Springboot+Shiro实现安全(过滤器)权限控制

最新推荐文章于 2024-05-10 16:54:55 发布
最新推荐文章于 2024-05-10 16:54:55 发布
阅读量834 收藏
点赞数
文章标签: spring boot 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63920305/article/details/128176628
版权

Shiro是一个基于Apache研发的Java安全框架

三个核心组件:Subject, SecurityManagerRealms.

Subject表示当前操作用户

SecurityManager Shiro框架的核心

Realms桥接器

实现思路:

 

一.导入依赖

关键依赖:shiro包和thymeleaf包

        <!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.7.1</version>
        </dependency>
        <!--thymeleaef-->
       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

二:数据库和Service层

创建user用户表,

字段:username用户名,password密码,perms权限,role角色

UserMapper接口继承BaseMapper类

@Mapper
public interface UserMapper extends BaseMapper<User> {
}

@Service
public class UserServiceImpl implements userService {
    @Autowired
    UserMapper userMapper;

    @Override
    public User getUser(String username) {
        QueryWrapper<User> qw=new QueryWrapper<>();
        qw.eq("username",username);
        return userMapper.selectOne(qw);
    }
}

编写getUser()方法在后面用于shiro调用验证信息

三:编写Realm

Realm称之为Shiro与安全数据之间的桥梁,Shiro从Realm中获取认证和授权信息

public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserServiceImpl userService;

    /**
     * 授权方法
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前登录信息
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();
        //设置角色
        Set<String> role = new HashSet<>();
        if (user.getRole() == 1) {
            role.add("hyq");
        } else if (user.getRole() == 2) {
            role.add("xqq");
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(role);
        //设置权限
        info.addStringPermission("所有人");
        return info;
    }

    /**
     * 认证身份信息
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //拿到token令牌
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //根据前端传来的token验证信息
        User user = userService.getUser(token.getUsername());
        //若不为空则交给AuthenticationInfo
        if (user != null) {
            return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
        }
        return null;
    }
}
继承AuthorizingRealm类,重写授权和验证的方法

记住用户是先认证,然后授权

四:编写Springboot的Shiro配置类

@Configuration
public class UserShiro {
    /**
     * shiro过滤器工厂
     *
     * @param defaultWebSecurityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        //创建一个Shiro权限的过滤器
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置过滤器的安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        //设置map的权限角色设置信息
        Map<String, String> map = new HashMap<>();
        map.put("/index", "authc");
        map.put("/", "authc");
        map.put("/one", "roles[xqq]");
        map.put("/tow","perms[所有人]");
        //把map的权限信息注入到过滤器中
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        shiroFilterFactoryBean.setLoginUrl("/login");//设置登录页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/unau");//设置无权限操作页面
        return shiroFilterFactoryBean;
    }

    /**
     * 默认的web安全管理器
     *
     * @param userRealm 域对象
     * @return 返回安全管理器
     */
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("getRealm") UserRealm userRealm) {
        //创建一个默认的安全管理器
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //设置安全管理器的域
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }

    /**
     * 域
     *
     * @return
     */
    @Bean
    public UserRealm getRealm() {
        return new UserRealm();
    }
}

三个非常重要的安全配置:

Realm,DefaultWebSecurityManager,ShiroFilterFactoryBean三个Bean的注入

ShiroFilterFactoryBean类

        setLoginUrl方法--设置用户登录页面

        setUnauthorizedUrl方法--设置用户无权限跳转页面


五:编写Controller

@Controller
public class UserController {
    @RequestMapping("/{url}")
    public String urlGo(@PathVariable("url") String url) {
        return url;
    }

    @RequestMapping("/loginGo")
    public String Login(String username,
                        String password) {
        try {
            //得到subject
            Subject subject = SecurityUtils.getSubject();
            //用令牌封装信息
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
            subject.login(token);//进入域realm验证username
            //向session添加用户信息
            subject.getSession().setAttribute("user",subject.getPrincipal());
            return "index";
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            return "login";
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            return "login";
        }
    }

    /**
     * 当前用户退出
     * @return
     */
    @RequestMapping("/logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "login";
    }
}

当前操作用户“Subject”

Subject subject = SecurityUtils.getSubject();


用令牌封装信息

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

最爱香泡泡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **权限控制**:用户登录后,所有请求都会经过Shiro过滤器链,Shiro会根据Subject中的权限信息判断用户是否有权限访问资源。 3. **前端展示**:LayuiMini根据Shiro权限信息动态渲染界面,比如隐藏无权限的按钮...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
`CustomShiroFilter`是自定义的过滤器实现具体的权限控制逻辑。 通过以上步骤,我们可以构建出一个基于Springboot+Vue+Shiro的前后端分离应用,实现权限控制,同时解决了跨域问题。这种架构不仅提高了开发效率...
shiro
weixin_50204197的博客
03-26 948
shiro,认证
shiro过滤器权限控制
weixin_44044929的博客
07-21 2547
shiro过滤器配置、权限控制
SpringBoot整合SpringScurity权限控制(菜单权限,按钮权限)以及加上SSH实现安全传输
最新发布
qq_63946922的博客
05-10 1381
如果你在设计一个需要存储用户密码的系统,强烈建议使用 bcrypt、PBKDF2 或 Argon2 而不是 MD5。这些现代算法提供了更高级别的安全保障,可以帮助你的系统抵御当前的威胁,如暴力破解和彩虹表攻击。选择正确的密码存储策略是保护用户数据安全的关键一步。
shiro】一、基础概念
weixin_34212762的博客
07-05 170
来源:http://blog.csdn.net/swingpyzf/article/details/46342023/ &amp;&amp;&amp;&amp; http://jinnianshilongnian.iteye.com/blog/2018936 什么是Apache Shiro 1、什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Ja...
【SaaS - Export项目】 shiro认证(防止通过链接来访问Controller 过滤器) shiro加密/加盐加密 shiro会话管理 shiro授权校验
mighty_Jon的博客
11-11 373
Shiro的使用1.Shiro认证1.1 Shiro过滤器(拦截非法访问)1.2用户密码判断UserControllerAuthRealm1.3加密/加盐加密1.3.1MD5加密工具类MD5UtilsTestMd5UtilShiro框架也集成了常用的加密的算法md51.3.2加盐(除了密码多了一个字符串,防止被别人利用彩虹表撞库来破解密码)shiro加盐加密步骤1.3.3.1 配置自定义的密码匹配器1.3.3.2在applicationContext-shiro.xml添加自定义的凭证匹配器(自定义密码匹配
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3619
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验、SpringSecurity自定义校验、SpringSecurity自定义校验规则、SpringSecurity异常处理器
springboot+shiro+redis整合
03-12
通过以上步骤,我们成功地将SpringBootShiro和Redis整合在一起,实现了基于Shiro安全控制和Redis的Session共享。这种架构方案适用于大型分布式系统,能够提供稳定、高效且安全的用户体验。在实际应用中,还可以...
springboot+Shiro 实现动态授权
09-05
SpringBoot结合Apache Shiro实现动态授权是一个常见的权限管理策略,旨在提供灵活且高效的访问控制。在Web应用开发中,安全框架如Spring Security和Shiro帮助我们处理用户认证和授权问题,而SpringBoot的轻量级特性...
springboot+shiro.zip
05-08
6. 配置Shiro的Web过滤器,指定哪些URL需要经过Shiro过滤,哪些可以匿名访问,哪些需要特定的角色或权限。 在这个"springboot+shiro.zip"压缩包中,很可能是包含了上述步骤的代码实现,包括SpringBoot的启动类、...
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3786
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
使用shiro完成权限判断
weixin_44860790的博客
07-13 3601
一、权限判断 获取到所有权限进行判断,应该从数据库中获取 public class FilterChainDefinitionMapFactory { @Autowired private IPermissionService iPermissionService; public LinkedHashMap<String,String> builderFilter...
Shiro框架:Shiro内置过滤器源码解析
博客园
01-12 1155
Shiro框架作为登录鉴权安全模块一款较为流行的开源框架,通过简单的配置即可完成登录鉴权配置,其中离不开Shiro较为丰富、且简单易用的内置过滤器,本文主要对Shiro多种内置过滤器进行源码解析,方便更好的深入透析其执行原理;
Shiro权限过滤器的初始化流程和实现原理
zhang__1234的博客
02-17 252
Shiro权限过滤器的初始化流程和实现原理
shiro过滤器
快乐的小三菊的博客
05-20 451
一、背景 主要讲一下在 ShiroConfig 的 shiroFilterFactoryBean() 的方法中的一些过滤条件配置和注意事项,shiro 支持自定义过滤器,我们下面会讲,先看下原生支持的一些标签。 二、配置 配置主要分为两类,第一类设置一些界面跳转的地址,第二类是设置一些过滤器的配置。 // Filter工厂,设置对应的过滤条件和跳转条件 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBe...
一.springbootshiro整合(示例)
热门推荐
u014203449的博客
02-16 4万+
地址: 演示地址:http://47.98.153.30:8080 账号:melo 密码:12345678 github地址:点击打开链接https://github.com/MeloFocus/focus 前端水平有限见谅 第一个整合目标: (1)用springboot整合shiro (2)完成简单的登录功能 (3)对url进行权限控制,当前登录用户拥有此ur...
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5010
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
关于 Shiro权限匹配器和过滤器
06-22 187
项目源码:https://github.com/weimingge14/Shiro-project演示地址:http://liweiblog.duapp.com/Shiro-project/login 关于 Shiro权限匹配器和过滤器 上一节,我们实现了自定义的 Realm,方式是继承AuthorizingRealm这个抽象类,分别实现认证的方法和授权的方法。 这一节实...
springboot+shiro如何实现权限管理
05-28
3. 在Spring Boot中配置Shiro过滤器,用于拦截请求并根据用户权限判断是否允许访问。 4. 在用户登录时,使用Shiro的Subject对象进行身份认证,如果验证通过则将用户信息存储在Shiro的Session中,用于后续的权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值