sringboot整合shiro实现前后端鉴权控制,标签注解速成(包含常见错误的出现,前后端注解标签详解应用)

最新推荐文章于 2021-10-15 11:31:48 发布
最新推荐文章于 2021-10-15 11:31:48 发布
阅读量327 收藏
点赞数 1
文章标签: spring shiro java spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42875345/article/details/109773718
版权

搭建shiro环境

1:导入boot项目中要用到的shiro依赖

 <!--shiro部分-->
        <!--shiro核心源码-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
        <!--开启后端shiro标签支持-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <!--html中使用shiro标签-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

2:编写shiro的配置类

作用:开启后端shiro注解(重要)

@Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor
                = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

作用:启用shiro thymeleaf标签支持(重要)

    /**
     * 启用shiro thymeleaf标签支持
     * @return
     */
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

作用:配置shiro的拦截器工厂bean(这里比较容易踩坑)

属性含义
user登录且访问对应的url有相应的权限角色才能访问
authc必须认证了才能访问(进行鉴权)
anon无需任何权限或者角色就可以访问
perms[]指定的权限都要有才能访问
roles[]指定的角色都要有才能访问
setUnauthorizedUrl登录了但是没有相应权限时的跳转页面
setLoginUrl设置没有登录时的默认跳转页面
setFilterChainDefinitionMap设置资源访问权限(过滤规则)
setFilters设置我们的自定义拦截器(应用于url)
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
          ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //这里一定要用LinkedHashMap避免设置的过滤规则乱序
        LinkedHashMap<String, String> chain = new LinkedHashMap<String, String>();
        //设置自定义拦截器
        LinkedHashMap<String, Filter> filters = new LinkedHashMap<>();
        filters.put("jwtFilter", new jwtFilter());
        //这些路径下的资源不需要权限
        chain.put("/login", "anon"); // 登录链接不拦截
        chain.put("/css/**", "anon");
        chain.put("/img/**", "anon");
        chain.put("/js/**", "anon");
        chain.put("/lib/**", "anon");
        chain.put("/needRole", "roles[zzh]");
        chain.put("/noNeedRole", "anon");
        chain.put("/unAuth", "anon");
        chain.put("/testCustomExpection", "anon");
        chain.put("/needPerms", "perms[zzhperms,zzhperms2]");
        chain.put("/noNeedPerms", "anon");
        //测试jwtFilter
        chain.put("/shiroCheck", "jwtFilter");
        //chain.put("/api/auth/**", "noSessionCreation,jwtFilter");
        //chain.put("/api/auth/**", "noSessionCreation");
        //其他路径需要权限,这个一定要写在最后,这样所有的过滤规则才会生效
        chain.put("/**", "authc");
        //设置资源访问权限
        bean.setFilterChainDefinitionMap(chain);
        bean.setSecurityManager(securityManager());
        //设置没有登录时的默认跳转页面
        bean.setLoginUrl("/login");
        //登录了但是没有相应权限时的跳转页面
        bean.setUnauthorizedUrl("/unAuth");
        bean.setFilters(filters);
        return bean;
    }

遇到的坑(设置的一些过滤规则不生效)

由于过滤链是从上往下顺序执行的,chain要用LinkedHashMap不要用hashMap,hashMap的存储是无序的可能chain.put("/**", “authc”);先遍历到了,其他的访问路径也就不需要访问拦截了

还没解决问题?

chain.put("/**", “authc”);这个记得一定要写在最后,这样所有的过滤规则才会生效

这些配置比较通用读者可以自行配置(比较机械的代码)

不做过多说明


    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        // 注入安全管理器
        advisor.setSecurityManager(securityManager());
        return advisor;
    }

    /**
     * @param
     * @method 配置安全管理器
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setCacheManager(shiroCacheManager);
        securityManager.setRealm(loginRealm());
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * @param
     * @method 注入realm
     */
    @Bean
    public loginRealm loginRealm() {
        return new loginRealm();
    }

    /**
     * @param
     * @method DefaultWebSessionManager的配置
     */
    @Bean
    public SessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        SimpleCookie cookie = new SimpleCookie("myZzhSessionId");
        sessionManager.setSessionIdCookie(cookie);
        sessionManager.setSessionDAO(sessionDAO());
        return sessionManager;
    }

    /**
     * @param
     * @method 这里配置shiro的会话底层的缓存管理器,底层用的是redis
     */
    @Bean
    public SessionDAO sessionDAO() {
        shiroSessionDao shiroSessionDao = new shiroSessionDao(shiroCacheManager);
        return shiroSessionDao;
    }

编写测试controller

标签属性解释
@RequiresRolesvalue = {“shiro”, “zzh”}, logical = Logical.OR权限有一个就能访问此接口
@RequiresPermissionsvalue = {“add”, “select”}, logical = Logical.AND权限都有才能访问此接口
@Controller
@RequestMapping("/testShiroAno")
public class testShiroAnoController {
    @RequiresPermissions("shiroAdd")
    @RequestMapping("/add")
    @RequiresRoles({"shiro"})
    public String add() {
        return "add";
    }

    @RequestMapping("/delete")
    @RequiresPermissions("shiroDelete")
    public String delete() {
        return "delete";
    }

    @RequestMapping("/alter")
    public String alter() {
        return "alter";
    }

    @RequiresRoles(value = {"shiro", "zzh"}, logical = Logical.OR)
    @RequestMapping("/select")
    @RequiresPermissions("shiroSelect")
    public String select() {
        return "select";
    }
}

编写测试loginRelam

当执行subject.login(token)的时候就会走我们Relam中的逻辑。这里我用的模拟数据,里面的逻辑如下。

用户拥有的权限拥有的角色
zzhzzhperms和zzhperms2zzh
shiroshiroAdd和shiroDelete和shiroAltershiro

如果参数二是loginUser那么shiro会自动把loginUser中的password与参数二中的password作比较(我们无需编写比较密码的逻辑)

SimpleAuthenticationInfo参数一参数二参数三
简单认证对象信息认证的对象数据库中的密码就是realm的名称
simpleAuthorizationInfo
简单授权对象信息,我们可以对其赋予权限
public class loginRealm extends AuthorizingRealm {
    private Logger log = LoggerFactory.getLogger(loginRealm.class);
    /**
     * @param
     * @return
     * @function 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("授权。。。。。");
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        ArrayList<String> perms = new ArrayList<>();
        Object key = principals.getPrimaryPrincipal();
        loginUser loginUser = new loginUser();
        try {
            BeanUtils.copyProperties(loginUser, key);
        } catch (Exception e) {
        }
        //TODO这里是模拟数据库中的权限表的情况
        if (loginUser.getName().equals("shiro")) {
            perms.add("shiroAdd");
            perms.add("shiroDelete");
            perms.add("shiroAlter");
            simpleAuthorizationInfo.addRole("shiro");
            simpleAuthorizationInfo.addStringPermissions(perms);
        }
        if (loginUser.getName().equals("zzh")) {
            simpleAuthorizationInfo.addRole("zzh");
            perms.add("zzhperms");
            perms.add("zzhperms2");
            simpleAuthorizationInfo.addStringPermissions(perms);
        }
        log.info("授权完成。。。。。");
        return simpleAuthorizationInfo;
    }

    /**
     * @param
     * @return
     * @function 认证     doGetAuthenticationInfo
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        log.info("认证....");
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // 1.获取用户输入的用户名
        String username = token.getUsername();
        // 2.获取用户输入的密码
        String password = new String(token.getPassword());
        loginUser loginUser = new loginUser();
        loginUser.setName(username);
        loginUser.setPassword(password);
        SimpleAuthenticationInfo info =
                new SimpleAuthenticationInfo(loginUser, "666", getName());
        log.info("认证完成....");
        return info;
    }
}

遇到的坑(获取PrimaryPrincipal信息的时候无法进行相应类型的对象转换)

这里我们直接暴力点用BeanUtils.copyProperties(loginUser, key);直接进行俩个对象间的属性赋值即可

权限,标签,注解对照表

测试的时候大家可以对着我这张参照表来对应着来看哦,铁质门(我现在就用过这么些shiro的标签,以后如果遇到过新的标签注解,再来补上来吧)

前端控制标签作用
shiro:hasPermission有此权限时显示按钮
shiro:hasAllPermissions有全部权限时显示 按钮
shiro:hasAnyPermissions有以下的任何一个权限时显示按钮
shiro:principal property=“name”获取已经登录用户的name属性的值
data-shiro-principal property=“password”获取已经登录用户的password属性的值
shiro:lacksPermission与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过
shiro:lacksRole与hasRole标签逻辑相反,当用户不属于该角色时验证通过。
shiro:user认证通过登录过的用户
shiro:guest没登录过的用户(访客)
后端控制注解可选参数解释
@RequiresRoles(value = {“shiro”, “zzh”}, logical = Logical.OR)value(权限)logical(规则)只有当前用户同时拥有shiro和zzh这俩个角色时才能访问这个接口
@RequiresPermissions(value = {“shiro”, “zzh”}, logical = Logical.OR)value(权限)logical(规则)只有当前用户同时拥有shiro和zzh这俩个权限时才能访问这个接口

开始准备测试

直接编写一个add.html(由于是boot项目相应的路由规则不再啰嗦)注意导入th shiro标签支持

<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">

dui
用shiro用户登录的效果图
在这里插入图片描述
用zzh用户登录的效果图(我这里是用了自定义异常,自定义异常传送门

在这里插入图片描述

小咸鱼的技术窝
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
记录一个mysql8.0的安装过程
yeyuangongzuoshi的博客
03-28 737
配置my.ini: [mysqld] # 设置3306端口 port=3306 # 设置mysql的安装目录 basedir=D:\mysql\mysql-8.0.23 # 设置mysql数据库的数据的存放目录 datadir=D:\mysql\mysql-8.0.23\data # 允许最大连接数 max_connections=200 # 允许连接失败的次数。这是为了防止有人从该主机试图攻击数据库系统 max_connect_errors=10 # 服务端使用的字符集默认为UTF8 character
mysql8.0其他机器访问_MySQL8.0允许外部访问
weixin_39804523的博客
12-20 150
继上一篇安装mysql 后外部访问mysql 时会有日下错误提示下面就来解决一下1,登进MySQL,使用如下命令mysql -uroot -p#输入密码Enter password:Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connectionid is 12Server version:8.0.20 M...
mysql8.0其他机器访问_MySQL8.0授权远程访问
weixin_39522698的博客
12-20 220
一:授权法授权之前查看一下当前数据库的访问权限:我们发现“password”提示为位置字段、原来是因为MySQL8.0版本之前的数据库加密规则是mysql_native_password;MySQL8.0版本之后,加密规则是caching_sha2_password。我们用describe user;查看一下当前MySQL8.0数据库采用的新字段:我们继续查看当前数据库的访问权限:select ...
【Mysql】Mysql 8.0 以上授权远程访问权限
qq_34416331的博客
02-06 9257
【现象】 由于要用 navicat 连接数据库,navicat 报错提示没有权限访问,故要在 MySQL 中创建这个账户并赋予远程访问权限。 旧版本的 MySQL 可以通过一行命令给用户添加上访问权限。 但在本次操作中报错: grant 权限列表 on 数据库 to '用户名'@'访问主机' identified by '密码';时会出现"......near 'identif...
mysql8.0其他机器访问_【Linux】【mysql】mysql8.0开启远程访问及常见问题
weixin_39944146的博客
12-20 104
1.连接数据库1 [root@localhost ~]# mysql -uroot -p2 Enter password:3 Welcome to the MySQL monitor. Commands end with ; or \g.4 Your MySQL connection id is 175 Server version: 8.0.17 MySQL Community Server ...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBootShiro的结合为开发者提供了一个高效、便捷的实现前后端全分离接口安全的框架。本文将深入探讨如何利用这两个强大的工具构建安全的Web服务。 首SpringBootSpring框架的一个轻量级版本,它简化了...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。Springboot与Vue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
SpringBoot + Shiro前后端分离权限
08-25
本文将详细介绍如何在SpringBoot项目中利用Shiro实现前后端分离的权限控制。 首Shiro是一个轻量级的安全框架,提供了认证、授权、会话管理和安全过滤器等功能。在前后端分离的环境中,Shiro主要负责后端的身份...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
最新发布
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Shiro注解
qq_43654581的博客
10-15 2813
1.开启注解功能,比较使用注解 2.解决注解式,登录页和无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
bsphp网络验证系统_举例网络服务器的访问控制方法
weixin_39907311的博客
11-24 615
网络服务器在计算机网络中是一类提供共享资源的站点,是网络共享信息的存储地,同时也负有管理网络资源、维护资源子网的责任。保护网络服务器的安全,保证网络共享资源不被非法使用和非法访问是网络安全工作的基本任务。网络服务器访问控制是直接建立在网络服务器上的网络安全防范和保护的主要策略,也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但服务器的访问控制是重要的核心...
开通mysql root 用户远程访问权限
热门推荐
11-08 1万+
基于安全考虑root账户一般只能本地访问,但是在开发过程中可能需要打开root的远程访问权限。下面是基本的步骤: 1、登录到mysql中,为root进行远程访问的授权,执行下面的命令:   mysql> GRANT ALL PRIVILEGES ON *.* TO root@"%" IDENTIFIED BY "root"; mysql> flush privileges;   第一句
shiro复用session实现前后端分离鉴权
bbq烤鸡的后宫
01-04 1922
承接上文 Shiro实现session和无状态token认证共存 项目在为前后端分离部分接口时复用shiro鉴权,由于项目的token生成没有符合服务器无关性,所以没有采用了将sessionid赋值给token参数,从而实现api的shiro鉴权,这样做更快捷。 建一个过滤器拦截api请求(认证失败时 返回json) 重写 onAccessDenied 认证失败时 返回json格式的错误码而不是跳...
shiro框架学习笔记(5)---使用shiro标签
BoringError的博客
07-19 372
一、在jsp页面中导入shiro标签库 <%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro"%> 二、在某些需要特定模块的代码中加入权限校验 <shiro:hasPermission name="staff-delete"> { id : 'button-delete', text ...
mysql可以外部访问不了_[日常] 解决mysql不允许外部访问
weixin_36068015的博客
01-19 364
PHPPHP开发PHP语言[日常] 解决mysql不允许外部访问 1.在端口已经开放的情况下,ubuntu mysql 3306允许远程访问vim /etc/mysql/mysql.conf.d/mysqld.cnf注释#bind-address = 127.0.0.12.给用户授权允许远程访问:grant all privileges on *.* to...
shiro授权与注解式开发
程 序 猿的博客
10-15 189
文章目录shiro授权角色、权限Shiro注解式开发 shiro授权角色、权限 shiro完成登录的流程 : 首是输入用户名和密码,跳转到Controller然后生成token之后进行认证,我们根据用户名拿到这个用户的所有信息(主要是盐和MD5加密后的密码)然后判断通过,在跳转到前端之前又进行授权验证,看看这个用户是否拥有权限进入jsp 下面是一个权限系统所需要的五张表, 基本流程:用户zs...
MySQL8.0设置远程访问权限
qq_40907977的博客
11-20 3661
上一篇文章讲解了重置 MySQL 的密码,有同学反馈无法程连接到数据库,这是因为 MySQL 安装完成后只支持 localhost 访问,我们必须设置一下才可以远程访问,另外还有一些 MySQL 8.0 连接时的一些问题,本文也会一并进行讲解如何解决。 1.登录MySQL mysql -u root -p 输入您的密码 2.选择 mysql 数据库 use mysql; 因为 mysql 数据库中存储了用户信息的 user 表。 3.在 mysql 数据库的 user 表中查看当前 root 用户的相关
shiro 之权限验证问题
zhaofuqiangmycomm的博客
10-12 2867
1shiro的配置,通过maven加入shiro相关jar包 [html]view plaincopy <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro...
springboot整合shiro前后端分离
03-16
Spring Boot整合Shiro可以实现前后端分离的安全认证和授权功能。前端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给前端。 具体实现步骤如下: 1. 引入ShiroSpring Boot相关依赖。 2. 配置Shiro的安全管理器和过滤。 3. 实现自定义Realm,用于认证和授权。 4. 实现登录接口,接收前端传来的用户名和密码,通过Shiro进行认证,返回认证结果给前端。 5. 实现权限接口,接收前端传来的请求,通过Shiro进行授权,返回授权结果给前端。 6. 前端通过Ajax请求后端接口,接收后端返回的认证和授权结果,根据结果进行相应的操作。 通过以上步骤,就可以实现Spring Boot整合Shiro前后端分离安全认证和授权功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小咸鱼的技术窝

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值