java spring 权限_Java权限管理

最新推荐文章于 2024-08-09 20:49:14 发布
最新推荐文章于 2024-08-09 20:49:14 发布
阅读量544 收藏 1
点赞数
文章标签: java spring 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31767787/article/details/114207500
版权

1f37ef22549dbf8c639b35ab9019dd43.png

一、权限框架介绍

1. 权限管理

本质:用户身份认证+授权

流程:用户首先经过身份认证,通过后即可访问该资源

1.1 用户身份认证

  b6472589d189084c007bf3d1be596782.png

1.2 授权流程

cb67f0c186a3c921cabdb50ce61fd6e1.png

2. 权限框架

Shiro和Spring Security比较

(1)Shiro比Spring更容易使用,实现和理解

(2)Spring Security有更好的社区支持

(3)Apache Shiro在Spring Security处理密码学方面有一个额外的模块

(4)Spring-security 对spring 结合较好,如果项目用的springmvc ,使用起来很方便。但是如果项目中没有用到spring,那就不要考虑它了。

(5)Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行

二、Shiro基础介绍

1. Shiro三个核心组件

1.1 Subject(当前操作用户)

不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

1.2 SecurityManager(维护中心)

Shiro框架的核心,典型的Facade模式,用来协调内部组件实例,并提供安全管理的各种服务。

1.3 Realm(数据中心)

对用户认证(登录)和授权(访问控制)时,Shiro会从配置的Realm中查找用户及其权限信息。

当配置Shiro时,至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。

Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

2. Shiro相关类介绍

(1)Authentication 认证 ---- 用户登录

(2)Authorization 授权 --- 用户具有哪些权限

(3)Cryptography 安全数据加密

(4)Session Management 会话管理

(5)Web Integration web系统集成

(6)Interations 集成其它应用,spring、缓存框架

3. Shiro 特点

(1)易于理解的 Java Security API;

(2)简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);

(3)对角色的简单的签权(访问控制),支持细粒度的签权;

(4)支持一级缓存,以提升应用程序的性能;

(5)内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;

(6)异构客户端会话访问;

(7)非常简单的加密 API;

(8)不跟任何的框架或者容器捆绑,可以独立运行

三、Spring Boot整合Shiro代码实战

3.1 pom.xml中添加依赖

com.h2database

h2

runtime

org.apache.shiro

shiro-spring

1.3.2

3.2 编写测试Controller类@RequiresPermissions("user:list")

@RequiresRoles("admin")

@ResponseBody

@RequestMapping("/hello")

public String hello(){

System.out.println(person);

return "hello world";

}

@RequestMapping(value = "/login", method = RequestMethod.GET)

@ResponseBody

public String defaultLogin() {

return "首页";

}

@RequestMapping(value = "/login", method = RequestMethod.POST)

@ResponseBody

public String login(@RequestParam("username") String username, @RequestParam("password") String password) {

// 从SecurityUtils里边创建一个 subject Subject subject = SecurityUtils.getSubject();

// 在认证提交前准备 token(令牌)

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

// 执行认证登陆

try {

subject.login(token);

} catch (UnknownAccountException uae) {

return "未知账户";

} catch (IncorrectCredentialsException ice) {

return "密码不正确";

} catch (LockedAccountException lae) {

return "账户已锁定";

} catch (ExcessiveAttemptsException eae) {

return "用户名或密码错误次数过多";

} catch (AuthenticationException ae) {

return "用户名或密码不正确!";

}

if (subject.isAuthenticated()) {

return "登录成功";

} else {

token.clear();

return "登录失败";

}

}

3.3 配置类@Bean(name = "shiroFilter")

public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

shiroFilterFactoryBean.setSecurityManager(securityManager); shiroFilterFactoryBean.setSecurityManager(securityManager);

//添加Shiro内置过滤器

/**

* Shiro内置过滤器,可以实现权限相关的拦截器

* 常用的过滤器:

* anon: 无需认证(登录)可以访问

* authc: 必须认证才可以访问

* user: 如果使用rememberMe的功能可以直接访问

* perms: 该资源必须得到资源权限才可以访问

* role: 该资源必须得到角色权限才可以访问

*/

shiroFilterFactoryBean.setLoginUrl("/login");//登录页

shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");

Map filterChainDefinitionMap = new LinkedHashMap<>();

//

filterChainDefinitionMap.put("/webjars/**", "anon");

filterChainDefinitionMap.put("/login", "anon");

filterChainDefinitionMap.put("/", "anon");

filterChainDefinitionMap.put("/front/**", "anon");

filterChainDefinitionMap.put("/api/**", "anon");

filterChainDefinitionMap.put("/admin/**", "authc");

filterChainDefinitionMap.put("/user/**", "authc");

filterChainDefinitionMap.put("/hello/**","perms[user:add]");

//主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截 剩余的都需要认证

filterChainDefinitionMap.put("/**", "authc");

shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

return shiroFilterFactoryBean;

}

@Bean

public DefaultWebSecurityManager securityManager() {

DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();

defaultSecurityManager.setRealm(customRealm());

DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();

DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();

defaultSessionStorageEvaluator.setSessionStorageEnabled(false);

subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);

defaultSecurityManager.setSubjectDAO(subjectDAO);

return defaultSecurityManager;

}

@Bean

@DependsOn("lifecycleBeanPostProcessor")

public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {

DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();

defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);

return defaultAdvisorAutoProxyCreator;

}

@Bean

public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

return new LifecycleBeanPostProcessor();

}

@Bean

public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {

AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());

return authorizationAttributeSourceAdvisor;

}

@Bean

public CustomRealm customRealm() {

CustomRealm customRealm = new CustomRealm();

return customRealm;

}

3.4 Realm/**

* 权限认证,即登录过后,每个身份不一定,对应的所能看的页面也不一样。

* @param principalCollection

* @return

*/

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

User user = null;

String username = "";

if (Objects.nonNull(principalCollection)){

user = (User)principalCollection.getPrimaryPrincipal();

}

username = (String) SecurityUtils.getSubject().getPrincipal();

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

//用户角色

Set roleSets = new HashSet<>();

roleSets.add("admin");

roleSets.add("test");

info.setRoles(roleSets);

//角色对应的权限

Set permissionSet = new HashSet<>();

permissionSet.add("user:show");

permissionSet.add("user:admin");

info.addStringPermissions(permissionSet);

return info;

}

/**

* 身份认证。即登录通过账号和密码验证登陆人的身份信息。

* @param authenticationToken

* @return

* @throws AuthenticationException

*/@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

System.out.println("-------身份认证方法--------");

//authenticationToken.getCredentials()----token?如何来?

String token = (String) authenticationToken.getCredentials();

if (StringUtils.isEmpty(token)){

HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();

Map parameterMap = request.getParameterMap();

Set> entrys = parameterMap.entrySet();

for (Map.Entry entry:entrys) {

System.out.println(entry.getKey()+"============"+entry.getValue());

}

throw new AuthenticationException("token为空");

}

User user = this.checkAuthenticationToken(token);

//String userName = (String) authenticationToken.getPrincipal();

//String userPwd = new String((char[]) authenticationToken.getCredentials()); return new SimpleAuthenticationInfo(user, token,getName());

}

亦雨初
关注
java spring权限_权限管理系统 Spring-authority
weixin_36297381的博客
03-06 367
是由 spring+springmvc+hibernate+spring-security +easyui +boostrap 写的一个框架集合,目前实现了一个基础的权限管理系统,权限是基于细粒度的过滤,对于初学权限设计的人来说也算是个最简洁的权限实现,基于它来做项目,它只是做了一些绝大部分项目都应该做的一些基础功能。1参考资料2.数据库建表采用基于角色-资源-用户-权限管理设计。2.1.权限表...
Spring Boot权限管理(最终)
08-17
Spring Boot权限管理
spring security用户权限项目
12-19
基于spring mvc mybatis spring security 和jquery easy-ui的用户权限管理项目。
如何在Java中实现灵活的权限管理:从Spring Security到Shiro的应用
最新发布
微赚淘客系统开发者博客
08-09 787
如何在Java中实现灵活的权限管理:从Spring Security到Shiro的应用 大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!今天我们将探讨如何在Java应用中实现灵活的权限管理,并比较两种流行的安全框架:Spring Security和Apache Shiro。 一、权限管理概述 权限管理是确保系统资源只被授权用户访问的关键机制。在Java应用中,实现权限管理通常需要处理以下几个方面: 认证:验证用户身份,确保用户是系统的合法用户。 授权:根据用户的角色和权限,决
Spring权限
hlw521hxq的博客
06-27 432
RBAC是什么? RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 RBAC介绍。 RBAC 认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作,也就是“主体”对“客体”的操作。 Who:是权限的拥有者
spring 权限控制
xxxvshell的博客
09-13 96
http://edu.codepub.com/2009/0822/14223.php
CRM.rar_CRM-SSH_CRM权限管理_spring crm_spring-integration_销售 JAVA
07-15
本系统采用是java struts spring Hibernate 主流框架开发,包括:营销管理、客户管理、服务管理、统计报表和基础数据五个功能模块。另包括权限管理模块用于系统的用户、角色和相关权限。与本系统相关的用户和角色...
oa.rar_java 框架_java框架_oa java_spring oa_管理系统
09-21
本文将深入探讨一个基于Java技术栈,特别是SSH(Struts + Spring + Hibernate)框架实现的企业OA系统,旨在帮助开发者理解并掌握这一技术体系,提升开发能力。 SSH框架是Java Web开发中的经典组合,它由Struts、...
eoms.rar_eo_eoms_java 日志_java 权限_权限管理
09-20
"java 权限_权限管理"标签提示我们,该系统具备完善的权限控制系统,可能采用了Java Security Manager或者Spring Security等框架,实现用户角色分配、访问控制列表(ACL)和权限授权等功能。权限管理不仅可以防止...
hrmsys.zip_Java 人力资源_人力_人力资源 权限_人力资源管理_资源管理
09-14
"hrmsys.zip_Java 人力资源_人力_人力资源 权限_人力资源管理_资源管理"这一压缩包文件,显然是一个基于Java的人力资源管理系统项目,它涉及到人力资源、权限管理和资源管理等多个关键领域。 首先,我们来深入理解...
Java 管理系统 HR.rar_GUI权限管理_GUI,java_HRSettings_权限管理系统
09-14
Java GUI权限管理系统详解】 Java GUI(图形用户界面)权限管理系统是一种基于Java编程语言实现的,用于控制用户访问系统资源和执行操作的软件系统。它通过权限分配来确保只有拥有特定权限的用户才能进行特定的...
spring权限框架教程
06-29
spring security权限框架简要介绍, 可结合文档和官网编写个小Demo
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
一个免费的java权限后台管理系统框架
01-23
技术支持:www.walkersoft.net。 java权限后台开发框架,采用spring + srpingsecurity + springMVC + Hibernate + freemarker + jquery 等技术实现,页面及源文件打包发布程序。 完整的功能应用,包括:后台权限、人员机构、参数代码、角色权限、上传文件、日志管理等内容。 您可以直接在其上面开发业务模块,具体下载和演示可访问:www.walkersoft.net。 开发文档整理中,很快会更新到网站中。希望能和广大开发者交流,并提供更多支持。 2019-08-16更新 请下载最新版:https://download.csdn.net/download/pxzsky/10587447 积分过多,不是个人原因,csdn改版后就这样了,你懂的,不再一一回复。
Spring-Security(权限)
Judy-命中注定与众不同
04-01 413
这里写自定义目录标题前言Security 是什么 ?为什么使用Security ?实现登陆拦截器权限分配MD5加密密码注解Security优势securityj 劣势 前言 分享一波权限知识 ~ Security 是什么 ? 为什么使用Security ? 实现登陆拦截器 权限分配 MD5加密密码 注解 Security优势 securityj 劣势 ...
Spring框架之权限管理
张晨光老师的播客
03-02 2624
权限管理 回顾 课前测: 模拟controller, dao,service层,使用bean.xml配置。 本章内容 表间关系: 我们在这里员工和角色考虑多对一关系(实际开发是多对多) 权限管理流程: 需求:登录系统后,之前系统的左侧菜单都是写死的,但是现在因为每个人权限不同,所以左侧菜单功能模块也应该是动态变化的,每个人登录都不一样。 业务需求: ​ 1.登录成功后,要将当前这个人的信息存储到session中去 ​ 2.根据每个人对应的roleid去查询相对应的权限。 ①:根据r
spring 权限PermissionEvaluator
Alice_whj的博客
03-18 3011
Spring Security——基于表达式的权限控制 Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。 通过表达式控制方法权限 Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthor...
java 中用户访问权限spring 权限管理
wodezuiai181826931的专栏
12-27 817
 // AuthorityInterceptor.java 文件package com.aptech.jb.epet.web.authority;import javax.servlet.http.HttpServletRequest;import org.aopalliance.intercept.MethodInterceptor;import org.aopalliance.
使用Java构建分布式企业级权限管理系统
"Java开发企业级权限管理系统是一个全面的教程,旨在通过Java技术栈教授如何构建一套基于RBAC(Role-Based Access Control)扩展模型的分布式、具有图形界面、高度灵活和可扩展的企业级权限管理系统。该课程内容源自...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值