SpringBoot整合Shiro(三)——shiro的角色和权限拦截且进行授权

最新推荐文章于 2023-03-03 16:53:40 发布
最新推荐文章于 2023-03-03 16:53:40 发布
阅读量2.3k 收藏 12
点赞数 4
分类专栏: java 文章标签: 过滤器 shiro 数据库 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45150104/article/details/109547181
版权

1、进行权限拦截和进行授权

    在shiroConfig中配置内置过滤,进行设置安全管理器,然后进行配置shiro的内置过滤器,filterMap.put("/user/update","perms[user:update]");,且进行拦截时,跳转到未授权页面:bean.setUnauthorizedUrl("/unauth");,代码如下所示:

package com.ygl.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author ygl
 * @description
 * @date 2020/11/6 10:37
 */
@Configuration
public class ShiroConfig {

    //ShiroFilterFactoryBean  过滤 (第三步:连接到前端)
    @Bean
        public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //配置shiro的内置过滤器
        /*
            anon:匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,一般用于过滤静态资源。
            authc:需要认证登录才能访问
            user:用户拦截器,表示必须存在用户
            perms:权限授权拦截器,验证用户是否拥有权限
                参数可写多个,表示需要某些权限才能通过,多个参数时写 perms[“user, admin”],当有多个参数时必须每个参数都通过才算可以
            roles:角色授权拦截器,验证用户是或否拥有角色。
                   参数可写多个,表示某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个参数都通过才算通过

         */
        //拦截
        Map<String, String> filterMap = new LinkedHashMap();
        //授权,正常情况下,没有授权的会跳到未授权页面  添加某个权限才可以
//        filterMap.put("/user/add","perms[user:add]");
//        filterMap.put("/user/update","perms[user:update]");

        //授权   添加某个角色才可以
        filterMap.put("/user/add","roles[admin]");

        //拦截
        filterMap.put("/toLogin","anon");
//        filterMap.put("/user/add","authc");
//        filterMap.put("/user/update","authc");
        filterMap.put("/user/*","authc");
        bean.setFilterChainDefinitionMap(filterMap);

        //被拦截时 设置登录的请求
        bean.setLoginUrl("/toLogin");
        //跳转到未授权页面
        bean.setUnauthorizedUrl("/unauth");

        return bean;
    }

    //DafaultWebSecurityManager 安全对象  (第二步:接管对象)
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联userRealm
        securityManager.setRealm(userRealm);

        return securityManager;

    }


    //创建Realm对象  需要自定义 (第一步:创建对象)
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

}

主要修改代码在这里,perms 代表赋予权限
在这里插入图片描述
然后在Realm中的授权中设置拥有这些权限的可以进行授权,代码分析如下:

package com.ygl.config;

import com.ygl.pojo.User;
import com.ygl.service.UserSevice;
import com.ygl.utils.PasswordUtils;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

/**
 * @author ygl
 * @description
 * @date 2020/11/6 10:41
 */
//自定义的 UserRealm
public class UserRealm extends AuthorizingRealm {
    @Autowired
    private UserSevice userSevice;


    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权功能=》doGetAuthorizationInfo!");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //进行授权
//        info.addStringPermission("user:add");
        //获取当前对象
        Subject subject = SecurityUtils.getSubject();
        //从认证中拿到当前登录的user对象
        User currentUser = (User) subject.getPrincipal();
        //设置当前用户的权限
        info.addStringPermission(currentUser.getPerms());
        //设置角色
//        info.addRole(currentUser.getRole());

        return info;
    }
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了认证功能=》doGetAuthorizationInfo!");

        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        //连接真实数据库
        User user = userSevice.queryByName(userToken.getUsername());
        //pwd代表是用户输入的密码数据
        String pwd ="";
        for (int i = 0; i < userToken.getPassword().length; i++) {
            pwd =pwd +userToken.getPassword()[i];
        }
        if (user == null){
            return null;
        }

        /*
        System.out.println("密码:"+user.getPwd());
         */
        // 获取盐值
        String salt = user.getSalt();
        String password = PasswordUtils.getMd5(pwd, user.getName(), salt);
        char[] chars = password.toCharArray();
        userToken.setPassword(chars);
        System.out.println("password:"+password);
        //密码认证   shiro来进行操作,防止获取到密码
        return new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());

    }
}

主要更改内容如下图所示:
在这里插入图片描述
注意: 在realm中,如果需要从认证中查询到的用户信息传到授权中时,需要在认证代码中的密码验证中进行将用户信息传值过来,如下图所示:
在这里插入图片描述

2、进行角色授权

   角色的授权拦截和权限的授权拦截基本上一致,只是在filterMap.put("/user/update","perms[user:update]");代码中的perms更改成roles,也就是更改成filterMap.put("/user/add","roles[admin]");,如下图所示:
在这里插入图片描述
在shiroConfig类中更改为进行角色授权,也就是由info.addStringPermission(currentUser.getPerms());更改为info.addRole(currentUser.getRole());,代码修改如下图所示:
在这里插入图片描述

注意:

    角色和权限这两个是从数据库中查询到的,在实体类中大家记得添加属性。

岭岭颖颖
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro 权限角色
02-01
这里是shrio权限角色,入门做为一个参考
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
shiro实现基于角色权限授权
XWJ
06-03 1万+
shiro除了登陆验证之外,还有一点就是对系统进行相应的权限操作,而基于角色授权是目前最通用的做法,也是符合业务逻辑的。具体思路如下: 1.数据库设计好权限表,角色表(权限标识是自定义的,shiro会根据表格里面相应的权限对系统做出管理) 2.将权限表与角色表做外键关联(多对一),用户表与角色表做外键关联 3.在自定义的Realm里实现授权 4.在controller层的方法里加上对应权
Shiro 基于角色授权的简单应用与权限过滤器配置含义
Charge8的博客
04-24 1849
一、Shiro 支持有种方式的授权: 1、编程式:通过写 if/else 授权代码完成(不常用) 2、注解和配置式:通过执行 Java 方法上的放置的相应注释或xml 配置完成,没有权限将抛出相应异常。(中小项目注解更常用,配置+数据库更灵活) 3、jsp标签式:在 jsp 页面通过相应标签完成。(主要用于对当前用户没权限访问的内容,可以通过jsp标签隐藏掉) 二、Shiro 权限...
Shiro讲解与实践——实现用户认证、授权拦截,以及整合Mybatis+Thymeleaf
西瓜的博客
11-06 512
Shiro讲解与实践 下载本文的shiro实战完整代码链接:https://download.csdn.net/download/shooter7/37712708 说明 shiro讲解与实践,主要用于实现以下的功能: 用户认证、授权 权限限制 记住我、首页定制 登录拦截 整合Mybatis 整合Thymeleaf shiro 1.1 什么是shiro? Apache shiro 是一个Java的安全(权限)框架。 shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
shiro 自定义拦截器配置多个权限实现
why154285的博客
08-30 1万+
一、问题产生 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,网上关于shiro的使用和实现原理也比较全面。这里不做详细介绍,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器的规则。 二、具体场景 自定义的拦截器没有重写PermissionsAuthorizationFilter的isA...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目...Springboot 整合 Shiro 的代码实例提供了一个基本的身份验证和授权管理示例,开发者可以根据实际需求进行修改和扩展。
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
一、Shiro简介 1、基础概念 ...Shiro自己不维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证和授权。 二、整合SpringBoot2框架 1、核心依赖 <groupid>org.apache.shiro</gr
shiro 多Realm授权实现
qq_41606400的博客
05-01 305
需求:管理员进行登录不可访问首页,权限不够跳转到设定的页面 实现代码: /** shiroConfig.java 只是截取的部分代码 还有的可以另外shiro文章里查看 * 创建shirofilterfactoryBean对象,设置安全管理器 */ @Bean public ShiroFilterFactoryBean getShiroFil...
Shiro角色权限管理
热门推荐
不更了,主打一个陪伴
12-08 1万+
Shiro角色权限管理
shiro权限过滤
zhaofuqiangmycomm的博客
10-12 8450
Shiro权限过滤 1,什么是基于资源的访问控制 RBAC基于资源的访问控制(Resource-BasedAccess Control)是以资源为中心进行访问控制,比如:主体必须具有查询工资权限才可以查询员工工资信息等,访问控制流程如下: 总经理 查所有员工的工资信息 董事长 添加一个查看所有员工的权限 if(主体.拥有查看工资的权限){ //查...
SpringMVC+shiro权限拦截(不使用shiro注解方式)
weixin_34112208的博客
09-13 584
为什么80%的码农都做不了架构师?>>> ...
SpringBoot(21)Shiro的登录拦截
OVO_LQ_Start的博客
09-12 401
拦截功能的实现 注意:环境搭建参考上一篇文章。 【1】.Map<String, String> filterMap = new LinkedHashMap<>();//创建拦截map,用来保存过滤的信息 【2】.filterMap.put("/user/add",“authc”);//添加拦截的请求,和权限设置 【3】.shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);//添加内置过滤器 【4】.shiroFi
shiro请求授权实现
Java修炼者的博客
01-05 271
shiro请求授权实现 首先在ShiroConfig中配置授权链条 //授权(正常情况下授权会跳转到授权页面)配置授权链条 filterMap.put("/toAdd","perms[user:add]"); filterMap.put("/toUpdate","perms[user:update]"); //设置授权的请求(授权页面) factoryBean.setUnauthorizedUrl("/unauthorized
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3445
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 789
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
ShiroSpringBoot整合
小凯的博客
03-03 1148
Shrio整合springboot及相关案例解析
springboot整合shiro拦截某个请求
09-06
Spring Boot中,可以通过整合Shiro来实现对请求的拦截权限控制。如果不希望Shiro拦截某个请求,可以通过配置Shiro过滤器链来实现。 首先,在Spring Boot的配置类中,需要注入一个FilterRegistrationBean对象来配置Shiro过滤器链。然后,通过调用FilterRegistrationBean的addInitParameter方法,设置Shiro过滤器的init参数。 在设置Shiro过滤器的init参数时,可以通过使用Shiro内置的过滤器来达到不拦截某个请求的目的。其中,"anon"代表不需要认证即可访问,"authc"代表需要认证才能访问。 示例代码如下: @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<DelegatingFilterProxy> shiroFilterRegistration() { FilterRegistrationBean<DelegatingFilterProxy> registration = new FilterRegistrationBean<>(); registration.setFilter(new DelegatingFilterProxy("shiroFilter")); Map<String, String> initParameters = new LinkedHashMap<>(); // 不拦截某个请求 initParameters.put("anon", "/path/to/skip"); // 其他需要认证的请求 initParameters.put("authc", "/path/to/authenticate"); registration.setInitParameters(initParameters); registration.setOrder(1); registration.addUrlPatterns("/*"); return registration; } // 其他Shiro配置省略... } 在上述代码中,通过设置initParameters来指定需要不拦截的请求与需要认证的请求。其中,"/path/to/skip"代表不需要进行认证和授权的请求路径。 通过以上配置,可以实现Spring BootShiro整合,并使得Shiro拦截某个特定的请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

岭岭颖颖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值