SpringBoot-33-shiro请求授权的实现

最新推荐文章于 2024-01-07 18:12:56 发布
最新推荐文章于 2024-01-07 18:12:56 发布
阅读量344 收藏
点赞数
分类专栏: SpringBoot Shrio 文章标签: spring boot 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42045639/article/details/126485493
版权
9.9 shiro请求授权的实现
  • 在上节demo的基础上进行拓展,现在ShiroConfiguration配置类的ShiroFilterFactoryBean方法中设置请求的用户主体的访问权限,并且配置未授权时返回页面信息
  • 本demo的静态资源可以访问SpringBoot整合shiro项目静态资源下载

filterChainDefinitionMap.put(“/user/addUser”,“perms[user:add]”);

shiroFilterFactoryBean.setUnauthorizedUrl(“/user/unauthorized”);

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager")DefaultWebSecurityManager securityManager){
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    //设置安全管理器
    shiroFilterFactoryBean.setSecurityManager(securityManager);

    /*添shiro的内置过滤器,类型
        anon:无需认证就可以访河
        authc: 必须认证了才能让河
        user: 必颈拥有记住我功能才能用
        perms: 拥有对某个资源的权限才能访问:
        role: 拥有某个角色权限才能访河
    */
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    /*也可以用通配符
    * filterChainDefinitionMap.put("/user/*","authc");*/
    //拦截简单请求
    filterChainDefinitionMap.put("/user/addUser","authc");
    filterChainDefinitionMap.put("/user/updUser","authc");
    //设置请求的用户主体的访问权限,然后在realm给用户授予访问权限
    filterChainDefinitionMap.put("/user/addUser","perms[user:add]");
    filterChainDefinitionMap.put("/user/updUser","perms[user:upd]");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    //无认证权限时,设置登陆请求
    shiroFilterFactoryBean.setLoginUrl("/user/toLogin");
    //未授权时返回页面信息
    shiroFilterFactoryBean.setUnauthorizedUrl("/user/unauthorized");
    return shiroFilterFactoryBean;
}
  • 当然得对未授权时返回页面信息,在MyController设置页面信息
@RequestMapping("/unauthorized")
@ResponseBody
public String unauthorized(){
    return "未授权无法访问此页面!";
}
  • 然后在自定义的realm给用户授予访问授权,这个权限从数据库中来,所以需要改造数据库,增加一个perm的权限字段,设置权限信息。这样用户访问某个请求时有这个权限就可以访问,没有权限就返回无权限信息
//访问页面属于授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println("执行了授权doGetAuthorizationInfo方法!");
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    //硬编码,给所有登录用户授予"user:add"权限
    //info.addStringPermission("user:add");
    //拿到当前用户
    Subject subject = SecurityUtils.getSubject();
    //1.从认证这块传递的用户信息,在授权这个用这个方法得到用户,通过当前用户Subject的属性传值
    //2.也可以通过session传值
    User currentUser= (User)subject.getPrincipal();
    //设置用户访问授权
    info.addStringPermission(currentUser.getPerm());
    return info;
}

在这里插入图片描述

  • 但在授权过程中有个问题是用户信息从哪来,肯定得是从自定义realm中的认证信息中来,用户登录时会进行认证,所以哪能拿到用户信息,这块传值方式有2种,下面是用的第一种方式进行传值

传值方式
//1.从认证这块传递的用户信息,在授权这个用这个方法得到用户,通过当前用户Subject的属性传值
//2.也可以通过session传值

//用户登录属于认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    System.out.println("执行了认证doGetAuthenticationInfo方法!");
    //连接真实数据库
    UsernamePasswordToken userToken = (UsernamePasswordToken) token;
    Map<String,String> map = new HashMap(15);

    /*(String)userToken.getPrincipal() == userToken.getUsername()*/
    map.put("name",userToken.getUsername());
    User user = userMapper.getUser(map);

    if (user==null) {
        return null; //抛出UnknownAccountException异常
    }
    /*可以加密:
    MD5加密:e10adc3949ba59abbe56e057f20f883e
    MD5盐值加密(密码混合账户): e10adc3949ba59abbe56e057f20f883eusername*/
    //密码认证,shiro做,加密了,默认是简单验证new SimpleCredentialsMatcher()明文验证
    return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    //传值方式
    //1.从认证这块传递的用户信息,在授权这个用这个方法得到用户,通过当前用户Subject的属性传值
    //2.也可以通过session传值
}
  • 退出登陆操作时使用 subject.logout();来清空全局subject数据
//登陆退出
@RequestMapping("/logout")
public String logout(){
    Subject subject = SecurityUtils.getSubject();
    subject.logout();
    return "login";
}
  • 完整的MyController 控制器
package com.example.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * @author CNCLUKZK
 * @create 2022/8/5-19:22
 */
@Controller
@RequestMapping("/user")
public class MyController {

    @RequestMapping({"/","/toIndex"})
    public String toIndex(Model model){
        model.addAttribute("msg","首页,shiro!");
        return "index";
    }
    @RequestMapping("/addUser")
    public String toAdd(Model model){
        model.addAttribute("msg","add,shiro!");
        return "addUser";
    }
    @RequestMapping("/updUser")
    public String toUpd(Model model){
        model.addAttribute("msg","upd,shiro!");
        return "updUser";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }


    @RequestMapping("/login")
    public String login(String username,String password,Model model){
        Subject subject = SecurityUtils.getSubject();
        //全局token
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            token.setRememberMe(true);
            subject.login(token);
            Session session = subject.getSession();
            session.setAttribute("user",token.getPrincipal());
            return "index";
        } catch (UnknownAccountException uae) {
            model.addAttribute("msg",token.getPrincipal()+" is not correct");
            return "login";
        } catch (IncorrectCredentialsException ice) {
            model.addAttribute("msg","Password for account " + token.getPrincipal() + " was incorrect!");
            return "login";
        } catch (LockedAccountException lae) {
            model.addAttribute("msg","The account for username " + token.getPrincipal() + " is locked.  " +
                    "Please contact your administrator to unlock it.");
            return "login";
        }

    }
    @RequestMapping("/unauthorized")
    @ResponseBody
    public String unauthorized(){
        return "未授权无法访问此页面!";
    }
    //登陆退出
    @RequestMapping("/logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "login";
    }
}
  • 完整的ShiroConfiguration配置类
package com.example.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authc.credential.Md5CredentialsMatcher;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md2Hash;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfiguration {

    //第三步:ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        /*添shiro的内置过滤器,类型
            anon:无需认证就可以访河
            authc: 必须认证了才能让河
            user: 必颈拥有记住我功能才能用
            perms: 拥有对某个资源的权限才能访问:
            role: 拥有某个角色权限才能访河
        */
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        /*也可以用通配符
        * filterChainDefinitionMap.put("/user/*","authc");*/
        //拦截简单请求
        filterChainDefinitionMap.put("/user/addUser","authc");
        filterChainDefinitionMap.put("/user/updUser","authc");
        //设置请求的用户主体的访问权限,然后在realm给用户授予访问权限
        filterChainDefinitionMap.put("/user/addUser","perms[user:add]");
        filterChainDefinitionMap.put("/user/updUser","perms[user:upd]");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        //无认证权限时,设置登陆请求
        shiroFilterFactoryBean.setLoginUrl("/user/toLogin");
        //未授权时返回页面信息
        shiroFilterFactoryBean.setUnauthorizedUrl("/user/unauthorized");
        return shiroFilterFactoryBean;
    }

    //第二步:DefaultWebSecurityManager
    @Bean(name = "defaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //第一步:创建Realm对象,需要自定义类
    @Bean
    public UserRealm userRealm(){
        UserRealm userRealm = new UserRealm();
        userRealm.setCredentialsMatcher(new Md5CredentialsMatcher());
        return userRealm;
    }

    //ShiroDialect   thymeleaf-extras-shiro包下的Shiro方言,导入整合包后还需要进行注册
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}
  • 完整的自定义UserRealm认证授权配置
package com.example.config;

import com.example.mapper.UserMapper;
import com.example.pojo.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;

import javax.jws.soap.SOAPBinding;
import java.util.HashMap;
import java.util.Map;

//自定义UserRealm extends AuthorizingRealm
public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserMapper userMapper;
    //访问页面属于授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权doGetAuthorizationInfo方法!");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //硬编码,给所有登录用户授予"user:add"权限
        //info.addStringPermission("user:add");
        //拿到当前用户
        Subject subject = SecurityUtils.getSubject();
        //1.从认证这块传递的用户信息,在授权这个用这个方法得到用户,通过当前用户Subject的属性传值
        //2.也可以通过session传值
        User currentUser= (User)subject.getPrincipal();
        //设置用户访问授权
        info.addStringPermission(currentUser.getPerm());
        return info;
    }

    //用户登录属于认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了认证doGetAuthenticationInfo方法!");
        //连接真实数据库
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        Map<String,String> map = new HashMap(15);

        /*(String)userToken.getPrincipal() == userToken.getUsername()*/
        map.put("name",userToken.getUsername());
        User user = userMapper.getUser(map);

        if (user==null) {
            return null; //抛出UnknownAccountException异常
        }
        /*可以加密:
        MD5加密:e10adc3949ba59abbe56e057f20f883e
        MD5盐值加密(密码混合账户): e10adc3949ba59abbe56e057f20f883eusername*/
        //密码认证,shiro做,加密了,默认是简单验证new SimpleCredentialsMatcher()明文验证
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
        //传值方式
        //1.从认证这块传递的用户信息,在授权这个用这个方法得到用户,通过当前用户Subject的属性传值
        //2.也可以通过session传值
    }
}

  • 好了,可以进行测试了,用上面数据库中的用户进行登录访问,发现只能访问相应权限的请求。

  • 访问http://127.0.0.1:8080/user/toLogin,用admin/123456登陆显示user:add权限的页面链接

在这里插入图片描述

  • 用Tom/123456登陆显示user:upd权限的页面链接

在这里插入图片描述

下一篇:SpringBoot-34-shiro整合thymeleaf
褚师子书
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro实现授权
史天航的博客
12-10 7151
shiro实现授权 授权,也叫做访问控制,即在应用中控制谁能访问哪些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 授权的概念 主体: 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 资源: 在应用中用户可以...
24-shiro请求授权实现
xixihaha_coder的博客
09-23 117
shiro请求授权实现 1.config ShiroConfig //添shiro的内置过滤器 Map<String, String> map = new LinkedHashMap<>(); //-------------授权,正常情况,未授权会跳转带未授权页面 //限制访问add页面,和update页面 map.put("/user/add","perms[user:add]"); map
Shiro请求授权实现
m0_46388866的博客
02-10 122
Shiro请求授权实现 请求授权的关键方法是realm下面的doGetAuthorizationInfo,每次我们需要授权时候都需要经过这一个方法。我们也需要在 ShiroFilterFactoryBean下面设置好进入什么链接需要什么样的权限filterChainDefinitionMap.put("/add",“perms[user:add]”);在授权我们需要用到一些pricipal,而这些pricipal通常会存储在subject上面,我们可以通过SecurityUtils,来获得subject,原
Shiro请求授权实现
shujuku____的博客
04-16 209
1.修改数据库权限字段,pojo也添perms字段 2.添授权的路径和访问需要的权限 @Configuration public class ShiroConfig { /*三步走,倒着写,将它们交给Spring管理*/ //ShiroFilterFactoryBean:3 @Bean public ShiroFilterFactoryBean get...
shiro 授权(Authorization)
weixin_44659712的博客
09-18 216
术语简介 1、授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role) 2、主体 主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。 3,资源 在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。 4、资源 安全策略中
springboot-07-shiro.zip
08-12
Shiro作为一款轻量级的安全框架,它提供了身份验证、授权、会话管理和密等功能,使得在SpringBoot实现用户权限管理变得简单易行。本篇将详细介绍如何在SpringBoot项目中集成Shiro,并通过实际案例展示其主要...
springboot-shiro权限管理系统.zip
07-05
整合SpringBootShiro,需要在SpringBoot的配置文件(application.properties或application.yml)中设置Shiro的相关配置,如过滤器链定义、Realm的实现类等。部署时,SpringBoot的内嵌Tomcat服务器可以让系统以war...
springboot-08-shiro.zip
09-27
1. 登录认证:通过Shiro的FormAuthenticationFilter实现用户登录,当用户提交登录请求时,Shiro会调用对应的Realm进行认证。 2. 权限控制:利用Shiro的perms和roles注解进行权限控制,可以精确到URL或方法级别。 3...
springboot-shiro认证系统框架--成型框架
09-17
- 自定义Realm: Realm是Shiro与应用数据源的接口,通常需要自定义 Realm 类,实现用户的认证和授权逻辑,连接到数据库或其他数据存储。 - 过滤器链:ShiroFilter Chain定义了请求的处理流程,如登录、权限检查...
Springboot-Shiro-Activiti
05-14
Springboot-Shiro-Activiti项目中,Activiti被用来实现业务流程自动化,比如请假申请、报销审批等。通过 Activiti 的流程定义模型,开发者可以图形化地设计工作流程,并将其集成到Spring Boot应用中。 在...
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 入权限判断进行鉴权处理!
Shiro 授权实现
嵩园
09-28 519
一. 授权 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体:即访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权后才允许访问相应的资源。 资源:在应用中用户可以访问的任何东西,比如访问 J
shiro实现用户授权
dsl
05-29 361
我的场景是:
05.Shiro实现授权
qq_56403015的博客
11-11 158
Shiro中进行授权主要是进行对资源,角色,权限的授权
Shiro学习笔记(四)——shiro实现授权
驼君的小小博客园
02-07 375
授权概述 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、 角色(Role) 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户可以访问的任何东西,比如访问JS...
shiro】一、基础概念
weixin_34212762的博客
07-05 175
来源:http://blog.csdn.net/swingpyzf/article/details/46342023/ &amp;&amp;&amp;&amp; http://jinnianshilongnian.iteye.com/blog/2018936 什么是Apache Shiro 1、什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Ja...
Shiro授权
最新发布
liubopro666的博客
01-07 1040
在当今的应用开发中,安全是至关重要的一环。而 Shiro 作为一个强大而灵活的安全框架,为我们提供了一种简单而有效的方式来管理应用程序的授权。在这篇博客中,我将带领大家深入了解 Shiro授权功能,以及如何使用 Shiro 来保护我们的应用程序。通过实际的案例和代码示例,我将向你展示如何使用 Shiro 来控制对资源的访问,以及如何实现细粒度的权限控制。你将了解到如何定义权限、分配角色,以及在运行时进行动态的授权决策。
springboot整合shiro不拦截某个请求
09-06
Spring Boot中,可以通过整合Shiro实现请求的拦截和权限控制。如果不希望Shiro拦截某个请求,可以通过配置Shiro的过滤器链来实现。 首先,在Spring Boot的配置类中,需要注入一个FilterRegistrationBean对象来配置Shiro的过滤器链。然后,通过调用FilterRegistrationBean的addInitParameter方法,设置Shiro过滤器的init参数。 在设置Shiro过滤器的init参数时,可以通过使用Shiro内置的过滤器来达到不拦截某个请求的目的。其中,"anon"代表不需要认证即可访问,"authc"代表需要认证才能访问。 示例代码如下: @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<DelegatingFilterProxy> shiroFilterRegistration() { FilterRegistrationBean<DelegatingFilterProxy> registration = new FilterRegistrationBean<>(); registration.setFilter(new DelegatingFilterProxy("shiroFilter")); Map<String, String> initParameters = new LinkedHashMap<>(); // 不拦截某个请求 initParameters.put("anon", "/path/to/skip"); // 其他需要认证的请求 initParameters.put("authc", "/path/to/authenticate"); registration.setInitParameters(initParameters); registration.setOrder(1); registration.addUrlPatterns("/*"); return registration; } // 其他Shiro配置省略... } 在上述代码中,通过设置initParameters来指定需要不拦截的请求与需要认证的请求。其中,"/path/to/skip"代表不需要进行认证和授权请求路径。 通过以上配置,可以实现Spring BootShiro的整合,并使得Shiro不拦截某个特定的请求
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值