就这样做了。如有不对,还希望高人来指点。

 

 

 

SpringBoot】23、SpringBoot整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目使用过 shiro,发现 shiro权限管理的真不错,但是在 SSM 项目的配置太繁杂了,于是这次在 SpringBoot 使用了 shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro ,Subje
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro整合是企业级应用常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
web项目Spring整合Shiro权限管理以及用户认证权限缓存(二),
qq_42450237的博客
10-30 170
上次把认证完了,过了好长时间了赶紧把授权也简单写一下,怕忘了,简单写一下以后自己用的时候能回忆起来! 1,这是角色表,permission_ids的字段就是代表每一个资源的id。 2,这是资源表。percode,是用来在每个controller上使用Shiro注解来判断的一个标识符。 3,MyRealm授权的代码。 package com.zhou.ssm.realm; im...
10.2 Web项目Spring整合Shiro
Bug_marker的博客
11-14 197
1、创建web项目,创建maven-web项目。 2、导入pomp文件。除了正常的项目依赖之外,Spring整合Shiro还需要另外导入3个依赖,如下。 <!--shiro核心包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version&g
Spring Security 权限控制
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-19 1484
在前面的章节,已经给大家介绍了Spring Security的很多功能,在这些众多功能,我们知道其核心功能其实就是 认证+授权。
008-shirospring web项目整合【二】认证、授权、session管理
dilv4062的博客
08-23 160
一、认证 1、添加凭证匹配器 添加凭证匹配器实现md5加密校验。 修改applicationContext-shiro.xml: <!-- realm --> <bean id="customRealm" class="com.lhx.ssm.shiro.CustomRealm"> <!-- 将凭证匹配器设...
shirospring整合web项目的应用
两碗面的博客
01-24 308
一、思想认识 这里shiro就相当于一个拦截器,这个拦截器与spring整合在了一起,当一个URL请求的时候首先--->走shiro拦截器------>springMVC的handler函数; 二、shirospring项目的整合 1、shiroweb.xml的配置 在web系统shiro也通过filter进行拦截。filter拦截后将操作权交给spring配置的filte
springshiro的集成,以及web项目的登陆权限验证
weixin_44860790的博客
07-10 382
一 Shrio与Spring集成 Shiro的理论 shiro是一个权限框架(身份认证,授权,会话,密码学) shiro(轻量级,粗粒度,其它涉及到细粒度自己代码完成)与Spring security(重量级,细粒度,有点麻烦) 身份认证(登录)authentication,授权authorization,密码学,会话管理 Subject(当前用户)—》SecurityMananger(所有功...
Spring整合Shiro权限控制模块详细案例分析
12-30
Spring 整合 Apache Shiro 是一个常见的权限控制解决方案,它可以帮助开发者轻松地实现用户登录、权限验证、会话管理等功能。在这个案例,我们将深入探讨如何将 ShiroSpring 结合使用,构建一个完整的权限控制...
Spring Boot整合Shiro搭建权限管理系统教学提纲.pdf
06-07
Spring Boot整合Shiro搭建权限管理系统】 在Java后端开发Spring Boot因其简洁的配置和强大的功能,已经成为构建Web应用的首选框架。而Apache Shiro则是一个强大且易用的Java安全框架,用于处理认证、授权、...
Spring Boot整合Shiro搭建权限管理系统.docx
07-02
在开始介绍如何使用Spring Boot整合Shiro搭建权限管理系统之前,我们首先简要回顾一下Spring Boot的基础知识。 ##### 1. 新建一个Maven工程 为了创建一个Spring Boot项目,首先需要使用Maven或者Gradle作为构建...
shiro学习:shiro整合SpringMVC的web项目
刘大磊的博客
10-22 685
一、准备环境 与其它java开源框架类似,将shiro的jar包加入项目就可以使用shiro提供的功能了。shiro-core是核心包必须选用,还提供了与web整合shiro-web、与spring整合shiro-spring、与任务调度quartz整合shiro-quartz等,下边是shiro各jar包的maven坐标。 org.apache.shiro shiro
Shiro整合SpringMVC之web搭建
Luke-Lu
06-13 483
项目框架:Spring + SpringMvc + Shiro + Mybatis + Redis本章的源码地址:https://gitee.com/Luke-Lu/shiroShiro认证与授权的在Web实现第一步:添加依赖1 2 3 4 5 6 7 8 9 10 11 &lt;!-- shiro --&gt; &lt;dependency&gt; &lt;groupId&gt...
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 7757
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
SpringSecurity权限控制
qq_61544409的博客
03-21 7860
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
security权限管理详解
程序三两行
07-24 2933
Collection
spring+shiro 配置使用(完整代码篇)
shaking的博客
09-07 2182
web安全框架,shiro相比spring security,更轻量级,配置简单易懂,小巧灵活,功能强大,和spring完美结合,shiro上手超级简单,一看就懂,但如果需求较为复杂,仍需要细细研究其原理,灵活配置。本人才疏学浅,本文仅涉及登录验证,动态权限验证,后面有机会再慢慢研究。引入Shiro的Maven依赖<dependency> <groupId>org.apache.shiro
Spring MVC项目整合Shiro进行权限控制,并使用Redis作为会话缓存的详细步骤是怎样的?
最新发布
10-28
通过以上步骤,你可以在Spring MVC项目成功整合Shiro进行权限控制,并结合Redis实现会话缓存,从而构建出一个既安全又高效的分布式Java应用。为了更深入地理解这些概念和步骤,我推荐查看这份资料:《3年Java开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值