springBoot集成shiro(前后台分离)

最新推荐文章于 2024-04-04 12:40:21 发布
最新推荐文章于 2024-04-04 12:40:21 发布
阅读量502 收藏
点赞数 1
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39370907/article/details/100013897
版权

一、pom文件所需

<!--shiro-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.2.2</version>
</dependency>
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>
<dependency>
    <groupId>net.sourceforge.nekohtml</groupId>
    <artifactId>nekohtml</artifactId>
    <version>1.9.22</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.2.2</version>
</dependency>

二、Shiro配置类

package com.*.config.shiro;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        //创建一个shiro过滤器工厂
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // setLoginUrl 如果不设置值,默认会自动寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
        shiroFilterFactoryBean.setLoginUrl("/notLogin");
        // 设置无权限时跳转的 url;
        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");
        // 设置拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //开放登陆接口
        filterChainDefinitionMap.put("/login", "anon");
        //其余接口一律拦截
        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        System.out.println("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }

    /**
     * 注入 securityManager
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    /**
     * 自定义身份认证 realm;
     * 必须写这个类,并加上 @Bean 注解,目的是注入 CustomRealm,
     * 否则会影响 CustomRealm类 中其他类的依赖注入
     * @return
     */
    @Bean
    public CustomRealm customRealm() {
        return new CustomRealm();
    }

    //为当前shiro配置aop切面 使shiro与springAOP结合
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }


}

三、身份认证及权限认证

package com.*.config.shiro;

import com.*.sys.user.mapper.UserMapper;
import com.*.sys.user.pojo.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

public class CustomRealm extends AuthorizingRealm {

    private UserMapper userMapper;

    @Autowired
    private void setUserMapper(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    /**
     * 获取授权信息
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //System.out.println("————权限认证————");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //如果身份认证的时候没有传入User对象,这里只能取到userName
        //也就是SimpleAuthenticationInfo构造的时候第一个参数传递需要User对象
        User user  = (User)principalCollection.getPrimaryPrincipal();
        //获取用户所拥有的所有权限地址
        List<String> reghtList = userMapper.getUserPowerUrlList(user.getId());
        //设置权限集合
        info.addStringPermissions(reghtList);
        return info;
    }

    /**
     * 获取身份验证信息
     * Shiro中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //System.out.println("————身份认证方法————");
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // 根据用户名获取用户信息
        User user = userMapper.queryUserByUserName(token.getUsername());
        if (null != user && user.getStatus() == 1){
            throw new AccountException("此用户已停用!");
        }else if (null == user) {
            throw new AccountException("用户名不正确!");
        }else if (!user.getPassword().equals(new String((char[]) token.getCredentials()))) {
            throw new AccountException("密码不正确!");
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }
}

四、异常捕捉类

@RestControllerAdvice
public class ExceptionController {

    //捕捉 CustomRealm 抛出的异常
    @ExceptionHandler(AccountException.class)
    public ExtObject handleShiroException(Exception ex) {
        return ExtObject.markLoginError(ex.getMessage());
    }

    //捕捉@RequiresPermissions注解,无权限时抛出的异常
    @ExceptionHandler(UnauthorizedException.class)
    public ExtObject handleShiroException1(Exception ex) {
        return ExtObject.notRole("没有此权限!");
    }

}

五、LoginController

@RestController
public class LoginController {

    @GetMapping("notLogin")
    public ExtObject notLogin() {
        return ExtObject.markLoginError("您尚未登陆!");
    }

    @GetMapping("notRole")
    public ExtObject notRole() {
        return ExtObject.notRole("没有此权限!");
    }

    @GetMapping("index")
    public ExtObject index(){
        return ExtObject.markSuccessButNoData("登录成功!");
    }

    @GetMapping("logout")
    public ExtObject logout() {
        Subject subject = SecurityUtils.getSubject();
        //注销
        subject.logout();
        return ExtObject.markSuccessButNoData("成功注销!");
    }

    @PostMapping("login")
    public ExtObject login(@RequestParam String username, @RequestParam String password){
        // 从SecurityUtils里边创建一个 subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备 token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 执行认证登陆
        subject.login(token);
        //根据权限,指定返回数据
        return ExtObject.markSuccessButNoData("登录成功!");
    }



}

六、测试权限拦截

/**
 * @RequiresPermissions注解中的url就是此方法的接口路径,
 * 对应权限表中的url路径,角色没有此权限就会抛出异常,
 * 在异常捕捉类中,进行捕捉异常并返回无权限提示
 * 如角色用权限,正常访问此接口
 * 如接口上不加此注解,则只要登录成功就可访问
 * 测试权限
 * @return
 */
@RequiresPermissions("/test1")
@GetMapping("test1")
public ExtObject test1(){
    return ExtObject.markSuccess("admin用户有此接口权限",null);
}
@RequiresPermissions("/test2")
@GetMapping("test2")
public ExtObject test2(){
    return ExtObject.markSuccess("admin用户无此接口权限",null);
}
@GetMapping("test3")
public ExtObject test3(){
    return ExtObject.markSuccess("登录后可以任意访问此接口",null);
}

 

/**
 * 测试结果:
 *
 *  首先登录admin用户,登录成功。
 *
 *  访问 /test1 接口,正常返回接口数据
 *
 *  访问 /test2 接口,返回无权限提示信息
 *
 *  访问 /test3 接口,正常返回接口数据
 *
 */

 

懵懂无知、小菜鸟
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot + Shiro实现后端全分离接口安全框架
09-02
SpringBoot-Shiro后端分离框架,通过shiro控制权限,实现后端全分离接口安全。
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2后端分离restful框架
01-06
后端分离后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
基于spring boot+Shiro搭建的后端分离鉴权架构
m0_67391518的博客
04-28 1000
一.简介 为何选择Shiro? Apache Shiro是一个强大且易用的Java安全框架。开发者使用shiro可以轻松完成身份验证、授权、密码和会话管理。 Shiro的主要API Authentication**:**身份认证/登录,验证用户是不是拥有相应的身份; Authorization**:**授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manag
Springboot整合shiro分离
wuhongjian_1的博客
12-26 349
全局异常监控 AppExceptionAdivse @RestControllerAdvice //以json串的形式返回出去 public class AppExceptionAdivse { @ExceptionHandler(value= {UnauthorizedException.class}) public Map<String, Object> unautho...
springboot-shiros-mybatis-redis+mysql(分离)
09-16
springboot-shiros-mybatis-redis+mysql 仅仅是个dmoe 自带部署脚本 不懂的 联系本人。
后台管理系统,后端分离,后端SpringBoot+Shiro+MyBatis+Redis,端Vue+ElementUI+Axios.rar
06-18
这是一个基于Java技术栈的后台管理系统,实现了后端分离的设计模式,旨在提高开发效率和用户体验。系统的核心技术选用了SpringBootShiro、MyBatis以及Redis,端则采用了Vue.js、ElementUI和Axios库。下面我们...
后台管理系统,后端分离,后端SpringBoot+Shiro+MyBatis+Redis,端Vue+Elemen.zip
02-22
这是一个基于现代技术栈的后台管理系统实现,采用了后端分离的架构模式。让我们深入探讨这个系统背后的各个技术组件及其重要性。 首先,后端的核心框架是SpringBoot,它是由Pivotal团队开发的Java轻量级框架,...
springboot+shiro+cas+redis+mybatis+thymeleaf 集成开发框架
01-30
由于项目需要从网上搜集的相关的集成框架,很多都是部分集成,一直没有找到整个流程全部集成好的,所以将集成好的框架分享出来供大家学习。 主要实现SSO、后台RBAC角色认证管理。 下载后需要自行修改配置,项目包内...
vue后台管理系统-基于springBoot+shiro+vue开发的后端分离的学生信息管理系统.zip
04-04
本项目是一个基于Vue.js端框架和SpringBoot后端框架,结合Shiro安全模块构建的后台管理系统,主要用于实现学生信息管理的后端分离解决方案。在这个系统中,Vue.js负责用户界面的交互与数据展示,SpringBoot作为...
后端分离集成cas
04-30
在Spring Boot应用中集成Shiro,可以实现用户登录验证、权限管理等功能。Shiro的简单API和灵活的架构使得它易于理解和使用,适合中小型项目。 Oracle数据库是企业级的关系型数据库管理系统,广泛应用于大型数据存储...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+后端分离+基于url通用权限管理系统
01-25
后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
基于shiro后端分离分布式权限管理(完整后端代码)
07-26
后端分离端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
springboot+shiro后端分离实现!!
weixin_42375707的博客
12-13 7022
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、言 1.1、唠嗑部分 学习shiro,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
Spring Boot + Vue + Shiro 实现后端分离,写得太好了!
最新发布
2401_84103903的博客
04-04 1156
javascript是端必要掌握的真正算得上是编程语言的语言,学会灵活运用javascript,将对以后学习工作有非常大的帮助。掌握它最重要的首先是学习好基础知识,而后通过不断的实战来提升我们的编程技巧和逻辑思维。这一块学习是持续的,直到我们真正掌握它并且能够灵活运用它。如果最开始学习一两遍之后,发现暂时没有提升的空间,我们可以暂时放一放。继续下面的学习,javascript贯穿我们端工作中,在之后的学习实现里也会遇到和锻炼到。真正学习起来并不难理解,关键是灵活运用。
springBoot整合shiro后端分离模式
qq_1641486826的博客
11-26 807
springBoot框架下我们使用shiro做权限登录验证,首先要建好五张表: 1:user表 CREATE TABLE `user` ( `id` int(16) NOT NULL AUTO_INCREMENT COMMENT '用户ID', `basic_info_id` int(11) NOT NULL COMMENT '企业外键', `user_account` varcha...
SpringBoot 整合 shiro 后端分离
爱码猿的博客
06-28 760
SpringBoot 整合 shiro 后端分离 最近看了个 github 的开源项目,里面就使用到了shiro实现后端分离权限认证,写的挺好的,并且现在也刚刚学完Vue,就那这个项目练练手了。我会将写这个项目的经验分享出来。 虽然自己还很菜,当仍在努力中!! 附那个github的开源项目的地址:https://github.com/zykzhangyukang/Xinguan 1.导入依赖,编写工具类 Mavne 依赖 <!-- 后端分离 采用 jwt生成token--> .
springboot+shiro后端分离
大海无量的博客
11-28 2019
参考:https://gitee.com/licoy/watchdog-framework 有demo下载可运行。后端两个。
ssm运行报错:no mapping for GET / (已解决)
热门推荐
habuz的博客
09-03 5万+
错误截图: 不知道动了什么地方,本来还能运行的项目突然报出这个错误,经过整理,将可能导致的原因总结如下: 原因一:在 web.xml 中对 springDispatcherServlet 的配置出错 主要是端控制器的拦截路径错把“/”写成了“/*”, 原因二:未给控制器层添加注解@Controller 未添加注解,springMVC无法扫描到这个类 原因三:访问的页面(如index.html)位置错误,未放于webapp文件夹下 原因四:静态资源访问的问题 这也是导致我出现这个问题的原因,解决方法是
No mapping for GET 错误
qq_42566526的博客
11-04 1119
No mapping for GET 错误 ,在springmvc开启支持。
springboot整合shiro后端分离
03-16
Spring Boot整合Shiro可以实现后端分离的安全认证和授权功能。端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给端。 具体实现步骤如下: 1. 引入Shiro和Spring Boot相关依赖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值