关于学习Shiro的一些笔记总结(二)

最新推荐文章于 2022-07-10 21:18:14 发布
最新推荐文章于 2022-07-10 21:18:14 发布
阅读量142 收藏
点赞数 1
分类专栏: # SpringSecurity 文章标签: shiro mybatis jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42047611/article/details/114519799
版权

获取源码和笔记地址:https://gitee.com/monologue_zsj/shiro.git (上篇文章地址:https://blog.csdn.net/weixin_42047611/article/details/114519074)

2、shiro-SpringBoot-jsp

server.port=8888
server.servlet.context-path=/shiro
spring.application.name=shiro

spring.mvc.view.prefix=/
spring.mvc.view.suffix=.jsp

spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/siasr?characterEncoding=utf-8&useSSL=true
spring.datasource.username=root
spring.datasource.password=123456

mybatis.type-aliases-package=com.monologue.entity
mybatis.mapper-locations=classpath:mapper/*.xml

logging.level.com.monologue.mapper=debug
<!--JSP 的依赖-->
<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-jasper</artifactId>
</dependency>
<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
</dependency>

<!--引入SpringBoot整合Shiro依赖-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.5.3</version>
</dependency>
<%--resource/webapp/index.jsp(login.jsp,register.jsp):账户密码提交--%>
<%@ page language="java" contentType="text/html; charset=utf-8"
         pageEncoding="utf-8"%>

<%@taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>
<%@taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>Index</title>
</head>
<body>
    <h1>系统主页 v1.0</h1>
    
    <%--主身份信息--%>
    <h1><shiro:principal/></h1>
    <shiro:authenticated>
        认证之后展示的信息
    </shiro:authenticated>

    <shiro:notAuthenticated>
        没有认证之后展示的信息
    </shiro:notAuthenticated>
    
    <a href="${pageContext.request.contextPath}/user/logout">退出登录</a>
    <ul>
        <shiro:hasAnyRoles name="user,admin">
            <li><a href="">用户管理</a>
                <ul>
                    <shiro:hasPermission name="user:add:*">
                        <li><a href="">insert</a></li>
                    </shiro:hasPermission>
                    <shiro:hasPermission name="user:delete:*">
                        <li><a href="">delete</a></li>
                    </shiro:hasPermission>
                    <shiro:hasPermission name="user:update:*">
                        <li><a href="">update</a></li>
                    </shiro:hasPermission>
                    <shiro:hasPermission name="user:find:*">
                        <li><a href="">select</a></li>
                    </shiro:hasPermission>
                </ul>
            </li>
        </shiro:hasAnyRoles>
        <shiro:hasRole name="admin">
            <li><a href="">商品管理</a></li>
            <li><a href="">订单管理</a></li>
            <li><a href="">物流管理</a></li>
            <li><a href="">系统管理</a></li>
        </shiro:hasRole>
    </ul>
</body>
</html>
/**
 * Created by Monologue_zsj on 2021/3/7 14:38
 * Author:小脸儿红扑扑
 * Description:整合Shiro框架相关的配置类
 */
@Configuration
public class ShiroConfig {

    //1、创建ShiroFilter (负责拦截所有请求)
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //给Filter设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        //配置系统受限资源和系统公共资源
        Map<String, String> map = new HashMap<>();
        map.put("/user/login", "anon");  //anon 指定url可以匿名访问
        map.put("/user/register", "anon");  //anon 指定url可以匿名访问
        map.put("/register.jsp", "anon");  //anon 指定url可以匿名访问
        map.put("/**", "authc");     //authc 请求这个资源需要认证和授权
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        //默认认证界面路径
        shiroFilterFactoryBean.setLoginUrl("/login.jsp");

        return shiroFilterFactoryBean;
    }

    //2、创建安全管理器
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("getRealm") Realm realm) {

        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //给安全管理器设置Realm
        defaultWebSecurityManager.setRealm(realm);

        return defaultWebSecurityManager;
    }

    //3、创建自定义Realm
    @Bean
    public Realm getRealm() {
        CustomerRealm customerRealm = new CustomerRealm();
        //修改凭证校验匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //设置加密算法为md5
        credentialsMatcher.setHashAlgorithmName("MD5");
        //设置散列次数
        credentialsMatcher.setHashIterations(1024);
        customerRealm.setCredentialsMatcher(credentialsMatcher);
        return customerRealm;
    }
}

//service
@Override
public void register(User user) {

    //明文密码进行MD5 + salt + hash散列
    //1、生成随机盐
    String salt = SaltUtils.getSalt(8);
    //2、将随机盐保存的数据库
    user.setSalt(salt);

    Md5Hash md5Hash = new Md5Hash(user.getPassword(), salt, 1024);
    user.setPassword(md5Hash.toHex());

    userMapper.save(user);
}
/**
 * Created by Monologue_zsj on 2021/3/7 16:19
 * Author:小脸儿红扑扑
 * Description:根据beanName获取工厂中指定的bean对象
 */
@Component
public class ApplicationContextUtils implements ApplicationContextAware {

    private static ApplicationContext context;

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.context = applicationContext;
    }

    public static Object getBean(String beanName) {
        return context.getBean(beanName);
    }
}
/**
 * Created by Monologue_zsj on 2021/3/7 14:52
 * Author:小脸儿红扑扑
 * Description:自定义Realm
 */
public class CustomerRealm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {

        //获取身份信息
        String primaryPrincipal = (String) principal.getPrimaryPrincipal();

        //根据主身份信息获取角色和权限信息(模拟数据)
        if ("zsj".equals(primaryPrincipal)) {
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            simpleAuthorizationInfo.addRole("user");

            simpleAuthorizationInfo.addStringPermission("user:find:*");

            return simpleAuthorizationInfo;
        }

        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        System.out.println("_________________________");
        String principal = (String) token.getPrincipal();

        //在工厂中获取service对象
        UserService userService = (UserService) ApplicationContextUtils.getBean("userServiceImpl");

        User user = userService.findByUserName(principal);

        if (!ObjectUtils.isEmpty(user)) {
            return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()), this.getName());
        }
        return null;
    }
}

常见过滤器

配置缩写对应的过滤器功能
anonAnonymousFilter指定url可以匿名访问
authcFormAuthenticationFilter指定url需要form表单登录,默认会从请求中获取username,password,rememberMe 等参数并尝试登录,如果登录不了就会跳转到loginUrl配置的路径。我们也可以用这个过滤器做默认的登录逻辑,但是一般都是我们自己在控制器写登录逻辑的,自己写的话出错返回的信息都可以定制嘛。
authcBasicBasicHttpAuthenticationFilter指定url需要basic登录
logoutLogoutFilter登出过滤器,配置指定url就可以实现退出功能,非常方便
noSessionCreationNoSessionCreationFilter禁止创建会话
permsPermissionsAuthorizationFilter需要指定权限才能访问
portPortFilter需要指定端口才能访问
restHttpMethodPermissionFilter将http请求方法转化成相应的动词来构造一个权限字符串,这个感觉意义不大,有兴趣自己看源码的注释
rolesRolesAuthorizationFilter需要指定角色才能访问
sslSslFilter需要ssl请求才能访问
userUserFilter需要已登录或“记住我”的用户才能访问
/**
 * Created by Monologue_zsj on 2021/3/7 14:52
 * Author:小脸儿红扑扑
 * Description:自定义Realm
 */
public class CustomerRealm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {

        //获取身份信息
        String primaryPrincipal = (String) principal.getPrimaryPrincipal();
        //根据主身份信息获取角色 和 权限信息
        UserService userService = (UserService) ApplicationContextUtils.getBean("userServiceImpl");
        User user = userService.findRolesByUsername(primaryPrincipal);

        //根据主身份信息获取角色和权限信息
        if (!CollectionUtils.isEmpty(user.getRoles())) {
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            user.getRoles().forEach(role -> {
                simpleAuthorizationInfo.addRole(role.getName());
                //权限信息
                List<Permission> permissions = userService.findPermissionByRoleId(role.getId());
                if (!CollectionUtils.isEmpty(permissions)) {
                    permissions.forEach(permission -> {
                        simpleAuthorizationInfo.addStringPermission(permission.getName());
                    });
                }
            });
            return simpleAuthorizationInfo;
        }

        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        System.out.println("_________________________");
        String principal = (String) token.getPrincipal();

        //在工厂中获取service对象
        UserService userService = (UserService) ApplicationContextUtils.getBean("userServiceImpl");

        User user = userService.findByUserName(principal);

        if (!ObjectUtils.isEmpty(user)) {
            return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()), this.getName());
        }
        return null;
    }
}
/**
 * Created by Monologue_zsj on 2021/3/7 15:22
 * Author:小脸儿红扑扑
 * Description:
 */
@Controller
@RequestMapping("/user")
public class UserController {

    @Autowired
    private UserService userService;

    @RequestMapping("/register")
    public String register(User user) {

        try {
            userService.register(user);
            return "redirect:/login.jsp";
        } catch (Exception e) {
            e.printStackTrace();
            return "redirect:/register.jsp";
        }
    }

    @RequestMapping("/login")
    public String login(String username, String password) {

        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(new UsernamePasswordToken(username, password));
            return "redirect:/index.jsp";
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("账户错误...");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误...");
        }
        return "redirect:/login.jsp";
    }

    @RequestMapping("/logout")
    public String logout() {
        SecurityUtils.getSubject().logout();
        return "redirect:/login.jsp";
    }
}
/**
 * Created by Monologue_zsj on 2021/3/7 17:01
 * Author:小脸儿红扑扑
 * Description:
 */
@Controller
@RequestMapping("/order")
public class OrderController {

    @RequestMapping("/save")
    //@RequiresRoles("admin")   //需要那个角色
    //@RequiresPermissions("user:*:*")    //用来判断权限字符串
    public String save() {
        //获取主体对象
        //Subject subject = SecurityUtils.getSubject();
        //代码方式
        /*if (subject.hasRole("admin")) {
            System.out.println("保存订单");
        }else {
            System.out.println("权限不足");
        }

        if (subject.isPermitted("user:*:*")) {
            System.out.println("保存订单");
        }else {
            System.out.println("权限不足");
        }*/

        return "redirect:/index.jsp";
    }
}
int save(User user);

@Select("select * from shiro_user where username = #{username}")
User findByUserName(String username);

//根据用户名查询角色
User findRolesByUsername(String username);

//根据角色id查询权限集合
List<Permission> findPermissionByRoleId(Integer id);
        
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.monologue.mapper.UserMapper">
    <insert id="save" parameterType="User" keyProperty="id" useGeneratedKeys="true">
        insert into shiro_user values (#{id}, #{username}, #{password}, #{salt})
    </insert>

    <resultMap id="UserMap" type="User">
        <id column="uid" property="id" />
        <result column="username" property="username" />
        <!--角色信息-->
        <collection property="roles" javaType="java.util.List" ofType="Role">
            <id column="id" property="id" />
            <result column="rname" property="name" />
        </collection>
    </resultMap>

    <select id="findRolesByUsername" parameterType="String" resultMap="UserMap">
        select u.id uid, u.username, r.id, r.name rname
        from shiro_user u
        left join t_user_role ur
        on u.id = ur.userid
        left join s_role r
        on ur.roleid = r.id
        where u.username = #{username}
    </select>

    <select id="findPermissionByRoleId" parameterType="Integer" resultType="Permission">
        select p.id, p.name, p.url, r.name
        from s_role r
        left join t_role_permission rp
        on r.id = rp.roleid
        left join s_permission p
        on rp.permissionid = p.id
        where r.id = #{id}
    </select>
</mapper>

 

 

 

 

 

 

 

 

 

 

 

 

 

 

臆想的一只猫
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端分离之shiro实现权限控制的一些问题
llll20000的专栏
06-02 1万+
前言 现在做项目,大多都是前后端分离;权限控制都是在后台实现,前端使用ajax调用后台接口。 但是ajax对接口返回的重定向是没发处理的,会出现异常(具体错误是哪个一时想不起来了);当shiro发现失效后的session时通常会将该请求重定向到loginUrl,或者是用户访问的某个资源权限不足时(会重定向到unAuthorizedUrl),这时Ajax请求基本都是出错的。 解决方案 ...
实现登录功能
踏地仰望
02-19 1728
登录功能是web开发中最常见的功能,涉及到前后端交互以及数据层。 全文概要: 1、项目构建(前端ajax、后台springboot、数据库mysql) 2、业务逻辑分析 3、前后端代码实现 正文内容: 一、准备工作 1、设计用户表 2、建立domain对象和对象的dao接口 -- 秒杀用户表 CREATE TABLE miaosha_user( id bi...
Shiro
sharesb的博客
07-10 708
1 必须导入依赖 2 在shiroconfig.java文件中配置方言支持(就是将shrio的语法转为tymeleaf的语法) 3 在html中添加依赖 1 设置不同的登录状态显示不同的标签需要shiro的拦截器将该页面设置为未登录也可以访问,或者默认就是未登录可访问 2.获取当前登录的用户名 <shiro:principal/> 3/如果用户有某个角色就显示对应的字 <shiro:hasRole name="admin">超级管理员</
Shiro haspermission 权限验证有关问题
做最好的自己
12-22 7091
Shiro haspermission 权限验证问题 !!! 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 修改: info:info"> !!!
(五)设计模式之迭代器模式(Iterator)
卷心菜投手
11-21 193
前言: 参考图书:软件设计模式与体系结构 参考博客:https://www.cnblogs.com/wanson/articles/9277813.html   正题:         迭代器(iterator)有时又称游标(cursor)是程序设计的软件设计模式,可在容器(container,例如链表或阵列)上遍访的接口,设计人员无需关心容器的内容。 代码示例: 1 MyIt...
Springboot+Shiro实现动态权限验证
Eagga_Lo的博客
12-24 1574
本文将带你从0开始搭建一个Springboot+shiro动态权限控制 首先你得知道什么是Shiro? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解API,你可以快速、轻松地获取任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网:[点我进入] 开发环境: <!-- shiro --...
shiro简单的密码加盐与登录验证
wogoshu1的博客
07-27 2502
一、pom.xml配置 首先导入依赖,从guns项目的pom.xml中拽出并把版本号替换成1.3.2 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</versi...
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
shiroFilter配置文件详解关于默认的and关系改为or
一窍不通只会复制粘贴的Java工程师
09-24 2097
由于shiro默认对于角色授权的拦截是and关系,只有当该用户拥有配置的一个多个角色是才可通过 /user/add = roles["admin,test"]当该角色同时拥有这两个角色时才可进入user/add的页面中 这显然是不够我们使用的,但是我们可以自定义一个filter实现or关系 自定义的shiroOrFilter如下 /** * 自定义校验规则(or) * 只要满足其中一个
spring-shiro实现角色(roles)自定义Filter----配置多个角色的或关系
椭圆的博客
10-09 7717
roles:正常情况下URL路径的拦截设置如下: /admins/user/**=roles[admin] 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles[“admin,guest”] 但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admi
学习笔记之加密
810cheng
11-22 275
在项目接触中,经常用的两种加密方式,UUID和MD5,在这里做些记录方便以后的参考使用。 加密的方式有很多,同样解密的方式也有很多,没有绝对安全。 第一种:Shiro框架+UUID shiro框架使用的学习笔记 public int saveOrUpdateRole(SysUser sysUser,Integer... roleIds) { if (sysUser == null){ throw new ServiceException("更新保存用户不能为
shiro认证授权源码分析
一只蜗牛的博客
10-16 3131
shiro内置了许多过滤器用来控制认证授权 anon : org.apache.shiro.web.filter.authc.AnonymousFilter authc : org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic : org.apache.shiro.web.filter.authc.Basi
菜鸟的shiro学习总结
最强菜鸟
09-03 828
菜鸟的shiro学习总结说明一、入门系列(1)单机应用下是shiro 说明 更新时间:2020/8/22 18:28,更新了缓存相关内容 本文主要对shiro学习总结,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、入门系列 (1)单机应用下是shiro .........
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro权限入门(二)
GMaya的博客
07-24 302
这个是用的自带的登录验证:shiro权限入门(一) 这次又搞了一个基于token的,没有使用redis缓存,用了一个ehcache缓存 直接使用上面的mp项目框架加了一个模块 思路: ① 登录调用登录接口,生成token,将权限,token等返回,并存入缓存 ② 登录之后调用其他任意接口,首先会经过shiroFilter,然后调用shiroRealm认证,在这里面只需要判断缓存中有没...
Shiro的常见用法
chy1984的博客
07-25 1770
新建类CustomRealm,继承AuthorizingRealm/*** 自定义的Realm/*** 授权方法,权限校验时自动调用//获取主体标识 String username =(String) principalCollection . getPrimaryPrincipal();//使用dao层,根据主体标识查询用户对应的角色、权限,此处略过 Set < String > permissions = null;
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 1016
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
Shiro学习笔记】一、Shiro具体使用详解(基于springboot2.x,前后端分离)
xiao_zhu_kuai_pao的博客
11-11 488
PS:欢迎转载,但请注明出处,谢谢配合。 Shiro具体使用(基于springboot2.x,前后端分离)一、前言二、具体步骤1、加入shiro依赖包2、自定义认证过滤器FormAuthenticationFilter3、自定义授权过滤器RolesAuthorizationFilter4、编写shiro配置类5、编写Realm类6、编写登录Controller 一、前言 基于springboot2.x,前后端分离 二、具体步骤 1、加入shiro依赖包 修改pom.xml <!-- 引入 shir.
Shiro之授权流程篇
qq_43654581的博客
10-29 364
了解Shiro的授权流程,并debug演示
Springboot学习笔记之springboot+shiro+cas
最新发布
05-21
下面是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序: 1. 创建一个 Spring Boot 应用程序,并添加依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-web ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值