shiro权限 的基本配置

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量610 收藏 2
点赞数 3
文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45341195/article/details/105804199
版权

1.编写一个自定义权限类(继承AuthorizingRealm )

package com.zking.test.shiro;

import com.zking.test.biz.IUserBiz;
import com.zking.test.model.User;
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.util.Set;

/**
 * 自定义Realm
 */
public class UserRealm extends AuthorizingRealm {

    private static final Integer LOCKED = new Integer(1);

    //用户对应的角色信息与权限信息都保存在数据库中,通过IUserBiz获取数据
    private IUserBiz userBiz;

    public UserRealm() {

    }

    public UserRealm(CacheManager cacheManager) {
        super(cacheManager);
    }

    public UserRealm(CredentialsMatcher matcher) {
        super(matcher);
    }

    public UserRealm(CacheManager cacheManager, CredentialsMatcher matcher) {
        super(cacheManager, matcher);
    }

    public void setUserBiz(IUserBiz userBiz) {
        this.userBiz = userBiz;
    }

    /**
     * 返回一个唯一的Realm名字
     *
     * @return
     */
    @Override
    public String getName() {
        return "UserRealm";//WeixinRealm,QqRealm,WeixinQqRealm
    }

    /**
     * 判断此Realm是否支持此Token
     *
     * @param token
     * @return
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;//仅支持UsernamePasswordToken类型的Token
    }

    /**
     * 提供用户信息返回授权信息
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //查询用户已授予的角色及权限
        String username = (String) principalCollection.getPrimaryPrincipal();
        User user = new User();
        user.setUsername(username);
        Set<String> permissions = userBiz.listPermissionsByUserName(user);
        Set<String> roles = userBiz.listRolesByUserName(user);

        //返回授权信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(roles);//
        authorizationInfo.setStringPermissions(permissions);
        return authorizationInfo;
    }

    /**
     * 提供用户信息返回认证信息(此时未进行密码比较)
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //查询用户已授予的角色及权限
        String username = (String) authenticationToken.getPrincipal();
        User user = new User();
        user.setUsername(username);
        User u = userBiz.loadByUsername(user);

        if (null == u) {
            throw new UnknownAccountException();//帐号不存在
        }
        if (LOCKED.equals(u.getLocked())) {
            throw new LockedAccountException(); //帐号已锁定
        }

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以在此判断或自定义实现
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                u.getUsername(),
                u.getPassword(),
                ByteSource.Util.bytes(u.getSalt()),
                getName()
        );
        return authenticationInfo;
    }
}

2 编写一个凭证匹配器类

package com.zking.test.shiro;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.ExcessiveAttemptsException;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;

import java.util.concurrent.atomic.AtomicInteger;

/**
 * 提供了不允许连续错误登录的判断。真正匹配的过程还是交给它的直接父类去完成。
 * 连续登录错误的判断依靠Ehcache缓存来实现。显然match返回true为匹配成功
 */
public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher {

    // 声明一个缓存接口,这个接口是Shiro缓存管理的一部分,它的具体实现可以通过外部容器注入
    private Cache<String, AtomicInteger> passwordRetryCache;

    //使用的缓存对象的名字
    private String cacheName = "passwordRetryCache";

    //缓存管理器
    private CacheManager cacheManager;

    public RetryLimitHashedCredentialsMatcher(CacheManager cacheManager) {
        this.cacheManager = cacheManager;
    }

    public void setCacheName(String cacheName) {
        this.cacheName = cacheName;
    }

    public void init() {
        passwordRetryCache = cacheManager.getCache(this.cacheName);
    }

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        String username = (String) token.getPrincipal();
        AtomicInteger retryCount = passwordRetryCache.get(username);
        if (retryCount == null) {
            retryCount = new AtomicInteger(0);
            passwordRetryCache.put(username, retryCount);
        }
        // 自定义一个验证过程:当用户60秒内连续输入密码错误5次以上禁止用户登录一段时间(60秒时间是在ehcache.xml中设置的)
        if (retryCount.incrementAndGet() > 5) {
            throw new ExcessiveAttemptsException();
        }
        boolean match = super.doCredentialsMatch(token, info);
        if (match) {
            passwordRetryCache.remove(username);
        }
        return match;
    }
}

3 shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:tx="http://www.springframework.org/schema/tx"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
		http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-4.3.xsd
		http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.3.xsd
		http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-4.3.xsd">
    <description>apache shiro配置</description>

    <!-- 缓存管理器:本章使用Ehcache实现,也可以换成redis等其它缓存技术 -->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
    </bean>

    <!-- 凭证匹配器 -->
    <bean id="credentialsMatcher" class="com.zking.test.shiro.RetryLimitHashedCredentialsMatcher" init-method="init">
        <!--使用有参数构造方法创建对象,注入缓存管理器-->
        <constructor-arg ref="cacheManager"/>

        <!--指定缓存对象的名字-->
        <property name="cacheName" value="passwordRetryCache"/>

        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <!--指定hash算法为MD5-->
        <property name="hashAlgorithmName" value="md5"/>
        <!--指定散列次数为1024-->
        <property name="hashIterations" value="1024"/>
        <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
        <property name="storedCredentialsHexEncoded" value="true"/>
    </bean>

    <!-- Realm实现 配置一个自定义权限类 -->
    <bean id="userRealm" class="com.zking.test.shiro.UserRealm">
        <property name="credentialsMatcher" ref="credentialsMatcher"/>
        <property name="userBiz" ref="userBiz"/>
    </bean>

    <!-- 配置安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="realm" ref="userRealm"/>
    </bean>

    <!-- 配置Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!--访问需要认证的地址时,没有认证跳转的地址,默认跳网站首页,然后经springmvc转到/WEB-INF/jsp/login.jsp-->
        <property name="loginUrl" value="/"/>

        <!-- 登录后,没有访问权限将跳转的地址 -->
        <property name="unauthorizedUrl" value="/user/unauthorized"/>

        <property name="filterChainDefinitions">
            <!-- **表示匹配0个或多个路径 ,*表示匹配0个或多个字符串,?表示匹配一个字符 -->
			<!-权限列表-->
            <value>
                /css/**               = anon
                /images/**            = anon
                /js/**                = anon
                /                     = anon
                /user/logout          = logout
                /user/**              = anon
                /userInfo/**          = authc
                /dict/**              = authc
                /console/**           = roles[admin]
                /sys/**               = authc
                /**                   = anon
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

</beans>
你配拥有爱吗
关注
shiro--权限管理框架--基于MVC配置
m0_57379221的博客
08-31 215
MVC中使用配置文件配置Shrio
Springboot和bootstrap实现shiro权限控制配置过程
08-19
SpringBoot和Bootstrap实现Shiro权限控制配置过程 SpringBoot和Bootstrap是当前Web开发中非常流行的两个框架,SpringBoot是一个基于Java的后端框架,而Bootstrap是一个前端UI框架。Shiro是一个功能强大且灵活的...
shiro 权限与角色
02-01
这里是shrio权限与角色,入门做为一个参考
shiro权限管理的配置
weixin_47056195的博客
04-12 640
建立一个权限管理配置类,在类上添加注解@Configuration,如下: 1、设置安全管理 @Bean public DefaultWebSecurityManager securityManager(CookieRememberMeManager rememberMeManager, CacheManager cacheShiroManager, SessionManager sessionManager) { DefaultWebSecurityManager securityManager =
Shiro详解
最新发布
weixin_57356976的博客
08-11 505
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
shiro权限配置
sl4379的博客
06-20 388
package com.rquest.riskmaster.config;import java.util.LinkedHashMap;import java.util.Map;import org.apache.shiro.spring.LifecycleBeanPostProcessor;import org.apache.shiro.spring.security.interceptor.A...
shiro新手权限配置
ending的博客
10-20 709
首先必须需要有角色表,权限表,用户表 xml配置: <!-- perms[search]表示访问此连接需要权限为search的用户 /developer=anon,roles[admin] perms[delete] roles[admin]表示访问此连接需要用户的角
详解spring整合shiro权限管理与数据库设计
08-30
Spring整合Shiro权限管理与数据库设计 本文主要介绍了Spring整合Shiro权限管理...本文介绍了Spring整合Shiro权限管理与数据库设计的相关知识点,并提供了一些基本的实现步骤和思路。希望这篇文章能够对读者有所帮助。
shiro权限管理框架.pdf
12-29
Java Web项目中配置Shiro涉及到几个关键的配置步骤,包括初始化SecurityManager,配置Realm,以及定义ShiroFilter来控制访问权限ShiroFilter是用于拦截需要安全控制的请求,然后根据配置进行相应的授权。在实际...
shiro之INI配置详解
08-29
main部分配置SecurityManager的基本信息,而Realm部分配置Realm的信息。 在Shiro的INI配置中,authenticator和authorizer是两个重要的配置项。authenticator负责认证,而authorizer负责授权。Shiro提供了多种认证...
Shiro权限框架由浅入深讲解教程课件
01-07
2. **配置 Shiro**:创建一个 Spring 配置类,如 `ShiroConfig`,并定义 SecurityManager 和 Realm。SecurityManager 可以通过 `DefaultWebSecurityManager` 创建,并设置 Realm。Realm 的配置可以根据具体认证和...
Spring整合Shiro权限控制模块详细案例分析
12-30
Spring整合Shiro权限控制模块详细案例分析
Shiro 权限管理
心猿意码
06-24 4228
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
Shiro 授权(权限
我的博客----机械鱼人
01-09 1506
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
shiro.ehcache.xml配置参数
xyz112007241012的博客
01-13 3853
xml version="1.0" encoding="UTF-8"?>   ehcache name="es">       diskStore path="java.io.tmpdir"/>                    name:缓存名称。          maxElementsInMemory:缓存最大数目          maxElementsOnDisk:硬盘最
shiro配置
许不归的博客
11-30 480
&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:util="http://www.springframework.org/schema/util" xmlns:xsi="http://www.w3.org/
Shiro配置
YKP.TOSTRING的博客
08-06 223
&lt;!--&amp;lt;!&amp;ndash; 开启Shiro注解 &amp;ndash;&amp;gt;--&gt; &lt;bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/&gt...
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Git 基础教程 - 分支操作、合并分支、解决冲突
smart_an的专栏
05-12 378
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Shiro权限框架整合教程
"本文主要介绍如何在项目中集成Apache Shiro权限框架,以及Shiro基本概念和权限系统设计。Shiro是一个轻量级且易于使用的权限管理框架,与Spring Security等相比,它提供了更为简洁的API。Shiro的核心功能包括认证...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值