二、shiro授权流程

最新推荐文章于 2024-01-14 18:14:31 发布
最新推荐文章于 2024-01-14 18:14:31 发布
阅读量221 收藏
点赞数
分类专栏: Java 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43661709/article/details/116140371
版权

一、基本流程概括

  • 继承AuthorizingRealm类重写doGetAuthorizationInfo方法实现认证。
  • 配置ShiroFilterFactoryBean中的setFilterChainDefinitionMap配置认证规则【PermissionsAuthorizationFilter路径配置权限】

二、code

配置自定义Realm

public class MyShiroRealm extends AuthorizingRealm {
    @Autowired
    ICompetitionAdminuserService adminuserService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        CompetitionAdminuser adminuser = (CompetitionAdminuser) SecurityUtils.getSubject().getSession().getAttribute("adminUser");
        Set<String> permissions = adminuserService.findPermissions(adminuser.getId());

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        permissions.forEach(authorizationInfo::addStringPermission);
        return authorizationInfo;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
//        CompetitionAdminuser adminUser = adminuserService.findByName(username);
        QueryWrapper<CompetitionAdminuser> wrapper = new QueryWrapper<>();
        wrapper.select("id", "username", "password", "enabled");
        wrapper.eq("username", username);
        CompetitionAdminuser adminUser = adminuserService.getOne(wrapper, false);

        if (adminUser == null) throw new UnknownAccountException("账号错误");
        if (adminUser.getEnabled() != 1) throw new LockedAccountException("账号已锁定");

        SecurityUtils.getSubject().getSession().setAttribute("adminUser", adminUser);

        return new SimpleAuthenticationInfo(
                adminUser.getUsername(),
                adminUser.getPassword(),
                ByteSource.Util.bytes(adminUser.getUsername()),
                this.getName()
        );
    }
}

配置拦截规则【PermissionsAuthorizationFilter】

    @Autowired
    private ICompetitionPermissionService permissionService;  

@Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();

        filterFactoryBean.setSecurityManager(securityManager());

        filterFactoryBean.setLoginUrl("/");
        filterFactoryBean.setSuccessUrl("/success");
        filterFactoryBean.setUnauthorizedUrl("/forbidden");

        //配置认证规则
        LinkedHashMap<String, String> map = new LinkedHashMap<>();
        map.put("/login", "anon");
        List<CompetitionPermission> competitionPermissions = permissionService.selectAll();
        for (CompetitionPermission permission : competitionPermissions) {
            if (!permission.getUrl().isEmpty()) {
                map.put(permission.getUrl(), "perms[" + permission.getUrl() + "]");
            }
        }

        map.put("/**", "authc");
        filterFactoryBean.setFilterChainDefinitionMap(map);

        return filterFactoryBean;
    }

三、shiro组织结构图

在这里插入图片描述

李——
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 重写AuthorizationFiltershiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6125
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json的数据后前端做跳转到403页面 找了一下shiro页面重定向的代码是这个AccessControlFilter的onAc...
shiro框架源码解析与改造(八)---PermissionsAuthorizationFilter
ljz2016的博客
08-10 2448
PermissionsAuthorizationFilter是权限验证的关键过滤器。 @Override protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return this.i...
Shiro学习笔记——(7)实战之认证授权
星_陨的博客
04-06 454
一、登录认证(1)原理使用FormAuthenticationFilter过虑器实现将用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl,FormAuthenticationFilter拦截住取出request的username和password(两个参数名称是可以配置的),FormAuthenticationFilter调用realm传入一个token(...
Shiro学习笔记(3)——授权Authorization
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 1009
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
shiro授权的实现原理
08-29
Shiro 授权的实现原理 Shiro 授权的实现原理是指在应用控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 1. 主体...
shiro认证及授权demo
10-28
通过这个Demo,你可以了解Shiro的基本工作流程,并学会如何将其应用到实际项目。博客文章`https://blog.csdn.net/fancheng614/article/details/83477345`可能提供了更详细的步骤和代码示例,对于深入理解Shiro的...
shiro认证授权
08-03
当用户尝试登录时,Shiro 会调用 `Subject.login(token)` 方法,启动认证流程。 在 `shiro-demo` ,你可能会看到类似以下的代码: ```java Subject subject = SecurityUtils.getSubject(); ...
shiro的全流程demo,世界shiro在spring认证、授权流程,自定义授权类型,分布式session、授权缓存的实现
09-11
本项目是一个基于 Spring Boot 的 Shiro流程示例,涵盖了从用户登录认证到权限控制的完整流程,并实现了自定义授权类型、分布式 session 和授权缓存。 首先,我们来看 Shiro 的认证过程。在 Spring Boot 应用...
shiro认证和授权案例
10-12
**Shiro授权机制** Shiro授权主要通过Role和Permission来实现: 1. **Role**:代表用户的角色,通常是一组权限的集合。例如,"admin"角色可能拥有"delete"和"update"等权限。 2. **Permission**:是最细...
shiro的使用(三)
yankun01的博客
10-18 460
shiroshiro授权 shiro和企业项目整合开发   1      复习   什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该资源的访问权限才可以访问该资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该资源的访问权限才可以访问该资源。   权限模型:标准
Shiro框架:Shiro用户登录认证流程源码解析
最新发布
博客园
01-14 1333
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录认证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器上篇文章已经进行了详细解析,详见:Shiro框架:Shiro SecurityManager安全管理器解析-CSDN博客,在此基础上,本篇文章继续对Shiro关联链路处理流程之一---登录认证流程进行解析;
Shiro授权流程
qq_43654581的博客
10-29 364
了解Shiro授权流程,并debug演示
shiro认证、授权和鉴权
qq_37697436的博客
08-09 292
SecurityManager是Shiro的核心组件,负责管理所有的Subject,以及执行认证和授权的操作。在上面的示例,我们首先创建了一个SecurityManager,并设置了一个Realm用于认证。在Shiro,可以使用不同的方式进行鉴权,例如基于URL的鉴权、基于方法的鉴权等。在Shiro,可以使用不同的方式进行授权,例如基于角色的授权、基于权限的授权等。在Shiro,可以使用不同的方式进行认证,例如基于用户名和密码的认证、基于证书的认证等。首先,让我们来了解一下Shiro的基本概念。
shiro架构&认证 -Shiro
qq_43409973的博客
03-22 780
shiro架构&认证 -Shiro
spring 集成shiro 之 自定义过滤器
热门推荐
学习笔记
09-03 6万+
转:http://blog.csdn.net/shuishouhcd/article/details/9077379 最近一段时间,我一直在将shiro集成到我的一个项目,用作认证和授权处理。             shiro对我来说是个新东西,以下是我学习过的内容:             http://shiro.apache.org/authoriz
shiro内置过滤器研究
mark's technic world
12-02 3万+
anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filter.authc.Bas
我的shiro之旅: 四 自定义filter
Dylan的博文
09-26 7967
博客已移至 http://blog.gogl.top 上一篇文章对shirofilter作了一些简单的介绍,接一下写写息自定义shirofilter。使用shiro的时候,比较常用的filter有anon,authc,roles和perms。当我们想定义某个链接是拥有某些权限的用户才可以访问的时候,我们可以这样定义。/xx = roles[A,B]。在shiro,表示当前用户同时拥有A,B...
Shiro拦截AJAX的解决方案
在字节里改BUG
06-02 2万+
Shiro拦截AJAX的解决方案最近在springboot项目上使用了shiro,但是shiro配置好后都是默认页面重定向处理。然而前后端分离后,静态页面都是部署在nginx上,统一都通过ajax进行调用。ajax的话不能进行重定向,需要返回指定格式的JSON。所以shiro需要满足一下几点要求:ajax调用接口没有登录时,返回指定格式JSON ajax调用接口在登录的情况下,没有权限时,返回指定格
请讲述shiro编码流程
05-11
Shiro是一个Java安全框架,提供了身份验证、授权、加密等安全功能。下面是Shiro编码的基本流程: 1. 添加Shiro依赖库:在项目添加Shiro的依赖库,可以通过Maven或手动添加方式。 2. 配置Shiro:在项目添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值