小白使用shiro安全框架|SpringBoot框架整合Shiro安全框架|使用Shiro安全框架实现用户用户角色接口权限管理|解决Shiro安全框架多角色权限问题

最新推荐文章于 2022-12-08 23:22:57 发布
最新推荐文章于 2022-12-08 23:22:57 发布
阅读量504 收藏 5
点赞数 1
分类专栏: springboot 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42366630/article/details/117002590
版权

前情提示:
1、我的数据库一共有4种用户类型表:student、school、company、admin,每张表都有属性role,以此让shiro获得用户角色。
2、因为shiro的用户权限是默认交集的,即一个接口配置多个用户角色的话就时必须时全部都满足这个角色才能访问。因此我进行了第四步配置。如果没有这个问题的话可以忽略第四步。
3、我实现的方法比较笨拙,仅供参考。有啥问题可以留言,共同进步哈。

一、新建一个对象User类

public class User {
    private Integer id;
    private String password;
    private String role;
    public void setId(Integer id) {
        this.id = id;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    public void setRole(String role) {
        this.role = role;
    }
    public void setUserSalt(String userSalt) {
        this.userSalt = userSalt;
    }
    public Integer getId() {
        return id;
    }
    public String getPassword() {
        return password;
    }
    public String getRole() {
        return role;
    }
    public String getUserSalt() {
        return userSalt;
    }
    private String userSalt;
}

二、新建一个文件夹Config,在其中新建一个UserRealm.java文件

package com.example.config;
import com.example.pojo.*;
import com.example.service.AdminService;
import com.example.service.CompanyService;
import com.example.service.SchoolService;
import com.example.service.StudentService;
import org.apache.shiro.authc.Account;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.SimpleSession;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.DigestUtils;
import java.util.HashSet;
import java.util.Set;
public class UserRealm extends AuthorizingRealm {
    @Autowired
    AdminService adminService;
    @Autowired
    CompanyService companyService;
    @Autowired
    SchoolService schoolService;
    @Autowired
    StudentService studentService;

    //返回当前realm的一个自定义名称
    public String getName() {
        return "UserRealm";
    }

    /**
     * 获取授权信息
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了==》》授权doGetAuthorizationInfo");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获取到当前用户
        User user = (User) principalCollection.getPrimaryPrincipal();
//        //赋予用户角色
        //Role role = adminService.findRoleByAccountName(account.getUsername());
        Set<String> roleSet = new HashSet<String>();
        roleSet.add(user.getRole());
        info.setRoles(roleSet);
        return info;
    }

    /**
     * 认证
     * <p>
     * 获取认证的安全信息(从数据库查询用户的正确信息)
     *
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了==》》doGetAuthenticationInfo");
        //从token中获取用户名
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        String username = userToken.getUsername();
        //用户名,密码,数据库中取
        Admin admin = adminService.queryByUserName(Integer.valueOf(username));
        Company company = companyService.queryByUserName(Integer.valueOf(username));
        School school = schoolService.queryByUserName(Integer.valueOf(username));
        Students st = studentService.queryByUserName(Integer.valueOf(username));
        if (admin == null) {
            if (company == null) {
                if (school == null) {
                    if (st == null) {
                        return null;//用户名不存在
                    }
                }
            }
        }
        //获取session
        Subject currentSubject = SecurityUtils.getSubject();
        Session session = currentSubject.getSession();
        User user=new User();
        if (admin != null) {
            session.setAttribute("loginUser", admin);
            user.setId(admin.getId());
            user.setPassword(admin.getPassword());
            user.setRole(admin.getRole());
        } else if (company != null) {
            session.setAttribute("loginUser", company);
            user.setId(company.getId());
            user.setPassword(company.getPassword());
            user.setRole(company.getRole());
        } else if (school != null) {
            session.setAttribute("loginUser", school);
            user.setId(school.getId());
            user.setPassword(school.getPassword());
            user.setRole(school.getRole());
        } else   {
            session.setAttribute("loginUser", st);
            user.setId(st.getId());
            user.setPassword(st.getPassword());
            user.setRole(st.getRole());
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }
}

三、在文件夹Config新建一个ShiroConfig.java文件

package com.example.config;

import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;


@Configuration
public class ShiroConfig {
    //ShiroFilterFactoryBean

    //DafaultWebSecurityManager

    //创建realm对象
    //ShiroFilterFactoryBean
    //过滤器
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
//        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//        //设置安全管理器
//        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        //
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        // 存放自定义的filter
        LinkedHashMap<String, Filter> filtersMap = new LinkedHashMap<>();
        // 配置自定义 or角色 认证
        filtersMap.put("roles", new MyShiroFilter());
        shiroFilterFactoryBean.setFilters(filtersMap);
       // Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        /*
        anon:无需认证可以访问
        authc:必须认证才能访问
        user:必须拥有 记住我 功能才能用
        perms:拥有对某个资源的权限才能访问
        role:拥有某个角色权限才能访问
         */
        //登录拦截
        Map<String, String> filterMap = new LinkedHashMap<>();
        //用户进入登录界面,无需认证 登陆不拦截
       filterMap.put("/admin/login", "anon");
       filterMap.put("/student/login", "anon");
       filterMap.put("/company/login", "anon");
       filterMap.put("/school/login", "anon");

//        filterMap.put("/**", "authc");
//        //用户进入系统,必须进行登录验证
       System.out.println(filterMap);
        //角色拦截  我只展示部分的
        //admin
        filterMap.put("/admin/showAll", "authc,roles[admin]");
        filterMap.put("/admin/showById", "authc,roles[admin]");
        filterMap.put("/admin/fixPassword", "authc,roles[admin]");
        //company
        filterMap.put("/company/showAll", "authc,roles[admin,school,student]");
        filterMap.put("/company/selectByAll", "authc,roles[admin,school,student]");
        filterMap.put("/company/deleteById", "authc,roles[admin,school]");
        filterMap.put("/company/add", "authc,roles[admin,school]");
        filterMap.put("/company/showById", "authc,roles[company]");
        filterMap.put("/company/fixPassword", "authc,roles[company]");
        filterMap.put("/company/fixMessage", "authc,roles[company]");
        //设置登出
        //filterMap.put("/logout", "logout");
        //设置admin下的某个方法需要某个权限
        // filterMap.put("/sys/admin/find", "perms[admin:find]");
        System.out.println(filterMap);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
//        shiroFilterFactoryBean.setLoginUrl();
//        //设置未授权访问的页面路径401(无权限界面)
//        shiroFilterFactoryBean.setUnauthorizedUrl("/noauth");
        return shiroFilterFactoryBean;
    }


    //DefaultWebSecurityManager:2
    @Bean("defaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("UserRealm")UserRealm userRealm) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //关联userRealm
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }

    //自定义realm
    @Bean("UserRealm")
    public UserRealm getUserRealm() {
        UserRealm userRealm=new UserRealm();
        return userRealm;
    }
}

四、在文件夹Config新建一个MyShiroFilter.java文件

package com.example.config;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import org.springframework.context.annotation.Configuration;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

@Configuration
public class MyShiroFilter  extends AuthorizationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;
        //没有角色限制,没有权限访问
        if (rolesArray == null || rolesArray.length == 0) {
            return false;
        }
        //若当前用户是rolesArray中的任何一个,则有权限访问
        for (int i = 0; i < rolesArray.length; i++) {
            if (subject.hasRole(rolesArray[i])) {
                return true;
            }
        }

        return false;
    }

}

五、在每个登陆接口的service插入语句:

 //shrio验证
        Subject subject= SecurityUtils.getSubject();
        UsernamePasswordToken token =new UsernamePasswordToken(String.valueOf(admin.getId()),admin.getPassword());
        subject.login(token);

Over!!!亲测可用呀

世界第一款
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro添加多用户角色判断
Zemo 学习笔记
11-22 7403
首先简单介绍一下shiro shiro是Apache开源项目的一个安全开源框架。提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 这篇文章介绍一下在对roles进行判断,一般验证一个角色,想添加多个角色时,会报一些重定向循环之类的错误。 首先要重写一个RolesAuthorizationFilter我们命名为An
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限实现前后端全分离接口安全
shiro角色( roles)自定义Filter----同一个URL配置多个角色的或关系
直到世界的尽头
03-08 1万+
情况介绍roles:正常情况下URL路径的拦截设置如下:/admins/user/**=roles[admin]参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"]但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admin和guest权限
shiro配置一个路径可多个角色访问
码来-陈平安的博客
04-05 963
一、问题shiroConfirg配置类中,对于下类路径的访问控制通常表示具有两种角色才能访问,但我们有时可能对于某一个路径而言,需要多个角色均可以访问,解决办法是配置自己的过滤器。 chainDefinition.addPathDefinition("/manage/**", "authc, roles[administrator,评审人员]"); 二、解决 1.在ShiroConfig中的ShiroFilterFactoryBean 下引入自己编写的过滤器 MyShiroFilter, @B
shiro 权限角色
02-01
这里是shrio权限角色,入门做为一个参考
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架用户角色权限
07-26
0、重点!...可以用来用户验证、用户授权、用户session管理安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
springbootshiro安全框架整合
08-05
SpringBootShiro是两个在Java开发中广泛使用框架SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理安全相关的过滤器。当我们把它们整合...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括...
springboot整合Shiro框架实现用户权限管理
最新发布
06-24
一、Shiro简介 1、基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计...二、整合SpringBoot2框架 1、核心依赖 <groupid>org.apache.shiro</gr
shiro角色访问同一个url
星星点灯灯
04-27 1773
shiro如何控制一个url多个角色都可以访问 /admin/** = roles[admin,partner] 这样写必须同时拥有两个角色才能访问 我们可以自定义角色验证标签。 1、首先继承RolesAuthorizationFilter,覆写isAccessAllowed方法 public class AnyRolesAuthorizationFilter extends Role
实战-Shiro安全框架(二)权限控制
啊杰的博客
10-27 590
  上一篇讲解了shiro的认证流程以及实现。这一篇,笔者要详细讲解shiro的另一重要部分就是权限控制,简称授权。   授权流程跟认证流程很相似,大致过程为当前用户subject调用isPermitted*/hasRole* 接口时,将会委派给security manager,security manager委派给Authorizer(授权器)。比如调用的是isPermitted("user:...
安全权限框架 —— Shiro(一)
baidu_39560928的博客
08-26 574
1.简介 Apache Shiro 是Java的一个安全权限框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境; 主要功能:认证(Authentication)、授权(Authorization)、加密、回话管理、与Web集成、缓存等; Shiro 架构 Subject:应用代码直接交互的对象是Subject,也就是说Shiro的对外API 核心就是Subject。Subject 代表了当前“用户”,这个用户不一定是一个具体
java shiro 权限_JavaWeb日记——Shiro角色权限
weixin_39760721的博客
02-24 199
上一篇博客中讲到了Shiro的登录功能,这篇讲讲Shiro角色权限Shiro中,一个用户可以有多种角色,一种角色可以有多种权限在执行某些行为前时,我们既可以判断是否是该角色也可以判断是否拥有该权限下面展示一个简单的例子POMxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven...
Shiro
gltncx11的博客
11-07 209
用户角色权限 shiro_conf.ini #对用户的信息进行配置 [users] #用户的账号和密码 zhangsan=123456 lisi=654321 AuthenticationTest public void loginTest(){ // 创建securityMangager工厂 Factory&amp;lt;SecurityManager&amp;gt; factory = new I...
Shiro基于角色的访问控制
NULL
04-26 2093
 首先创建maven项目在pom.xml里面添加jar如下 &lt;dependencies&gt; &lt;!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupI...
Shiro(3)——授权
Ascend2015的博客
10-14 900
授权,也就是访问控制,即在应用中控制谁能访问哪些资源,比如页面访问、数据编辑等等操作的权限。在授权操作中需要这样几个关键对象:主体(Subject)、资源(Resources)、权限(Permission)、角色(Role)。主体主体也就是当前的用户,在Shiro使用Subject代表当前用户。该用户只有被授权之后才能访问相应的资源资源应用中的图片、打印、页面、一些业务方法等等一切可以被访问的东西
shiro中获得当前subject的所有角色,权限列表
woaiqianzhige的博客
06-21 1万+
两种方法:1.首先我们注入自定义的realm shiroDbRealm.doGetAuthorizationInfo(SecurityUtils.getSubject().getPrincipals()) 从新执行一遍doGetAuthorizationInfo这里面是自己写的,能获取到。2.realm 中写一方法核心语句AuthorizationInfo authorizationInfo1 =...
Shiro角色权限管理
热门推荐
不更了,主打一个陪伴
12-08 1万+
Shiro角色权限管理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值