shiro权限管理实例

已于 2022-11-18 23:20:05 修改
阅读量408 收藏 1
点赞数
分类专栏: SpringBoot shiro权限管理 文章标签: spring boot
于 2022-11-18 22:46:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52472152/article/details/127919412
版权

1、新建shiro-test工程,选择Spring Web和Thymeleaf依赖
在这里插入图片描述
2、添加相关依赖包

        <!--添加shiro依赖-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

        <!--添加shiro支持thymeleaf标签依赖-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
        <!--添加shiro EhCache缓存依赖-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.4.2</version>
        </dependency>
        <dependency>
            <groupId>commons-io</groupId>
            <artifactId>commons-io</artifactId>
            <version>2.6</version>
        </dependency>

3、在resources下添加ehcache添加ehcache缓存配置文件ehcache.xml
在这里插入图片描述
配置文件如下:

<?xml version="1.0" encoding="UTF-8" ?>
<ehcache>
    <!-- 磙盘的缓存位置-->
    <diskStore path="java.io.tmpdir/ehcache"/>
    <!--默认缓存-->
    <defaultCache
            maxEntriesLocalHeap="10000"
            eternal = "false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LRU">
        <persistence strategy ="localTempSwap"/>
    </defaultCache>

    <!-- ShiroTest缓存 -->
    <cache name ="ShiroTestCache"
           maxEntriesLocalHeap="1000"
           eternal = "false"
           timeToIdleSeconds="5"
           timeToLiveSeconds="5"
           overflowToDisk="false"
           memoryStoreEvictionPolicy="LRU"/>
</ehcache>

4、在static下新建js文件夹,并将md5 js加密算法与 jquery复制到js下
在这里插入图片描述
5、template下添加login.html,noPermission.html,Index.html

                                      <!--login.html-->
<!DOCTYPE html>
<html lang="en" xmlns:th ="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script th:src="@{|/js/jquery-1.8.0.min.js|}"></script>
    <script th:src="@{|/js/jquery.md5.js|}"></script>
    <script>
        //页面加载完毕后将登录按钮单件事件绑定以下方法
        $(function(){
            $("#btnSubmit").bind("click",function() {
                var  md5_password = $.md5($("#password").val());
                console.log(md5_password);
                alert(md5_password);
                $("#md5Password").val(md5_password);
            })
        })
    </script>
</head>
<body>
<form action ="/" method="post">
    <label>用户名</label><input type = "text" id = "userName" name ="userName"><br>
    <label>密码</label><input type ="password" id = "password"><br>
    <input type ="hidden" id = "md5Password" name ="password">
    <input type = "submit" id ="btnSubmit" value ="登录">
    <span style="color:firebrick" th:text="${errMessage}"/>
</form>
</body>
</html>

                        <!--noPermission.html-->
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1 style="color: firebrick">对不起,您没有操作权限</h1>
</body>
</html>

                    <!--index.html-->
<!DOCTYPE html>
<!--添加thymeleaf与shiro命名空间-->
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro ="http://www.polix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<shiro:guest>
    您还没有登录
</shiro:guest>
<a th:href = "@{|/user/add|}">添加用户</a>
<a th:href = "@{|/user/update|}">修改用户</a>
<a th:href = "@{|/user/delete|}">删除用户</a>
<!--登录之后才可以查找用户-->
<shiro:authenticated>
    <a th:href = "@{|/user/search|}">查找用户</a>
</shiro:authenticated>
</body>
</html>
</body>
</html>

6、添加controller文件夹,并在其下添加TestController类

package com.example.shirotest.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.*;

@Controller
public class TestController {
    @GetMapping("/index")
    public String index (){
        return "index";
    }
    @GetMapping("/")
    public String toLogin(){
        return "login";
    }
    @PostMapping("/")
    public String login(String userName, String password, Model model){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        /*如果用户没有通过认证,认证用户*/
        if(!subject.isAuthenticated()){
            //创建UsernamePasswordToke对象
            String errMessage;
            UsernamePasswordToken token = new UsernamePasswordToken(userName,password);
            try {
                subject.login(token);
            } catch (UnknownAccountException e) {
                errMessage = "用户名不存在";
                model.addAttribute("errMessage",errMessage);
                return "login";
            } catch (IncorrectCredentialsException e){
                errMessage = "密码不正确";
                model.addAttribute("errMessage",errMessage);
                return "login";
            } catch(LockedAccountException e){
                model.addAttribute("errMessage","您的账号已经被锁定");
                return "login";
            }
            catch (AuthenticationException e){
                model.addAttribute("errMessage","认证失败");
                return "login";
            }
        }

        return "redirect:index";

    }

    @RequiresPermissions(value ={"user:add"})
    @RequestMapping("/user/add")
    @ResponseBody
    public String userAdd(){
        return "userAdd";
    }

    @RequiresPermissions(value={"user:update"})
    @RequestMapping("/user/update")
    @ResponseBody
    public String userUpdate(){
        return "userUpdate";
    }

    @RequiresPermissions(value ={"user:delete"})
    @RequestMapping("/user/delete")
    @ResponseBody
    public String userDelete(){
        return "userDelete";
    }
    @RequestMapping("/user/search")
    @ResponseBody
    public String userSelect(){
        return "userSelect";
    }
    @RequestMapping("/noPermission")
    public String noPermission(){
        return "noPermission";
    }
    //通过@RequiresPermission标识的无权限异常在此处理
    @ExceptionHandler(value={AuthorizationException.class})
    public String permissionError(Throwable throwable){
        return "noPermission";
    }
}

7、添加自定义realm MyRealm继承自AuthorizingRealm

package com.example.shirotest.realm;

import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.HashSet;
import java.util.Set;

public class MyRealm extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Object obj = principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Set<String> roles = new HashSet<>();
        Set<String> permissions = new HashSet<>();
        //此处应该是根据用户名查询出所有角色与权限
        if(obj.equals("admin")){
            roles.add("admin");
            permissions.add("user:add");
            permissions.add("user:update");
            permissions.add("user:delete");
            permissions.add("user:search");
        }
        info.addRoles(roles);
        info.addStringPermissions(permissions);
        return info;
    }

    //认证账户
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //根据principalCollection参数获得authenticationToken
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        String userName = token.getUsername();
        String password = new String(token.getPassword());

        //此部分应该是查找数据库后根据是否存在用户及用户密码输错次数判断
        if(!"admin".equals(userName) && !"zhangsan".equals(userName) && !"user".equals(userName)){
            throw new UnknownAccountException();
        }else if("zhangsan".equals(userName)){
            throw new LockedAccountException();
        }
        /*
         *参数1:服务器或输入的用户名,参数2:服务器中的密码,参数3,当前rea的名字
         */
        return  new SimpleAuthenticationInfo(userName,"e10adc3949ba59abbe56e057f20f883e",getName());
    }
}

8、添加config文件夹,并添加ShiroConfig配置类

package com.example.shirotest.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import com.example.shirotest.realm.MyRealm;
import net.sf.ehcache.CacheManager;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.io.ResourceUtils;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.io.IOException;
import java.io.InputStream;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    //生成MyRealm bean
    @Bean
    public MyRealm myRealm(){
        MyRealm myRealm = new MyRealm();
        return myRealm;
    }
    //生成EhCache bean
    @Bean
    public EhCacheManager ehCacheManager(){
        EhCacheManager ehCacheManager = new EhCacheManager();
        InputStream inputStream = null;
        try {
            inputStream = ResourceUtils.getInputStreamForPath("classpath:ehcache/ehcache.xml");
        } catch (IOException e) {
            e.printStackTrace();
        }
        CacheManager cacheManager = new CacheManager(inputStream);
        ehCacheManager.setCacheManager(cacheManager);
        return  ehCacheManager;
    }
    //生成SecurityManager bean
    @Bean
    public SecurityManager securityManager(MyRealm myRealm,EhCacheManager ehCacheManager){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        //securityManager.setCacheManager(ehCacheManager);
        return securityManager;

    }
    //生成ShiroFilterFactoryBean bean
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        //创建ShiroFilterFactoryBean
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置SecurityManager对象
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //设置登录页面
        shiroFilterFactoryBean.setLoginUrl("/");
        //设置登录成功后跳转的页面
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //设置没有权限跳转的页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/noPermission");
        /*
         * 设置页面拦截规则
         */
        Map<String,String> filterChainMap = new LinkedHashMap<>();
        //配置登陆请求不需要认证 anon表示某个请求不需要认证
        filterChainMap.put("/","anon");
        filterChainMap.put("/noPermission","anon");
        //配置登出的请求,登出后会清空当前用户的内存
        filterChainMap.put("/logout","logout");
        //配置一个admin开头的所有请求需要登录 authc表示需要登录认证
        filterChainMap.put("/user/add","authc,roles[admin]");
        //配置一个user开头的所有请求需要登录 authc表示需要登录认证
        filterChainMap.put("/user/**","authc");
        filterChainMap.put("/js/**","anon");
        //配置剩余的所有请求全部需要进行登录认证(注意:这个必须写在最后面,否则其后的配置不管用),可选配置
        filterChainMap.put("/**","authc");
        //设置权限拦截规则
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        return shiroFilterFactoryBean;
    }
    //开启shiro注解支持,不开启controller中的@RequiresPermissions无效
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
    //开启AOP的支持,不开启controller中的@RequiresPermissions无效
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
    //配置shiro与thymeleaf的集成
    @Bean
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }
}
仲夏幻境
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro权限管理框架详解
WGH100817的博客
01-25 1585
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro 权限管理
心猿意码
06-24 3974
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
Springboot14:集成Shiro
qq_43602877的博客
03-21 187
1、Shiro 1.1、什么是ShiroShiro 是一个Java的安全(权限)框架 Shiro 可以非常容易开发出足够的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境 Shiro 可以完成认证,授权,加密,会话管理,Web集成,缓存 对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了 1.2、基本功能 Authentication:身份认证 / 登
权限管理框架】一文看懂Shiro权限管理框架!
互联网小阿祥
11-03 2425
一文看懂Shiro权限管理框架!
shiro权限管理示例
01-11
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常方便地用于构建和强化应用程序的安全性。本示例将深入讲解Shiro权限管理中的应用。 首先,我们要理解Shiro的核心...
shiro权限管理案例加文档
01-12
在这个“shiro权限管理案例加文档”中,我们很可能会找到关于如何在实际项目中应用Shiro进行权限控制的详细教程和实例。 **一、Shiro基础** Shiro的核心组件包括:Subject(主体)、Realms(域)、Cryptography...
springbootshiro整合—登录认证和权限管理实例项目
04-16
在本文中,我们将深入探讨如何将Spring Boot与Apache Shiro整合,实现登录认证和权限管理实例项目。这个项目对于初学者来说是一个很好的实践平台,它可以帮助开发者将理论知识转化为实际应用。 首先,Spring Boot...
SSM+Shiro权限管理Demo
11-28
SSM+Shiro权限管理Demo是一个综合性的项目实例,它结合了SpringSpring MVC(SSM)和Apache Shiro框架来实现一个完善的权限控制体系。这个项目不仅涉及到后端的权限设计,还涵盖了前端页面的展示,使得用户界面与...
shiro-权限概述
OneMaruko的博客
01-26 3634
一、什么是权限 权限管理,一般根据系统的安全设置或安全规则,用户可以且只能访问自己被授予的资源。只要有用户名和密码,就一定会存在权限。 二、权限分类 访问权限 作为一个使用者或是访问者,你能够被允许看到的那些资源。 数据权限 作为一个使用者或是访问者,你能够被允许对那些数据进行操作处理。 三、认证概念 判断一个用户是否为合法用户,常见的有密码登录,验证码登录,第三方授权登录等。 四、认证流程 五、授权概念 授权,即访问权限,控制谁能访问那些资源。主体进行身份认证后,系统会为其分配对应的权限,当访问资源时,会
Shiro权限控制
一个死宅的不屈
06-27 2578
shiro权限验证框架
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6570
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
Spring BootShiro实现权限管理03
最新发布
pikcacho_pkq的博客
11-12 774
当接口被调用时 Shiro 首先会通过 ACSRealm.java 的 doGetAuthorizationInfo 方法拿到访问者的所有权限信息,然后判断其中是否包括了 “role:add” 权限,没有包括时将抛出 AuthorizationException 异常,在ExceptionController.java 中添加相应的方法统一处理这个异常,给调用者返回 403(Forbidden)错误。首先需添加一个session的工具类,创建util包,在该包下创建SessionUtils.java类。
如何使用shiro做权限控制
qq_33012981的博客
11-07 2763
如何使用shiro做权限控制 shiro不适合与jwt整合,它的最佳实现应该是将session存入redis中 1 简单案例 shiro官网有一个简单案例,按照这个案例可以很容易理解shiro的用法,地址是http://shiro.apache.org/tutorial.html 1.1 包 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boo
springboot整合shiro实现简单权限控制
听钱塘信来的博客
10-03 6799
springboot整合shiro实现简单权限控制
Shiro权限管理详解(授权和注解开发)【面试点】
尽力漂亮的博客
12-03 1116
Shiro权限管理详解1. 权限管理1.1什么是权限管理1.2用户身份认证1.2.1 概念1.2.2 用户名密码身份认证流程1.2.3 关键对象1.3 授权1.3.1 概念1.3.2 授权流程1.3.3 关键对象1.3.4 权限模型1.3.5 权限分配1.3.6 权限控制1.3.6.1 基于角色的访问控制 1. 权限管理 1.1什么是权限管理 权限管理包括用户身份认证和授权两部分,简称认证授权。 ...
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值
m0_67266585的博客
08-24 1315
接口需要有user:add权限才可访问。
Shiro权限管理框架:认证与授权详解
"Shiro权限管理框架详解" Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。本文将深入探讨Shiro框架在权限管理中的应用。 1. 权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值