【Spring-boot】shiro权限控制

最新推荐文章于 2022-03-22 19:57:49 发布
最新推荐文章于 2022-03-22 19:57:49 发布
阅读量151 收藏
点赞数
分类专栏: Java spring-boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012661496/article/details/86006126
版权

  1. 缓存使用redis,自定义ShiroRedisCache、ShiroRedisCacheManager用于存储用户缓存信息

  2. 自定义MyShiroToken继承自AuthenticationToken。用于用户名密码载体进行认证

public class MyShiroToken implements AuthenticationToken {

    private AdminUser adminUser;

    public MyShiroToken(AdminUser adminUser) {
        this.adminUser = adminUser;
    }

    @Override
    public Object getPrincipal() {
        return adminUser.getAccount();
    }

    @Override
    public Object getCredentials() {
        return adminUser.getPswd();
    }
}
  1. MyShiroRealm用户用户登录验证,及权限校验
public class MyShiroRealm extends AuthorizingRealm {
	
	/**
	* 用以支持自定义token
	*/
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof MyShiroToken;
    }

    /**
     * 获取用户权限信息
     *
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //加载用户角色权限信息
        authorizationInfo.addRole(adminRole.getName());
        authorizationInfo.addStringPermission(perm);
       
        return authorizationInfo;
    }

    /**
     * 验证用户登录信息
     *
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        MyShiroToken adminUserToken = (MyShiroToken) token;
        //查询用户信息
        AdminUser adminUser;
        if (null == adminUser) {
            throw new CommonException("用户不存在");
        } 
        return new SimpleAuthenticationInfo(adminUserToken.getPrincipal(), adminUserToken.getCredentials(), getName());
            }
        }
    }
}
  1. 自定义登录、权限filter。用户返回json错误信息
  2. shiro配置信息
public class ShiroConfig {
  
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, Filter> filterMap = Maps.newHashMap();
        filterMap.put("myShiroLoginFilter", new MyShiroLoginFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        //拦截器
        Map<String, String> filterChainDefinitionMap = Maps.newHashMap();
        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问
        // roles[管理员]
        //
        // -->
        filterChainDefinitionMap.put("/login", "anon");
        //加载系统权限
        loadPermsUrl(filterChainDefinitionMap);

       shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public MyShiroRealm myShiroRealm() {
        return new MyShiroRealm();
    }

    /**
     * 生成DefaultWebSecurityManager bean,并设置我们自定义的Realm
     *
     * @return
     */
    @Bean
    public DefaultWebSecurityManager securityManager(RedisTemplate<Object, Object> template) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 配置 rememberMeCookie 查看源码可以知道,这里的rememberMeManager就仅仅是一个赋值,所以先执行
        securityManager.setRememberMeManager(rememberMeManager());
        // 配置 缓存管理类 cacheManager,这个cacheManager必须要在前面执行,因为setRealm 和 setSessionManage都有方法初始化了cachemanager,看下源码就知道了
        securityManager.setCacheManager(cacheManager(template));
        securityManager.setRealm(myShiroRealm());
        // 配置 sessionManager
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * cookie管理对象
     *
     * @return CookieRememberMeManager
     */
    private CookieRememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        // rememberMe cookie 加密的密钥
        cookieRememberMeManager.setCipherKey(Base64.decode("test"));
        return cookieRememberMeManager;
    }

    /**
     * rememberMe cookie 效果是重开浏览器后无需重新登录
     *
     * @return SimpleCookie
     */
    private SimpleCookie rememberMeCookie() {
        // 这里的Cookie的默认名称是 CookieRememberMeManager.DEFAULT_REMEMBER_ME_COOKIE_NAME
        SimpleCookie cookie = new SimpleCookie(CookieRememberMeManager.DEFAULT_REMEMBER_ME_COOKIE_NAME);
        // 是否只在https情况下传输
        cookie.setSecure(false);
        // 设置 cookie 的过期时间,单位为秒,这里为一天
        cookie.setMaxAge(24 * 3600);
        return cookie;
    }

    /**
     * session 管理对象
     *
     * @return DefaultWebSessionManager
     */
    private DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        // 设置session超时时间,单位为毫秒
        sessionManager.setGlobalSessionTimeout(30 * 60 * 1000);
        sessionManager.setSessionIdCookie(new SimpleCookie("session-id"));
        // 网上各种说要自定义sessionDAO 其实完全不必要,shiro自己就自定义了一个,可以直接使用,还有其他的DAO,自行查看源码即可
        sessionManager.setSessionDAO(new EnterpriseCacheSessionDAO());
        return sessionManager;
    }

    private ShiroRedisCacheManager cacheManager(RedisTemplate template) {
        return new ShiroRedisCacheManager(template);
    }
}

参考:
1,https://shiro.apache.org/spring-boot.html
2,https://segmentfault.com/a/1190000013875092
3,https://pushy.site/2018/11/21/spring-shiro/
4,https://blog.csdn.net/u013615903/article/details/78781166
5,https://www.cnblogs.com/yfzhou/p/9813177.html

zhzhsxx
关注
专栏目录
shiro 异常处理
qq_25635139的博客
12-03 1257
UnknownAccountException (用户名错误或者不存在) IncorrectCredentialsException(密码不正确) AuthenticationException 异常是Shiro在登录认证过程中,认证失败需要抛出的异常。 AuthenticationException包含以下子类: CredentitalsException 凭证异常 IncorrentC...
shiro登陆失败提示_shiro登录认证常见的异常解析
weixin_39916520的博客
12-22 1414
场景:使用shiro安全框架做用户登录认证是,在认证的过程中可能会抛出一系列的异常,这时候我们该如何准确的捕获所遇到的异常呢?首先我们得先认识什么是ShiroException、AuthenticationException:先看看异常之间的继承关系图: 用户登录/*** 用户登录** @param email 邮箱* @param password 密码* @return*/@Respon...
Spring Boot Shiro权限管理4
weixin_30367873的博客
12-26 72
原文地址:https://412887952-qq-com.iteye.com/blog/2299784 (6). Shiro记住密码 记住密码实现起来也是比较简单的,主要看下是如何实现的。 在com.kfit.config.shiro.ShiroConfiguration加入两个方法: /** * cookie对象; *@return ...
Apache shiro集群实现 (三)shiro身份认证(Shiro Authentication)
热门推荐
04-23 3万+
一、术语介绍 Authentication:身份认证,即用户提供一些信息来证明自己的身份。如用户名和密码,licence等。 Principals :主体的“标识属性”,可以是任意标识,例如用户名,身份证号码,手机号码等。Principals 可以有多个,但是必须有一个主要的Principal(Primary Principal),这个标识,必须是唯一的。 Credentials:凭据,即
SSM + Shiro 整合 (5)- 自定义过滤器及权限解析器、介绍权限匹配流程
李威威的博客
09-25 1万+
关于 Shiro权限匹配器和过滤器上一节,我们实现了自定义的 Realm,方式是继承 AuthorizingRealm 这个抽象类,分别实现认证的方法和授权的方法。这一节实现的代码的执行顺序 1、过滤器,在过滤器中执行 Subject 对象的判断是否具有某项权限的方法 isPermitted() 传入某一个跟当前登录对象相关的特征(这里是登录对象正在访问的 url 连接) 2、程序到自定义
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
spring-boot-shiro-demo
04-22
总的来说,"spring-boot-shiro-demo"项目展示了如何在Spring Boot环境中利用Shiro实现动态权限管理、Session共享和单点登录,这些都是企业级应用中必备的安全特性。通过深入研究和实践这个项目,开发者可以更好地...
Spring-Boot-Shiro-Vue
05-10
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,...
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,...
html界面实现shiro前端界面权限
fusugongzi的博客
07-17 1万+
一.背景 由于项目所采用的框架是spring boot,对于jsp不支持,不能采用引入外部taglib的方式对前端界面进行权限控制,只能采用html作为前端界面。前端界面的div根据登陆用户的角色决定是否显示。 二.实现 首先设置前端的div为隐藏模式 id="toolbar" style="display: none;"> 设置一个随页面加载执行的函数,函数名称为
shiro实战系列(十五)之Spring集成Shiro
weixin_33856370的博客
06-21 87
Shiro 的 JavaBean 兼容性使得它非常适合通过 Spring XML 或其他基于 Spring 的配置机制。Shiro 应用程序需要一个具 有单例 SecurityManager 实例的应用程序。请注意,这不会是一个静态的单例,但应该只有一个应用程序能够使用 的实例,无论它是否是静态单例的。 Web Applications Shir...
采用shiro实现方法授权(三)
可能没带脑子,所以要记下来
12-14 262
6.一般操作都有对数据的增删改查,这次就介绍利用shiro控制管理员是否有操作权限   上一篇写到 MyRealm 通过继承AuthorizingRealm的方式实现,数据的验证,这篇重写方法 doGetAuthorizationInfo,实现对管理员权限设置shiro的xml文件里配置需要拦截的路径,并定义标识符deleted,即在java文件里需要设置权限的标识符(添加删除权限del...
Shiro
Little___Turtle的博客
03-22 483
shiro简单配置
(39.2). Spring Boot Shiro权限管理【从零开始学Spring Boot】
weixin_33958585的博客
05-21 117
(本节提供源代码,在最下面可以下载) (4). 集成Shiro 进行用户授权 在看此小节前,您可能需要先看: http://412887952-qq-com.iteye.com/blog/2299732 64.JPA命名策略【从零开始学Spring Boot】 紧着上一小节,在上一节我们编写了简单的一个小程序,但是我们会发现我们随便访问index,login...
springboot下使用shiro自定义filter的个人经验
BHSZZY的博客
12-28 8933
在springboot中使用shiro,由于没有了xml配置文件,因此使用的方法与spring中有些区别。在踩了无数个坑后,在此将springboot下使用shiro的步骤总结如下。由于本人对shiro的了解不是很深入,在实现了工作需求后就没有继续研究了,因此可能存在遗漏的地方或有错误的地方,还请多包涵。   目标: 在springboot中使用shiro 1.实现用户的登录验证 2.对...
Shiro:org.apache.shiro.authc.AuthenticationException
Sunny
10-06 2万+
org.apache.shiro.authc.AuthenticationException: Authentication failed for token submission [org.apache.shiro.authc.UsernamePasswordToken - starzou, rememberMe=false]. Possible unexpected error? (Ty
Spring-bootShiro整合实现JWT身份验证详解
-- Shiro权限管理 --> <groupId>org.apache.shiro <artifactId>shiro-spring ${shiro.version} <groupId>org.apache.shiro <artifactId>shiro-core ${shiro.version} <!-- JWT --> <groupId>io....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值