Springboot+Shiro实现动态权限验证

最新推荐文章于 2024-07-08 11:53:10 发布
最新推荐文章于 2024-07-08 11:53:10 发布
阅读量1.5k 收藏 12
点赞数 2
分类专栏: SpringBoot Shiro 文章标签: Shiro 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44369076/article/details/103680560
版权

本文将带你从0开始搭建一个Springboot+shiro动态权限控制


首先你得知道什么是Shiro?

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解API,你可以快速、轻松地获取任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
官网:[点我进入]

开发环境:

<!-- shiro -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

<!-- springboot -->
<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.1.6.RELEASE</version>
    <relativePath/>
</parent>

 

1.编写LoginController

    @PostMapping("/login")
    @ApiOperation("登录系统")
    @Log(module = "登录系统", description = "登陆系统")
    public ResultResponse login(@RequestBody LoginInoutDTO inoutDTO) {
        if (StringUtils.isBlank(inoutDTO.getUsername()) || StringUtils.isBlank(inoutDTO.getPassword())) {
            return new ResultResponse(false, ErrorDetail.RC_0401001.getIndex(), "参数不全", null);
        }

        //当前登录的用户
        Subject currentUser = SecurityUtils.getSubject();
        // 如果这个用户没有登录,进行登录功能
        if (!currentUser.isAuthenticated()) {
            try {
                // 验证身份和登陆
                UsernamePasswordToken token = new UsernamePasswordToken(inoutDTO.getUsername(), inoutDTO.getPassword());
                currentUser.login(token);
                permissionsConfig.updatePermission();
            } catch (UnknownAccountException e) {
                return new ResultResponse(false, ErrorDetail.RC_0401001.getIndex(), "此账号不存在!", null);
            } catch (IncorrectCredentialsException e) {
                return new ResultResponse(false, ErrorDetail.RC_0401001.getIndex(), "用户名或者密码错误,请重试!", null);
            } catch (LockedAccountException e) {
                return new ResultResponse(false, ErrorDetail.RC_0401001.getIndex(), "该账号已被锁定,请联系管理员!", null);
            } catch (AuthenticationException e) {
                return new ResultResponse(false, ErrorDetail.RC_0401001.getIndex(), "未知错误,请联系管理员!", null);
            }
        }
        return new ResultResponse(true, ErrorDetail.RC_0000000.getIndex(), "登录成功", userInfo);
        }
    }

 

2.自定义Realm

/**
 * Created by Eagga_Lo on 2019/11/26 14:19
 */
@Slf4j
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    @Autowired
    RoleService roleService;

    @Autowired
    MenuService menuService;

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        log.info("--------------开始授权操作--------------");

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        User user = (User) principalCollection.getPrimaryPrincipal();
        log.info("user:{}", user.toString());

        Set<String> rolesSet = new HashSet<>();
        Set<String> permsSet = new HashSet<>();

        try {
            List<Role> roleList = roleService.selectRoleByUserId(user.getById());
            for (Role role : roleList) {
                rolesSet.add(role.getRoleId());
                List<XtZzjgMenu> menuList = menuService.selectMenuByRoleId(role.getRoleId());
                for (XtZzjgMenu menu : menuList) {
                    permsSet.add(menu.getResource());
                }
            }

            log.info("--------------当前用户的角色:{}--------------", rolesSet);
            log.info("--------------当前角色的权限:{}--------------", permsSet);

            //将查到的权限和角色分别传入authorizationInfo中
            authorizationInfo.setStringPermissions(permsSet);
            authorizationInfo.setRoles(rolesSet);
            log.info("--------------赋予角色和权限成功---------------");
        } catch (Exception e) {
            e.printStackTrace();
            log.info("--------------赋予角色和权限失败{}--------------", e.getMessage());
        }
        return authorizationInfo;

    }

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        log.info("---------------开始认证操作---------------");

        UsernamePasswordToken tokenInfo = (UsernamePasswordToken) authenticationToken;
        // 获取用户输入的账号
        String username = tokenInfo.getUsername();
        // 获取用户输入的密码
        String password = String.valueOf(tokenInfo.getPassword());

        //数据库中的user
        User user = userService.selectByPrimaryKey(username);
    
        if (user == null) {
            return null;
        }

        // 判断是否为冻结状态
        if ("Y".equals(user.getSfsc())) {
            throw new LockedAccountException();
        }

        /*
         * 进行验证 -> 注:shiro会自动验证密码
         * 参数1:principal -> 放对象就可以在页面任意地方拿到该对象里面的值
         * 参数2:hashedCredentials -> 密码
         * 参数3:credentialsSalt -> 设置盐值
         * 参数4:realmName -> 自定义的Realm
         */
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());
        log.info("--------------- 认证完毕! ---------------");
        return authenticationInfo;
    }


}

 

3.前后端分离需要过滤OPTIONS请求,否则可能出现302错误。

@Slf4j
public class MyFormAuthenticationFilter extends FormAuthenticationFilter {

    public MyFormAuthenticationFilter() {
        super();
    }

    /**
     * 过滤OPTIONS请求  不配置可能会报302错误
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        //过滤OPTIONS请求
        String method = ((HttpServletRequest) request).getMethod().toUpperCase();
        if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {
            return true;
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                return true;
            }
        } else {
            HttpServletRequest req = (HttpServletRequest) request;
            HttpServletResponse resp = (HttpServletResponse) response;
            if (req.getMethod().equals(RequestMethod.OPTIONS.name())) {
                resp.setStatus(HttpStatus.OK.value());
                return true;
            }

            if (log.isTraceEnabled()) {
                log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }
            //前端Ajax请求时requestHeader里面带一些参数,用于判断是否是前端的请求
            String test = req.getHeader("test");
            if (test != null || req.getHeader("wkcheck") != null) {
                //前端Ajax请求,则不会重定向
                resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
                resp.setHeader("Access-Control-Allow-Credentials", "true");
                resp.setContentType("application/json; charset=utf-8");
                resp.setCharacterEncoding("UTF-8");
                PrintWriter out = resp.getWriter();
                JSONObject result = new JSONObject();
                result.put("message", "登录失效");
                result.put("resultCode", 1000);
                out.println(result);
                out.flush();
                out.close();
            } else {
                saveRequestAndRedirectToLogin(request, response);
            }
            return false;
        }
    }
}

 

4.自定义过滤器继承PermissionsAuthorizationFilter解决由于权限不足直接报302错误。

/**
 * 自定义url过滤权限
 */
@Slf4j
public class MyPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {

    /**
     * 解决权限不足302问题
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        String requestUrl = httpRequest.getServletPath();
        log.info("请求的url:  " + requestUrl);

        // 检查是否拥有访问权限
        Subject subject = this.getSubject(request, response);
        if (subject.getPrincipal() == null) {
            this.saveRequestAndRedirectToLogin(request, response);
        } else {
            // 转换成http的请求和响应
            HttpServletRequest req = (HttpServletRequest) request;
            HttpServletResponse resp = (HttpServletResponse) response;

            // 获取请求头的值
            String header = req.getHeader("X-Requested-With");
            // ajax 的请求头里有X-Requested-With: XMLHttpRequest 正常请求没有
            if ("XMLHttpRequest".equals(header)) {
                resp.setContentType("text/json,charset=UTF-8");
                ResultResponse resultResponse = new ResultResponse(false, "302", "权限不足", null);
                log.info("----------权限不足---------");
                resp.getWriter().print(resultResponse);
            } else {
                //正常请求
                String unauthorizedUrl = this.getUnauthorizedUrl();
                if (StringUtils.hasText(unauthorizedUrl)) {
                    WebUtils.issueRedirect(request, response, unauthorizedUrl);
                } else {
                    WebUtils.toHttp(response).sendError(401);
                }
            }
        }
        return false;
    }
}

 

5.自定义过滤器继承AuthorizationFilter,原生过滤器必须满足所有角色都有才允许访问。

/**
 * 原生的角色过滤器RolesAuthorizationFilter 默认是必须同时满足roles[admin,guest]才有权限
 */
@Slf4j
public class MyRolesAuthorizationFilter extends AuthorizationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object mappedValue) throws Exception {
        Subject subject = getSubject(req, resp);
        String[] rolesArray = (String[]) mappedValue;
        // 没有角色限制,有权限访问
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        for (String s : rolesArray) {
            //若当前用户是rolesArray中的任何一个,则有权限访问
            if (subject.hasRole(s)) {
                return true;
            }
        }
        return false;
    }

}

 

6.自定义Session管理器 继承DefaultWebSessionManager

注意:此处没有采用Redis作为session缓存,让前端加请求头进行session传递。请求头必须与“AUTHORIZATION ”的值一致。

/**
 * Created by Eagga_Lo on 2019/11/26 14:16
 */

@Slf4j
public class MySessionManager extends DefaultWebSessionManager {

    private static final String AUTHORIZATION = "Authorization";

    /**
     * 采用自定义SessionManager的方式自己来管理sessionid的获取
     * 这样前端需要做的就是每次请求,要把后端传给它的sessionid即token
     * 放到请求头里key为Authorization,value为后台传过来的token
     * 然后用自定义的SessionManager获取就可以了
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //前端ajax的headers中必须传入Authorization的值
        String sessionId = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        //如果请求头中有 Authorization 则其值为sessionId
        if (!StringUtils.isEmpty(sessionId)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "Stateless request");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return sessionId;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

7.自定义ShiroConfig配置类

/**
 * Created by Eagga_Lo on 2019/11/26 14:14
 */

@Configuration
public class ShiroConfig {

    @Autowired
    MenuMapper menuMapper;

    @Autowired
    RoleMapper roleMapper;

    @Autowired
    PermissionsConfig permissionsConfig;

    /**
     * 请求拦截
     *
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 自定义过滤器
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("MyAuthc", new MyFormAuthenticationFilter());
        filterMap.put("MyPerms", new MyPermissionsAuthorizationFilter());
        filterMap.put("MyRoles", new MyRolesAuthorizationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        // 登录的路径: 如果你没有登录则会跳到这个页面中 - 如果没有设置值则会默认跳转到工程根目录下的"/login.jsp"页面 或 "/login" 映射
        shiroFilterFactoryBean.setLoginUrl("/unLogin");
        // 设置没有权限时跳转的url
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");

        // 加载权限
        shiroFilterFactoryBean.setFilterChainDefinitionMap(permissionsConfig.loadFilterChainDefinitions());
        return shiroFilterFactoryBean;
    }

    /**
     * @Description: SecurityManager,权限管理,这个类组合了登陆,登出,权限,session的处理
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(ShiroRealm());
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * 自定义认证
     *
     * @return MyShiroRealm
     * @Title: myShiroRealm
     * @Description: ShiroRealm,这是个自定义的认证类,继承自AuthorizingRealm,负责用户的认证和权限的处理
     */
    @Bean
    public ShiroRealm ShiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return shiroRealm;
    }

    /**
     * 密码凭证匹配器,作为自定义认证的基础 (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了 )
     *
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //加密算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //加密的次数
        hashedCredentialsMatcher.setHashIterations(1024);
        //此处的设置,true加密用的hex编码,false用的base64编码
        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
        return hashedCredentialsMatcher;
    }

    /**
     * 自定义sessionManager,用户的唯一标识,即Token或Authorization的认证
     */
    @Bean
    public SessionManager sessionManager() {
        MySessionManager mySessionManager = new MySessionManager();
        mySessionManager.setGlobalSessionTimeout(-1L);
        return mySessionManager;
    }

}

 

8.自定义实现动态加载权限

最后一步也是最重要的一步,动态加载FilterChainDefinitionMap,也就是shiroFilterFactoryBean.setFilterChainDefinitionMap(permissionsConfig.loadFilterChainDefinitions())这一步。

之所以需要动态刷新权限,是因为当我们新增了用户,新增角色,然后重新分配权限,用这个账户直接登录时,这个用户和角色并没有被初始化到FilterChainDefinitionMap里面,大家debug这一步的时候想必也知道只有在开启服务的时候会调用一次,所以这时候就需要动态加载FilterChainDefinitionMap,在增删改查涉及到角色,权限等地方调用进行刷新权限。刷新之后FilterChainDefinitionMap里就会加载出我们动态查询出的所有权限了。

/**
 * Created by Eagga_Lo on 2019/12/23 16:41
 */
@Service
@Slf4j
public class PermissionsConfig {

    @Autowired
    MenuMapper menuMapper;

    @Autowired
    RoleMapper roleMapper;

    public Map<String, String> loadFilterChainDefinitions() {
        // 权限控制
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 配置不会被拦截的链接 顺序判断
        //authc 必须认证通过才可以访问;
        //anon 可以匿名访问
        filterChainDefinitionMap.put("/druid/**", "anon");
        filterChainDefinitionMap.put("/swagger-ui.html", "anon");
        filterChainDefinitionMap.put("/swagger/**", "anon");
        filterChainDefinitionMap.put("/swagger-resources/**", "anon");
        filterChainDefinitionMap.put("/v2/**", "anon");
        filterChainDefinitionMap.put("/webjars/**", "anon");
        // 登录
        filterChainDefinitionMap.put("/login", "anon");
        // 退出登录
        filterChainDefinitionMap.put("/logout", "anon");
        // 未登录
        filterChainDefinitionMap.put("/unLogin", "anon");
        // 未授权
        filterChainDefinitionMap.put("/unauth", "anon");

        // 自定义权限
        List<Menu> permissionList = menuMapper.selectAll();
        if (!CollectionUtils.isEmpty(permissionList)) {
            permissionList.forEach(e -> {
                if (StringUtils.isNotBlank(e.getUrl())) {
                    // 根据url查询相关联的角色名,拼接自定义的角色权限
                    List<Role> roleList = roleMapper.selectRoleByMenuId(e.getMenuId());
                    StringJoiner MyRoles = new StringJoiner(",", "MyRoles[", "]");
                    if (!CollectionUtils.isEmpty(roleList)) {
                        roleList.forEach(f -> {
                            MyRoles.add(f.getRoleDes());
                        });
                    }
                    filterChainDefinitionMap.put(e.getUrl(), "MyAuthc," + MyRoles.toString() + ",MyPerms[" + e.getResource() + "]");
                }
            });
        }
        filterChainDefinitionMap.put("/**", "MyAuthc");
        return filterChainDefinitionMap;
    }

    /**
     * 更新权限,解决需要重启tomcat才能生效权限的问题
     */
    public void updatePermission() {
        log.info("-----------------正在更新权限...--------------");
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            ServletContext servletContext = request.getSession().getServletContext();
                //注意bean的名字不要写错了 是自己的shiroFilter名称
            AbstractShiroFilter shiroFilter = (AbstractShiroFilter) WebApplicationContextUtils.getRequiredWebApplicationContext(servletContext).getBean("shiroFilter");
            synchronized (shiroFilter) {
                // 获取过滤管理器
                PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter.getFilterChainResolver();
                DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver.getFilterChainManager();
                // 清空初始权限配置
                manager.getFilterChains().clear();
                // 重新获取资源
                Map<String, String> chains = loadFilterChainDefinitions();
                for (Map.Entry<String, String> entry : chains.entrySet()) {
                    String url = entry.getKey();
                    String chainDefinition = entry.getValue().trim().replace(" ", "");
                    manager.createChain(url, chainDefinition);
                }
                log.info("-----------------更新权限成功!!--------------");
            }
        } catch (Exception e) {
            log.error(e.getMessage());
        }
    }
}

 

以上就是全部过程,有不对或者不足的地方欢迎指出。有不明白的地方可以在评论区回复或者私信。

Eagga_Lo
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合shiro实现细粒度动态权限
人生就像一场戏
11-05 1019
1.前言 本文主要介绍使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例。 使用技术:SpringBoot、mybatis、shiro、freemarker、pagehelper、Mapper插件、druid、 开发工具:intellij idea 数据库:mysql、redis 开发环境 工具 版本或描述 OS Windows 7 JDK 1.8+ IDE IntelliJ IDEA 2017.3 Maven 3.3.1
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **组件交互**:通过LayuiMini的API,可以实现与后端Shiro权限控制的联动,例如根据用户权限动态加载菜单或按钮。 3. **美化界面**:LayuiMini的样式和图标设计使得后台系统具有良好的用户体验,提高工作效率。 ...
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
Springboot+Shiro 基于URL 动态控制权限
热门推荐
Joe_elena的博客
08-13 1万+
前言:    权限控制有 注解的方式,jsp shiro标签的方式,还有url 动态控制的方式。这里我使用最后一种方式来控制权限 思路: 0.利用  PathMatchingFilter 拦截器 1.根据用户名 来查询角色, 2.根据角色查询权限 3.获取请求的url  4判断 根据用户名查询的权限 是否包括 请求的url 5.如果包括 则 放行,不包括重定向到 未授权界面 p...
在Spring Boot项目中实现动态权限管理
最新发布
微赚开发者技术分享博客
07-08 445
动态权限管理是现代应用开发中不可或缺的一部分,特别是在复杂的权限控制场景下。本文将详细讨论如何在Spring Boot项目中实现动态权限管理,包括权限动态加载、管理和校验。通过本文的介绍,读者可以深入理解如何在Spring Boot项目中实现动态权限管理。这不仅提升了应用的安全性,也增强了应用的灵活性和可维护性。微赚淘客系统3.0小编出品,必属精品,转载请注明出处!
springboot + shiro动态权限
CNOYG的博客
12-26 186
此处不再说明springboot集成shiro相关内容,如有不懂集成的可以搜素相关帖子。 场景:多项目管理中,各个项目分配给同一个账号不同权限,在进行项目切换中权限会统一查询导致权限范围蔓延扩大,需要进行项目级的权限隔离; 1、首先在ShiroConfig中设置ShiroRealm的名称(可以省略,但是建议设置),此处设置后再后续清除缓存时需要用到; @Bean public ShiroRealm...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
springboot+shiro+mybatis+Thymeleaf实现用户权限框架
11-29
本项目名为“springboot+shiro+mybatis+Thymeleaf实现用户权限框架”,它整合了四个关键的技术组件,旨在提供一个易于上手、功能丰富的解决方案。下面将详细阐述这些技术及其在框架中的作用。 1. **Spring Boot**: ...
springboot+mybatis+layui+shiro权限管理
06-24
"springboot+mybatis+layui+shiro权限管理"是一个基于这些技术栈的解决方案,旨在提供一套灵活且全面的权限控制机制,适用于各种企业级应用。 SpringBoot是Spring框架的一个轻量级封装,它简化了Spring应用程序的...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
总的来说,这个系统通过SpringBoot构建基础框架,利用Shiro进行权限控制,结合JWT实现无状态认证,借助Jedis提升性能,运用MybatisPlus简化数据库操作,实现了基于URL的权限管理。这种设计不仅提高了系统的安全性,...
SpringBoot集成Shiro 实现动态加载权限
weixin_30696427的博客
09-28 701
一、前言 本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权限,不用重启项目,以及在页面分配给用户 角色 、 按钮 、uri 权限后,后端动态分配权限,用户无需在页面重新登录才能获取最新权限,一切权限动态加载,灵活配置 基本环境 spring-boot 2.1.7 mybatis-plus 2.1.0 mys...
shiro动态权限认证系统
04-01
此demo使用ssm搭建而成,使用shiro进行动态权限认证,并加入redis进行权限以及认证信息的缓存,并添加了登录错误次数的限制
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
主要给大家介绍了关于Spring Boot集成Shiro实现动态加载权限的完整步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBoot整合Shiro实现从数据库加载权限权限动态更新、Session共享
01-28
SpringBoot整合Shiro实现从数据库加载权限权限动态更新、Session共享
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
springMVC+shiro实现动态权限验证.zip
07-13
springMVC+shiro实现动态权限验证实现动态设置用户角色,根据角色来决定哪些url可以访问 抱歉了各位需要修改下配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?><project-modules id="moduleCoreId" project-version="1.5.0"> <wb-module deploy-name="SpringShiroDemo"> <wb-resource deploy-path="/" source-path="/src/main/webapp" tag="defaultRootSource"/> <wb-resource deploy-path="/WEB-INF/classes" source-path="/src/main/resources"/> <wb-resource deploy-path="/WEB-INF/classes" source-path="/src/main/java/10-tools"/> <wb-resource deploy-path="/WEB-INF/classes" source-path="/src/main/java/20-global"/> <wb-resource deploy-path="/WEB-INF/classes" source-path="/src/main/java/30-common"/> <wb-resource deploy-path="/WEB-INF/classes" source-path="/src/main/java/40-modules"/> <property name="context-root" value="SpringShiroDemo"/> <property name="java-output-path" value="/SpringShiroDemo/target/classes"/> </wb-module> </project-modules>
SpringBoot 整合Shiro实现动态权限加载更新+Session共享+单点登录
z_ssyy的博客
01-15 1679
ADMIN这个号现在没有sys:info:all这个权限的,所以无法访问getInfoAll接口,我们要动态分配权限后,要清掉缓存,在访问接口时候,Shiro会去重新执行授权方法,之后再次把权限和角色数据放入缓存中。Shiro是一个安全框架,项目中主要用它做认证,授权,加密,以及用户的会话管理,虽然Shiro没有SpringSecurity功能更丰富,但是它轻量,简单,在项目中通常业务需求Shiro也都能胜任.再次访问getInfoAll接口,因为缓存中没有数据,Shiro会重新授权查询权限,拦截通过。
图一乐:SpringBoot整合Shiro实现动态权限加载更新
qq_48362134的博客
09-14 539
浅谈SpringBoot整合Shiro实现动态权限加载更新,图一乐就行
springboot+shiro如何实现权限管理
05-28
在Spring Boot应用中,可以使用Apache Shiro框架实现权限管理。下面是一个简单的实现步骤: 1. 引入Shiro和Spring Boot的依赖库。 2. 配置Shiro的安全管理器,包括认证器和授权器。认证器用于验证用户身份,授权器用于控制用户访问权限。 3. 在Spring Boot中配置Shiro的过滤器,用于拦截请求并根据用户权限判断是否允许访问。 4. 在用户登录时,使用Shiro的Subject对象进行身份认证,如果验证通过则将用户信息存储在Shiro的Session中,用于后续的权限判断。 5. 在需要进行权限控制的方法或请求上,使用Shiro的注解标记需要的角色或权限。 6. 在应用中提供管理界面,用于管理用户、角色和权限等信息。 需要注意的是,Shiro只提供了基础的安全功能,具体的权限管理实现需要根据具体的应用场景和需求进行设计和开发。同时,为了保证安全性,开发人员需要仔细阅读Shiro的文档,并遵循最佳实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值