spring-shiro 实现权限管理,单点登录

最新推荐文章于 2024-05-21 10:27:57 发布
最新推荐文章于 2024-05-21 10:27:57 发布
阅读量4.5k 收藏 2
点赞数 1
分类专栏: spring-shiro 文章标签: spring xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40750117/article/details/78684109
版权 
      在spring的整合xml配置信息
  <!-- 配置自定义Realm -->
<bean id="userRealm" class="com.hisicompass.web.shiro.UserRealm" />


<!-- 用户授权信息Cache,缓存在本机内存,不支持集群 -->
 <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> 
    <property name="cacheManagerConfigFile" value="classpath:spring/shiroEhcache.xml"/> 
    </bean> 


<bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO" />
<bean id="sessionManager"
    class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="sessionDAO" ref="sessionDAO" />
</bean>
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="userRealm" />
    <property name="sessionManager" ref="sessionManager" />
    <!-- 缓存管理器 -->
    <!-- <property name="cacheManager" ref="cacheManager"/> -->
</bean>


<bean
    class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod"
        value="org.apache.shiro.SecurityUtils.setSecurityManager" />
    <property name="arguments" ref="securityManager" />
</bean>


<!-- 自定义shiro的fileter -->
<!-- <bean id="unifyShiroFilter" class="com.hisicompass.web.shiro.UnifyShiroFilter" 
    /> -->


<!-- Shiro过滤器 核心 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- Shiro的核心安全接口,这个属性是必须的 -->
    <property name="securityManager" ref="securityManager" />
    <!-- 权限认证失败时,则跳转到指定请求地址 -->
    <property name="unauthorizedUrl" value="/401.jsp" />
    <property name="loginUrl" value="/BTVhtml/page/login/login.html" />
    <!-- <property name="filters"> -->
    <!-- <util:map> -->
    <!-- <entry key="unifyShiroFilter" value-ref="unifyShiroFilter" /> -->
    <!-- </util:map> -->
    <!-- </property> -->
    <!-- Shiro连接约束配置,即过滤链的定义 -->
    <property name="filterChainDefinitions">
        <value>
            <!--过滤器分为两组,一组是认证过滤器,一组是授权过滤器。其中anon,authcBasic,authc,user是第一组,perms,roles,ssl,rest,port是第二组 -->
            <!--注意user和authc不同:当应用开启了rememberMe时,用户下次访问时可以是一个user,但绝不会是authc,因为authc是需要重新认证的; -->
            <!--user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe -->
            <!--说白了,以前的一个用户登录时开启了rememberMe,然后他关闭浏览器,下次再访问时他就是一个user,而不会authc -->
            <!--/index=user 表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态就可以正常发起'/index'请求 -->
            <!--anon表示可匿名使用,无需认证;authc表示需认证才能使用;authcBasic表示httpBasic认证;user表示必须Shiro记住用户,当登入操作时不做检查;ssl表示安全的URL请求,协议为https -->
            <!--perms表示拥有某权限,参数可写多个,多参时必须加上引号,且参数之间用逗号分割,如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才算通过 -->
            <!--roles表示拥有某角色,参数可写多个,多个时必须加上引号,且参数之间用逗号分割,如/admins/user/**=roles["admin,guest"],当有多个参数时必须每个参数都通过才算通过 -->
            /b5e160ba-2132-494d-8c56-30029ea5ff0b=anon
            /BTVhtml/css/**=anon
            /BTVhtml/fonts/**=anon
            /BTVhtml/images/**=anon
            /BTVhtml/img/**=anon
            /BTVhtml/js/**=anon


            /BTVhtml/page/login/login.html=anon
            /erro.jsp=anon
            /user/login=anon
            /system=anon
            <!-- 首页 -->
            /BTVhtml/index.html=perms[sys_survey]
            /index=perms[sys_survey]
            <!-- 首页-基础资源 -->
            /BTVhtml/page/baseResource/**=perms[sys_survey]
            /baseResource/**=perms[sys_survey]

        </value>
    </property>
</bean>


<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />


<!-- Enable Shiro Annotations for Spring-configured beans. Only run after -->
<!-- the lifecycleBeanProcessor has run: -->
<!-- AOP式方法级权限检查 这两个类主要用于注解 -->
<bean
    class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
    depends-on="lifecycleBeanPostProcessor">
    <!-- 必须改为true,即使用cglib方式为Action创建代理对象。默认值为false,使用JDK创建代理对象,会造成bean注入问题 -->
    <property name="proxyTargetClass" value="true" />
</bean>
<!-- 使用shiro框架提供的切面类,用于创建代理对象 -->
<bean
    class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager" />
</bean>

//UserRealm 实现单点登录,用户权限认证
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private DefaultWebSecurityManager securityManager;

    @Autowired
    private HisiUserMapper btvUserMapper;
    @Autowired
    private HisiUserPowerMapper btvUserPowerMapper;

    /**
     * 用户身份验证
     * 
     * @param token
     * @throws 匹配失败会抛出异常
     * @return
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) {
        String userName = (String) token.getPrincipal();
        Session sessionLocal = SecurityUtils.getSubject().getSession();
        DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager
                .getSessionManager();
        Collection<Session> sessions = sessionManager.getSessionDAO()
                .getActiveSessions();// 获取当前已登录的用户session列表
        for (Session session : sessions) {
            // 实现单点登录
            if (userName
                    .equals(String.valueOf(session
                            .getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY)))) {
                if (!sessionLocal.getId().equals(session.getId())) {
                    sessionManager.getSessionDAO().delete(session);
                }
            }
        }
        HisiUser btvUser = btvUserMapper.selectByUserName(userName);
        if (btvUser != null) {
            AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                    btvUser.getUserName(), btvUser.getUserPwd(), getClass()
                            .getName());
            return authenticationInfo;
        } else {
            throw new UnknownAccountException(); // 如果用户名为空
        }
    }

    /**
     * 用户权限认证
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        String userName = principals.getPrimaryPrincipal().toString();
        // 取登录用户下的session里面的系统的ID。
        String sysId = String.valueOf(SecurityUtils.getSubject().getSession()
                .getAttribute(Constant.HTTP_SESSION_SYSTEM_ID));
        // 用户信息
        HisiUser btvUser = btvUserMapper.selectByUserName(userName);
        // 用户权限信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        List<HisiUserPower> powers = btvUserPowerMapper.listByUserIdAndSysId(
                btvUser.getId(), Integer.parseInt(sysId));
        Set<String> userPowerSet = new HashSet<String>();
        for (HisiUserPower e : powers) {
            userPowerSet.add(e.getPowerVal());
        }
        // 设置当前用户在指定系统下的权限
        simpleAuthorizationInfo.setStringPermissions(userPowerSet);
        return simpleAuthorizationInfo;
    }
}
温柔的小江
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
springMVC集成shiro与cas实现SSO单点登录
wangli61289的专栏
02-01 7745
一、前言 Apache ShiroSpring Security一样是Java的一个安全框架。那为什么与Spring整合却用Shiro?其实我个人是认为Spring Security太过于笨重,要写太多的过滤器,Shiro的配置简单这就是我选择的理由,何况Spring官方自己都推荐使用ShiroShiro最主要的就是认证与授权,而CAS的重点在于单点登录,其实CAS与Shiro整合的话就是关
shiro实现单点登录
10-15
spring整合shirospring-data-redis和spring-session-data-redis通过shiro实现单点登录
单点登录系统原理与实现
m0_37911384的博客
10-17 402
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请...
shiro+jwt整合的单点登录
最新发布
m0_72583612的博客
05-21 300
这些东西都是死的,照着抄就完事了,咱们不啰嗦,直接上代码提示:以下是本篇文章正文内容,下面案例可供参考//用户登录//校验和数据库 中的用户名密码是否一致//校验和数据库 中的用户名密码是否一致单点登录可以搭配着昨天的网关一起使用,昨天的网关代码也有对token的拦截,判断以及解析。
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
主要介绍了shiro实现单点登录(一个用户同一时刻只能在一个地方登录)的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能。 Shiro 简介 Apache Shiro 是一个开放源代码的安全框架,...
spring boot整合Shiro实现单点登录的示例代码
08-28
Spring Boot 整合 Shiro 实现单点登录的示例代码 本篇文章主要介绍了 Spring Boot 整合 Shiro 实现单点登录的示例代码的知识点,旨在帮助读者快速掌握该技术的实现方法。下面是相关知识点的详细介绍: 一、Shiro ...
单点登录sso-shiro-cas-maven
10-19
#### 以上就是单点登录管理的主要配置 ## 应用系统的配置node1 1. 应用系统采用shiro做权限控制,并且跟cas集成 2. 在/spring-node-1/src/main/resources/conf/shiro.properties 文件中 ``` properties shiro....
shiro+spring+data+session+redis实现单点登录
08-03
本案例聚焦于使用Apache ShiroSpringSpring Data以及Redis来实现单点登录功能,下面将详细解释这些组件以及它们如何协同工作。 **Apache Shiro** Apache Shiro是一款轻量级的安全框架,提供了认证、授权、会话...
基于SpringbootShiro实现的CAS单点登录
神尐破
09-16 2687
单点登录(Single Sign On,SSO)是一种登录管理机制,主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。常见的例子就是,当我们在淘宝网上登录了之后,如果再访问天猫网的话是不需要再次登录的。
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
Shiro安全框架, 实现系统的单点登陆和登出功能, 包含数据库文件
springboot+redis+shiro单点登录,统一异常处理,统一日志
07-10
springboot+redis+shiro单点登录,统一异常处理,统一日志,缓存
springmvc+spring+shiro+cas单点登录实例
01-11
spring+springmvc+shiro+cas单点登录实例 springmvc+spring+shiro+cas单点登录实例 加入了登录验证码认证,修改了下首页样式,不过样式没有弄好,很丑的,有空自己再弄下 说明:cas-server是单点登录服务端,用的是maven项目,但是WEB-INF里面的lib目录下面有很多jar包需要导入到工程。服务端启动就用windows版本的tomcat吧,tomcat添加cas-server就好,端口自定 spring-node-1 和spring-node-1 是cas客户端,这两个直接用maven-tomcat7的插件启动,在pom.xml中配置好了,端口也在配置了。然后clean install tomcat7:run 就能跑起来,注意要修改node1和node2里的shiro.properties配置文件,要配置登录成功成功返回的路径 我的访问的分别是: 服务端: http://localhost:8050/cas-server 客户端:http://127.0.0.1:8081/node1/shiro-cas http://127.0.0.1:8082/node2/shiro-cas 下载地址 github :https://github.com/xiaofeifeia/spring-springmvc-shiro-cas-.git
springBoot单点登录实例
04-02
该项目为springBoot单点登录实例,其中包含了权限设置。前端为HTML写的简单示例。开发工具为IDEA,启动项目根据模块划分,1、mysql-->MysqlTest(创建数据库实例,根据实际情况可自行更改,)。2、web1。2、web2
使用Shiro共享Session模拟单点登录
李昊翔的CSDN
03-22 754
首先我们看Shiro的会话管理器的配置 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.session...
sprimgmvc+shiro+cas单点登录
SongYou05的专栏
12-27 431
一、单点退出实现原理分析: 项目背景: 项目实现技术包括springmvc+shiro(会话管理、权限控制)+cas(单点登录、单点登出),现有两个系统分别为A和B,两个系统的会话session不共享,即两个系统分别有自己的session。cas的单点登录包括两种情况,1)用户主动点击系统的退出按钮,两个系统同时退出系统,2)某个系统的session时间到期,当一个系统退出的同时,要求另一个系统也...
shiro单点登录原理_spring boot整合Shiro实现单点登录的示例代码
weixin_35724224的博客
12-24 640
Shiro是什么Shiro是一个Java平台的开源权限框架,用于认证和访问授权。具体来说,满足对如下元素的支持:用户,角色,权限(仅仅是操作权限,数据权限必须与业务需求紧密结合),资源(url)。用户分配角色,角色定义权限。访问授权时支持角色或者权限,并且支持多级的权限定义。Q:对组的支持?A:shiro默认不支持对组设置权限。Q:是否可以满足对组进行角色分配的需求?A:扩展Realm,可以支持对...
SpringBoot 整合 Shiro 实现动态权限加载更新+Session 共享+单点登录.docx
11-29
"本文档详细介绍了如何在SpringBoot项目中整合Apache Shiro框架,实现动态权限加载更新、Session共享以及单点登录功能。通过Shiro的简单易用性,配合SpringBoot的自动化配置,可以有效地处理项目的认证和授权需求。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值