SpringBoot 整合权限管理Apache的Shiro(认证、授权)

已于 2023-09-27 14:14:31 修改
阅读量1.3k 收藏
点赞数
分类专栏: SpringBoot 文章标签: spring shiro java
于 2021-01-07 22:12:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014365523/article/details/112341149
版权

什么是权限管理
  权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
  权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。

根据官方的介绍,shiro提供了2个主要的功能“登录身份认证”、“访问授权”、其他的功能都是给Shiro打辅助的,比如Session管理,加密处理,缓存功能,记住我等。

shiro主要有三大功能模块:

  1. Subject:主体,一般指用户,代表当前正在执行操作的用户,但Subject代表的可以是人,也可以是任何第三方系统帐号。当然每个subject实例都会被绑定到SercurityManger上
  2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet),SecurityManager是Shiro核心,主要协调Shiro内部的各种安全组件,这个我们不需要太关注,只需要知道可以设置自定的Realm。
  3. Realms:用于进行权限信息的验证,一般需要自己实现,用户数据和Shiro数据交互的桥梁。比如需要用户身份认证、权限认证。都是需要通过Realm来读取数据。
    细分功能
  4. Authentication:身份认证/登录(账号密码验证)。
  5. Authorization:授权,即角色或者权限验证。
  6. Session Manager:会话管理,用户登录后的session相关管理。
  7. Cryptography:加密,密码加密等。
  8. Web Support:Web支持,集成Web环境。
  9. Caching:缓存,用户信息、角色、权限等缓存到如redis等缓存中。
  10. Concurrency:多线程并发验证,在一个线程中开启另一个线程,可以把权限自动传播过去。
  11. Testing:测试支持;
  12. Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
  13. Remember Me:记住我,登录后,下次再来的话不用登录了

SpringBoot集成shiro:
springboot中集成shiro相对简单,只需要两个类:一个是shiroConfig类,一个是CustonRealm类。

ShiroConfig类:
顾名思义就是对shiro的一些配置,相对于之前的xml配置。包括:过滤的文件和权限,密码加密的算法,其用注解等相关功能。

CustomRealm类:
自定义的CustomRealm继承AuthorizingRealm。并且重写父类中的doGetAuthorizationInfo(权限相关)、doGetAuthenticationInfo(身份认证)这两个方法。

------------------------------------------- shiro认证实例 - 认证 ------------------------------------------

shiro的身份认证的流程,大致是这样的:
当我们调用subject.login(token)的时候,首先这次身份认证会委托给Security Manager,而Security Manager又会委托给Authenticator,接着Authenticator会把传过来的token再交给我们自己注入的Realm进行数据匹配从而完成整个认证。

1、添加maven依赖

junit
junit
4.9


commons-logging
commons-logging
1.1.3


org.apache.shiro
shiro-core
1.2.2


org.apache.shiro
shiro-spring
1.2.3

2、ShiroConfig配置(SecurityManager)
package com.example.demo.conf;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**

  • @Description: TODO
  • @Author: Top
  • @Version: V1.0
  • @Date: 2020-03-02 17:08
    */
    @Configuration
    public class ShiroConfig {

/**

  • 密码校验规则HashedCredentialsMatcher
  • 这个类是为了对密码进行编码的 ,
  • 防止密码在数据库里明码保存 , 当然在登陆认证的时候 ,
  • 这个类也负责对form里输入的密码进行编码
  • 处理认证匹配处理器:如果自定义需要实现继承HashedCredentialsMatcher
    */
    @Bean(“hashedCredentialsMatcher”)
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
    //指定加密方式为MD5
    credentialsMatcher.setHashAlgorithmName(“MD5”);
    //加密次数
    credentialsMatcher.setHashIterations(1);
    credentialsMatcher.setStoredCredentialsHexEncoded(true);
    return credentialsMatcher;
    }

@Bean(“authRealm”)
@DependsOn(“lifecycleBeanPostProcessor”)//可选
public AuthRealm authRealm(@Qualifier(“hashedCredentialsMatcher”) HashedCredentialsMatcher matcher) {
AuthRealm authRealm = new AuthRealm();
authRealm.setAuthorizationCachingEnabled(false);
authRealm.setCredentialsMatcher(matcher);
return authRealm;
}

/**

  • 配置Shiro核心 安全管理器 SecurityManager
  • SecurityManager安全管理器:所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;负责与后边介绍的其他组 件进行交互。(类似于SpringMVC中的DispatcherServlet控制器)
  • @param authRealm
  • @return
    */
    @Bean(“securityManager”)
    public SecurityManager securityManager(@Qualifier(“authRealm”) AuthRealm authRealm) {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    //将自定义的realm交给SecurityManager管理
    manager.setRealm(authRealm);
    return manager;
    }

/**

  • 定义shiroFilter过滤器并注入securityManager
  • @param manager
  • @return
    */
    @Bean(“shiroFilter”)
    public ShiroFilterFactoryBean shiroFilter(@Qualifier(“securityManager”) SecurityManager manager) {
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    //设置securityManager
    bean.setSecurityManager(manager);
    //设置登录页面
    //可以写路由也可以写jsp页面的访问路径
    bean.setLoginUrl(“/login”);
    //设置登录成功跳转的页面
    bean.setSuccessUrl(“/pages/index.jsp”);
    //设置未授权跳转的页面
    bean.setUnauthorizedUrl(“/pages/unauthorized.jsp”);

// 自定义过滤器
Map<String, Filter> filters = new HashMap<>();
filters.put(“authc”, authenticationFilter());

//定义过滤器
LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put(“//index", “anon”);
filterChainDefinitionMap.put("//login”, “anon”);
filterChainDefinitionMap.put(“/loginUser”, “anon”);
filterChainDefinitionMap.put(“/admin”, “roles[admin]”);
filterChainDefinitionMap.put(“/edit”, “perms[delete]”);
filterChainDefinitionMap.put(“/druid/", “anon”);
//需要登录访问的资源 , 一般将/放在最下边
filterChainDefinitionMap.put("//my/”, “authc”);
bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
bean.setFilters(filters);
return bean;
}

/**

  • Spring的一个bean , 由Advisor决定对哪些类的方法进行AOP代理 .
  • @return
    */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
    creator.setProxyTargetClass(true);
    return creator;
    }

/**

  • 配置shiro跟spring的关联
  • @param securityManager
  • @return
    */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier(“securityManager”) SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
    advisor.setSecurityManager(securityManager);
    return advisor;
    }

/**

  • lifecycleBeanPostProcessor是负责生命周期的 , 初始化和销毁的类
  • (可选)
    */
    @Bean(“lifecycleBeanPostProcessor”)
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
    }

@Bean
public AuthenticationFilter authenticationFilter() {
return new AuthenticationFilter();
}
}

3、subject.login(token)
在shiro中用Principals抽象了“身份”的概念,这里指的是我们的username,用Credentials抽象了“证明”的概念,这里指的是我们的password
在这里插入图片描述

4、实现Realm(用户数据和Shiro数据交互的桥梁)
package com.example.demo.conf;

import com.example.demo.common.User;
import com.example.demo.service.UserService;
import com.example.demo.utils.MD5Util;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

/**

  • @Description: 认证授权
  • @Author: Top
  • @Version: V1.0
  • @Date: 2020-03-02 17:09
    */
    public class AuthRealm extends AuthorizingRealm {

@Autowired
private UserService userService;

/**

  • 用户授权
  • @param principals
  • @return
    */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    return new SimpleAuthorizationInfo();
    }

/**

  • 认证登录
  • @param token
  • @return
    */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    //token携带了用户信息
    UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
    System.out.println(token.getCredentials());
    System.out.println(token.getPrincipal());
    System.out.println(((UsernamePasswordToken) token).getUsername());
    System.out.println(((UsernamePasswordToken) token).getPassword());

String userName = token.getPrincipal().toString();
//String verificationCode = String.valueOf((char[])token.getCredentials()) ;

//获取前端输入的用户名
//根据用户名查询数据库中对应的记录
User user = userService.findByUsername(userName);
//封装用户信息,构建AuthenticationInfo对象并返回
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
userName, //用户名
MD5Util.encode(user.getPassword()), //密码
getName()
);
return authenticationInfo;
}
}

密码校验流程:整体逻辑就是,先从缓存根据token取认证信息(AuthenticationInfo),若没有,则调用我们自己实现的MyRealm中的doGetAuthenticationInfo去获取,然后尝试缓存,最后再通过assertCredentialsMatch去验证token和info,assertCredentialsMatch则会根据MyReaml中setCredentialsMatcher我们设置的加密方式去进行相应的验证

上述代码可以添加用户登录时,密码错误次数校验
//访问一次,计数一次
ValueOperations<String, String> opsForValue = stringRedisTemplate.opsForValue();
opsForValue.increment(SHIRO_LOGIN_COUNT+name, 1);
//计数大于5时,设置用户被锁定一小时
if(Integer.parseInt(opsForValue.get(SHIRO_LOGIN_COUNT+name))>=5){
opsForValue.set(SHIRO_IS_LOCK+name, “LOCK”);
stringRedisTemplate.expire(SHIRO_IS_LOCK+name, 1, TimeUnit.HOURS);
}
if (“LOCK”.equals(opsForValue.get(SHIRO_IS_LOCK+name))){
throw new DisabledAccountException(“由于密码输入错误次数大于5次,帐号已经禁止登录!”);
}

以上就是shiro的身份认证实现,用户在访问anon接口的时候,可以直接访问;如果访问authc接口,则需要登录成功之后才能访问。否则会提示没有权限,需要登录。

------------------------------------------ shiro认证实例 - 授权 -----------------------------------------

Shiro的授权流程跟认证流程类似(授权是在认证基础上的操作,需要先实现了认证功能):

创建SecurityManager安全管理器
Subject主体带授权信息执行授权,请求到SecurityManager
SecurityManager安全管理器调用Authorizer授权
Authorizer结合主体一步步传过来的授权信息与Realm中的数据比对,授权

1、添加maven依赖

junit
junit
4.9


commons-logging
commons-logging
1.1.3


org.apache.shiro
shiro-core
1.2.2


org.apache.shiro
shiro-spring
1.2.3

2、ShiroConfig配置(SecurityManager)
package com.example.demo.conf;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**

  • @Description: TODO
  • @Author: Top
  • @Version: V1.0
  • @Date: 2020-03-02 17:08
    */
    @Configuration
    public class ShiroConfig {

/**

  • 密码校验规则HashedCredentialsMatcher
  • 这个类是为了对密码进行编码的 ,
  • 防止密码在数据库里明码保存 , 当然在登陆认证的时候 ,
  • 这个类也负责对form里输入的密码进行编码
  • 处理认证匹配处理器:如果自定义需要实现继承HashedCredentialsMatcher
    */
    @Bean(“hashedCredentialsMatcher”)
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
    //指定加密方式为MD5
    credentialsMatcher.setHashAlgorithmName(“MD5”);
    //加密次数
    credentialsMatcher.setHashIterations(1);
    credentialsMatcher.setStoredCredentialsHexEncoded(true);
    return credentialsMatcher;
    }

@Bean(“authRealm”)
@DependsOn(“lifecycleBeanPostProcessor”)//可选
public AuthRealm authRealm(@Qualifier(“hashedCredentialsMatcher”) HashedCredentialsMatcher matcher) {
AuthRealm authRealm = new AuthRealm();
authRealm.setAuthorizationCachingEnabled(false);
authRealm.setCredentialsMatcher(matcher);
return authRealm;
}

/**

  • 配置Shiro核心 安全管理器 SecurityManager
  • SecurityManager安全管理器:所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;负责与后边介绍的其他组 件进行交互。(类似于SpringMVC中的DispatcherServlet控制器)
  • @param authRealm
  • @return
    */
    @Bean(“securityManager”)
    public SecurityManager securityManager(@Qualifier(“authRealm”) AuthRealm authRealm) {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    //将自定义的realm交给SecurityManager管理
    manager.setRealm(authRealm);
    return manager;
    }

/**

  • 定义shiroFilter过滤器并注入securityManager
  • @param manager
  • @return
    */
    @Bean(“shiroFilter”)
    public ShiroFilterFactoryBean shiroFilter(@Qualifier(“securityManager”) SecurityManager manager) {
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    //设置securityManager
    bean.setSecurityManager(manager);
    //设置登录页面
    //可以写路由也可以写jsp页面的访问路径
    bean.setLoginUrl(“/login”);
    //设置登录成功跳转的页面
    bean.setSuccessUrl(“/pages/index.jsp”);
    //设置未授权跳转的页面
    bean.setUnauthorizedUrl(“/pages/unauthorized.jsp”);

// 自定义过滤器
Map<String, Filter> filters = new HashMap<>();
filters.put(“authc”, authenticationFilter());

//定义过滤器
LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put(“//index", “anon”);
filterChainDefinitionMap.put("//login”, “anon”);
filterChainDefinitionMap.put(“/loginUser”, “anon”);
filterChainDefinitionMap.put(“/admin”, “roles[admin]”);
filterChainDefinitionMap.put(“/edit”, “perms[delete]”);
filterChainDefinitionMap.put(“/druid/", “anon”);
//需要登录访问的资源 , 一般将/放在最下边
filterChainDefinitionMap.put("//my/”, “authc”);
bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
bean.setFilters(filters);
return bean;
}

/**

  • Spring的一个bean , 由Advisor决定对哪些类的方法进行AOP代理 .
  • @return
    */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
    creator.setProxyTargetClass(true);
    return creator;
    }

/**

  • 配置shiro跟spring的关联
  • @param securityManager
  • @return
    */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier(“securityManager”) SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
    advisor.setSecurityManager(securityManager);
    return advisor;
    }

/**

  • lifecycleBeanPostProcessor是负责生命周期的 , 初始化和销毁的类
  • (可选)
    */
    @Bean(“lifecycleBeanPostProcessor”)
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
    }

@Bean
public AuthenticationFilter authenticationFilter() {
return new AuthenticationFilter();
}
}

3、subject.login(token)
在shiro中用Principals抽象了“身份”的概念,这里指的是我们的username,用Credentials抽象了“证明”的概念,这里指的是我们的password
在这里插入图片描述

4、实现Realm(用户数据和Shiro数据交互的桥梁)

package com.example.demo.conf;

import com.example.demo.entity.User;
import com.example.demo.utils.MD5Util;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.ArrayList;
import java.util.List;

/**

  • @Description: 认证授权
  • @Author: Top
  • @Version: V1.0
  • @Date: 2020-03-02 17:09
    */
    public class AuthRealm extends AuthorizingRealm {

/**

  • 认证
    */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    //1.获取用户输入的账号
    String username = (String)token.getPrincipal();
    //2.通过username从数据库中查找到user实体
    User user = getUserByUserName(username);
    if(user == null){
    return null;
    }
    //3.通过SimpleAuthenticationInfo做身份处理
    SimpleAuthenticationInfo simpleAuthenticationInfo =
    new SimpleAuthenticationInfo(user, MD5Util.encode(user.getPassword()),getName());
    //4.用户账号状态验证等其他业务操作
    if(!user.getAvailable()){
    throw new AuthenticationException(“该账号已经被禁用”);
    }
    //5.返回身份处理对象
    return simpleAuthenticationInfo;
    }

/**

  • 授权
    */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
    //获取当前登录的用户
    User user = (User) principal.getPrimaryPrincipal();
    //通过SimpleAuthenticationInfo做授权
    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    //添加角色
    simpleAuthorizationInfo.addRole(user.getRole());
    //添加权限
    simpleAuthorizationInfo.addStringPermissions(user.getPermissions());
    return simpleAuthorizationInfo;
    }

/**

  • 模拟通过username从数据库中查找到user实体
  • @param username
  • @return
    */
    private User getUserByUserName(String username){
    List users = getUsers();
    for(User user : users){
    if(user.getUsername().equals(username)){
    return user;
    }
    }
    return null;
    }

/**

  • 模拟数据库数据
  • @return
    */
    private List getUsers(){
    List users = new ArrayList<>(2);
    List cat = new ArrayList<>(2);
    cat.add(“sing”);
    cat.add(“rap”);
    List dog = new ArrayList<>(2);
    dog.add(“jump”);
    dog.add(“basketball”);
    users.add(new User(“top”,“123”,true,“cat”,cat));
    users.add(new User(“zoe”,“123”,true,“dog”,dog));
    return users;
    }
    }

5、发起登录:用户信息(用户名字,密码,角色,权限 … …)注入shiro

执行该语句的时候,实际会交给AuthRealm 中的doGetAuthenticationInfo方法进行处理,这里是shiro和数据库实际交换的地方,会根据用户登录时候输入的用户名从数据库获取用户信息,注入shiro

@PostMapping(“/login”)
@ResponseBody
public Result login(HttpServletRequest request, HttpServletResponse response, @RequestBody UserParam userParam) {
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(userParam.getUserName(), userParam.getPassword());
subject.login(token);
return new Result(“成功”,“ok”);
}

6、角色、权限赋值

执行该语句的时候,实际会交给AuthRealm中的doGetAuthorizationInfo方法进行处理,这里专门给角色、和权限进行了赋值
/**

  • @Description: 获取角色
  • @Param: []
  • @Return: java.lang.String
  • @Author: Top
  • @Date: 2020-03-04 19:46
    */
    @GetMapping(“/dog”)
    public String dog(){
    Subject subject = SecurityUtils.getSubject();
    if(subject.hasRole(“dog”)){
    return “dog√”;
    }
    else {
    return “dog×”;
    }
    }

/**

  • @Description: 获取权限
  • @Param: []
  • @Return: java.lang.String
  • @Author: Top
  • @Date: 2020-03-04 19:46
    */
    @GetMapping(“/rap”)
    public String rap(){
    Subject subject = SecurityUtils.getSubject();
    if(subject.isPermitted(“rap”)){
    return “rap”;
    }else{
    return “没权限你Rap个锤子啊!”;
    }

}

授权通常解决方式有两种:
其一:登录后通过读取数据库中角色和权限,获取需要展示的菜单内容,动态的在前端渲染(动态只展示拥有的权限)
其二:所有内容都在前端写好,通过前端的shiro标签控制对应权限内容部分的渲染。(所以权限都展示出来,只有部分能操作,没有操作权限的,点击提示:没有权限)

参考资料:
https://www.jianshu.com/p/bf1f490aa70f

影࿐ེ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springbootshiro整合—登录认证权限管理实例项目
04-16
在本文中,我们将深入探讨如何将Spring Boot与Apache Shiro整合,实现登录认证权限管理的实例项目。这个项目对于初学者来说是一个很好的实践平台,它可以帮助开发者将理论知识转化为实际应用。 首先,Spring Boot...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
springbootshiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成...
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro框架常用配置
weixin_55229531的博客
06-02 1万+
Shiro框架常用配置
解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器
2401_84302796的博客
05-10 945
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Shiro框架入门 认证授权过程实现
iyzhao的博客
07-22 894
1.Shiro安全框架 1Shiro概述 Shiroapache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 图-1 2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所示: 图-2 其中: Sub
shiro授权认证(三)
weixin_46403305的博客
10-28 1101
1、过滤器授权 1、在realm中查询用户的权限和角色放到缓存中 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { //第一步:先获取用户名 User user= (User) principalCollection.getPrimaryPrincipal(); //第二步:通过用户名查询数据库
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 1815
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程和源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
SpringBoot开启aop后导致shiroAuthorizationAttributeSourceAdvisor的bean创建失败
LuLuke_lucky的博客
02-25 556
解决shiro无法创建AuthorizationAttributeSourceAdvisor的Bean问题
什么是 Apache Shiro
web15085599741的博客
03-29 5731
什么是Apache Shiro Apache Shiro 是一种功能强大且易于使用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
shiro授权不生效,授权无反应
A_stranger的专栏
12-14 527
//开启shiro aop注解支持 @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){ System.out.println("开启了Shiro注解支持"); AuthorizationAt...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。ShiroApache软件基金会下的一个基于Java的开源安全...
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
一、Shiro简介 1、基础概念 ...Shiro自己不维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证授权。 二、整合SpringBoot2框架 1、核心依赖 <groupid>org.apache.shiro</gr
springboot整合shiro
03-30
总之,SpringBoot整合Shiro可以有效地帮助我们构建权限管理体系,实现用户的认证授权。结合ZTree,我们可以提供直观的权限分配界面,提升管理效率。在实际开发过程中,要根据项目需求定制Shiro的配置,确保安全性...
Spring Boot(十二):Shiro登录认证权限管理
qq_25432245的博客
10-30 1210
前言 这篇文章来学习如何使用 Spring Boot 集成 Apache Shiro 。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在 Java 领域一般有 Spring Security、 Apache Shiro 等安全框架,但是由于 Spring Security 过于庞大和复杂,并且依赖spring环境;而Apache Shiro就相对独立,最主要是因为shi...
使用shiro拦截器链实现权限管理
m0_67392811的博客
04-28 751
在开篇之前,先介绍一下shiro,那么 什么是shiro呢? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 -每
aop:config在shiro权限注解中发挥的作用
wangjun5159的专栏
07-12 1万+
问题spring-shiro.xml中通常会加aop配置,以使shiro认证注解(@RequiresPermissions、@RequiresRoles、@RequiresUser、@RequiresGuest)work。<aop:config /> <!--权限注解的advisor --> <bean class="org.apache.shiro.spring.security.
Apache Shiro 安全框架
weixin_51715424的博客
10-24 1177
Apache Shiro 框架
SpringBoot整合Shiro对项目进行权限控制
囧魔王的博客
07-04 647
SpringBoot整合Shiro对项目进行权限控制 前言 前几天开发了一个boot整合shiro的项目,这里做下学习记录方便以后查看和交流,简单的介绍原理和组件,主要讲述项目的搭建 一、shiro简介 Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security...
SpringBoot整合Apache Shiro实战教程
Apache Shiro 是一个全面的 Java 安全框架,它负责处理身份验证、授权、密码管理和会话管理等多个安全相关任务。Shiro 的设计目标是简化安全编程,通过提供直观易用的 API,使得开发者可以在各种类型的应用程序中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值