Shiro 项目开发中第一次使用到,所以研究了一下,这里

最新推荐文章于 2022-08-24 03:15:24 发布
最新推荐文章于 2022-08-24 03:15:24 发布
阅读量1.6k 收藏 7
点赞数
分类专栏: 权限安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013417809/article/details/77989015
版权

项目使用的是Maven 

首先要在pom.xml中引入shiro依赖

<!-- shiro 权限 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>${shiro.version}</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-aspectj</artifactId>
    <version>${shiro.version}</version>
</dependency>

然后,在spring-mvc.xml 文件中配置 整合

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><!-- shiro 开启事务注解 -->
    <property name="securityManager" ref="securityManager"></property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><!-- shiro 安全管理器 -->
    <property name="realm" ref="loginRealm"></property>
</bean>
<bean id="loginRealm" class="com.yxb.user.controller.LoginRealm"></bean><!-- 自定义 loginRealm    处理登陆具体业务dai-->
<!-- shiro 工厂bean配置 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"></property><!-- shiro的核心安全接口 -->
    <property name="loginUrl" value="/common/login"></property><!-- 要求登录时的连接 -->
    <!-- <property name="successUrl" value="/" ></property> --><!-- 登录成功后要跳转的连接(此处已经在登录中处理了) -->
    <property name="unauthorizedUrl" value="/common/unauth"></property><!-- 未认证时要跳转的连接 -->
    <!-- shiro连接约束配置 -->
    <property name="filterChainDefinitions">
        <value>
            /index.jsp=anon
            /unauth.jsp=anon
            /user/login=anon
            /static/**=anon
            /robots.txt=anon
            /**=authc
        </value>
    </property>
</bean>


自定义Loginrealm类,该类必须继承AuthorizingRealm类做爸爸,重写两个方法,一个是认证另一个授权

package com.yxb.user.controller;

import com.yxb.user.domain.AdminUser;
import com.yxb.user.service.UserService;
import com.yxb.utils.log.UUIDUtil;
import com.yxb.utils.shiro.TokenManager;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Set;

/**
 * 定义权限管理器
 */
public class LoginRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    // 定义logger
    Logger logger = LoggerFactory.getLogger("auth");

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String uid = UUIDUtil.getOnlyOneCode();
        Long userId = TokenManager.getUserId();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        logger.info("[用户授权](业务码:{}) : 用户 {} ,正在授权操作...", uid, TokenManager.getNickname());
        //根据用户ID查询角色(role),放入到Authorization里。
        Set<String> roles = userService.selectAdminRoles(userId);
        info.setRoles(roles);
        logger.info("[用户授权](业务码:{}) : 用户 {} ,授予:{} 角色成功!", uid, TokenManager.getNickname(), roles.toString());
        //根据用户ID查询权限(permission),放入到Authorization里。
        Set<String> permissions = userService.selectAdminPermissions(userId);
        logger.info("[用户授权](业务码:{}) : 用户 {} ,授予:{} 权限成功!", uid, TokenManager.getNickname(), permissions.toString());
        info.setStringPermissions(permissions);
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String uid = UUIDUtil.getOnlyOneCode();
        // 1. 转化成用户名密码令牌
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // 2. 判断用户名密码的可用性
        String userName = token.getUsername();
        logger.info("[登录认证](业务码:{}) : 用户 {} ,正在登录验证...", uid, userName);
        if (userName != null && !"".equals(userName)) {
            // 3. 判断用户名密码的正确行
            AdminUser adminUser = userService.loginForWeb(token.getUsername(), String.valueOf(token.getPassword()));
            if (adminUser == null) {
                logger.info("[登录认证](业务码:{}) : 用户 {} ,发生'帐号或密码不正确!'异常,登录失败", uid, userName);
                throw new IncorrectCredentialsException("帐号或密码不正确!");
            } else {
                if (adminUser.getState() == 0) {
                    logger.info("[登录认证](业务码:{}) : 用户 {} ,认证失败: 用户已经禁用", uid, userName);
                    throw new DisabledAccountException("用户已被禁用!");
                }
                logger.info("[登录认证](业务码:{}) : 用户 {} ,认证成功", uid, userName);
                return new SimpleAuthenticationInfo(adminUser, String.valueOf(token.getPassword()), getName());
            }
        } else {
            logger.info("[登录认证](业务码:{}) : 用户 {} ,发生'用户名不可为空!'异常,登录失败", uid, userName);
            throw new IncorrectCredentialsException("用户名不可为空!");
        }
    }


}

登陆方法

/**
 * 用于用户登录
 *
 * @param username
 * @param password
 * @param verifyCode
 * @return 错误信息
 */
@PostMapping("/login")
public String login(HttpServletRequest request, String username, String password, String verifyCode, boolean rememberMe) {
    String msg = "redirect:home/main";
    try {
        AdminUser user = new AdminUser();
        user.setUsername(username);
        user.setPassword(password);
        TokenManager.login(user, rememberMe);
        return msg;
    } catch (IncorrectCredentialsException e) {
        msg = "登录密码错误.";

        return "redirect:/common/login?error=" + URLUtils.URLencoder(msg);
    } catch (ExcessiveAttemptsException e) {
        msg = "登录失败次数过多.";
        return "redirect:/common/login?error=" + URLUtils.URLencoder(msg);
    } catch (LockedAccountException e) {
        msg = "帐号已被锁定.";
        return "redirect:/common/login?error=" + URLUtils.URLencoder(msg);
    } catch (DisabledAccountException e) {
        msg = "帐号已被禁用.";
        return "redirect:/common/login?error=" + URLUtils.URLencoder(msg);
    } catch (ExpiredCredentialsException e) {
        msg = "帐号已过期.";
        return "redirect:/common/login?error=" + URLUtils.URLencoder(msg);
    } catch (UnknownAccountException e) {
        msg = "帐号不存在.";
        return "redirect:/common/login?error=" + URLUtils.URLencoder(msg);
    } catch (UnauthorizedException e) {
        msg = "您没有得到相应的授权!";
        return "redirect:/common/login?error=" + URLUtils.URLencoder(msg);
    }
}

shiro的TokenManager

package com.yxb.utils.shiro;

import com.yxb.user.domain.AdminUser;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.session.Session;

public class TokenManager {

    /**
     * 获取当前登录的用户User对象
     * @return
     */
    public static AdminUser getToken() {
        AdminUser token = (AdminUser) SecurityUtils.getSubject().getPrincipal();
        return token;
    }

    /**
     * 获取当前用户的Session
     *
     * @return
     */
    public static Session getSession() {
        return SecurityUtils.getSubject().getSession();
    }


    /**
     * 把值放入到当前登录用户的Session里
     *
     * @param key
     * @param value
     */
    public static void setVal2Session(Object key, Object value) {
        getSession().setAttribute(key, value);
    }

    /**
     * 从当前登录用户的Session里取值
     *
     * @param key
     * @return
     */
    public static Object getVal2Session(Object key) {
        return getSession().getAttribute(key);
    }

    /**
     * 获取验证码,获取一次后删除
     *
     * @return
     */
    public static String getYZM() {
        String code = (String) getSession().getAttribute("CODE");
        getSession().removeAttribute("CODE");
        return code;
    }

    /**
     * 判断是否登录
     *
     * @return
     */
    public static boolean isLogin() {
        return null != SecurityUtils.getSubject().getPrincipal();
    }

    /**
     * 登录
     *
     * @param user
     * @param rememberMe
     * @return
     */
    public static AdminUser login(AdminUser user, Boolean rememberMe) {
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
        token.setRememberMe(rememberMe);
        SecurityUtils.getSubject().login(token);
        return getToken();
    }

    /**
     * 退出登录
     */
    public static void logout() {
        SecurityUtils.getSubject().logout();
    }


    /**
     * 检查权限
     * @param permissions
     */
    public static void hasPermissions(String ...permissions){
        SecurityUtils.getSubject().checkPermissions(permissions);
    }
}

当用户登录成功之后,shiro安全框架就会将用户的信息存放在session中,你可以通过User user = (User) SecurityUtils.getSubject().getPrincipal();这句代码在任何地方任何时候都能获取当前登录成功的用户信息。

这也是TokenManager 中调用之处

/**
 * 登录
 *
 * @param user
 * @param rememberMe
 * @return
 */
public static AdminUser login(AdminUser user, Boolean rememberMe) {
    UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
    token.setRememberMe(rememberMe);
    SecurityUtils.getSubject().login(token);
    return getToken();
}
/**
 * 获取当前登录的用户User对象
 *
 * @return
 */
public static AdminUser getToken() {
    AdminUser token = (AdminUser) SecurityUtils.getSubject().getPrincipal();
    return token;
}

公子-杰
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Apache_Shiro开发说明文档.docx
03-26
这个开发文档详细介绍了如何在项目集成和使用Shiro,帮助开发者构建安全的系统。 **1. 什么是Shiro?** Apache Shiro 是一个强大且易用的Java安全框架,提供了身份认证、授权、会话管理和加密等功能。它将...
shiro授权 shiro和企业项目整合开发
10-14
在本文,我们将深入探讨 Shiro 的授权机制,以及如何在实际的企业项目与之整合,实现自定义 Realm,缓存管理和验证码与“记住我”功能。 ### 一、Shiro 授权机制 Shiro 的授权(Authorization)主要负责确定...
Shiro 的user过滤器
nana1253431195的博客
08-24 730
大致意思是,首先如果是访问的登录页面,则允许用户访问,如果不是,则从获得当前用户,看用户是否rememberMe了,rememberMe并且在有效期内登录过,则会允许访问其路径,但不会允许访问authc的路径。或者说,某个页面需要登录才能看,但这个页面信息又不太重要,就可已使用这个。rememberMe的原理,是将登录的用户名,以某种加密的方式,存入cookie,名字就叫rememberMe,下次登录就会从cookie里面找,如果有,pricipal就不会为空。看了一天多两天的样子。
shiro认证-SSM
hao_dream_xi的博客
10-13 159
Shiro认证 Pom依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> ...
shiro学习23-shiro提供的filter-UserFilter类
m0_67401134的博客
08-24 569
这个类的javadoc的解释说:这个filter是的判断条件是当前用户必须登录或者是通过之前的登录时的remember me可以获得principalCollection,也就是必须知道用户是谁才可以。否则返回false,即不能通过这个filter。
shiro学习--day2
weixin_47277897的博客
12-09 376
Web项目集成Shiro 1、Web集成原理分析 【1】web集成的配置 还记得吗,以前我们在没有与WEB环境进行集成的时候,为了生成SecurityManager对象,是通过手动读取配置文件生成工厂对象,再通过工厂对象获取到SecurityManager的。就像下面代码展示的那样 /** * @Description 登录方法 */ private Subject shiroLogin(String loginName,String password) { //导入...
在前后端分离项目使用Shiro
qq_42814833的博客
06-21 2972
本文是我在前后端分离项目使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
spring shiro项目
01-02
Spring Shiro项目利用Spring的依赖注入特性,可以方便地在Spring环境使用Shiro。通过配置Spring的Bean,我们可以将Shiro的Realm与数据源连接,实现从数据库获取用户、角色和权限信息。 7. **Shiro配置** 配置...
Spring配置shiro时自定义Realm属性无法使用注解注入的解决办法
08-26
然而,在实际操作,可能会遇到一个问题:当我们在自定义的Realm类使用注解(@Autowired)尝试注入Spring管理的Bean时,这些属性并未被正确注入。本文将详细介绍这个问题的原因及解决方法。 首先,我们需要理解...
shiro框架在项目的应用
11-09
项目应用 Shiro,可以有效地处理用户的身份验证、权限控制以及安全相关的操作,简化了后端开发的安全实现。本文将深入探讨 Shiro 在实际项目的应用,并为 Java 开发者提供入门指导。 1. **身份认证**:Shiro ...
Shiro完整项目
11-24
[Apache Shiro] is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
Shiro——权限验证框架基本认识
武汉小喽啰
03-08 548
1. 简介 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 1)认证(Authentication):用户身份识别,常被称为用户“登录”,判断用户是否登陆,如果未登陆,则拦截其请求 2)授权(Authorization):访问控制。当用户登陆后,判断其身份是否有权限访问相应的资源,如果没有权限则拦截 3)密码加密(Cryptography):保...
权限Shiro框架怎么在项目使用
weixin_42075468的博客
11-05 4194
一、客户关系管理系统项目: 组织机构模块: 员工管理 、 部门管理 、主题设置 权限模块: 菜单管理 、权限管理 、 资源管理 、角色管理 基础数据模块: 数据字典明细 、 数据字典目录 高级业务模块: 订单管理 、合同管理 、保修管理 客户模块: 客户管理 、 潜在客户 、 客户跟进历史 、客户资源池 、潜在客户开发 、 客户移交 二、开发项目的...
如何在spring项目使用shiro进行权限管理
liyunyu2的博客
09-10 1080
也不知道是什么原因,越来越有写篇博客的想法,或许是经常在网上看看它有某某某的好处,不过写个博客确实可以整理下自己学到的知识,方便以后查找。废话不多,下面我讲讲我是怎样在项目加入shiro,然后再项目怎样使用shiro实现权限管理,以及在使用shiro的过程遇到的为题以及解决的方法。      1、怎样在项目加入shiro
在前后端分离的项目,后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制
热门推荐
palerock的博客
06-19 6万+
前后端分离的项目,ajax跨域和保存用户信息是其的重点和难点。 如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。 在前一篇文章,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后端分离的项目使用shrio的session(会话管理系统)。 但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前端ajax框架所公认的,我们需要一种更
项目shiro的应用
ITWANGBOIT的博客
10-14 230
1:项目,用户-角色-权限的关系如下图: 2:用户登录时,可以借用shiro的认证,仅仅需要userInfo的信息就可以完成认证。 3:用户登录成功之后,达到系统主页面时,有以下信息会根据用户角色和权限的不同,显示的不同: (1):菜单 (2):页面上的元素(按钮之类的) (3):通过浏览器访问一个当前用户没有被分配权限的资源 4:菜单:开发者可以通过登录用户获取到被分配的菜单(...
切面编程(三):AspectJ与Shiro不兼容和Spring二次代理错误分析
02-02 665
切面编程(三):AspectJ与Shiro不兼容和Spring二次代理错误分析 Shiro与AspectJ的配置 Shiro的配置 根据 我的BLOG文章和官方文档我们可以得知Shiro使用注解的时的配置是 Shiro与AspectJ的配置 Shiro的配置 根据我的BLOG...
给一个springboot项目使用shiro的例子
最新发布
03-14
当然可以,以下是一个使用 Shiro 的 Spring Boot 项目的示例: 首先,您需要在 pom.xml 文件添加以下依赖项: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring-boot-web-starter <version>1.4.2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值