SSM集成Shiro之使用注解在前后端分离项目中完成认证和授权

最新推荐文章于 2022-08-07 22:37:02 发布
最新推荐文章于 2022-08-07 22:37:02 发布
阅读量936 收藏 7
点赞数 1
文章标签: shiro java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44193036/article/details/104728337
版权

在之前的案例中使用Shiro完成授权的功能是通过Shiro的jstl表达式来对页面上的链接入口进行限制来完成的。
但是,在前后端分离的项目中,后端开发人员只负责开发后端接口,没有前台页面的支持。在此,我们可以使用Shirl的注解,来对Controller的Rest接口方法进行限定,通过不同的情况向页面返回不同的json数据。

一、创建ResultObj用于封装数据转换成json显示给前台

package com.xsh.pojo;

public class ResultObj {
    private String msssage;

    public ResultObj(String msssage) {
        this.msssage = msssage;
    }

    public String getMsssage() {
        return msssage;
    }

    public void setMsssage(String msssage) {
        this.msssage = msssage;
    }
}

二、解决用户未登录的访问问题

在之前,我们是在application-shiro.xml文件中配置了用户未登录时跳转到登录页面的相关配置。此时没有前端页面的支持,我们就需要创建Filter拦截未登录的请求并返回json提示。

package com.xsh.filter;

import com.alibaba.fastjson.JSON;
import com.xsh.pojo.ResultObj;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

public class ShiroLoginFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse rep= (HttpServletResponse) response;
        rep.setCharacterEncoding("UTF-8");
        rep.setContentType("application/json");
        ResultObj resultObj=new ResultObj("用户未登录");
        PrintWriter out = rep.getWriter();
        out.write(JSON.toJSONString(resultObj));
        out.flush();
        out.close();
        return false;
    }
}

以上过滤器继承了Shiro的FormAuthenticationFilter ,并且重写了onAccessDenied()方法,该方法会在未登录的请求访问的时候就被回调,所以可以通过这个方法的内容给前台显示未登录信息。

三、解决用户登录成功或者失败的显示问题

package com.xsh.controller;

import com.xsh.pojo.ResultObj;
import com.xsh.utils.ActivierUser;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpSession;

@RestController
@RequestMapping("/login")
public class LoginController {

    @RequestMapping("/login")
    public ResultObj login(String username, String password, HttpSession session){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        try{
            subject.login(token);
            ActivierUser activierUser = (ActivierUser) subject.getPrincipal();
            session.setAttribute("user",activierUser.getUser());
            return new ResultObj("登录成功");
        }catch (Exception e){
            return new ResultObj("登陆失败");
        }

    }
}

在此的解决方案非常简单,只是将返回的结果信息转换成了json数据。

四、完善相关控制器方法的权限限定

package com.xsh.controller;

import com.xsh.pojo.ResultObj;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/user")
public class UserController {

    @RequiresPermissions(value = "user:query")
    @RequestMapping("/query")
    public ResultObj query(){
        return new ResultObj("用户查询");
    }
    @RequiresPermissions(value = "user:add")
    @RequestMapping("/add")
    public ResultObj add(){
        return new ResultObj("用户添加");
    }
    @RequiresPermissions(value = "user:update")
    @RequestMapping("/update")
    public ResultObj update(){
        return new ResultObj("用户修改");
    }
    @RequiresPermissions(value = "user:delete")
    @RequestMapping("/delete")
    public ResultObj delete(){
        return new ResultObj("用户删除");
    }


}

在该控制器中,通过@RequiresPermissions注解来对控制器方法进行了权限限定。
但是此时并不能生效,已知Shiro的验证是通过异常来进行结果的显示,也就是说当用户访问权限不够的时候Shiro会返回一个UnauthorizedException异常。
所以,在此我们需要开启Shiro的注解支持,并且拦截UnauthorizedException异常来返回提示信息

五、在springmvc.xml文件中添加Shiro的注解支持

 <!--开启Shiro的注解支持-->
    <bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor" id="lifecycleBeanPostProcessor"></bean>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"></bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"></property>
     </bean>

六、创建拦截全局异常监听类监听UnauthorizedException异常

package com.xsh.handler;

import com.xsh.pojo.ResultObj;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

/**
 * 全局异常监控,当项目中发生异常就会触发其中的方法
 */
@RestControllerAdvice
public class GlobalExceptionHanderAdvise {
    /**
     * 监听Shiro的未授权异常,当用户访问权限不够的功能时就会触发该异常
     * 该方法监听这个异常然后返回json提示信息
     * @return
     */
    @ExceptionHandler(value = {UnauthorizedException.class})
    public ResultObj Unauthorized(){
        return new ResultObj("权限不够");
    }

}

此时,使用注解来完成用户权限验证就结束了。如果在springmvc.xml文件中扫描注解的包范围太小就必须要添加全局异常监听类的注解扫描,不然该类也无法发挥作用。

烤鱼和香菜
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
meven+ssm+shiro实现前后端分离登录小案例
11-06
这个是这几天写入门写的一个 meven+ssm+shiro 的一个简单案例 ,只是简单的实现了简单注册登录 但是里面涉及到了一些加密的东西 供大家参考学习 开发工具用的是idea eclipse不怎么用过 我不确保能不能配上去运行. 项目里面我把里面的东西都分类打包好并配了说明文档,由于水平有限,并不能很好在这里说明 有需要的就下载看下吧.有问题的 欢迎大家指点.成长的路上很枯燥.如果有大神看到了,指点一下吧 哈哈!!!
Springboot + Vue + shiro 实现前后端分离、权限控制
油墨香^-^的博客
05-13 2582
一、前后端分离思想 前端从后端剥离,形成一个前端工程,前端只利用Json来和后端进行交互,后端不返回页面,只返回Json数据。前后端之间完全通过public API约定。 二、后端 Springboot Springboot就不再赘述了,Controller层返回Json数据。 @RequestMapping(value="/add",method=RequestMethod.POST) @ResponseBody publicJSONResultaddClient(...
shiro执行授权方法 doGetAuthorizationInfo()
RodJohnson_523391的专栏
03-02 724
[size=x-large][color=black][b]ShiroDbRealm.java 代码如下[/b][/color][/size] [code="java"]public class ShiroDbRealm extends AuthorizingRealm { @Resource private UserService userService; ...
shirojava安全框架)
qq_41231886的博客
03-01 221
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro,Subject这一概...
前后端分离shiro授权问题,ajax 请求返回401,非ajax请求返回login界面
chiyandi6684的博客
04-17 2772
springboot 整合shiro后,授权的界面都会自动返回loginUrl, 今天搞前后端分离,前端需要接受401状态码, 查了一些资料,总结了一下自己的解决方法。 首先,网上有许多springboot 整合shiro方法,就当环境已经有了shiro. 解决思路: Shiro ...
springboot整合shiro前后端分离自定义授权接口返回自定义格式
skyyeye的博客
06-25 2768
springboot整合shiro实现前后端分离,只要从github上随便拉个shiro项目整合自己的项目都可以实现,但是最后的问题出现了。无法自定义无权限的返回格式,默认如图 而且有些接口没有登录的提示也是默认的,很不友好: 想办法让前端直接从这个里面取信息来统一提示 发现测试环境可以 到了正式环境 什么都拿不到了。找了运维,运维给介绍个大牛,一分钟搞定了。只怨自己太菜,具体如下: 原本只...
Shiro+Springboot+Vue前后端分离实现权限管理
Zhangmaoyang的博客
12-25 1119
Shiro介绍就跳过了,这里记录怎么在项目使用 1 添加maven依赖 <shiro.version>1.4.0</shiro.version> <druid.version>1.1.20</druid.version> <shiro-redis.version>3.2.3</shiro-redis.version> ...
Springboot+vue+shiro前后端分离项目解决权限验证提示没有认证(Authentation)的问题
qq_43114230的博客
01-11 1657
毕设做一个系统,其涉及管理员、教师和学生三个角色,遂决定使用Springboot+vue+shiro(这三个技术只是这个记录涉及到的三个技术或框架)。但是使用shiro的过程遇到了非常多的问题。最后解决的问题是一直提示当前subject没有authentication。 直接把报错信息放到网上查发现没有一个解决问题的。 先说明解决方案: (1)注解不生效,在ShiroConfig里面配置两个bean: public DefaultAdvisorAutoProxyCreator adviso
springboot-shiro-jwt-redis实现用户登录的认证授权前后端分离)需要有一定shiro、jwt、redis、springboot基础
qq_50518856的博客
04-30 1356
shiro-jwt-redis实现后端认证授权工作
Spring boot 整合 shiro 前后端分离,用户登陆之后 没有执行授权方法解决方案
qq_40990836的博客
01-17 3655
问题描述:   项目使用spring boot,使用shiro 来管理权限,但是后来发现用户登陆之后。可以执行密码验证。但是并没有执行授权方法。所以用户无法正常执行各种操作。   解决方案: 因为前面有我得spring boot 整合博客所以就暂时只贴解决方案的 代码了 @Bean public Authorizer authorizer(MyRealm myRealm...
ssm整合shiro
qq_59114219的博客
08-07 191
ssm整合shiro ssm整合shiro完成前后端分离
ssm+vue前后端分离框架整合实现(附源码)
10-15
主要介绍了ssm+vue前后端分离框架整合实现(附源码),文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ssm+maven整合,前后端分离技术完整源码
10-31
ssm+maven整合,前后端分离技术完整源码 
SSM框架整合Dome(前后端分离)
02-26
该资源SpringSpringMVC、Mybatis三大框架搭建的前后端分离项目,解决了前后端分离出现的跨域问题及乱码问题
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip
09-04
shiro-ssm整合案例,对登录认证和权限授予进行详细的讲解,对权限验证的三种方式:编程方式、注解方式、JSP标签方式进行案例说明,很详细的讲解
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
基于SSM前后端分离的高校人事招聘管理系统项目源码+数据库.zip
12-11
基于SSM前后端分离的高校人事招聘管理系统项目源码+数据库.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可作为课程设计、期末大作业。包含:项目源码、数据库脚本、项目...
基于SSM和Vue实现的前后端分离课堂考勤管理系统源码+项目说明.zip
12-29
基于SSM和Vue实现的前后端分离课堂考勤管理系统源码+项目说明.zip 前端启动流程: 必须有node环境 在vue-admin下启动终端 输入npm install下载前端依赖 输入npm run dev 运行前端项目 后端启动流程: 加载下pom 修改...
农业温室监控系统(vue+ssm+mysql8.x+前后端分离)含完整数据库和源码
最新发布
03-20
农业温室监控系统(Vue+SSM+MySQL8.x+前后端分离) 是一款应用于现代农业领域的智能监控系统,旨在实现温室大棚环境的实时监控、数据记录和智能控制。系统通过集成传感器网络实现环境参数(如温度、湿度、光照等)的...
ssm vue前后端分离项目
02-26
SSMSpring+SpringMVC+MyBatis)是一种常用的Java后端开发框架,而Vue是一种流行的前端开发框架。将它们结合起来进行前后端分离开发可以提高开发效率和代码的可维护性。 在SSM Vue前后端分离项目,后端使用SSM框架进行开发,前端使用Vue框架进行开发。前后端通过API接口进行数据交互。 下面是一个简单的SSM Vue前后端分离项目的示例: 1. 后端开发: - 使用Spring框架进行依赖注入和事务管理。 - 使用SpringMVC框架处理HTTP请求和响应。 - 使用MyBatis框架进行数据库操作。 - 设计并实现RESTful API接口,提供数据的增删改查功能。 2. 前端开发: - 使用Vue框架进行组件化开发。 - 使用Vue Router进行路由管理,实现页面跳转和导航。 - 使用Vuex进行状态管理,实现数据共享和响应式更新。 - 使用Axios库发送HTTP请求,与后端API进行数据交互。 - 使用Element UI或其他UI库进行页面布局和样式设计。 3. 前后端交互: - 前端通过Axios库发送HTTP请求到后端API接口,获取数据或提交数据。 - 后端接收请求,处理业务逻辑,访问数据库进行数据操作。 - 后端将处理结果返回给前端,前端根据结果进行相应的展示或处理。 这样的前后端分离项目可以提高开发效率和团队协作能力,前后端可以独立开发和测试,减少了耦合性,同时也方便进行项目的扩展和维护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值