Springboot shiro (二) 登录验证,角色和权限验证

最新推荐文章于 2024-01-18 15:38:46 发布
最新推荐文章于 2024-01-18 15:38:46 发布
阅读量447 收藏
点赞数
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t18092838767/article/details/103714395
版权

使用场景:

  • 用户登录验证:
    在登录界面,需要对用户名和密码进行验证,验证通过后跳转到指定页面。验证不通过提示登录信息错误。

原理 管家服务, 如果shiro有感情,会发生以下事情:
1、 身份认证:那小伙在登录,你把那小伙的身份证给我,辨认、放行、驱赶的事交给我了
2、角色权限: 那小伙已经进大厅了,要去办公室拿东西,你把小伙的工作证给我,我去看那小伙是不是随意乱串呢。

  • 目录
    1、创建微服务,pom.xml添加引用
    2、当有用户登录的时候,将该用户的账号密码,角色、权限准备告诉shiro
    3、加shrio好友,把要刚定义的告知信息注入shiro
    4、给要限制访问的资源关门上锁
    5、枯燥的测试准备工作
    6、测试

  • 场景模拟:
    当看完文档一脸懵的时候,就该动手操作了。简单粗暴的操作完后,再去看文档…

    ****************************** 开始简单粗暴的场景模拟*****************************************

  • 第一步 创建微服务,pom.xml添加引用

        <!--web依赖,基础依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--引入shiro依赖-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.2</version>
        </dependency>

        <!--引入thymeleaf,作为web服务使用-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

        <!--引入jpa,连接mysql-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>

        <!--mysql的java连接驱动-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

  • 第二步 当有用户登录的时候,将该用户的账号密码,角色、权限等告诉shiro
    注:要注入到框架,shiro也收不到信息
    1、继承AuthorizingRealm, 实现这两个方法
    doGetAuthenticationInfo(AuthenticationToken token)
    翻译:那小伙在登录,他已经给我说了他的身份证信息(参数AuthenticationToken),你把那小伙的身份证复印件给我,辨认、放行、驱赶的事交给我了

    doGetAuthorizationInfo(PrincipalCollection principalCollection)
    翻译:刚才那小伙已经进大厅了,我有他的身份证复印件(参数principalCollection),现在他要去办公室拿东西,你把小伙的工作证给我,我去看那小伙是不是随意乱串呢

doGetAuthenticationInfo(AuthenticationToken token)
该方法主要是用来验证身份和密码的。实现过程很简单,我们只需查询账户密码,交给shiro就行。
账号验证原理:在登陆输入用户名和密码时,shiro已经接管了用户名和密码。在此处只需取出用户名和密码,交给shiro即可,下面几个骚操作是框架自己完成的。不用实现
1、 框架会自动校验账户的正确性。
2、 如果正确,shrio会自动控制页面跳转到成功页面。
3、 如果不正确,shiro会将向/login发一个post请求,里面包含了错误信息,可以定制修改后返回给前端
.
.
doGetAuthorizationInfo(PrincipalCollection principalCollection)
实现方式主要是告诉shiro,当前登录的账号属于什么角色,有哪些权限。
此方法调用 hasRole,hasPermission的时候才会进行回调.

2、上代码,就是这么枯燥

package com.shiro.Service.shiro;

import com.shiro.Service.UserService;
import com.shiro.entity.SysPermission;
import com.shiro.entity.SysRole;
import com.shiro.entity.UserInfo;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

/**
 * 自定义验证规则
 */
public class MyShiroRealm extends AuthorizingRealm {

   @Autowired
   private UserService userService;

   /**
    * 此方法调用封装角色和权限信息
    * 把当前登录用户的角色信息和权限信息告诉shiro
    * @param principalCollection
    * @return
    */
   @Override
   protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
      System.out.println("访问权限认证,此处调用了doGetAuthorizationInfo");
      SimpleAuthorizationInfo author = new SimpleAuthorizationInfo();
      UserInfo userInfo = (UserInfo) principalCollection.getPrimaryPrincipal();

      /**
       * 设置权限和角色信息
       */
      for(SysRole role:userInfo.getRoleList()){
         author.addRole(role.getRole());
         for(SysPermission p:role.getPermissions()){
            author.addStringPermission(p.getPermission());
         }
      }

      return author;
   }

   /**
    * 告诉shiro,名称是token的这个用户的账号和密码信息
    * @param token
    * @return
    * @throws AuthenticationException
    */
   @Override
   protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws
      AuthenticationException
   {
      //获取用户的输入的账号
      String username = (String)token.getPrincipal();
      //根据用户名查询用户基本信息,这个是查询数据库,不想查询只做演示的话此处造点假数据就行了
      UserInfo userInfo = userService.findByUsername(username);

      if(userInfo == null) {
         return null;
      }

      //根据用户名查询权限信息,并封装在用户信息中,此时未实现
      /*
       * 获取权限信息:这里没有进行实现,
       * 请自行根据UserInfo,Role,Permission进行实现;
       * 获取之后可以在前端for循环显示所有链接;
       */
      //userInfo.setPermissions(userService.findPermissions(user));

      SimpleAuthenticationInfo authInfo = new SimpleAuthenticationInfo(userInfo, //用户名
         userInfo.getPassword(), //密码
         ByteSource.Util.bytes(userInfo.getCredentialsSalt()),
         //salt=username+salt
        getName() );
      return authInfo;
   }
}
  • 第三步 加shrio好友,把要刚定义的告知信息注入shiro
    粗暴上代码
package com.shiro.config;

import com.shiro.Service.shiro.MyShiroRealm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

   @Bean
   public MyShiroRealm myShiroRealm(){
      return new MyShiroRealm();
   }

   @Bean
   public SecurityManager sercurityManager(){
      DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
      defaultWebSecurityManager.setRealm(myShiroRealm());
      return defaultWebSecurityManager;
   }

   /**
    * 定义账号密码验证时,需要控制的路由跳转
    * 验证成功的导向和验证失败的导向
    * @param securityManager
    * @return
    */
   @Bean
   public ShiroFilterFactoryBean filterFactoryBean(SecurityManager securityManager){
      /**
       * 准备拦截器的拦截路径
       * 需要保持拦截顺序,所以用linkedHashMap,一般将/**放在最下面
       */
      Map<String, String> filterMap = new LinkedHashMap<>();
      //shiro已经内部实现了,不用关注这个页面
      filterMap.put("/logout", "logout");
      //authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问
      filterMap.put("/**", "authc");

      ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
      shiroFilterFactoryBean.setSecurityManager(securityManager);
      //需要登录的页面
      shiroFilterFactoryBean.setLoginUrl("/login");
      //登录成功的页面
      shiroFilterFactoryBean.setSuccessUrl("/index");
      //登录失败的页面
      shiroFilterFactoryBean.setUnauthorizedUrl("/error");
      shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
      return shiroFilterFactoryBean;
   }

   /**
    * 访问资源权限的配置
    * @param securityManager
    * @return
    */
   @Bean
   public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
      AuthorizationAttributeSourceAdvisor source = new AuthorizationAttributeSourceAdvisor();
      source.setSecurityManager(securityManager);
      return source;
   }

}
  • 第四步 给角色可访问的资源关门上锁
    就是要限制访问的资源上添加注解 @RequiresPermissions(“userInfo:add”)

以上的四步已经完成了技术问题。剩下的就是枯燥的测试过程,如果不想连数据库,可以造假数据直接测

  • 1、准备mysql数据库,选个没用的数据库执行下面sql

-- ----------------------------
-- Table structure for sys_permission
-- ----------------------------
DROP TABLE IF EXISTS `sys_permission`;
CREATE TABLE `sys_permission` (
  `id` bigint(20) NOT NULL,
  `available` bit(1) DEFAULT NULL,
  `name` varchar(255) DEFAULT NULL,
  `parent_id` bigint(20) DEFAULT NULL,
  `parent_ids` varchar(255) DEFAULT NULL,
  `permission` varchar(255) DEFAULT NULL,
  `resource_type` enum('menu','button') DEFAULT NULL,
  `url` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

-- ----------------------------
-- Records of sys_permission
-- ----------------------------
INSERT INTO `sys_permission` VALUES ('1', '', '用户管理', '0', '0/', 'userInfo:view', 'menu', 'userInfo/userList');
INSERT INTO `sys_permission` VALUES ('2', '', '用户添加', '1', '0/1', 'userInfo:add', 'button', 'userInfo/userAdd');
INSERT INTO `sys_permission` VALUES ('3', '', '用户删除', '1', '0/1', 'userInfo:del', 'button', 'userInfo/userDel');

-- ----------------------------
-- Table structure for sys_role
-- ----------------------------
DROP TABLE IF EXISTS `sys_role`;
CREATE TABLE `sys_role` (
  `id` bigint(20) NOT NULL,
  `available` bit(1) DEFAULT NULL,
  `description` varchar(255) DEFAULT NULL,
  `role` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

-- ----------------------------
-- Records of sys_role
-- ----------------------------
INSERT INTO `sys_role` VALUES ('1', '', '管理员', 'admin');
INSERT INTO `sys_role` VALUES ('2', '', 'VIP会员', 'vip');

-- ----------------------------
-- Table structure for sys_role_permission
-- ----------------------------
DROP TABLE IF EXISTS `sys_role_permission`;
CREATE TABLE `sys_role_permission` (
  `role_id` bigint(20) NOT NULL,
  `permission_id` bigint(20) NOT NULL,
  KEY `FKomxrs8a388bknvhjokh440waq` (`permission_id`),
  KEY `FK9q28ewrhntqeipl1t04kh1be7` (`role_id`),
  CONSTRAINT `FK9q28ewrhntqeipl1t04kh1be7` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`),
  CONSTRAINT `FKomxrs8a388bknvhjokh440waq` FOREIGN KEY (`permission_id`) REFERENCES `sys_permission` (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

-- ----------------------------
-- Records of sys_role_permission
-- ----------------------------
INSERT INTO `sys_role_permission` VALUES ('1', '1');
INSERT INTO `sys_role_permission` VALUES ('1', '2');

-- ----------------------------
-- Table structure for sys_user_role
-- ----------------------------
DROP TABLE IF EXISTS `sys_user_role`;
CREATE TABLE `sys_user_role` (
  `uid` bigint(20) NOT NULL,
  `role_id` bigint(20) NOT NULL,
  KEY `FKhh52n8vd4ny9ff4x9fb8v65qx` (`role_id`),
  KEY `FKgkmyslkrfeyn9ukmolvek8b8f` (`uid`),
  CONSTRAINT `FKgkmyslkrfeyn9ukmolvek8b8f` FOREIGN KEY (`uid`) REFERENCES `user_info` (`uid`),
  CONSTRAINT `FKhh52n8vd4ny9ff4x9fb8v65qx` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

-- ----------------------------
-- Records of sys_user_role
-- ----------------------------
INSERT INTO `sys_user_role` VALUES ('1', '1');

-- ----------------------------
-- Table structure for user_info
-- ----------------------------
DROP TABLE IF EXISTS `user_info`;
CREATE TABLE `user_info` (
  `uid` bigint(20) NOT NULL,
  `name` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  `salt` varchar(255) DEFAULT NULL,
  `state` tinyint(4) NOT NULL,
  `username` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`uid`),
  UNIQUE KEY `UK_f2ksd6h8hsjtd57ipfq9myr64` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

-- ----------------------------
-- Records of user_info
-- ----------------------------
INSERT INTO `user_info` VALUES ('1', '管理员', '123456', 'd3c59d25033dbf980d29554025c23a75', '8', 'admin');

枯燥结束,开始测试
1、访问http://localhost:8001/userInfo/add 自动跳到了 http://localhost:8001/login
在这里插入图片描述
2、输入错误账号或密码有提示
在这里插入图片描述
3、登录成功后自动跳到了第一次想访问的页面 http://localhost:8001/userInfo/add
4、访问个没权限的页面,会跳到错误页面

t18092838767
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 权限校验
qq_3297的博客
02-06 426
applicationContext 中配置  <!-- 用户授权信息Cache:缓存控制器,来管理如用户、角色权限等的缓存的; 因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能 --> <!-- 这里主要是设置自定义的单Realm应用,若有多
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot中集成Shiro,可以方便地进行用户权限的管理,包括登录验证权限校验等功能。 **Vue.js** 是一个用于构建用户界面的渐进式框架,常用于前端开发。在这里,Vue可以用来动态渲染前端界面,根据后端返回...
springboot项目之AOP角色权限的判断
最新发布
sccd2009的专栏
01-18 491
springboot项目之AOP角色权限的判断
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBootShiro 密码加密,登录验证权限控制demo
SpringBoot集成Shiro验证用户角色
江湖人称小程的博客
06-22 704
SpringBoot集成Shiro(一)验证用户登录验证 SpringBoot集成Shiro(三)验证用户权限 SpringBoot集成Shiro(四)验证用户角色升级版 Shiro 这个安全认证框架已经帮我们做了很多事情,在一般情况下,我们完全可以将它当做一个黑盒来使用。 在上一篇文章中,我们通过 Shiro 完成了用户登录验证功能,这篇文章将在它的基础上增加角色的控制。角色控制也很简单,大致分为以下几步: 增加想要角色控制的资源 Shiro配置 角色设置 增加需要角色控制的资源 我们首先在 Us.
shiro学习笔记()- 角色校验
ITzhongzi的博客
07-11 148
shiro学习笔记()- 角色校验
Shiro在web的授权检测(权限角色验证
u012737182的博客
10-31 3961
一、角色检测 1、建立Servlet程序来进行具体的登录操作处理。@WebServlet("/shiroLogin") public class LoginServlet extends HttpServlet { @Override protected void doPost(HttpServletRequest request, HttpServletResponse resp
springbootshiro整合—登录认证和权限管理实例项目
04-16
在本文中,我们将深入探讨如何将Spring Boot与Apache Shiro整合,实现登录认证和权限管理的实例项目。这个项目对于初学者来说是一个很好的实践平台,它可以帮助开发者将理论知识转化为实际应用。 首先,Spring Boot...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
spring boot 1.5.4 集成shiro+cas,实现单点登录权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录权限控制的功能...
Springboot 使用 SaToken 进行登录认证、权限管理以及路由规则接口拦截
热门推荐
泡泡的博客
09-26 1万+
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。还有踢人下线、账号封禁、路由拦截规则、微服务网关鉴权、密码加密等丰富功能它不比 Shiro 和 SpringSecurity 的功能少,而且配置使用更加简单。
shiro登陆认证常用的异常判断 其他api登陆的权限判断,角色判断
snailisBigbull的博客
10-07 146
(B站云e办)SpringBoot开发项目实战记录(三)(用户角色判断、url判断角色、职位管理crud)
Seven597的博客
01-12 847
SpringBoot开发项目实战记录(三)一、 根据请求的url判断角色1.1 业务层Service1.2 mapper层1. 查询的xml2. 返回格式map (MenusWithRole)3. url匹配权限过滤器 一、 根据请求的url判断角色 1.1 业务层Service 首先要拿到每个菜单对应的角色 /** * 根据角色查菜单 * @return */ @Override public List<Menu> getMenusWithR
SpringBoot+Shiro+kaptcha验证码实现用户登录和根据角色跳转页面
学而不思则忘
06-28 2214
这篇文章主要实现用户登录功能:用户输入自己的账号、密码以及验证码后,会进行身份验证,认证通过的系统会自动判断该用户的身份,跳转到不同的管理界面。 要实现的功能 用户登录判断 根据用户角色自动跳转不同的页面 加入验证码进行验证 开发前的准备 文件目录 设置和连接数据库 建立数据库 在Navicat中建立一个数据库,并建立一张用户表(用来存储要登录的用户) 用户登录主要用到下面这张user表,这里事先输入了用户名和密码(用于测试,到后面可以自己添加、修改等)。 CREATE TABLE `user`.
springboot通过自定义注解实现AOP角色权限校验
崔向阳@李晓的博客
04-02 2328
通过SpringBoot自定义注解实现AOP角色权限校验之前,首先先要了解一下注解的基本知识: Annotation是Java重要的组成部分,从J2SE 5.0时代就已经存在了。在我们的代码中,我们随处可以看到许多注解,例如@Autowired、@Override、@Service。这些注解我们可能非常熟悉,但是注解的作用、工作原理、工作方式以及我们如何自定义注解,我们可能并不熟悉。下面将逐步介...
SpringBoot使用自定义注解校验Token及角色权限
小墨鱼的网络博客,不随大流的程序员世界...
09-23 1111
最近学习时,自己项目中用到了Token,涉及到User和Admin两个角色,普通的用户并没有很大的权限,和Admin拥有较大的权限。每次在写代码前都需要重复校验角色,根据角色来决定是否有操作这个接口权限。 项目没有涉及到RBAC模式,就划分Admin和User,因此思路还是比较好理解的。 1.定义一个Token注解 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lan
shiro认证登录角色
m0_50250551的博客
08-21 284
shiro的认证流程:(源码大概流程是主体执行登陆验证是通过SecurityManager来操作,核心通过认证器(Authenticator),认证器通过去Realm中寻找数据进行对比验证) 1、创建SecurityManager核心环境,将其设置为环境; 2、获取主体; 3、传入认证数据提交; 4、在这之前别忘记指定存放数据的Realm shiro验证角色流程与认证登录类似:(源码大概流程主体验证角色时是通过SecurityManager,核心环境通过授权器(Authorizer),授权器通过去Realm
shiro框架---通过系统介绍shiro框架中的实现逻辑
凌大大的博客
02-13 7228
接上一篇文章shiro框架—关于用户登录权限验证功能的实现步骤(一) 本篇主要通过一个已经实现用户登录权限验证的系统,结合sql,展示一下我的实现。 首先我设置的权限,即功能表,其中func_type 字段分为四类(系统、模块、菜单、操作)。 一、系统的展示   下边对于同一个系统内,一个用户,我在不同授权下的展示情况:   不好意思,公司系统,我还是不要全贴出来了。...
springboot 实现登录拦截和权限拦截
FA的博客
06-18 1038
springboot 实现登录拦截和权限拦截 拦截器的注册器 package lingnan.interceptor; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation
SpringBootShiro整合教程:权限管理实战解析
"该文档是关于《SpringBootShiro整合-权限管理实战》的课堂笔记,涵盖了SpringBoot快速入门,以及如何利用SpringBootShiro实现用户认证和授权的详细教程。此外,还介绍了如何将thymeleaf模板引擎与Shiro权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值