Apache Shiro中使用注解来实现角色控制和权限控制(使用SpringBoot实现)

最新推荐文章于 2023-06-29 18:53:35 发布
最新推荐文章于 2023-06-29 18:53:35 发布
阅读量593 收藏 3
点赞数
分类专栏: Apache Shiro SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45492007/article/details/102076816
版权

当前环境:jdk1.8 、shiro1.4.1、eclipse

1.添加依赖

	<dependencies>
		<dependency>
			<groupId>junit</groupId>
			<artifactId>junit</artifactId>
			<version>4.9</version>
		</dependency>
		<dependency>
			<groupId>commons-logging</groupId>
			<artifactId>commons-logging</artifactId>
			<version>1.1.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.4.1</version>
		</dependency>
		<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api -->
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-api</artifactId>
			<version>2.0.0-alpha1</version>
		</dependency>
		<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-simple -->
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-simple</artifactId>
			<version>2.0.0-alpha1</version>
		</dependency>
		<!-- 使用注解版的权限管理需要开启aop -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-aspectj</artifactId>
			<version>1.4.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.1</version>
		</dependency>
		<!-- https://mvnrepository.com/artifact/org.projectlombok/lombok -->
		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
			<version>1.18.8</version>
			<scope>provided</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
			<version>1.2.4.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
			<version>1.2.4.RELEASE</version>
		</dependency>
	</dependencies>

2.自定义Realm

/**
 * @description 自定义的Realm类用于处理用户的身份验证和用户的授权
 * @author hy
 * @date 2019-10-04
 */
//当前的MyRealm可以继承其他的类也可以实现其他的类
public class MyRealm extends AuthorizingRealm {
	
	MySQLData mysqlData;
	
	public MyRealm(MySQLData mysqlData) {
		this.mysqlData=mysqlData;
	}

	// 认证用户,就是校验用户的用户名和密码
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 通过用户的令牌获取当前用户输入的用户名和密码
		UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
		String username = usernamePasswordToken.getUsername();
		String password = new String(usernamePasswordToken.getPassword());
		System.out.println("username:" + username);
		System.out.println("password:" + password);

		
		User loginUser=getUserByUserName(username);
		
		if(loginUser==null) {
			System.out.println("认证失败!");
			return null;
		}else {
			if(loginUser.getPasseword().equals(password)) {
				System.out.println("认证成功!");
				return new SimpleAccount(username, password, toString());
			}
			return null;
		}
		
	}
	
	//通过用户名获取用户
	public User getUserByUserName(String username) {
		Collection<User> users = mysqlData.findAll();
		User loginUser=null;
		for (User user : users) {
			if(user.getUsername().equals(username)) {
				loginUser=user;
				break;
			}
		}
		return loginUser;
	}

	// 这里是授权管理,通过登陆后的用户名获取用户对应的权限,通过用户名获取用户的角色和权限

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println(principals); // 获取用户名
		String username = (String) (principals.getPrimaryPrincipal());
		// 这里不能使用simpleAccout类,虽然当前这个类也实现了AuthorizationInfo接口,但是使用的时候报错
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();// 必须为SimpleAuthorizationInfo类
	
		User loginUser = getUserByUserName(username);

		authorizationInfo.addRole(loginUser.getRoleName());
		authorizationInfo.addStringPermission(loginUser.getPermissionName());
		return authorizationInfo;
	}

}

3.模拟数据库中的数据MySQLData

//用于模拟MySQL中的数据
public class MySQLData {
	private Map<Integer, User> userData=new HashMap<Integer, User>();
	{
		userData.put(1, new User(1, "zhangsan", "123456", 22, LocalDate.of(2019, 10, 5), true, "user", "select,update,add"));
		userData.put(2, new User(2, "lisi", "123456", 25, LocalDate.of(2019, 10, 6), false, "guest", "select"));
		userData.put(3, new User(3, "wangwu", "123456", 26, LocalDate.of(2019, 10, 7), true, "guest", "select"));
		userData.put(4, new User(4, "admin", "123456", 27, LocalDate.of(2019, 10,8), false, "admin", "*"));	
	}
	
	public void addUser(User user) {
		userData.put(user.getId(), user);
	}
	
	public void deleteUserById(Integer id) {
		userData.remove(id);
	}
	
	public User selectUserById(Integer id) {
		return userData.get(id);
	}
	
	public void updateUser(User user) {
		userData.put(user.getId(), user);
	}
	
	public Collection<User> findAll(){
		return userData.values();
	}
}

4.创建实体类User

import java.time.LocalDate;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@NoArgsConstructor
@AllArgsConstructor
@Data
public class User {
	private Integer id;
	private String username;//用户名
	private String passeword;//密码
	private Integer age;//年龄
	private LocalDate birth;//出生年月日
	private Boolean onwork;//是否在职
	private String roleName;
	private String permissionName;
}

5.创建Shiro的配置类

import java.util.HashMap;
import java.util.Map;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import com.hy.shiro.annotation.MyRealm;
import com.hy.shiro.annotation.data.MySQLData;

@Configuration
public class ApplicationConfig {
	
	@Bean
	public MySQLData getMySQLData() {
		return new MySQLData();
	}
	
	@Bean
	public Realm getRealm() {
		return new MyRealm(getMySQLData());
	}
	
	//创建校验管理器
	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(getRealm());
		return securityManager;
	}
	
	//创建Shiro过滤器
	@Bean
	public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager());
		Map<String,String> map = new HashMap<String, String>();
		//登出
		map.put("/logout","logout");
		//对所有用户认证
		map.put("/**","authc");
		//登录页面使用get方式
		shiroFilterFactoryBean.setLoginUrl("/login");
		//首页get方式
		shiroFilterFactoryBean.setSuccessUrl("/index");
		//错误页面,认证不通过跳转
		shiroFilterFactoryBean.setUnauthorizedUrl("/error");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
		return shiroFilterFactoryBean;
	}

	//让当前的项目可以使用shiro的注解控制用户角色和权限
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
		return authorizationAttributeSourceAdvisor;
	}

}

6.创建controller层

/**
 * @description 模拟访问html页面
 * @author hy
 * @date 2019-10-04
 */
@Controller
public class HtmlPageController {
	@Autowired
	MySQLData mysqlData;
	
	
	//访问login页面的时候是get的请求,主要是用于访问login页面
    @RequestMapping(value = "/login",method = RequestMethod.GET)
    public String login(){
        return "login";
    }

    //post登录,这里的必须使用post方式进行身份认证,这里的login与上面不一样
    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public String login(@RequestParam Map<String,Object> map){
        //添加用户认证信息
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
                map.get("username").toString(),
                map.get("password").toString());
        //进行验证,这里可以捕获异常,然后返回对应信息
        subject.login(usernamePasswordToken);
        return "login";
    }

    @RequestMapping(value = "/index")
    public String index(){
        return "index";
    }
	
	
	@RequestMapping("/admin")
	//访问管理页面需要admin角色
	@RequiresRoles(value = {"admin"})
	@ResponseBody
	public String goToManagerPage() {
		return "访问后台管理页面,成功!";
	}
	
	@RequestMapping("/user")
	@ResponseBody
	//访问用户页面,需要user角色
	@RequiresRoles(value = {"user","admin"},logical = Logical.OR)
	public String goToUserPage() {
		return "访问用户页面,成功!";
	}
	
	@RequestMapping("/addUser")
	@ResponseBody
	@RequiresPermissions(value = {"add"})
	public String addUserOption(User user) {
		mysqlData.addUser(user);
		return "执行添加用户操作";
	}
	
	@RequestMapping("/deleteUser")
	@ResponseBody
	@RequiresPermissions(value = {"delete"})
	public String deleteUserOption(Integer id) {
		mysqlData.deleteUserById(id);
		return "执行删除用户操作";
	}
	
	@RequestMapping("/findUserById")
	@ResponseBody
	@RequiresRoles(value = {"user","admin"},logical = Logical.OR)
	@RequiresPermissions(value = {"select"})
	public User selectUserByIdOption(Integer id) {
		System.out.println("执行查询用户操作");
		return mysqlData.selectUserById(id);	
	}
	
	@RequestMapping("/updateUser")
	@ResponseBody
	@RequiresPermissions(value = {"update"})
	public String updateUserOption(User user) {
		mysqlData.updateUser(user);
		return "执行更新用户操作";
	}
	
	@RequestMapping("/findAll")
	@ResponseBody
	@RequiresRoles(value = {"admin"})
	public Collection<User> findAllOption(){
		System.out.println("执行查询所有用户操作");
		return mysqlData.findAll();
	}
	
}

7.创建入口类

/**
 * @description 在shrio中使用注解的方式来实现权限的管理
 * @author hy
 * @date 2019-10-04
 */
@SpringBootApplication
public class ShiroAnnotationApp 
{
	public static void main(String[] args) {
		SpringApplication.run(ShiroAnnotationApp.class, args);
	}
}

8.创建简单的html页面

<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8"/>
		<title></title>
	</head>
	<body>
		出现错误!或没有权限!
	</body>
</html>


<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8"/>
		<title></title>
	</head>
	<body>
		登录成功!
	</body>
</html>


<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8"/>
		<title></title>
	</head>
	<body>
		<form action="/login" method="post">
			<table border="1">
				<tr><td>用户名:<input type="text" name="username"/></td></tr>
				<tr><td>密码:<input type="text" name="password"/></td></tr>
				<tr><td><input type="submit"  value="提交"/></td></tr>
			</table>
		</form>
	</body>
</html>

9.测试

测试结果这里就不现实了,但是这个实现了基本的功能,实现了对用于的角色和权限的控制

10.总结

1.在SpringBoot中使用注解的时候需要使用AuthorizationAttributeSourceAdvisor 这个类,这个类是开启注解角色和权限的主要类!

2.在方法上面使用@RequiredRoles或者@RequiredPermissions来控制,可以使用logical = Logical.OR或者logical = Logical.AND方式来实现或和并

3.注意在需要开启Filter:ShiroFilterFactoryBean(这个类),并在其中添加其他的页面,必须指明登录页面和登录成功页面以及错误页面

4.当前的login方法返回的login页面使用get请求,在我们使用login页面的时候可以使用post请求访问login来实现用户的登录

5.用户的登录还是通过SecurityUtil获取Subject来进行登录,并返回的为login字符

以上纯属个人见解,如有问题请联系本人!

编程写手
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSM+Shiro实现权限角色控制
11-07
SSM+Shiro实现权限角色控制,+Maven+Tomcat+Mysql,项目可直接在eclipse上跑,数据库表也附件在压缩包
springboot整合shiro实现权限控制.zip
02-04
5. **安全控制器**:在Spring Boot的控制,我们可以通过Shiro注解实现权限控制,如`@RequiresAuthentication`表示需要用户已登录,`@RequiresPermissions`表示需要具有特定的权限。 6. **启动Shiro**:在...
shiro框架 02使用shiro进行用户的认证和用户权限控制
最新发布
qq_38757863的博客
06-29 430
instanceof是Java的一个保留关键字,左边是对象,右边是类,返回类型是Boolean类型。它的具体作用是测试左边的对象是否是右边类或者该类的子类创建的实例对象,是,则返回true,否则返回false。在此对象定义相关方法,处理客户端的登陆请求,例如获取用户名,密码等然后提交该 shiro 框架进行认证。在用户数据层对象 SysUserDao ,按特定条件查询用户信息,并对其进行封装。本模块的业务在 Realm 类型的对象进行实现,我们编写 realm 时,要继承。
Spring Boot:基于Apache Shiro实现权限认证和授权
言尭的博客
05-17 617
Apache Shiro简介 Apache Shiro是一个安全开源框架,可用于处理认证、授权、session管理和加解密。 Authentication(认证):用户身份识别,通常被称为用户“登录”。 Authorization(授权):访问控制,比如某个用户是否具有某个操作的使用权限。 Session Management(会话管理):特定于用户的会话管理,甚至在非web或EJB应用程序。 Cryptography(加密):在对数据源使用加密算法加密的同时,保证
springboot+shiro+mybatis实现角色权限控制
牧竹子
05-11 3万+
背景spring+spirngmvc+shiro的整合已经有很多了,之前的项目也用过,但是最近想在springboot使用shiro这样,其他项目需要的时候只需要把它依赖进来就可以直接使用,至于shiro的原理其他的blog都有很多介绍。这里只讲几个重点在项目注意的地方。 shiro官网 http://shiro.apache.org/shiro配置重要的几个文件其实最重要的就是shir
Java系列技术之安全框架Shiro
12-31
在SSM基础下整合使用安全框架Shiro,本课将设计导Spring和Shrio整合起来应用的核心知识点都讲到了,学习本课后能够在项目将Shro用起来。
SpringBootShiro、 自定义注解权限控制源码下载
04-06
6. **数据库连接与事务管理**:理解SpringBoot如何配置数据源和事务管理器,以及如何在服务层处理事务。 7. **日志和异常处理**:了解如何配置日志框架(如Logback、Log4j等)和全局异常处理。 通过这个项目,...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
总的来说,SpringBoot集成Shiro实现动态URI权限涉及前后端的协同工作,通过Java后端处理权限逻辑,Vue前端展示和交互,结合Shiro的强大功能,可以实现高效、灵活的权限控制系统。在实际项目,还需要考虑安全性、...
使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例.zip
04-07
6. **注解驱动的权限控制**:SpringBootShiro结合时,可以使用Shiro注解(如`@RequiresRoles`, `@RequiresPermissions`)在控制器方法上进行权限控制,这样可以更直观地表示哪些方法需要特定的权限才能访问。...
springboot shiro基于redis分布式权限实现完整案例代码
08-25
在本项目,"springboot shiro基于redis分布式权限实现完整案例代码" 是一个实践性的教程,旨在展示如何在Spring Boot应用集成Apache Shiro框架,并利用Redis进行分布式权限管理。Shiro是一款轻量级的安全框架,...
基于springboot下利用shiro注解完成权限控制的超详细记录
0117
10-01 4543
首先先说明一下,由于某些问题,不能将代码上传到github,但是可以展示出足够说明流程的代码和sql。 项目涉及到的技术:redis,shirospringboot,jpa 权限分配架构:RABC模型 数据库截图 务必注意这个id=11123的exm,是用它举的例子,总结一下上面的截图: 这个id=11123的人,拥有名字叫boss的角色名,而这个叫boss的角色,拥有名为boss的权...
使用 Shiro 设计基于用户、角色权限的通用权限管理系统
热门推荐
IT小村
04-06 5万+
一、前言 在大型的信息管理系统,经常涉及到权限管理系统 下面来个 demo,很多复杂的系统的设计都来自它 Coding(github)地址:https://git.coding.net/larger5/urp.git https://git.coding.net/larger5/urp.git 2018.4.3 版本0.5 在 SpringBoot 使用 Shiro+MySQL...
shiro实现基于角色权限授权
XWJ
06-03 1万+
shiro除了登陆验证之外,还有一点就是对系统进行相应的权限操作,而基于角色的授权是目前最通用的做法,也是符合业务逻辑的。具体思路如下: 1.数据库设计好权限表,角色表(权限标识是自定义的,shiro会根据表格里面相应的权限对系统做出管理) 2.将权限表与角色表做外键关联(多对一),用户表与角色表做外键关联 3.在自定义的Realm里实现授权 4.在controller层的方法里加上对应权
spring boot + shiro 实现角色权限控制
幕峰的博客
06-16 2444
spring boot + shiro 实现角色权限控制 简介 Apache Shiro 是一个强大并且易于使用的java安全框架,可以用与身份验证、授权、加密和会话管理。同样的框架还有spring security,spring security有很好的平台支持,和活跃的社区氛围,并且对spring完美兼容,但是使用难度上,远远超过shiro。 身份认证:用户身份识别。 授权:用户权限控制。知道来的人有没有资格进来。 加密:加密敏感数据,防止偷窥。比如密码md5两次加密。 会话管理:用户的时间敏感的状态
使用shiro实现权限控制学习总结
kaka0509的专栏
04-16 3万+
参考了http://blog.csdn.net/frankcheng5143/article/details/50836619这篇文章。感谢GW_Cheng大神的启发。 参考shiro官方文档将shiro和spring集成。spring的基本配置默认都懂,不说了。项目用maven管理,这个也不细说了,大不了启动的时候看报错缺什么文件写什么依赖吧- -哈哈。后面我会做一个完整项目放在github上。
springboot+shiro+redis实现同时对角色和用户的权限控制
weixin_44828808的博客
10-25 965
前言:首先说明,这个需求很少(奇)见(葩)(由一个不懂代码的产品经理提出),要求公司内部后台系统里面,既能按照部门职能控制访问权限,又要能随意给某个人赋予权限。 二话不说,上配置。 1.数据库配置 数据库表为6个分别是: 用户表、角色表、权限表、用户角色间表、角色权限间表,用户权限间表(实现对单独用户控制权限的关键)![](https://img-blog.csdnimg.cn/201910...
shiro 控制一个url多个角色都可以访问
jayyunfei的专栏
07-25 1359
关于shiro控制一个url可以多个角色访问, 我看到这样一个说法: 第一,就是要这写些个用户拥有这些全部角色,因为如果url后面有多个角色,那么就是要同时拥有这些角色才能访问, 第二,就是重写 @SuppressWarnings({"unchecked"}) public boolean isAccessAllowed(ServletRequest request, ...
springboot shiro 权限控制
05-26
4. 在Controller使用注解进行权限控制。 以下是一个简单的示例: 1. 引入依赖,在pom.xml文件添加以下内容: ``` <groupId>org.apache.shiro <artifactId>shiro-spring <version>1.4.1 ``` 2. 配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值