Spring Boot 2.x+shiro前后端分离实战-shiro核心配置 实战篇 (十一)

最新推荐文章于 2023-06-02 11:29:31 发布
最新推荐文章于 2023-06-02 11:29:31 发布
阅读量147 收藏
点赞数
分类专栏: shiro专题 文章标签: spring boot shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42081445/article/details/120434731
版权

Spring Boot 2.x+shiro前后端分离实战-shiro核心配置

自定义 Realm

public class CustomRealm extends AuthorizingRealm {

    @Autowired
    private RedisUtil redis;


    /**
     * 设置支持令牌校验
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof CustomPasswordToken;
    }

    /**
     * 主要业务:
     * 系统业务出现要验证用户的角色权限的时候,就会调用这个方法
     * 来获取该用户所拥有的角色/权限
     * 这个用户授权的方法我们可以缓存起来不用每次都调用这个方法。
     * 后续的课程我们会结合 redis 实现它
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        String accessToken = (String) SecurityUtils.getSubject().getPrincipal();
        String userId = (String) redis.get(accessToken);
        authorizationInfo.addRoles(getRolesByUserId(userId));
        authorizationInfo.addStringPermissions(getPermissionByUserId(userId));
        return authorizationInfo;

    }

    /**
     * 主要业务:
     * 当业务代码调用 subject.login(customPasswordToken); 方法后
     * 就会自动调用这个方法 验证用户名/密码
     * 这里我们改造成 验证 token 是否有效 已经自定义了 shiro 验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        CustomPasswordToken token = (CustomPasswordToken) authenticationToken;
        SimpleAuthenticationInfo simpleAuthenticationInfo = new
                SimpleAuthenticationInfo(token.getPrincipal(), token.getCredentials(), getName());
        return simpleAuthenticationInfo;
    }

    /**
     * 获取用户的角色
     * 这里先用伪代码代替
     * 后面我们讲到权限管理系统后 再从 DB 读取
     *
     * @param userId
     * @return java.util.List<String>
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    private List<String> getRolesByUserId(String userId) {
        List<String> roles = new ArrayList<>();
        if (userId.equals("9a26f5f1-cbd2-473d-82db-1d6dcf4598f8")) {
            roles.add("admin");
        } else {
            roles.add("test");
        }
        return roles;
    }

    /**
     * 获取用户的权限
     * 这里先用伪代码代替
     * 后面我们讲到权限管理系统后 再从 DB 读取
     *
     * @param userId
     * @return java.util.List<String>
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    private List<String> getPermissionByUserId(String userId) {
        List<String> permissions = new ArrayList<>();
        /**
         * 只有是 admin 用户才拥有所有权限
         */
        if (userId.equals("9a26f5f1-cbd2-473d-82db-1d6dcf4598f8")) {
            permissions.add("*");
        } else {
            permissions.add("sys:user:edit");
            permissions.add("sys:user:list");
        }
        return permissions;
    }
}

shiro核心配置

@Configuration
public class ShiroConfig {

    /**
     * 自定义密码 校验
     */
    @Bean
    public CustomHashedCredentialsMatcher hashedCredentialsMatcher() {
        return new CustomHashedCredentialsMatcher();
    }

    /**
     * 自定义域
     */
    @Bean
    public CustomRealm customRealm() {
        CustomRealm customRealm = new CustomRealm();
        customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return customRealm;
    }

    /**
     * 安全管理
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    /**
     * shiro过滤器,配置拦截哪些请求
     *
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //自定义拦截器限制并发人数,参考博客:
        LinkedHashMap<String, Filter> filtersMap = new LinkedHashMap<>();
        //用来校验token
        filtersMap.put("token", new CustomAccessControlFilter());
        shiroFilterFactoryBean.setFilters(filtersMap);
        Map<String, String> map = new LinkedHashMap<>();
        map.put("/api/user/login", "anon");
        //放开swagger-ui地址
        map.put("/swagger/**", "anon");
        map.put("/v2/api-docs", "anon");
        map.put("/swagger-ui.html", "anon");
        map.put("/swagger-resources/**", "anon");
        map.put("/webjars/**", "anon");
        map.put("/favicon.ico", "anon");
        map.put("/captcha.jpg", "anon");
        map.put("/csrf", "anon");
        map.put("/**", "token,authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

    /**
     * 开启shiro aop注解支持.
     * 使用代理方式;所以需要开启代码支持;
     *
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
一名技术极客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、话管理、加密等功能。JWT(JSON Web Token)...
shiro的权限验证方法 doGetAuthorizationInfo 重复执行的解决办法
进阶的球儿
10-10 2766
很简单,注释掉ShiroConfiguration 中的DefaultAdvisorAutoProxyCreator 即可。 /** * 加入下面2个 可以在controller层使用shiro注解 * 注释掉,解决权限验证多次循环的问题 * @return */ // @Bean(name = "advisorAutoProxyCreat...
自定义realm出现doGetAuthorizationInfo多次重复
3k油:知道的越多,不知道的越多
10-09 1618
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么有多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复用了。于是定位到了下边的这个方法。 a)d.
CAS+Shiro 自定义 pac4jRealm 每次判断权限都要重复执行doGetAuthorizationInfo()两次
xiyafei122的博客
03-18 985
代码如下: public class UserRealm extends Pac4jRealm(){ @Override public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub System.out.println("Onece"); Set<String> roles=new
shiro】问题记录--doGetAuthorizationInfo重复执行以及关闭shiro自带的session
kevin的博客
06-02 544
shiro整合token实现续签的时候,试发现了一个奇葩的情况,我的doGetAuthorizationInfo重复执行2次。
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
使用SpringBoot+SpringJPA+Swagger+Shiro快速搭建前后端分离的权限管理系统源码,方便二次开发
最新发布
06-15
使用SpringBoot+SpringJPA+Swagger+Shiro快速搭建前后端分离的权限管理系统源码,方便二次开发,项目经过严格测试,确保可以运行! 快速搭建前后端分离的权限管理系统 提供一套基于SpringBoo+shiro的权限管理思路. ...
Spring Boot+layui+Apache Shiro+MyBatis前后端分离版开发通用网站后台管理系统
06-12
用户管理:用户是系统操作者,该功能主要完成系统用户配置。 部门管理:配置系统组织机构(公司、部门、小组),树结构展现。 菜单管理:配置系统菜单,操作权限,按钮权限标识等,权限细粒度到按钮。 角色管理:...
Springboot+Vue+Shiro+ElementUI前后端分离权限快速上手项目实战开发
06-15
适用人群Java开发人员,Vue开发人员,前后端分离开发人员,权限管理和配置开发人员 课程概述【讲师介绍】讲师职称: 现某知名大型互联网公司资深架构师,技术总监,职业规划师,首席面试官,曾在某上市培训机构,...
解决:shiro中重写doGetAuthenticationInfo,结果先执行doGetAuthenticationInfo后执行login的问题
Liucheng417的博客
07-17 1万+
前提: Springboot整合Shiro后,启动项目,点击一次登录,却先执行MyShiroRelam类(继承AuthorizingRelam类)中的重写方法doGetAuthenticationInfo(),token为null,再执行Login用的此方法,传过来username和password的验证。再执行doGetAuthenticationInfo()方法,token为null 原...
shiro的权限验证方法doGetAuthorizationInfo执行了两次
大海无量的博客
03-02 7270
每次接口时,doGetAuthorizationInfo执行了两次。 // 权限配置(注解方式) /** * 下面的代码是添加注解支持 */ // @Bean // @DependsOn("lifecycleBeanPostProcessor") // public DefaultAdvisorAutoProxyCreator ...
SpringBoot+Vue前后端分离跨域问题
zukxu123的博客
09-16 1559
文章目录前言一、CORS是什么?二、解决方法1.后端解决方法1.1.注解1.2.过滤器预处理(SpringMVC)1.3.编写跨域配置类(SpringBoot)2.前端解决方法2.1. vue.config.js配置项服务器解决方法Nginx总结 前言 作为前后端分离的项目,跨域问题是无法避免的,通常我们都在后端进行全局跨域的处理 后端解决方法 一、CORS是什么? CORS即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些
shiro中AuthorizingRealm接口的doGetAuthorizationInfo 与doGetAuthenticationInfo什么时候
热门推荐
sidanchen的博客
03-09 3万+
这两个方法虽然名字很像,但是意义是不一样的,doGetAuthorizationInfo方法是进行权限验证,doGetAuthenticationInfo是进行身份验证的(登录验证),相信很多初学者对于这两个方法的用时机可能不太明白,今天楼主搞了一下午的测试大致明白这两个方法的用时机。1.doGetAuthorizationInfo方法    该方法主要是用于当前登录用户授权(作者小白插一句:...
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo后执行login的问题
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
关于shiro doGetAuthorizationInfo授权方法和doGetAuthenticationInfo登陆认证方法的执行时机
weixin_43874015的博客
09-12 1845
1.默认情况下不关闭shiro自带的session 登陆时生成JESSIONID,执行doGetAuthorizationInfo的时机 1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasPermission]
(完整版)springboot2.X整合shiro,实现shiro-redis分布式session、用户登录和权限控制
Canon
12-22 1390
公司新项目用的是shiro做权限控制,一直说写一篇shiro的文章,一直拖着没写。马上过年了, 这债该还了呀。。。 项目基于springboot(2.1.7.RELEASE) + mybatis-plus(3.2.0) + shiro-redis(3.2.3) 知识储备 原理参考:1、shiro框架详解。2、Shiro权限管理框架详解。 有些名词还是得先了解: Subject:主体,...
shiro的前后的分离的使用(SpringBoot
JackMa的博客
09-22 1227
shiro的前后的分离的使用(SpringBoot
java热部署实现shiro,SpringBoot2.x+shiro+redis+jwt+swagger+mybatis 前后端分离实战脚手架(一)...
05-14
2. 使用Spring Boot DevTools。Spring Boot DevTools是一个开发工具包,可以在不需要重启应用程序的情况下自动重新加载类。 3. 使用JRebel。JRebel是一个商业软件,可以在不需要重启应用程序的情况下重新加载类。它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一名技术极客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值