SSM集成Shiro并完成认证和授权

最新推荐文章于 2023-02-08 10:32:21 发布
最新推荐文章于 2023-02-08 10:32:21 发布
阅读量284 收藏 3
点赞数
文章标签: shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44193036/article/details/104696574
版权

一、准备工作

在进行ssm集成Shiro之前,需要准备相关的数据库表结构。如:用户表,角色表,权限表,用户与角色关系表,角色与权限关系表。
并且准备好相关的实体类,以及Mapper和Mapper的映射xml文件,还有进行认证的自定义Realm。

二、application-Shrio.xml文件的相关配置

在此,将shiro的配置内容与Spring的配置内容分开进行配置。

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:tx="http://www.springframework.org/schema/tx"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                           http://www.springframework.org/schema/beans/spring-beans.xsd
                           http://www.springframework.org/schema/context
                           http://www.springframework.org/schema/context/spring-context.xsd
                           http://www.springframework.org/schema/aop
                           http://www.springframework.org/schema/aop/spring-aop.xsd
                           http://www.springframework.org/schema/tx
                           http://www.springframework.org/schema/tx/spring-tx.xsd">

    <!--声明凭证匹配器-->
    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <property name="hashAlgorithmName" value="md5"></property>
        <property name="hashIterations" value="2"></property>
    </bean>

    <!--声明UserRealm-->
    <bean id="userRealm" class="com.xsh.realm.UserRealm">
        <!--注入凭证匹配器-->
        <property name="credentialsMatcher" ref="credentialsMatcher"></property>
    </bean>

    <!--配置SecurityManager-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!--注入Realm-->
        <property name="realm" ref="userRealm"></property>
    </bean>

    <!--配置Shiro的过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--注入安全管理器-->
        <property name="securityManager" ref="securityManager"></property>
        <!--配置未登录时的跳转页面,默认是跳转到webapp/login.jsp目录-->
        <property name="loginUrl" value="/index.jsp"></property>
        <!--注入未授权的跳转页面,当访问某个资源权限不够时跳转的页面-->
        <property name="unauthorizedUrl" value="/unauthorizedUrl.jsp"></property>
        <!--配置过滤器链-->
        <property name="filterChainDefinitions">
            <value>
                <!--放行index.jsp页面-->
                /index.jsp=anon
                <!--放行跳转到登录页面的路径-->
                /login/tologin*=anon
                <!--放行登录的请求-->
                /login/login*=anon
                <!--设置登出的路劲-->
                /login/logout*=logout
                <!--设置除此之外的路径全部拦截-->
                /**=authc
            </value>
        </property>
    </bean>
</beans>

三、在web.xml文件中添加集成Shiro的配置

<!--配置Shiro的集成-->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>targetBeanName</param-name>
      <param-value>shiroFilter</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <servlet-name>dispatcherServlet</servlet-name>
  </filter-mapping>

四、在applicationContext.xml文件中引入applicartion-shiro.xml文件

在这里插入图片描述

五、使用Shiro完成认证和授权

1、补充完成UserRealm代码

package com.xsh.realm;

import com.xsh.pojo.User;
import com.xsh.service.PermissionService;
import com.xsh.service.RoleService;
import com.xsh.service.UserService;
import com.xsh.utils.ActivierUser;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;
    @Autowired
    private RoleService roleService;
    @Autowired
    private PermissionService permissionService;


    public String getName(){
        return this.getClass().getSimpleName();
    }
    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = token.getPrincipal().toString();
        User user = userService.findUserByUsername(username);
        if(user!=null){
            //查询角色
            List<String> roles = roleService.findRolesByUserid(user.getUserid());
            //查询权限
            List<String> permissions = permissionService.findPermissionByUserid(user.getUserid());
            //封装到ActiverUser中
            ActivierUser activierUser=new ActivierUser(user,roles,permissions);

            //使用Shiro的API进行认证
            SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(activierUser,user.getPassword(),this.getName());
            return info;
        }else{
            return null;
        }
    }

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        ActivierUser activierUser = (ActivierUser) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        List<String> roles = activierUser.getRoles();
        List<String> permissions = activierUser.getPermissions();
        if(roles!=null && roles.size()>0){
            info.addRoles(roles);
        }
        if(permissions!=null && permissions.size()>0){
            info.addStringPermissions(permissions);
        }
        return info;
    }


}

2、补充完成RoleService和PermissionService的代码

这两个Service需要实现的功能分别是通过userid查询Role名称和通过userid查询Permission的权限代码pcode。
代码展示以PermissionServiceImpl为例。

package com.xsh.service.impl;

import com.xsh.mapper.PermissionMapper;
import com.xsh.pojo.Permission;
import com.xsh.service.PermissionService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import java.util.ArrayList;
import java.util.List;

@Service
@Transactional
public class PermissionServiceImpl implements PermissionService {

    @Autowired
    private PermissionMapper permissionMapper;

    @Override
    public List<String> findPermissionByUserid(Integer userid) {
        List<Permission> list = permissionMapper.findPermissionByUserid(userid);
        List<String> permissions=new ArrayList<>();
        for (Permission permission: list) {
            permissions.add(permission.getPcode());
        }
        return permissions;
    }
}

3、创建登录页面,页面通过表单提交信息的方式将username和password提交到后台进行认证。

4、书写LoginController完成数据处理

package com.xsh.controller;

import com.xsh.utils.ActivierUser;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpSession;

@Controller
@RequestMapping("/login")
public class LoginController {

    @RequestMapping("/tologin")
    public String tologin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username, String password, HttpSession session){
        Subject subject = SecurityUtils.getSubject();
        System.out.println(username+password);
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        try{
            subject.login(token);
            System.out.println("yes...............");
            ActivierUser activierUser = (ActivierUser) subject.getPrincipal();
            session.setAttribute("user",activierUser.getUser());
            return "redirect:/user/useradmin";
        }catch (Exception e){
            System.out.println("no!!!!!!!!!");
            return "redirect:/user/userkill";
        }

    }
}

LoginController负责接收前台的username和password,将数据封装到subject中交由Shiro框架进行认证。
至此就已经完成了ssm集成Shiro并且进行登录认证的过程,接下来举例完成授权功能。

5、创建登录成功用户管理的页面。

在此简单做个示意,页面通过四个a标签表示对user表的crud功能。

<%--
  Created by IntelliJ IDEA.
  User: 夏世华
  Date: 2020/3/6
  Time: 17:24
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<html>
<head>
    <title>useradmin</title>
</head>
<body>
        <h1>登录成功</h1>
        <br>
        <br>
        <shiro:hasPermission name="user:query">
                <h2><a href="#">用户查询</a></h2>
        </shiro:hasPermission>
        <shiro:hasPermission name="user:add">
                <h2><a href="#">用户添加</a></h2>
        </shiro:hasPermission>
        <shiro:hasPermission name="user:update">
                <h2><a href="#">用户修改</a></h2>
        </shiro:hasPermission>
        <shiro:hasPermission name="user:delete">
                <h2><a href="#">用户删除</a></h2>
        </shiro:hasPermission>
</body>
</html>

在此是通过在jsp页面中引入shiro的jstl表达式来完成权限控制,当用户不具备某个权限的时候,该操作选项菜单将不会显示。

烤鱼和香菜
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ShiroSSM集成实现用户认证授权
weixin_64987028的博客
04-20 269
Shiro实现用户认证shiro 中,用户需要提供principals (身份)和credentials(凭证)给shiro,从而应用能验证用户身份。身份即帐号/凭证即密码
ShiroSSM整合(内含详细文档介绍)
11-06
SSMSpringSpring MVC和MyBatis)框架中集成Shiro,可以利用Shiro的强项,同时利用Spring的依赖注入和事务管理能力,构建出更为强大的安全系统。 SSMSpring框架的三个核心模块——Spring Core、Spring MVC和...
Maven工程 SSM 整合Shiro
04-14
此案例是利用Maven工程实现了SSM 整合Shiro安全框架,实现了登录身份认证功能及权限管理功能,用到了Shiro的缓存效果。注释比较完善,但是没有打包数据库文件。
SSM+shiro实现角色授权认证管理
程序员阿文
06-13 312
SSM+shiro实现角色授权认证管理(简单代码展示,未作详解)
Apache Shiro 快速入门教程,shiro 基础教程 (这篇文章非常好)
weixin_30810583的博客
08-02 155
第一部分 什么是Apache Shiro 1、什么是 apache shiro : Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证授权,加密,和会话管理 如同 Spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证授权方式。 2、Apach...
Shiro安全框架》专题(六)-ShiroSSM整合实现认证
专业的计算机毕业设计指南
01-31 406
1.搭建SSM工程 事先搭建一个标准的SSM项目工程,由于章重点介绍SHhiro在项目中的认证操作,故关于SSM整合不做赘述。 2.SSM整合Shior 2.1.项目中引入相关依赖 <!-- shiro相关的依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <versi
SSM整合shiro实现登陆验证以及权限检测
baidu_41553786的博客
02-23 454
[本人原文所在:](http://www.wandererchen.xyz/archives/SSM%E6%95%B4%E5%90%88shiro%E5%AE%9E%E7%8E%B0%E7%99%BB%E9%99%86%E9%AA%8C%E8%AF%81%E4%BB%A5%E5%8F%8A%E6%9D%83%E9%99%90%E6%A3%80%E6%B5%8B) ...
ssm集成redis和shiro
01-08
SSMSpringSpringMVC、MyBatis)是一个经典的Java web开发框架组合,而Redis是内存数据库,常用于缓存和会话管理,Shiro则是一个强大的安全框架,负责认证授权、会话管理和安全控制。下面我们将深入探讨如何在...
maven+SSM+shiro简单的授权认证
12-26
**SSM + Shiro 整合与 Maven 项目...在这个项目中,由于页面未做处理,主要重点在于理解Shiro认证授权机制,以及如何在SSM环境中集成Shiro。通过学习和实践这个项目,开发者可以更好地掌握Java Web应用的安全管理。
SSM-Shiro.zip_shiro ssm 整合_ssm web shiro%2_ssm+shiro_ssm590.com_
09-23
这个项目演示了如何在Web应用中集成Shiro进行权限管理和用户认证,以实现安全控制。以下是关于SSMShiro整合的关键知识点: 1. **Apache Shiro**: Shiro是一个强大且易用的Java安全框架,提供了认证授权、加密和...
ssm+shiro实现权限框架
11-16
基于shior+ssm+maven开的权限开发,根据角色,实现不同的用户拥有不同的权限,sql文件在项目内,导入eclispe或idea中就可以运行
ssm+shiro整合的一个项目适合初学者
03-05
这是一个ssm项目和shiro整合的一个项目,配置和jar包都特别的完整完全可以直接拿过来用
IDEA+SSM+Shiro(demo,包含数据库)
10-27
刚开始用IDEA,配置还是好麻烦的,记录一下IDEA下搭建的SSM框架+Shiro的demo,附带数据库,配置好直接运行
SSM如何整合Shiro实现权限登陆案例
03-19 273
精选30+云产品,助力企业轻松上云!>>> 1.话不...
idea+ssm+shiro
乌拉拉的博客
05-08 801
引用以下两位大佬的文章,建表语句和基本的代码两位大佬也都提供了,综合整理一下来记录所学: (超详细、适合新手入门)IDEA+Maven 整合SSM框架实现简单的增删改查 shiro+ssm详细整合教程 用第一篇文章在idea中搭建ssm框架。所用开发工具与第一篇文章所用相同,至于shiro也是在第一篇文章所建立的ssm框架上进行添加的: 开发工具 IntelliJ IDEA Ultima...
shiro漏洞原理以及检测key值原理
Thunderclap的博客
02-08 4936
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。
Shiro授权缓存
Entodie的博客
09-04 684
1、授权和身份验证缓存关键点基本一样 不同点: 1、RedisCacheManager 创建授权和身份验证的名字key不同,但是Rediscache为同类不同对象,保存在currrentmap里面 2、保存在redis中的key不同: 授权keykeyprifix+principals 身份验证keykeyprifix+username ...
用户登录安全框架shiro—用户的认证授权(一)
weixin_30606461的博客
05-18 873
   ssm整合shiro框架,对用户的登录操作进行认证授权,目的很纯粹就是为了增加系统的安全线,至少不要输在门槛上嘛。   这几天在公司独立开发一个供公司内部人员使用的小管理系统,客户不多但是登录一直都是简单的校验查询,没有使用任何安全框架来保驾护航,下午终于拿出以前的手段来完善了一下,将shiro安全框架与ssm整合使用的步骤和大家分享一下,都是些简单易懂的东西,希望努力没有白费,帮到大...
ssm配置完成shiro,实现登录验证的功能
Honins的博客
09-12 2254
花了一天时间,算是完成shiro登录验证的这一基本功能。 https://www.w3cschool.cn/shiro/andc1if0.html 这个教程可以多看看,核心的基础功能很重要。 实现shiro 第一步,引入所需要的依赖 在pom.xml文件中加入 &lt;properties&gt;         &lt;!-- log4j日志文件管理包版本 --&gt;    ...
ssm整合shiro
最新发布
10-07
3. 创建Shiro的自定义Realm类,继承自`org.apache.shiro.realm.AuthorizingRealm`,并实现其中的两个方法:`doGetAuthenticationInfo`和`doGetAuthorizationInfo`,分别用于用户认证和权限授权。 4. 在Spring的配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值