Spingboot + shiro + redis实现前后端分离权限控制

最新推荐文章于 2023-07-11 20:37:03 发布
最新推荐文章于 2023-07-11 20:37:03 发布
阅读量345 收藏
点赞数
文章标签: springboot shiro 前后端分离 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43123562/article/details/100564528
版权

配置过滤器


@Configuration
public class ShiroConfig {

    @Value("${spring.redis.host}")
    private String redisHost;

    @Value("${spring.redis.password}")
    private String redisPassword;


    @Autowired
    private TBaseService<Fullpermission> tBaseService;

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        // 放行option请求  解决出现的跨域访问问题
        filters.put("authc", new ShiroUserFilter());
        //解决ajax 请求无权限返回数据
        filters.put("myPerm", new ShiroFormAuthenticationFilter());
        shiroFilterFactoryBean.setFilters(filters);

        // 设置拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        filterChainDefinitionMap.put("/backstage/user/login", "anon");
		//这里查询出你需要拦截的路径  遍历添加
        filterChainDefinitionMap.put("xx/**", "authc,myPerm["+xx+"]");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        System.out.println("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;

    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(myShiroRealm());
        // 自定义缓存实现 使用redis
        securityManager.setCacheManager(cacheManager());
        // 自定义session管理 使用redis
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * 身份认证realm; (这个需要自己写,账号密码校验;权限等)
     *
     * @return
     */
    @Bean
    public ShiroRealm myShiroRealm() {
        ShiroRealm myShiroRealm = new ShiroRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }

    //使用MD5 方式加密
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        //散列的次数,比如散列两次,相当于 md5(md5(""));
        hashedCredentialsMatcher.setHashIterations(1);
        return hashedCredentialsMatcher;
    }


    /**
     * cacheManager 缓存 redis实现
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        //设置前缀
        redisCacheManager.setKeyPrefix("SPRINGBOOT_CACHE:");
        return redisCacheManager;
    }

    /**
     * RedisSessionDAO shiro sessionDao层的实现 通过redis
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        redisSessionDAO.setKeyPrefix("SPRINGBOOT_SESSION:");
        return redisSessionDAO;
    }

    /**
     * Session Manager
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public MySessionManager sessionManager() {

        MySessionManager sessionManager = new MySessionManager();
        sessionManager.setSessionDAO(redisSessionDAO());
        sessionManager.setSessionIdCookie(simpleCookie());

        //全局会话超时时间(单位毫秒),默认30分钟  暂时设置为5分钟 用来测试
//        sessionManager.setGlobalSessionTimeout(300000);
        //设置session失效的扫描时间, 清理用户直接关闭浏览器造成的孤立会话 默认为 1个小时
        //设置该属性 就不需要设置 ExecutorServiceSessionValidationScheduler 底层也是默认自动调用ExecutorServiceSessionValidationScheduler
        //暂时设置为 2分钟 用来测试
//        sessionManager.setSessionValidationInterval(120000);
        return sessionManager;
    }


    /**
     * 配置shiro redisManager
     * 使用的是shiro-redis开源插件
     *
     * @return
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(redisHost);
        redisManager.setPassword(redisPassword);
        return redisManager;
    }

    /***
     * 授权所用配置
     *
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /***
     * 使授权注解起作用不如不想配置可以在pom文件中加入
     * <dependency>
     *<groupId>org.springframework.boot</groupId>
     *<artifactId>spring-boot-starter-aop</artifactId>
     *</dependency>
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * Shiro生命周期处理器
     * 此方法需要用static作为修饰词,否则无法通过@Value()注解的方式获取配置文件的值
     */
    @Bean
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public SimpleCookie simpleCookie(){
        SimpleCookie simpleCookie = new SimpleCookie("sid");
        simpleCookie.setPath("/");
        return simpleCookie;
    }
}

放行options请求 解决跨域问题

public class ShiroUserFilter extends UserFilter {

    /**
     * 在访问过来的时候检测是否为OPTIONS请求,如果是就直接返回true
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            setHeader(httpRequest,httpResponse);
            return true;
        }
        return super.preHandle(request,response);
    }

    /**
     * 该方法会在验证失败后调用,这里由于是前后端分离,后台不控制页面跳转
     * 因此重写改成传输JSON数据
     */
    @Override
    protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        setHeader((HttpServletRequest) request,(HttpServletResponse) response);
        PrintWriter out = response.getWriter();
        //自己控制返回的json数据
        out.println("{\"status\":200,\"data\":null,\"dataCount\":0,\"msg\":\"你还没有登录!\"}");
        out.flush();
        out.close();
    }

    /**
     * 为response设置header,实现跨域
     */
    private void setHeader(HttpServletRequest request, HttpServletResponse response){
        //跨域的header设置
        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", request.getMethod());
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        //防止乱码,适用于传输JSON数据
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }

}

设置ajax请求返回数据

public class ShiroFormAuthenticationFilter extends PermissionsAuthorizationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        //判断是不是options请求 如果是  就直接放行
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
//        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
//            setHeader(httpRequest,httpResponse);
//            return true;
//        }
        Subject subject = this.getSubject(request, response);
        //判断是否登录
        if (subject.getPrincipal() == null) {
            setHeader(httpRequest,httpResponse);
            PrintWriter out = response.getWriter();
            //自己控制返回的json数据
            out.println("{\"status\":200,\"data\":null,\"dataCount\":0,\"msg\":\"你还没有登录!\"}");
            out.flush();
            out.close();
        } else {
            //这里是已登录 但是没有权限
            //获取到请求头对象中的X-Requested-With属性
            String header = httpRequest.getHeader("X-Requested-With");
            //通过该属性判断该请求是不是ajax请求
            if(header!=null && "XMLHttpRequest".equals(header)){
                setHeader(httpRequest,httpResponse);
                PrintWriter out = response.getWriter();
                //自己控制返回的json数据
                out.println("{\"status\":200,\"data\":null,\"dataCount\":0,\"msg\":\"你没有此权限!\"}");
                out.flush();
                out.close();
            }else{
                String unauthorizedUrl = this.getUnauthorizedUrl();
                if (StringUtils.hasText(unauthorizedUrl)) {
                    WebUtils.issueRedirect(request, response, unauthorizedUrl);
                } else {
                    WebUtils.toHttp(response).sendError(401);
                }
            }
        }

        return false;
    }
    /**
     * 为response设置header,实现跨域
     */
    private void setHeader(HttpServletRequest request, HttpServletResponse response){
        //跨域的header设置
        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", request.getMethod());
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        //防止乱码,适用于传输JSON数据
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }
}

自定义relam

public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private TBaseService<UserInfo> tBaseService;

    @Autowired
    private FullpermissionService fullpermissionService;

    @Override
    public String getName() {
        return "myRealm";
    }

    /**
     * 获取身份验证信息
     * Shiro中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。
     *
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                JSON.toJSONString(xx), //主体  可以存放当前用户实体对象
                xx, //密码
                null, //盐值 
                getName()  //realm name
        );
        return authenticationInfo;
    }

    /**
     * 获取授权信息
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        UserInfo userInfo = JSONObject.parseObject(Common.toString(principalCollection.getPrimaryPrincipal()),UserInfo.class);
        //创建返回值对象,并设置角色以及权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

        Set<String> perms = new HashSet<>();
        //添加权限
        simpleAuthorizationInfo.setStringPermissions(perms);
        return simpleAuthorizationInfo;
    }
}

自定义获取sessionId

public class MySessionManager extends DefaultWebSessionManager {
    public static final String AUTHORIZATION = "Authorization";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public MySessionManager() {
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头,或者请求参数中的Token
        String id = StringUtils.isEmpty(WebUtils.toHttp(request).getHeader(AUTHORIZATION))
                ? request.getParameter(AUTHORIZATION) : WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        // 如果请求头中有 Token 则其值为sessionId
        if (StringUtils.isNotEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);

            return id;
        } else {
            // 否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }

    /**
     * 获取session 优化单次请求需要多次访问redis的问题
     *
     * @param sessionKey
     * @return
     * @throws UnknownSessionException
     */
    @Override
    protected Session retrieveSession(SessionKey sessionKey) throws UnknownSessionException {
        Serializable sessionId = getSessionId(sessionKey);

        ServletRequest request = null;
        if (sessionKey instanceof WebSessionKey) {
            request = ((WebSessionKey) sessionKey).getServletRequest();
        }

        if (request != null && null != sessionId) {
            Object sessionObj = request.getAttribute(sessionId.toString());
            if (sessionObj != null) {
                return (Session) sessionObj;
            }
        }
        Session session = super.retrieveSession(sessionKey);
        if (request != null && null != sessionId) {
            request.setAttribute(sessionId.toString(), session);
        }
        return session;
    }
}
16205102苏波
关注
springboot+shiro+redis实现博客权限管理(前后端分离)
qq_41066066的博客
08-25 558
博客地址:https://www.lqnb.xyz/ 源码地址:https://github.com/memo012/ac-blog springboot+shiro+redis实现博客权限管理(前后端分离) 一. 背景 现如今,项目的安全权限问题越来越受重视,比如springsecurity,shiro…都可以用于权限管理,被称为权限框架。此博客介绍spring boot整合shiro。 二...
一看就懂!Springboot +Shiro +VUE 前后端分离权限管理系统
热门推荐
大誌的博客
04-15 6万+
前段日子写过一篇关于SpringBoot+Shiro的简单整合的例子,那个例子并不适用于我们目前的前后端分离开发的趋势。我之前写过一个项目也是用到了Shiro前后端分离,某度了许久也没找到解决方案,什么去掉shiroFilter.setLoginUrl();也阻止不了讨人厌的login.jsp的出现。直到我看到了renren-fast的源码...废话不多说,让我们来看看如何实现前后端分离...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
SpringBoot2.x.x + Shiro + Redis 前后端分离实现
小半的博客
07-06 2万+
文章目录Shiro架构图与基本知识源码地址数据库结构使用的主要框架项目结构详细搭建过程使用及测试感谢 Shiro架构图与基本知识 1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于...
Springboot+Shiro+Redis前后端分离单点登录式权限管理系统
面对疾风吧
11-24 1606
shiro登陆验证,token认证,接口权限管控,redis用户信息缓存,单点登录。
前后端分离项目springBoot +shiro权限控制+redis
weixin_44060936的博客
08-21 1316
前后端分离项目springBoot +shiro权限控制+redis 本次使用shiro主要实现以下几个功能 ​ 1.用户没有登录无法访问任何为权限控制的接口 ​ 2.用户登录后只能访问该用户所拥有的权限,实现了对后端接口颗粒级的权限控制 ​ 3.两个用户登录同一个账号时,后登录的用户会将先登录的用户挤掉 一.数据库设计 用户表 user 角色表role 用户角色中间表user_r...
基于springboot2.x+layui+shiro+redis整合前后端分离权限管理系统
06-19
本系统基于springboot+mybatisplus+shiro+layui+redis整合开发的前后端分离权限管理系统,主要功能有: 权限管理、日志管理、角色管理、用户管理,是一个非常不错的后台管理脚手架。 项目在线预览地址:...
后台管理系统,前后端分离,后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
02-22
这是一个基于现代技术栈的后台管理系统实现,采用了前后端分离的架构模式。让我们深入探讨这个系统背后的各个技术组件及其重要性。 首先,后端的核心框架是SpringBoot,它是由Pivotal团队开发的Java轻量级框架,...
后台管理系统前后端分离后端SpringBoot+Shiro+MyBatis+Redis前端Vue+ElementUI+Axios
最新发布
03-09
标题中的“后台管理系统前后端分离后端SpringBoot+Shiro+MyBatis+Redis前端Vue+ElementUI+Axios”揭示了一个现代Web应用的架构,它采用了前后端分离的设计模式,利用一系列流行的开源技术栈来构建。让我们逐一解析...
Spring Boot+shiro+redis 安全框架权限认证前后端分离【完整版】总结
一只软件小白的博客
03-06 798
一、导入依赖只导入redis以及shiro <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-re...
springboot-shiros-mybatis-redis+mysql(前后分离)
09-16
springboot-shiros-mybatis-redis+mysql 仅仅是个dmoe 自带部署脚本 不懂的 联系本人。
SpringBoot+Shiro放行OPTIONS请求,解决跨域问题
qq_41289165的博客
11-24 2921
问题: 集成shiro之后发现配置放行的接口可以正常访问,而需要登录验证的接口会报错 其中OPTIONS类型的接口会报302 导致后续的post请求报错提示跨域问题 Shiro登录流程 首先Shiro是根据请求中cookie携带的JSESSIONID判断是否登录的 当调用登录接口登录成功时,后端的响应头会添加一个set-cookie的参数 JSESSIONID代表当前登录的用户,前端只要在请求...
shiro中session的常见的问题
m0_58259152的博客
07-11 835
DefaultWebSessionManager 获取请求头中JSESSION ID的值通过RedisSessionDao 从Redis中查询该值对应的key 如果存在则认为当前用户登录。
springboot+redis+shiro实现前后端分离权限管理(自定义session管理和redis缓存)
qq_33924360的博客
09-18 2371
之前介绍了springboot+shrio的入门教程,项目结构比较简单,最近想自己做一个前后端分离项目,权限框架依然想用流行的shiro框架,参照网上的众多资料,踩了不少坑之后,终于是实现了后端的相关配置和操作,话不多说,马上进入正题。
springboot集成shiro前后端分离使用redis做缓存
我吃包菜
08-30 1万+
最近在整理之前做过的项目时,对于后台管理项目用户权限这一块一直没有很详细的去总结过,用户权限管理一直是后台管理项目的核心,这里讲解的shiro,做了前后端分离处理。 项目环境 springboot 2.1.7 durid 1.1.10 mysql 5.7 shiro 1.4.0 shiro-redis:3.1.0 文章目录一 shiro介绍1 基础介绍2 基本功能点3 基本流程图二 常用的权限管理...
springboot整合shiro-session管理(六)
这个名字想了很久
09-02 5万+
原文地址,转载请注明出处:&amp;amp;amp;amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80418112&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;©王赛超&amp;a
[ Shiro ] SpringBoot 集成 ShiroRedis 实现权限控制,统一会话管理
爪白白的个人博客
03-04 2373
SpringBoot 集成 ShiroRedis 实现权限控制,统一会话管理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值