Shiro授权配置 -3

最新推荐文章于 2024-04-21 23:14:09 发布
最新推荐文章于 2024-04-21 23:14:09 发布
阅读量208 收藏 2
点赞数 1
分类专栏: SpringBoot 文章标签: shiro java spring mybatis spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43439968/article/details/108702284
版权

Shiro请求授权

  • 主要流程

  • ShiroConfig中的getShiroFilterFactoryBean,给请求设置权限,给入setFilterChainDefinitionMap中,就设定好了授权规则

    • 未授权的请求跳到自己制作的非授权提示界面

  • 当用户每次访问设定的请求页面就会进入UserRealm的doGetAuthorizationInfo方法中查看是否有授权

    • 创建subject获取当前用户,读取用户的权限

  • 先给数据库用户表加权限存放权限的列

  • image-20200920235722355

  • 没有权限的应该设置为其他字符,比如null,无法识别,就可以跳入未授权页面而不是500错误页面

  • ShiroConfig

  • @Configuration
public class ShiroConfig {
    /*ShiroFilterFactoryBean*/
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean =new ShiroFilterFactoryBean();
        /*设置安全管理器*/
        bean.setSecurityManager(defaultWebSecurityManager);


        /*添加shiro的内置过滤器
        * anon 无需认证就能访问
        * authc  必须认证了才能访问
        * user  必须拥有记住我才能访问
        * perms  拥有对某个资源的权限才能访问
        * role  拥有某个角色权限才能访问
        * */
        /* filterMap.put("/user/add","anon");
        filterMap.put("/user/update","authc");*/
        Map<String, String> filterMap = new LinkedHashMap<>();

        /*访问/user/add,需要user:add权限*/
        filterMap.put("/user/add","perms[user:add]");
        filterMap.put("/user/update","perms[user:update]");

        /*可以使用通配符*/
        filterMap.put("/user/*","authc");

        bean.setFilterChainDefinitionMap(filterMap);
        /*设置登录请求*/
        bean.setLoginUrl("/tologin");
        /*未授权请求*/
        bean.setUnauthorizedUrl("/noauth");

        return bean;

    }
    /*DefaultWebSecurityManager*/
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
       /*关联realm*/
        securityManager.setRealm(userRealm);
        return securityManager;
    }
    /*创建Realm对象,需要自定义类*/
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();


    }
}

  • image-20200921000029632

  • image-20200921000040509

  • 制作一个非授权界面

  • UserRealm

  • /*继承授权*/
public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserServiceImpl userService;
    /*授权*/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权Authorization");
        /*这种方式叫硬编码,正常应该放在数据库中*/
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //info.addStringPermission("user:add");
        /*要将info对象返回回去*/

        /*拿到当前登录的这个对象, 拿到User*/
        Subject subject = SecurityUtils.getSubject();
        User principal = (User) subject.getPrincipal();

        info.addStringPermission(principal.getPerms());
        System.out.println(principal.getPerms());
        return info;
    }
    /*认证*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证Authentication");
        /*用户名和密码在数据库中获取*/


        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
        User user = userService.selectUserByName(userToken.getUsername());

        if (user==null) {
            /*会抛出异常,UnknownAccountException */
            return null;
        }

        return new SimpleAuthenticationInfo(user,user.getPwd(),"");
    }
}

  • image-20200921000201419

  • 通过这条语句的,第一个参数principal,将user传递到检查授权方法中

  • 每一次请求,会进行doGetAuthorizationInfo ,subject代表当前用户,获取当前用户的权限,对比是否和当前请求规定的权限一致

  • 一致就通过,不一致就跳转到非授权提示界面

  • image-20200921000557288

  • image-20200921000608768

  • 用户update

  • 还比较浅显,如果一个用户多个授权应该如何实现,

  • image-20200921000722713

  • 这里有个带s的,应该用于一个用户多个授权

  • image-20200921001135232

  • 就是这么实现,如果要改造数据库的话,感觉应该做个授权的pojo和表,能让一个用户多个授权,或者字符串拼接拆分吧

好运haoyun
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
05.Shiro实现授权
qq_56403015的博客
11-11 143
Shiro中进行授权主要是进行对资源,角色,权限的授权
3.shiro授权配置,使用及其说明。
plumblum的博客
06-30 306
shiro授权配置,使用及其说明 1.授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。 资...
Shiro授权
liubopro666的博客
01-07 1012
在当今的应用开发中,安全是至关重要的一环。而 Shiro 作为一个强大而灵活的安全框架,为我们提供了一种简单而有效的方式来管理应用程序的授权。在这篇博客中,我将带领大家深入了解 Shiro授权功能,以及如何使用 Shiro 来保护我们的应用程序。通过实际的案例和代码示例,我将向你展示如何使用 Shiro 来控制对资源的访问,以及如何实现细粒度的权限控制。你将了解到如何定义权限、分配角色,以及在运行时进行动态的授权决策。
shiro授权
m0_62528678的博客
08-26 181
RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b。@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user。@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。...
Shiro框架:SSM整合Shiro进行登陆认证和授权详细配置
张维鹏的博客
08-02 8647
本篇博客将进行详细介绍Shiro+Spring+SpringMVC+Mybatis+数据库整合并进行登陆认证和授权详细配置。 SSM的整合可以参考:https://blog.csdn.net/a745233700/article/details/81049763 下面主要介绍Shiro与SSM的整合和使用: 1、导入Shiro需要的maven依赖: &lt;!-- shiro --&......
Shiro 权限管理
心猿意码
06-24 3989
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
shiro授权操作
shiqinghuan的博客
07-31 440
ShiroConfig: 先设置相应权限操作 perms:拥有对某个资源的权限才能访问; //设置权限, filterMap.put("/user/add","perms[user:add]"); filterMap.put("/user/update","perms[user:update]"); 添加一个页面 提示未授权 “未经授权,无法访问页面” MyController: @RequestMapping("/noauth") @Response
Spring整合shiro配置(认证+授权
qq_48839285的博客
07-06 153
-配置包扫描-->-- 注解驱动-->-- 静态资源放行-->--4.视图解析器--></bean>-- 数据源-->-- 数据源--></bean>-- sqlsessionfactory 加载mybatis配置-->-- 映射文件--></bean>-- dao接口代理实现类--></bean>-- Spring整合shiro配置-->--shirospring整合的配置--></bean></bean>
springboot整合shiro入门,实现认证和授权功能(非常详细)
沐雨橙风ιε的博客
07-02 5930
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
shiro认证配置文件(二)
11-22 1286
shiro:的配置 1.导包:shiro.All 1.2.3 2.配置过滤器:在web.xml中 ,注意这段过滤器要写在struts2的过滤器前面。 <filter> <filter-name>shiroFilter</filter-name> <filter-class&...
Shiro安全框架】核心概念、基本配置、整合Web项目
最新发布
m0_74187147的博客
04-21 1167
问题1:什么是shiro?它有什么用?​ 答:shiro是apache公司推出的一款安全框架,主要在项目中进行权限控制。 shiro中的几个核心概念: 1、SecurityManager:安全管理器 作用:用于执行认证(登录)、授权(获得用户的访问权限) 2、Subject:主体 作用:它代表当前用户 3、Realm:领域对象 作用:它用于封装认证、授权的方法
Shiro的未授权页面
m0_67401499的博客
03-28 524
今天在整合shiro的时候发现,在shiro的过滤器里面配置授权的跳转页面是无效的 <property name="unauthorizedUrl" value="/unauthorized.jsp"></property> 解决方案1 需要在springMVC的配置文件配置异常的映射解析器。当出现某个异常时跳转到相应的页面。比如下面第一个未授权的异常就跳转到你配置的视图解析器前缀+unauthorized+后缀 一般都是/WEB-INF/view/unauthorized.js
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro密码正确也会匹配错误_SpringBoot项目与Shiro整合
weixin_39605455的博客
11-22 578
今天青秧想和和大家聊聊 Spring Boot 整合 Shiro 的话题!在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,从技术角度来说,也可以使用 Shiro。pache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序...
ShiroFilterFactoryBean源码及拦截原理深入分析
懒人的博客
03-12 3万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。而要在Spring中使用Shiro的话,可在web.xml中配置一个DelegatingFil
ShiroShiroFilterFactoryBean
baidu_28610773的博客
03-10 2万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager...
Shiro的使用(二):SpringBoot集成Shiro
多味花生的博客
09-20 259
Shiro的使用(二):SpringBoot集成Shiro一、基础环境搭建二、整合Shiro三、登录拦截四、认证五、整合MyBatis六、授权 一、基础环境搭建 1、新建SpringBoot项目,并导入以下依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-st
开发|ShiroConfig实现基础拦截
算法与编程之美
07-20 592
欢迎点击「算法与编程之美」↑关注我们!本文首发于微信公众号:"算法与编程之美",欢迎关注,及时了解更多此系列文章。欢迎加入团队圈子!与作者面对面!直接点击!1 Shiro...
shiro配置文件中实现授权
常军凯的博客
06-17 755
创建项目,引入jar包 创建maven 在pom.xml文件中引入jar <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance...
shiro-spring-boot-starter
08-26
通过使用 Shiro-Spring-Boot-Starter,你可以轻松地配置和使用 Shiro,无需繁琐的手动配置。 该起步依赖提供了一些默认的配置,同时也允许你根据自己的需求进行自定义配置。它还提供了一些自动配置的功能,如自动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值