spring boot 、mybatis-plus、shiro整合入门教程(三)——shiro使用

最新推荐文章于 2022-09-14 22:12:32 发布
最新推荐文章于 2022-09-14 22:12:32 发布
阅读量1.2k 收藏 4
点赞数 1
文章标签: spring boot mybatis-plus shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011915230/article/details/90582098
版权

接续上一篇,spring boot 、mybatis-plus、shiro整合入门教程(二)——mybatis-plus常用操作

这篇主要介绍下shiro在项目中是如何使用的,
前期的主要工作是数据库表的设计,上篇文章已经给出表的设计,详细的数据库初始化sql,可以参考代码库的sql,
简单说下登录原理,用户每次登录的时候生成token,同时根据用户id更新数据库中的token有效时间和token值,用户下次登录的时候会去校验token的有效时间,不在有效期内会返回登录页重新登录刷新。
登录的代码和shiro整合的相关代码:

/**
     * 登录
     * @param username
     * @param password
     * @param captcha
     * @param randomStr
     * @return
     */
    @RequestMapping (value="/login", method = RequestMethod.POST)
    public Map<String, Object> login(String username, String password,String captcha, String randomStr) {
        String value = (String)redisTemplate.opsForValue().get(Constants.NUMBER_CODE_KEY + randomStr);
        if (StringUtils.isBlank(value)) {
            return WebResult.error("验证码过期");
        }
        if (!captcha.equals(value)) {
            return WebResult.error("验证码不正确");
        }
        SysUser sysUser = sysUserService.getOne(username);
        if(sysUser == null || !sysUser.getPassword().equals(new Sha256Hash(password, sysUser.getSalt()).toHex())) {
            return WebResult.error("账号或密码不正确");
        }
        if(sysUser.getStatus() == 0){
            return WebResult.error("账号已被锁定,请联系管理员");
        }
        //生成token 保存到数据库  可优化为存储到redis和数据库
        return sysUserTokenService.createToken(sysUser.getUserId());
    }
/**
     * 生成token
     * @param userId
     * @return
     */


    public WebResult createToken(long userId) {
        String token = TokenGenerator.generateValue();
        //当前时间
        LocalDateTime now = LocalDateTime.now();
        //过期时间
        LocalDateTime expireTime = now.plusHours(Constants.EXPIRE);
        //判断是否生成token
        SysUserToken sysUserToken = sysUserTokenMapper.selectById(userId);
        if(sysUserToken == null){
            sysUserToken = new SysUserToken();
            sysUserToken.setUserId(userId);
            sysUserToken.setToken(token);
            sysUserToken.setUpdateTime(now);
            sysUserToken.setExpireTime(expireTime);
            baseMapper.insert(sysUserToken);
        }else{
            sysUserToken.setToken(token);
            sysUserToken.setUpdateTime(now);
            sysUserToken.setExpireTime(expireTime);
            sysUserTokenMapper.updateById(sysUserToken);
        }
        return new WebResult().put("token", token).put("expire", expireTime);
    }

项目中使用shiro需要继承AuthenticatingFilter和AuthorizingRealm,代码如下:

/**
 * @author liuyi
 * @date 2019/5/15
 *
 * oauth 过滤器
 */

@Slf4j
public class OAuthFilter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        String token = getRequestToken((HttpServletRequest) request);

        if(StringUtils.isBlank(token)){
            return null;
        }

        return new OAuthToken(token);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (request instanceof HttpServletRequest) {
            if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {
                return true;
            }
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if(StringUtils.isBlank(token)){
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            String json = JSON.toJSONString(WebResult.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"));
            httpResponse.getWriter().print(json);

            return false;
        }
        return executeLogin(request, response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException ep, ServletRequest request, ServletResponse response) {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        try {
            //处理登录失败的异常
            Throwable throwable = ep.getCause() == null ? ep : ep.getCause();
            WebResult result = WebResult.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());
            String json = JSON.toJSONString(result);
            httpResponse.getWriter().print(json);
        } catch (IOException e) {
            log.error("OAuthFilter 异常", e);
        }
        return false;
    }

    /**
     * 获取请求的token
     * @param httpRequest
     * @return
     */
    private String getRequestToken(HttpServletRequest httpRequest){
        //从header中获取token
        String token = httpRequest.getHeader("token");
        //如果header中不存在token,则从参数中获取token
        if(StringUtils.isBlank(token)){
            token = httpRequest.getParameter("token");
        }
        return token;
    }
}

@Component
public class OAuthRealm extends AuthorizingRealm {

    @Resource
    private ShiroServiceImpl shiroService;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof OAuthToken;
    }

    /**
     * 授权(验证权限时调用)
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUser user = (SysUser)principals.getPrimaryPrincipal();
        Long userId = user.getUserId();
        //用户权限列表
        Set<String> permsSet = shiroService.getUserPermissions(userId);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken = (String) token.getPrincipal();
        //根据accessToken,查询用户信息
        SysUserToken tokenEntity = shiroService.queryByToken(accessToken);
        //token失效
        if(tokenEntity == null || tokenEntity.getExpireTime().toInstant(ZoneOffset.of("+8")).toEpochMilli() < System.currentTimeMillis()){
            throw new IncorrectCredentialsException("token失效,请重新登录");
        }
        //查询用户信息
        SysUser user = shiroService.queryUser(tokenEntity.getUserId());
        //账号锁定
        if(user.getStatus() == 0){
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, accessToken, getName());
        return info;
    }
}

public class OAuthToken implements AuthenticationToken {

    private String token;

    public OAuthToken(String token) {
        this.token = token;
    }

    @Override
    public String getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

/**
 * @author liuyi
 * @date 2019/5/15
 */

@Configuration
public class ShiroConfig {

    /**
     * 权限过滤器
     * @param securityManager
     * @return
     */
    @Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        shiroFilter.setLoginUrl("/sys/unauthorized");
        shiroFilter.setUnauthorizedUrl("/sys/unauthorized");
        //oauth过滤
        Map<String, Filter> filters = new HashMap<>();
        filters.put("oauth", new OAuthFilter());
        shiroFilter.setFilters(filters);
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/actuator/**", "anon");
        //APP 模块开放 后面通过拦截器管理
        filterMap.put("/app/**", "anon");
        //用户密码登录
        filterMap.put("/sys/login", "anon");
        //未认证
        filterMap.put("/sys/unauthorized", "anon");
        //验证码
        filterMap.put("/sys/captcha/**", "anon");
        filterMap.put("/v2/**", "anon");
        filterMap.put("/", "anon");
        filterMap.put("/**", "oauth");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

    /**
     * 配置安全事务管理器
     * @param authRealm
     * @param sessionManager
     * @return
     */
    @Bean("securityManager")
    public SecurityManager securityManager(OAuthRealm authRealm, SessionManager sessionManager) {
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(authRealm);
        manager.setSessionManager(sessionManager);
        return manager;
    }

    /**
     * session管理
     * @return
     */
    @Bean("sessionManager")
    public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdCookieEnabled(true);
        return sessionManager;
    }



    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator creator=new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

/**
 * @author liuyi
 * @date 2019/5/15
 */

@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean shiroFilterRegistration() {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(new DelegatingFilterProxy("shiroFilter"));
        registrationBean.addInitParameter("targetFilterLifecycle", "true");
        registrationBean.setEnabled(true);
        registrationBean.setOrder(Integer.MAX_VALUE - 1);
        registrationBean.addUrlPatterns("/*");
        return registrationBean;
    }

    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());
        registration.addUrlPatterns("/*");
        registration.setName("xssFilter");
        registration.setOrder(Integer.MAX_VALUE);
        return registration;
    }
}

代码地址
下一篇

我是索隆
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+Mybatis-plus+shiro
xin_xin_jie的博客
04-08 432
首先创建springboot项目,引入相关依赖 一、引入依赖(pox.xml) <dependencies> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.21&
springboot整合shiro+mybatis-plus
weixin_45967375的博客
04-27 712
文章目录Shiro框架简介环境搭建springboot+shiro+mybatis-plus+thymeleaf1.创建Spring Boot项目,集成Shiro及相关组件2.准备一个sql表3.配置yml4.创建表的实体类5.创建mybatis-plus的basemapper接口6.创建UserService接口实现7.创建UserServiceImpl业务逻辑8.编写自定义Realm认证授权9.编写Shiro的配置类10.编写controller控制器11.编写controller对应的界面html12
SpringBoot+Mybatis+Mybatis Plus+Shiro实现一个简单的项目架构
08-07
此项目是一个SpringBoot中集成了Mybatis+Mybatis Plus+Shiro实现登录和权限验证的示例,代码完整下载后可以直接运行
springboot+mybatis+shiro
11-19
该项目使用maven模块架构,springboot集成了mybatisshiro,因为时间端,目前只达到了该结构,该项目引用了公司jar,里面全部是工具类,
springboot + shiro + mybatis-plus + beetl后台管理系统
01-30
springboot + shiro + mybatis-plus + beetl后台管理系统
Spring boot整合Mybatis Redis Shiro
技术随笔
12-29 1494
1.配置Pom.xml org.springframework.boot spring-boot-starter-web org.mybatis.spring.boot mybatis-spring-boot-starter 1.1.1 mysql mysql-connector-java com.alib
mybatisplus-spring-boot_mybatis-plus整合_shiro_plus_
09-29
在IT行业中,MyBatis-PlusSpring BootShiro都是极为重要的框架,它们分别用于数据库操作、微服务开发和权限管理。以下是对这些技术及其整合应用的详细说明MyBatis-Plus(简称MP)是MyBatis的增强工具,它在...
采用SpringBoot2.0、MyBatis-PlusShiro框架,开发的一套权限系统.zip
05-03
采用SpringBoot2.0、MyBatis-PlusShiro框架,开发的一套权限系统 采用SpringBoot2.0、MyBatis-PlusShiro框架,开发的一套权限系统 采用SpringBoot2.0、MyBatis-PlusShiro框架,开发的一套权限系统 采用...
基于Spring Boot + MyBatis-Plus + Shiro + MySQL 基于Java的学生考勤系统
最新发布
01-30
1、资源内容:毕业设计&课设&实战演练--基于Spring Boot + MyBatis-Plus + Shiro + MySQL 基于Java的学生考勤系统 2、适用人群:计算机,电子信息工程、数学等专业的学习者,作为python参考资料学习借鉴使用。 3、本...
毕业设计《基于Java的学生考勤系统》基于Spring Boot + MyBatis-Plus + Shiro + MySQL
05-21
毕业设计《基于Java的学生考勤系统》基于Spring Boot + MyBatis-Plus + Shiro + MySQL 学生考勤系统 简介: 毕设:《基于Java的学生考勤系统》 开发环境 SpringBoot MyBatis-Plus MySQL 8.0 Maven Shiro 说明...
基于Spring Boot完美整合springmvc + shiro + mybatis-plus + beetl(开源guns )
10-21
基于Spring Boot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl,用户管理 2.角色管理 3.部门管理 4.菜单管理 5.字典管理 6.业务日志 7.登录日志 8.监控管理 9.通知管理 10.代码生成
基于 SpringbootShiroMybatis、Thymeleaf 做的后台管理系统(也有传统MVC版本,都在ZIP里)
08-10
基于 SpringbootShiroMybatis、Thymeleaf 做的后台管理系统,简单粗暴
基于springBoot+mybatis+shiro后台管理系统
09-02
基于springBoot+mybatis+shiro+thymeleaf 模板引擎 实现的后台管理系统,可以在当前系统的基础上进行二次开发
springbootshiromybatis整合项目
03-15
此资源是springbootshiromybatis整合项目,里面有数据库文件,希望能帮助到大家
spring boot+mybatis+shiro+spring security权限管理视频(网盘地址)
01-07
springMVC+Mybatis+shiro+spring security框架视频教程
springboot-mybatis-mybatis-plus-mysql-redis-liquibase-shiro-jwt-swagger-:springboot 框架搭建(mybatis+mybatis-plus+mysql+redis+liquibase+shiro+jwt+swagger)
05-14
springboot+redis+mybatis+mybatis-plus+lombok+liquibase+shiro+jwt+swagger) 1.mybatis-plus: 几乎实现涵盖了所有的单表操作和分页操作 2.liquibase: 数据库迁移工具:初始化表和初始化数据,修改表字段和修改...
springboot+shiro+mybatis实现角色权限控制
热门推荐
牧竹子
05-11 3万+
背景spring+spirngmvc+shiro整合已经有很多了,之前的项目中也用过,但是最近想在springboot使用shiro这样,其他项目需要的时候只需要把它依赖进来就可以直接使用,至于shiro的原理其他的blog都有很多介绍。这里只讲几个重点在项目中注意的地方。 shiro官网 http://shiro.apache.org/shiro配置中重要的几个文件其实最重要的就是shir
springboot-mybatisplus集成Shiro
weixin_42549400的博客
09-14 425
​ Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。 ​
springboot+mybatis+shiro搭建教程(附数据表结构)
qq_22899047的博客
09-02 924
翻了下,网上的带持久化结构的教程都没用mybatis的版本,也很少有带数据表结构的,就自己动手写了这么一个教程,接下来废话不多说,上干货 项目结构 首先,把数据表准备好 user(用户表) userId 用户id userName 用户名 password 用户密码 ...
Spring BootShiro动态加载权限全解析及实战
- 引入ShiroSpring集成模块(shiro-spring version 1.4.0)和Redis支持(shiro-redis version 3.1.0),以及Spring Boot的AOP(Aspect Oriented Programming)依赖,这对于权限拦截和系统日志记录至关重要。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值