shiro框架注解配置

最新推荐文章于 2024-01-20 19:24:38 发布
最新推荐文章于 2024-01-20 19:24:38 发布
阅读量384 收藏 1
点赞数 1
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44801336/article/details/105198346
版权

配置SecurityManager
SecurityManager即安全管理器,它是shiro的核心,通过SecurityManager可以完成subject的认证、授权等

/**
     * 描述的方法其返回值会交给spring管理
     * @Bean 一般应用在整合第三bean资源时
     * @return
     */
    @Bean
    public SecurityManager newSecurityManager( Realm realm, CacheManager cacheManager){
        DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
        sManager.setRealm(realm);
        //将shiro中的cache管理器注入给SecurityManager
        sManager.setCacheManager(cacheManager);
        return sManager;
    }

注入进入的Realm和CacheManager分别是
这个realm使用比较繁琐

  1. realm作用:Shiro从Realm获取安全数据
  2. 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm
  3. 这次用继承的realm
    需要重写方法doGetAuthenticationInfo(认证)和doGetAuthorizationInfo(授权)
    认证的思路
    1 . 通过登录页面输入的用户名和密码传入后台,再进行封装到Subject
@RequestMapping("doLogin")
	public JsonResult doLogin(String username,String password){
		//1.获取Subject对象
		Subject subject = SecurityUtils.getSubject();
		//2.通过Subject提交用户信息,交给shiro框架进行认证操作
		//2.1 对用户进行封装
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		//2.2对用户信息进行身份认证
		subject.login(token);
		//分析
		//1.token会传给shiro的SecurityManager
		//2.SercurityManager将token传递给认证管理器
		//3.认证管理器会将token传递给realm
		return new JsonResult("login ok");
	}

2 . 这样再下面的方法中就可以进行调用当前用户的信息
3 . 根据id或者用户名等唯一信息查询用户的状态值是0或1,即禁用、启用,否则报异常,异常由全局异常处理类接收,并且有相应的值
4 . 将数据封装返回到SecurityManager
5 . 接下来是授权方法,需要的加密方式和用户保存时,保存密码,hash次数,salt(盐值)一致—盐值在创建认证对象时以传入,这样才可以将当前用户的密码进行相同方法的加密(当然这一套方法在凭证匹配器方法中填写),shiro底层进行判断

@Service
public class ShiroUserRealm extends AuthorizingRealm  {

    @Resource
    private SysUserDao sysUserDao;

    @Resource
    private SysUserRoleDao sysUserRoleDao;

    @Resource
    private SysRoleMenuDao sysRoleMenuDao;

    @Resource
    private SysMenuDao sysMenuDao;

    /**
     *  通过此方法完成认证数据的获取及封装,系统
     *  底层会将认证数据传递认证管理器,由认证
     *  管理器完成认证操作
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //1.获取用户名(用户页面输入)
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername();
        //2.基于用户名查询用户信息
        SysUser user = sysUserDao.findUserByUserName(username);
        //3.判定用户是否存在
        if(user == null){
            throw new UnknownAccountException();
        }
        //4.判定用户是否已被禁用
        if (user.getValid()==0){
            throw new LockedAccountException();
        }
        //5.封装用户信息
        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, getName());
        //6.返回封装结果
        return info;
    }

    /**
     * 设置凭证匹配器(与用户添加操作使用相同的加密算法)
     * @param credentialsMatcher
     */
    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        //构建凭证匹配对象
        HashedCredentialsMatcher cMatcher = new HashedCredentialsMatcher();
        //设置加密算法
        cMatcher.setHashAlgorithmName("MD5");
        //设置加密次数
        cMatcher.setHashIterations(1);
        super.setCredentialsMatcher(cMatcher);

    }

    /**
     * 通过此方法完成授权信息的获取及封装
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //1.获取登录用户信息,例如用户id
        SysUser user = (SysUser) principals.getPrimaryPrincipal();
        Integer userId = user.getId();
        //2.基于用户id获取用户拥有的角色(sys_user_role)
        List<Integer> roleIds = sysUserRoleDao.findRoleIdsByUserId(userId);
        if(roleIds == null || roleIds.size() == 0){
            throw new AuthorizationException();
        }
        //3.基于角色id获取菜单id(sys_role_menus)
        //List转int数组
        Integer[] array = {};
        List<Integer> menuIds = sysRoleMenuDao.findMenuIdsByRoleIds(roleIds.toArray(array));
        if (menuIds == null || menuIds.size() == 0){
            throw new AuthorizationException();
        }
        //4.基于菜单id获取权限标识(sys_menus)
        List<String> permissions = sysMenuDao.findPermissions(menuIds.toArray(array));
        //5.对权限标识信息进行封装并返回
        HashSet<String> set = new HashSet<>();
        for (String per:permissions){
            //有数据才返回false,那么将放入set集合中
            if(!StringUtils.isEmpty(per)){
                set.add(per);
            }
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(set);
        return info;
    }

}

6 .接下来是授权方法使用,首先需要在添加授权方法上添加注解@RequiresPermissions(“sys:user:update”),其中这个注解的value值将是授权的关键,因为在授权的一系列业务代码只为了查询到当前用户的菜单中的permission字段,并用set集合去重封装,返回到SecurityManager
7 .到此relam方法结束

    @RequiredLog(operation = "禁用启用")
	@RequiresPermissions("sys:user:update")
	@Override
	public int validById(Integer id, Integer valid, String modifiedUser) {
		//1.参数校验
		Assert.isValid(id!=null&&id>0, "id值无效");
		Assert.isValid(valid!=null&&(valid==1||valid==0), "状态无效");
		//2.修改状态
		int rows=sysUserDao.validById(id, valid, modifiedUser);
		if(rows==0) {
			throw new ServiceException("记录可能已经不存在");
		}
		log.info("哈哈");
		//3.返回结果
		return rows;
	}

CacheManager

  1. 创建CacheManager
  2. 添加到SecurityManager ( 可见这个对象真是shiro的核心,全部要存入这里面)
 @Bean
    public CacheManager shiroCacheManager(){
        return new MemoryConstrainedCacheManager();
    }

/**
     * 描述的方法其返回值会交给spring管理
     * @Bean 一般应用在整合第三bean资源时
     * @return
     */
    @Bean
    public SecurityManager newSecurityManager( Realm realm, CacheManager cacheManager){
        DefaultWebSecurityManager sManager = new DefaultWebSecurityManager();
        sManager.setRealm(realm);
        //将shiro中的cache管理器注入给SecurityManager
        sManager.setCacheManager(cacheManager);
        return sManager;
    }

配置过滤规则和代理

/**
     * 配置过滤器工厂
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean newShiroFilterFactoryBean(@Autowired SecurityManager securityManager){
        ShiroFilterFactoryBean sfBean = new ShiroFilterFactoryBean();
        sfBean.setSecurityManager(securityManager);
        //假如没有认证请求先访问此认证的url
        sfBean.setLoginUrl("/doLoginUI");
        //定义map指定请求过滤规则(哪些资源允许匿名访问,哪些必须认证访问)
        LinkedHashMap<String, String> map = new LinkedHashMap<>();
        //静态资源允许匿名访问":anon"
        map.put("/bower_components/**","anon");
        map.put("/build/**","anon");
        map.put("/dist/**","anon");
        map.put("/plugins/**","anon");
        map.put("/user/doLogin","anon");
        map.put("/doLogout","logout");
        //除了匿名访问的资源,其它都要认证("authc")后访问authc
        map.put("/**","authc");
        sfBean.setFilterChainDefinitionMap(map);
        return sfBean;
    }

    /**
     * 配置授权的Advisor,通过此Advisor告诉框架底层要为指定的对象创建代理对象然后
     * 对指定业务方法进行授权检查
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor newAuthorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

有个知识点也挺有意思,就是Cache这个对象用什么存储的
当配置缓存,即不用每次都去查询用户是否授权
软引用的HashMap,即内存不足时清空
源码如何查找

  1. 找到CacheManager的返回new的对象MemoryConstrainedCacheManager
  2. protected Cache createCache(String name) {
    return new MapCache(name, new SoftHashMap());
    }中有SoftHashMap
  3. 再找到一下方法,断点即可查看
  4. 缓存的思路是先去到缓存找,没有查询,再存一份到缓存,下次查找就是去缓存
public class SoftHashMap<K, V> implements Map<K, V> {

public V get(Object key) {
        this.processQueue();
        V result = null;
        SoftHashMap.SoftValue<V, K> value = (SoftHashMap.SoftValue)this.map.get(key);
        if (value != null) {
            result = value.get();
            if (result == null) {
                this.map.remove(key);
            } else {
                this.addToStrongReferences(result);
            }
        }

        return result;
    }
权限管理系统以及shiro框架配置(详细教程+shiro框架源码)
码上人生
11-11 1422
权限管理系统 目录权限管理系统前言一、RBAC是什么?二、创建一个拥有多个权限的管理系统1.分析2.基于 RBAC的权限设计框架方式实现(Shiro框架)在maven中使用Shiro框架1.创建一个maven项目 前言 本文主要介绍什么是权限管理,以及基于RBAC的权限设计和在maven中使用shiro框架 一、RBAC是什么? RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单的说,一个用户拥有若干角色,每一个角色拥有若干权限。这
Shiro框架详解
qq_39756007的博客
02-21 855
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
shiro和spring整合,使用权限注解
08-31
shiro的权限注解,必须和aop框架整合使用,本资源是springAOP整合shiro的例子。
shiro注解配置
qq_42026855的博客
04-20 816
shiro配置说明: 1. 配置密码比较器类 CredentialsMatcher 2. 配置Realm ,设置CredentialsMatcher 3. 配置securityManager,使用DefaultWebSecurityManager,设置Realm、CacheManager 4. shiroFilter逻辑 注意:通过【@Value("${shiro.anonUrls}")
Shiro--注解
IT利刃出鞘的博客
08-12 527
其他网址 Shiro系列教材 (一)- 教程安排 英文官网
shiro框架学习笔记(4)---使用shiro注解开发和授权
BoringError的博客
07-19 849
一、配置shiro注解开发模式: 在applicationContext.xml中配置如下代码: <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"> <!--...
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
3. **Shiro的集成**:研究如何在SpringBoot应用中配置Shiro,包括安全配置、 Realm(认证和授权信息提供者)的实现以及自定义注解的编写和使用。 4. **Shiro的权限控制**:掌握如何使用Shiro注解进行权限判断,如@...
springMVC整合shiro框架
02-12
- **创建 Shiro 配置类**: 在 SpringMVC 项目中创建一个 Shiro 配置类,通过 `@Configuration` 注解标记,使用 `@EnableWebSecurity` 或 `@EnableShiroSecurity` 来启用 Shiro 安全功能。 - **定义 Realm**: Realm...
跟我学Shiro第12章Demo(仅JAVA SE+Web+Shiro权限注解
09-22
Apache Shiro是一款强大的安全框架,广泛应用于Java项目中,提供了身份验证、授权、会话管理和加密等功能。本Demo主要涵盖了ShiroJava Standard Edition(SE)和Web环境中的应用,特别是利用Shiro的权限注解进行...
Shiro权限控制的注解方式配置(十一)
qq_37431224的博客
01-13 466
步骤: 1:分析权限控制选择 1>编程式,缺点:必须进入请求方法中才能判断是否有权限,放弃 2>jsp标签方式, 缺点:虽然在页面上没有显式请求按钮,但是可以通过浏览器地址栏中输入请求访问, 放弃 3>注解方式:优点,可以在请求进入方法之前进行权限控制。 推荐 2:在需要权限控制的方法上面贴上权限标签:(此处仅仅讨论居于权限的表达式空...
shiro学习--注解配置文件
逸致
04-18 543
之前我们配置shiro配置文件时,都是通过xml中的bean来配置,今天我们利用Java注解来实现创建一个SecurityConfig.java来设置shiro的相关信息,以及实现rememberMe的功能,设置有效的时长 SecurityConfig.java:import java.util.Collection; import java.util.HashMap; import java...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3658
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Shiro 框架总结】6 权限注解
FullStackDeveloper0的博客
04-16 261
目录 1. 权限注解、具体实现 2. 从数据库中读取权限数据 一、简介 二、具体实现 1. 创建service 2. service交给容器管理 3. Controller中自动注入service 4. 前端 5. 测试 使用admin登录时可以正常访问,使用user登录时会报错 org.apache.shiro.authz....
Shiro框架Shiro用户访问控制鉴权流程-Aop注解方式源码解析
最新发布
博客园
01-20 1058
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,前面文章已对Shiro用户登录认证流程进行了源码跟踪,对Shiro用户访问控制鉴权流程-内置过滤器方式进行了详细解析;本篇文章继续对用户访问控制鉴权流程-Aop注解方式进行源码解析,了解不同的使用方式以便更好的应用到实际项目中。
shiro注解使用
左为止的博客
04-20 584
shiro注解使用 拦截可以在xml里面配置,也可以在方法或者类上进行注解配置,达到相同目的,两者因人而异 想使用注解的话需要 依赖添加 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-a...
Shiro注解
qq_43654581的博客
10-15 2934
1.开启注解功能,比较使用注解 2.解决注解式,登录页和无权访问页面不跳转问题 3.拦截器跟注解同时使用的执行顺序
shiro权限注解
安分_pingping
05-15 737
Shiro权限注解(可以用在Controller层对应的方法上/Service层对应的方法上)1》@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。2》@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。3》@RequiresGuest:表示当前S...
Shiro(七):shiro 注解权限控制-5个权限注解
12程序猿的博客
10-23 4315
shiro提供了相应的注解用于权限控制,如果使用这些注解就需要使用aop的功能来进行判断。shiro提供了spring aop集成,用于权限注解的解析和验证 shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 1.@RequiresAuthentication: 使用注解标注的类,实例,方法在访问或调用时,当前Subject必须通过login 进行了身份验证;即 Subject.isAuthenticated() 返回 true 2.@RequiresUser: 表
Shiro框架注解授权实现与核心组件解析
"本文主要介绍了基于注解的授权实现,特别是在Shiro框架中的应用,以及Shiro的关键组件和工作流程。Shiro是一个强大且易用的Java安全框架,提供了认证、授权、会话管理和加密等功能。" 在Java开发中,权限分配与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值