springboot整合shiro

最新推荐文章于 2021-08-31 17:35:06 发布
最新推荐文章于 2021-08-31 17:35:06 发布
阅读量155 收藏
点赞数
分类专栏: Java技术点整合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43106280/article/details/118090228
版权
本文介绍了如何在Spring Boot项目中整合Apache Shiro进行权限管理,包括引入Shiro和Thymeleaf的Shiro标签依赖,自定义Realm进行身份验证和授权,配置Shiro Filter,以及处理权限异常。此外,还展示了使用Shiro注解进行权限控制和Thymeleaf模板引擎中的Shiro标签用法。
摘要由CSDN通过智能技术生成

1. 引入shiro依赖

注意: 我是采用thymeleaf做模板引擎,需要shiro标签做权限判断,所以引用了thymeleaf-extras-shiro依赖

		<!--shiro支持-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.6.0</version>
        </dependency>
        <!--thymeleaf中使用shiro标签做权限判断-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

2. 自定义realm

在这里插入图片描述
代码如下:

package com.xxqy.shopping.realm;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.xxqy.shopping.entity.SysUser;
import com.xxqy.shopping.service.SysUserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import javax.annotation.Resource;
import java.util.HashSet;

/**
 * 自定义Realm
 * @Author yww
 * @CreateTime 2021-06-21
 *
 */
public class CustomRealm extends AuthorizingRealm{

    @Resource
    private SysUserService sysUserService;

    /**
     * 授权方法
     *    操作的时候,判断用户是否具有响应的权限
     *        先认证  --  安全数据
     *        再授权  --  根据安全数据获取用户具有的所有操作权限
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1.获取已认证的用户数据
        SysUser user = (SysUser) principalCollection.getPrimaryPrincipal();
        //2.根据用户数据获取用户的权限信息(所有角色,所有权限)
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //所有角色
        HashSet<String> roles = new HashSet<>();
        //所有权限
        HashSet<String> perms = new HashSet<>();
        //TODO 查询用户所有角色 设值给roles,所有权限 设值给perms


        info.setStringPermissions(perms);
        info.setRoles(roles);
        return info;
    }

    /**
     * 认证方法
     *    参数: 传递的用户名密码
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.获取登录的用户名密码(token)
        UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
        String username = upToken.getUsername();
        String password = new String(upToken.getPassword());

        //2.根据用户名密码查询数据库,判断是否一致
        SysUser sysUser = sysUserService.login(username, password);

        //存在
        if(sysUser != null){
            //3.如果一致返回安全数据  构造方法 (安全数据,密码,realm域名)
            return new SimpleAuthenticationInfo(sysUser,sysUser.getPassword(),"CustomRealm");
        }

        //4.不一致,返回null,抛出异常
        return null;
    }
}

3. 配置shiro

在这里插入图片描述
代码如下:

package com.xxqy.shopping.config;

import com.xxqy.shopping.realm.CustomRealm;
import net.minidev.json.reader.BeansWriter;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

/**
 * shiro配置
 * @Author yww
 * @CreateTime 2021-06-21
 */
@Configuration
public class ShiroConfig {

    //1.创建realm
    @Bean
    public CustomRealm getRealm(){
        return new CustomRealm();
    }

    //2.创建安全管理器
    @Bean
    public SecurityManager getSecurityManager(CustomRealm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setSessionManager(sessionManager());
        securityManager.setRealm(realm);
        return securityManager;
    }

    //3.配置shiro的过滤器工厂
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        //1.创建过滤器工厂
        ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
        //2.设置安全管理器
        filterFactory.setSecurityManager(securityManager);
        //3.通用配置 (跳转登录页面,未授权跳转的页面)
        filterFactory.setLoginUrl("/login");//未登录跳转到登录页面
        filterFactory.setUnauthorizedUrl("/login");//未授权跳转到未授权页面
        //4.设置过滤器集合
        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/login","anon");//anon - 当前请求地址可以匿名访问 login页面
        filterMap.put("/static/**","anon");//静态资源
        filterMap.put("/sys/user/login","anon");//login请求

        filterMap.put("/**","authc");//authc - 当前请求地址必须认证之后可以访问

        filterFactory.setFilterChainDefinitionMap(filterMap);

        return filterFactory;
    }
    
    /**
     * 解决输入网址地址栏出现 jsessionid 的问题
     */
 	@Bean
    public DefaultWebSessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        //解决输入网址地址栏出现 jsessionid 的问题
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return sessionManager;
    }

    /**
     * @RequiresPermissions(value = "permission::select")
     *   基于注解注解的配置方式进行授权,一旦操作用户不具备操作权限,目标方法不会被执行,并且会抛出AuthorizationException异常。
     */
    //4.开启对shiro注解的支持
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

    //注解生效2
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator app=new DefaultAdvisorAutoProxyCreator();
        app.setProxyTargetClass(true);
        return app;
    }
    
	//shiro方言生效,thymeleaf中使用shiro标签库
    @Bean
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }

}

4. 登录
在这里插入图片描述
代码如下:

/**
     * shiro登录
     *      前端发送请求 => 接口部分获取用户名密码 => 通过subject.login => realm域的认证方法
     * @param username 用户名
     * @param password 密码
     * @param captcha 验证码
     * @return
     */
    @RequestMapping("/login")
    @ResponseBody
    public Rest loginDo(String username, String password, String captcha){
        try{
            //1.构造登录令牌
            UsernamePasswordToken upToken = new UsernamePasswordToken(username, password);
            //2.获取subject,执行getSubject()进入自定义realm认证
            Subject subject = SecurityUtils.getSubject();
            //3.调用subject进行登录
            subject.login(upToken);
            return Rest.ok().setMsg("登录成功");
        }catch (Exception e){
            e.printStackTrace();
            return Rest.error().setMsg("用户名或密码错误");
        }
    }

5. 注解授权

	//shiro注解授权
    @RequiresPermissions(value = "permission::select")
    @RequestMapping("/sysPermissionList")
    public String sysPermissionList(){
        return "sys/sysPermissionList";
    }

6. 因为使用shiro注解授权,没有权限会抛出AuthorizationException异常,所以要捕获特定异常

package com.xxqy.shopping.exception;

import org.apache.shiro.authz.AuthorizationException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 自定义公共异常处理类
 * @Author yww
 * @CreateTime 2021-06-21
 */
@ControllerAdvice
public class BaseExceptionHandler {

    /**
     * shiro注解授权,未拥有权限会报AuthorizationException异常
     * @param request
     * @param response
     * @param exception
     * @return
     */
    @ExceptionHandler(value = AuthorizationException.class)
    @ResponseBody
    public String error(HttpServletRequest request,HttpServletResponse response,AuthorizationException exception){
        return "未授权,不能访问!!!";
    }
}

效果图如下:
在这里插入图片描述
7. thymeleaf中使用shiro标签库判断权限

注意: 引入 xmlns:shiro="http://www.pollix.at/thymeleaf/shiro"
shiro:hashPermission 为判断权限标签

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro" th:with="unixstamp=${#dates.createNow().time}">
<!--引用头部-->
<div th:include="common/common :: common"></div>

<body class="wholeBody">
        <!--vue区域-->
        <div id="app" v-cloak>
            <el-form :inline="true" :model="condition" class="demo-form-inline">
                <!--左侧搜索条件区域-->
                <el-form-item>
                    <el-input v-model="condition.username" placeholder="用户名"></el-input>
                </el-form-item>
                <el-form-item>
                    <el-button @click="search()">查询</el-button>
                </el-form-item>
                <!--右侧功能按钮区域-->
                <el-form-item style="float: right;">
                    <el-button shiro:hasPermission="sys-user-save" type="primary" @click="add()">添加</el-button>
                    <el-button shiro:hasPermission="sys-user-delete" type="danger" @click="batchRemove()">批量删除</el-button>
                    <el-button shiro:hasPermission="sys-user-bindingrole" type="danger" @click="bindingRole()" style="background-color: #4dc7d8;border-color: #4dc7d8;">绑定角色</el-button>
                </el-form-item>
            </el-form>
 
    <script type="text/javascript" th:src="@{/static/js/sys/sysUserList.js(v=${unixstamp})}"></script>

</body>
</html>
老y来了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro登陆失败提示_shiro 不管登录成功还是失败都出现这个bug
weixin_29914581的博客
01-13 2216
28 回复package com.coracle.fast.service.impl.shiro;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToke...
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method报错解决方案
sinat_40693969的博客
06-01 4360
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method xxx
Bernie_7的博客
07-24 943
踩坑记录 springboot整合shiro的时候爆出的错误。 原因是认证授权的时候出错了。shiro抛出了错误。 但是好像springboot没有处理,自己定义全局异常捕获也没有处理。(没看源码我也不知道是不是,) 解决办法 加一个类,去捕获异常。具体如下 import com.llgz.hotelmanageapi.common.CommonResult; import org.apache.shiro.authz.AuthorizationException; import org.apache.sh
Shiro】权限控制注解
Mr_EvanChen的Blog
07-16 2155
Shiro共有5个注解: RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。 ...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.Str
热门推荐
掘金者说
06-25 1万+
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String 项目:SpringBoot+shiro+mybatis-plus来说 org.apache.shiro.authz.AuthorizationException: Not authorized...
自己遇到的异常
qq_41353313的博客
11-20 244
问题:shiro   没有权限的时候  不会自动跳转到没有权限的页面    springbootshiro整合 shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); 失效 org.apache.shiro.authz.AuthorizationException: Not authorized to invoke metho...
解决Shiro 加权限注解失效 或者报错 This subject is anonymous
程序圆的博客
09-12 1万+
报错堆栈 org.apache.shiro.authz.UnauthenticatedException: This subject is anonymous - it does not have any identifying principals and authorization operations require an identity to check against. A Subject instance will acquire these identifying principals a
Shiro无权限 控制台报错org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method
lionel_zsj的博客
09-02 5296
Shiro无权限 控制台报错org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method 控制台报错: 解决方法: 新建一个类对Exception使用Spring的@ExceptionHandler和@ControllerAdvice统一处理异常 @ControllerAdvice public cl...
SpringBoot-Shiro权限控制( 3 )
志豪的博客
12-13 362
SpringBoot-Shiro权限控制(2019.12.13) 在《Spring-Boot-shiro用户认证》中,我们通过继承AuthorizingRealm抽象类实现了doGetAuthenticationInfo()方法完成了用户认证操作。接下来继续实现doGetAuthorizationInfo()方法完成Shiro的权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用...
学习Spring Boot:(十三)配置 Shiro 权限认证
weixin_30748995的博客
05-06 406
经过前面学习 Apache Shiro ,现在结合 Spring Boot 使用在项目里,进行相关配置。 正文 添加依赖 在 pom.xml 文件中添加 shiro-spring 的依赖: <dependency> <groupId>org.apache.shir...
Shiro系列(六)--- 完善登录认证、授权细节及解决setLoginUrl、setUnauthorizedUrl失效问题
FAIRYTAIL的博客
08-31 1891
继续我们shiro系列博客相关的学习笔记,完善一下登录认证和授权流程的一些细节,各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! 首先完善一下登录的流程,使其更接近于实际的应用场景,我们在Shiro系列(四)--- Springboot整合Shiro实现基本的登录认证流程中描述了登录认证的基本流程,并且最后我们测试的时候通过访问http://localhost:8080/login进入到登录页面,然后输入用户名密码进行登录验证。 貌似也没有什么问题..
springboot中使用shiroAuthorizationException异常抛出的三种处理方法
baidu_31788709的博客
01-05 7376
在使用注解的方式来验证角色和权限时,如: //注解验角色和权限 @RequiresRoles("admin") @RequiresPermissions("add") @RequestMapping(value="/index",produces = "application/json;charset=UTF-8") public String index...
shiro快速开始
weixin_44184912的博客
03-20 77
1.新建maven项目 2.pom文件:加入log4j,shiro <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> .
Apache Shiro简介
qq_32659773的博客
06-02 206
Apache Shiro简介 是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 使用 Shiro,您就能够为您的应用程序提供安全性而又无需从头编写所有代码。 官网:http://shiro.apache.org/ 提供的功能 Apache Shiro能做的事情 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如C...
springboot 整合 shiro
最新发布
08-20
在Spring Boot中整合Shiro,需要进行以下几个步骤: 1. 在application.properties文件中配置Shiro相关的属性,如服务器端口号、上下文路径、视图前缀和后缀等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值