shiro---认识权限控制框架

最新推荐文章于 2022-08-02 06:48:13 发布
最新推荐文章于 2022-08-02 06:48:13 发布
阅读量356 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013193888/article/details/53674168
版权

一.认识shiro

为什么需要权限控制?
  • 我们知道系统中通常具有很多的功能,并不是每一个人登录之后都可以进行访问,我们登录系统之后根据身份不同,系统分给登陆者不同的访问权限,这其实就是权限控制

权限控制中的两个概念:

  • 认证:认证就是系统提供识别我们身份的功能,告诉系统我们是谁?
  • 授权:授权其实是系统根据我们是谁分配相应的访问权力,告诉我们,我们能干什么?
shiro是Apache提供的一个安全框架,主的功能是对权限的管理,通常对权限的控制有以下几个方案:
  • URL拦截:是通过对访问路径的拦截,而进行对权限的控制
  • 注解方式:注解方式是通过生成Action的代理对象,然后当访问Action的时候判断是否有方法注解,进一步进行权限控制
  • 页面标签:通过标签的方式对系统的菜单或者按钮进行隐藏达到权限控制

权限控制模型:


shiro框架的下载:

  1. Shiro.apache.org进行下载
  2. 下载shiro-all-xxx的jiar包导入

Shiro框架运行原理


  1. AppicationCode使我们的应用程序,由程序员维护
  2. Subject当表当前的登录用户
  3. SecurityManager是shiro的安全管理器,管理用户的认证和授权
  4. Realm:安全数据桥,与DAO进行交互

二.在项目中使用shiro框架:

第一步:将shiro的jar包导入到项目中

第二步:在web.xml中配置一个过滤器对象,在项目启动时到spring工厂中加载一个和当前过滤器name同名的bean对象

<!-- 配置Shiro框架的过滤器 -->
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

第三步:在spring配置文件中配置一个名称为shiroFilter的bean 
	<!-- 配置shiro的Bean -->
	<bean name="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- 配置安全管理器 -->
		<property name="securityManager" ref="securityManager"></property>
		<!-- 配置登录页面url -->
		<property name="loginUrl" value="/login.jsp"></property>
		<!-- 配置认证成功后的首页 -->
		<property name="successUrl" value="/index.jsp"></property>
		<!-- 配置权限认证失败的页面 -->
		<property name="unauthorizedUrl" value="unauthorized.jsp"></property>
		<!-- 配置url的拦截 -->
		<property name="filterChainDefinitions">
			<value>
				/css/** = anon
				/images/** = anon
				/js/** = anon
				/validatecode.jsp* = anon
				/login.jsp = anon
				/userAction_login = anon
				/** = authc
			</value>
		</property>
	</bean>
    <!-- 配置安全管理器 -->
    <bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"></property>
        <property name="cacheManager" ref="cacheManager"></property>
    </bean>

第四步:修改UserAction的login登录访问,使用shiro框架提供的方式进行认证操作 

	/**
	 * 用户登录功能
	 * 
	 * @return
	 */
	public String login() {
		
		//获取session中的对象
		User hasLogin = (User) ActionContext.getContext().getSession().get("existUser");
		if(hasLogin != null) {
			//如果已经登录,则直接返回首页
			return "index";
		} else {
			//获取session中的验证码
			String validateCode = (String) ActionContext.getContext().getSession().get("key");
			
			if(StringUtils.isBlank(checkcode) || !checkcode.equals(validateCode)) {
				
				//如果验证码错误
				this.addActionError(this.getText("validateCodeErr"));
				return "login";
			} else {
				//验证码正确的时候交给shiro框架进行认证
				String username = model.getUsername();
				String password = model.getPassword();
				password = MD5Utils.md5(password);
				
				//shiro获取当前用户
				Subject subject = SecurityUtils.getSubject();
				AuthenticationToken token = new UsernamePasswordToken(username,password);
				try {
					subject.login(token);
					User existUser = (User) subject.getPrincipal();
					//登录成功
					ActionContext.getContext().getSession().put("existUser", existUser);
				} catch (UnknownAccountException e) {
					e.printStackTrace();
					this.addActionError("用户名不存在");
					return "login";
				} catch (Exception e) {
					e.printStackTrace();
					this.addActionError("用户名或者密码错误");
					return "login";
				}
				return "index";
			}
		}
	}
第五步:自定义一个Realm,进行认证和授权操作 
/**
 * BOSRealm
 * 
 * @author YUAN.PAN
 * @version 1.0 2016-12-12 20:25:55
 */
public class BOSRealm extends AuthorizingRealm{

	/** 注入UserDao */
	@Resource
	private IUserDao userDaoImpl;
	
	/** 注入权限Dao */
	@Resource
	private IFunctionDao functionDaoImpl;
	
	/**
	 * 授权方法
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
		
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		
		//获取当前的登录用户进行授权
		User user = (User) principal.getPrimaryPrincipal();
		List<Function> list = null;
		
		if(user.getUsername().equals("admin")) {
			list = functionDaoImpl.findAll();
		} else {
			list = functionDaoImpl.findByUserId(user.getId());
		}
		
		//添加权限
		for (Function fun : list) {
			info.addStringPermission(fun.getCode());
		}
		return info;
	}

	/**
	 * 认证方法
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		
		//将token进行转换
		UsernamePasswordToken upToken = (UsernamePasswordToken)token;
		String username = upToken.getUsername();
		char[] password = upToken.getPassword();
		
		//根据用户名查询User对象
		User user = userDaoImpl.findUserByUsername(username);
		
		if(user == null) {
			return null;
		} else {
			SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(),this.getClass().getName());
			return info;
		}
	}

}
第六步:在spring配置文件中注册上面的realm,并注入给安全管理器 
    <!-- Realm -->
    <bean name="bosRealm" class="cn.itcast.bos.shiro.BOSRealm"></bean>

三.使用Ehcache缓存权限数据

第一步:将EHcache的jar包复制到项目中

第二步在项目类路径下提供Ehcache的配置文件,可以从jar包中获得


第三步:在Spring中配置缓存管理器注入给安全管理器即可

    <!-- 配置安全管理器 -->
    <bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"></property>
        <!-- 缓存管理器 -->
        <property name="cacheManager" ref="cacheManager"></property>
    </bean>
    
    <!-- 配置缓存管理器 -->
    <bean name="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
    </bean>


者薄
关注
专栏目录
springboot+shiro实现动态菜单管理(实测+源码)
雾林小妖的博客
04-11 712
springboot+mybatis+shiroRBAC权限模型,创建角色表和权限表,实现不同用户登录显示不同的菜单shiro实现动态菜单
[ vulhub漏洞复现篇 ] Apache Shiro 认证绕过漏洞(CVE-2020-1957)
qq_51577576的博客
08-17 1090
👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!...
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
SpringBoot+Shiro配置数据库实现后台管理页面根据角色权限动态生成菜单
bsegebr的博客
03-28 2255
目录 前言 配置数据库动态生成菜单栏 实现步骤 数据库表 后台实现 shiro配置 总结 参考表数据 测试页面效果 前言 SpringBoot+Shiro做后台管理项目配置权限时,普遍的做法是通过配置shiro标签在html页面里面,来判断当前用户是否拥有该权限,来确认是否展示当前菜单shiro标签类似如下: <!--验证当前用户是否拥有指定权限。 --> <a shiro:hasPermission="user:add" href="#" >add用
Shiro实战之权限控制
Dannie的博客
12-25 386
本文背景:利用shiro实现对系统的权限控制(所见即所得),即未授权的菜单或按钮不可见。 1、shiro配置(spring-shiro.xml): <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://...
Shiro框架-史上详解
qq_46416934的博客
08-02 577
权限管理概述某个拥有什么,被允许做什么事情()用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)
Spring Boot和Shiro教程-基于URL的权限控制
# 1. Spring Boot和Shiro简介 ## 1.1 Spring Boot和Shiro概述 ...## 1.2 为什么选择Spring Boot和Shiro进行权限控制 Spring Boot是一个基于Spring框架的快速开发框架,它提供了一种简单、易于使
这个只是Shiro框架的初次认识
08-01
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在这个初次认识Shiro的讲解中,我们将深入探讨Shiro的核心概念、架构以及如何在Java...
登录权限+动态菜单显示
06-02
该资源是本人自己编写的登录权限所有源码,动态显示选项菜单
Shiro权限控制
一个死宅的不屈
06-27 2586
shiro权限验证框架
Shiro权限控制 BootstrapTable行内 按钮可见性
七点十七
03-28 516
参考地址: Shiro方案: https://blog.csdn.net/lianjie_c/article/details/100150311 JS相关: https://blog.csdn.net/linghunyoushou/article/details/101779030 https://www.runoob.com/js/js-void.html https://blog.csdn.net/william_n/article/details/89495358 Css相关: ..
shiro控制bootstraptable行内按钮可见性
qq_42946963的博客
08-11 1万+
<!--shiro控制bootstraptable行内按钮可见性 --> <div> <script type="text/javascript"> var s_edit_h = 'hidden'; var s_remove_h = 'hidden'; var s_resetPwd_h = 'hidden'; </script> </d
springmvc+mybatis+shiro简单权限菜单管理实例
plg17的专栏
01-28 1万+
本文介绍一个简单的权限管理系统,采用springmvc+mybatis+shiro+MySQL,前端主要是用了JSP+jquery框架。springMVC、shiro、mybatis这些,外面的资料很多,这里就不解释了。项目提供源码,可以运行。 ----------------------------------------------------------- 数据库设计 om_use
Shiro_项目_权限判断&菜单配置
Java_pipixia的博客
08-09 2280
文章目录1 权限判断1.1 获取到所有的权限进行判断1.2 重写权限拦截器1.3 applicationContext-shiro.xml配置自定义拦截器1.4 MyRealm 进行权限判断2 菜单操作2.1 设计domain层2.1.1 配置menu类2.1.2 配置Permission类2.2 完成菜单显示功能2.2.1 MenuRepository类2.2.2 MenuServiceImpl...
最简洁的权限菜单控制
weixin_30597269的博客
12-09 629
  生活中常见的管理系统中,都会有权限控制,让不同类型的用户看到不同的菜单。其实,类似于uasyui这样的前端框架,是有提供成熟的解决方案的,但是不够灵活。在某一次的开发过程中,楼主终于忍受不了了,决定自己写。其逻辑并不复杂,直接上代码。 1.先看一下效果图,有父级菜单,有子级菜单。数据库需要5个表。user表,role表,menu表,role_menu表,user_role表 下面贴出最简...
shiro框架---关于项目按钮权限控制的配置要点
凌大大的博客
02-22 9546
shiro框架里按钮的权限控制 上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(六)   通过前几篇的文章里,写了关于数据库建表、shiro框架在springboot中的配置步骤、以及登录时的shiro验证的接口。   因为对于功能中系统 、模块 、菜单 的类型,都统一根据条件sql查询返回给前端,由前端控制起来,而剩下的操作 类型,也就是按钮,是通过shiro的标签来维护的...
Java私塾《深入浅出学Shiro》-权限管理精品教程
"深入浅出学Shiro - Java私塾的Shiro教程,涵盖Shiro的...通过本教程,开发者不仅可以掌握Apache Shiro的核心功能,还能了解如何在实际项目中有效地运用Shiro进行权限管理和安全控制,从而提升应用的安全性和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值