Springboot集成shiro--登录拦截/权限控制

于 2024-07-16 09:14:05 发布
阅读量910 收藏 18
点赞数 24
文章标签: spring boot xml 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68693132/article/details/140456130
版权

一、在pom文件中添加依赖

 <!--Shiro核心框架 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <!-- Shiro使用Spring框架 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <!-- Shiro使用EhCache缓存框架 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <!-- thymeleaf模板引擎和shiro框架的整合 -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>${thymeleaf.extras.shiro.version}</version>
        </dependency>

二、配置类shiroConfig--登录认证拦截

1.创建realm配置realm

2.配置安全管理器DefaultWebSecurityManager----核心

3.配置请求过滤器ShiroFilterFactoryBean

 @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager)
    {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 身份认证失败,则跳转到登录页面的配置
        shiroFilterFactoryBean.setLoginUrl("/static/login.html");
        // 权限认证失败,则跳转到指定页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/nopermissioin");
        // Shiro连接约束配置,即过滤链的定义
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 对静态资源设置匿名访问
        // 不需要拦截的访问
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/favicon.ico**", "anon");
        filterChainDefinitionMap.put("/static/**", "anon");
​
        // 退出 logout地址,shiro去清除session
        filterChainDefinitionMap.put("/logout", "logout");
        // 所有请求需要认证
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

4.登录控制器,使用subject登录

   Subject subject= SecurityUtils.getSubject();
        UsernamePasswordToken token= new UsernamePasswordToken(username, password);
        subject.login(token);

5.shiro内置过滤器介绍

anon: 匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例“/static/**=anon”

authc: 表示需要认证(登录)才能使用;示例“/**=authc”

authcBasic:Basic HTTP身份验证拦截器

roles: 角色授权拦截器,验证用户是否拥有资源角色;示例“/admin/**=roles[admin]”

perms: 权限授权拦截器,验证用户是否拥有资源权限;示例“/user/create=perms["user:create"]”

user: 用户拦截器,用户已经身份验证/记住我登录的都可;示例“/index=user”

logout: 退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/);示例“/logout=logout”

port: 端口拦截器,主要属性:port(80):可以通过的端口;示例“/test= port[80]”,如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样

rest: rest风格拦截器;

ssl: SSL拦截器,只有请求协议是https才能通过;否则自动跳转会https端口(443);其他和port拦截器一样;

注:
anon,authcBasic,auchc,user是认证过滤器,
perms,roles,ssl,rest,port是授权过滤器

三、权限控制(鉴权

1.注解式

①在需要权限的控制器方法上贴注解

  • @RequiresPermissions("权限表达式") ==> 需要权限控制

  • @RequiresRoles() ==> 需要角色控制

②在配置文件中配置两个bean
     /**
     * 开启Shiro注解通知器
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
            DefaultWebSecurityManager securityManager)
    {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
    /**
     * 设置支持CGlib代理
     * 详情看DefaultAopProxyFactory#createAopProxy
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
③在realm中完善鉴权逻辑
//授权相关
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    Employee employee = (Employee)principals.getPrimaryPrincipal();
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    //根据用户的id查询该用户拥有的角色编码
    List<Role> roles = roleService.queryByEmployeeId(employee.getId());
    for(Role role:roles){
        info.addRole(role.getSn());
    }
    //根据用户的id查询该用户拥有的权限表达式
    List<String> permissions = permissionService.queryByEmployeeId(employee.getId());
    info.addStringPermissions(permissions);
    return info;
}
注:可以添加统一异常处理--针对用户没有权限
@ControllerAdvice
public class CommonControllerAdvice {
    @ExceptionHandler(AuthorizationException.class)
    public String exceptionHandler(AuthorizationException e){
        e.printStackTrace();
        return "/nopermission";
    }
}
注--超级管理员
        
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection){
        Employee employee = (Employee) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        if (employee.isAdmin()) {//是管理员--权限可以使用通配符
            info.addStringPermission("*:*");
            //角色--不能使用通配符
            List<Role> roles = roleService.selAll();
            for (Role role : roles) {
                info.addRole(role.getSn());
            }else{
                 //余下逻辑与普通鉴权相同
            }
           return info;
        }

2.编程式--以查询为例

@RequestMapping("/list")
public String list(Model model, QueryObject qo) {
    //获取subject主体对象
    Subject subject = SecurityUtils.getSubject();
    PageInfo<Department> pageInfo = null;
    //判断此subject是否有这个权限--我猜测这个subject就是从数据库查出来的用户信息,根据id和关联表查出的权限
    if(subject.isPermitted("department:list")){
        //有权限执行代码
        pageInfo = departmentService.query(qo);
    }else{
        //没有权限返回空页面
        pageInfo = new PageInfo<>(Collections.EMPTY_LIST);
    }
    model.addAttribute("pageInfo", pageInfo);
    return "department/list";
}

3.标签式--需要配置Shiro集成ThymeLeaf标签支持(了解)

①配置文件中添加依赖
/**
 * thymeleaf模板引擎和shiro框架的整合
 */
@Bean
public ShiroDialect shiroDialect()
{
    return new ShiroDialect();
}
②页面中添加头
<html lang="zh" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
③使用
<a href="#" class="btn btn-success btn-input" style="margin: 10px" shiro:hasPermission="department:saveOrUpdate">
    <span class="glyphicon glyphicon-plus"></span> 添加
</a>

四、其他集成

4.1 ehchche--缓存

1.在resource目录下新建ehcache/ehcache-shiro.xml文件,内容如下:
  • <?xml version="1.0" encoding="UTF-8"?>
<ehcache>
    <defaultCache
            maxElementsInMemory="1000"
            eternal="false"
            timeToIdleSeconds="600"
            timeToLiveSeconds="600"
            memoryStoreEvictionPolicy="LRU">
    </defaultCache>
</ehcache>

    • 配置属性说明

参数说明
maxElementsInMemory缓存对象最大个数
eternal对象是否永久有效,一但设置了,timeout 将不起作用。
timeToIdleSeconds对象空闲时间,指对象在多长时间没有被访问就会失效(单位:秒)。仅当 eternal=false 对象不是永久有效时使用,可选属性,默认值是 0,也就是可闲置时间无穷大。
timeToLiveSeconds对象存活时间,指对象从创建到失效所需要的时间(单位:秒)。仅当 eternal=false 对象不是永久有效时使用,默认是 0,也就是对象存活时间无穷大。
memoryStoreEvictionPolicy当达到 maxElementsInMemory 限制时,Ehcache 将会根据指定的策略去清理内存。

缓存淘汰策略:

策略说明
LRU默认,最近最少使用,距离现在最久没有使用的元素将被清出缓存
FIFO先进先出, 如果一个数据最先进入缓存中,则应该最早淘汰掉
LFU较少使用,意思是一直以来最少被使用的,缓存的元素有一个hit 属性(命中率),hit 值最小的将会被清出缓存

2.添加配置
@Bean
public EhCacheManager getEhCacheManager()
{
    EhCacheManager em = new EhCacheManager();
    em.setCacheManagerConfigFile("classpath:ehcache/ehcache-shiro.xml");
    return em;

}
/**
 * 自定义Realm
 */
@Bean
public EmployeeRealm userRealm(EhCacheManager cacheManager)
{
    EmployeeRealm employeeRealm = new EmployeeRealm();
    employeeRealm.setCacheManager(cacheManager);
    return employeeRealm;
}
3.使用自定义的配置
@Bean
	//传递的参数名要与自定义realm的bean名一致-userRealm
    public DefaultWebSecurityManager securityManager(EmployeeRealm userRealm,DefaultWebSessionManager sessionManager){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //添加realm对象
        securityManager.setRealm(userRealm);
        //添加session管理器对象
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }

4.2加盐加密

1.在数据库和实体类中分别添加salt字段
2.修改对应的mapper映射文件
3.改realm
/**
*	在返回值中添加第三个参数 ByteSource.Util.bytes(employee.getSalt())
*/
@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = (String) authenticationToken.getPrincipal();
        Employee employee = employeeService.selUserByUsername(username);
        if (employee == null) {
            return null;
        }
        return new SimpleAuthenticationInfo(employee, employee.getPassword(),
                ByteSource.Util.bytes(employee.getSalt()), getName());
    }
4.改配置类

  • 添加凭证匹配器

  • 	@Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher matcher=new HashedCredentialsMatcher("md5");
        matcher.setHashIterations(3);
        return matcher;
    }

  • 将凭证匹配器设置到realm中

  • 	@Bean
    public EmployeeRealm userRealm(EhCacheManager cacheManager,
                                   HashedCredentialsMatcher hashedCredentialsMatcher)
    {
        EmployeeRealm employeeRealm = new EmployeeRealm();
        employeeRealm.setCacheManager(cacheManager);
        //这里
        employeeRealm.setCredentialsMatcher(hashedCredentialsMatcher);
        return employeeRealm;
    }

5.注册功能修改--service
//添加用户的service方法
	@Override
    public void add(Employee employee, Long[] roleIds) {
    	//生成随机盐
        String salt = UUID.randomUUID().toString().substring(0, 4);
        //生成加密的密码
        Md5Hash pwd=new Md5Hash(employee.getPassword(), salt,3);
        //将盐和密码都设置给对象
        employee.setPassword(pwd.toString());
        employee.setSalt(salt);
        //最后进行添加
        employeeMapper.insert(employee);
        
        //向关联表批量插入
        if (roleIds != null && roleIds.length > 0 && !employee.isAdmin())//合理化校验
        {
            employeeMapper.insertRelationBatch(employee.getId(), roleIds);
        }
    }

五、关于重定向出现404--sessionId

1.在配置类中添加session管理器

/**
 * session管理器
 */
@Bean
public DefaultWebSessionManager sessionManager() {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    sessionManager.setSessionIdUrlRewritingEnabled(false);
    return sessionManager;
}

2.在安全管理器中添加

	//安全管理器对象
    @Bean
    public DefaultWebSecurityManager securityManager(EmployeeRealm userRealm,DefaultWebSessionManager sessionManager){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //添加realm对象
        securityManager.setRealm(userRealm);
        //添加session管理器对象
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }

zhj1695369
关注
  • 24
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
SpringBoot集成shiro(页面拦截登录认证)
qq_45554909的博客
02-03 672
1、准备工作 1 搭建一个SpringBoot项目、选中web模块即可! 2. 导入Maven依赖 thymeleaf <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> 3.编写一个页面 index.html templates下
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 829
spring boot 集成 shiroshiro介绍,shirospringSecurity区别,shiro优缺点
基于springboot注解的shiro 授权及角色认证
一个菜鸡的博客
05-29 2015
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
Springboot整合Shiro框架入门
qq_42640067的博客
09-25 1566
Springboot集成Shiro框架1、快速开始demo2、Springboot集成Shiro2.1、环境搭建2.2、shiro拦截2.3、shiro的认证2.4、整合mybatis2.5、shiro进行授权2.6、shiro整合thymeleaf 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐的10分钟入门demo进行测试。 创建一
shiro进行权限控制的四种方式
热门推荐
力挽狂澜的POWER
08-19 4万+
我们使用shiro进行权限控制 有以下几种方式 1.  URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 &lt;!--指定URL级别拦截策略  --&gt; &lt;property name="filterChainDefinitions"&gt;  &lt;value&gt; /css/ = anon /js/ = anon /im...
Shiro快速入门 —— 2.拦截器
weixin_34124939的博客
05-09 440
2019独角兽企业重金招聘Python工程师标准>>> ...
Springboot-Shiro-Activiti
05-14
你可以通过Shiro拦截器或者注解来控制对URL、方法或整个控制器的访问权限。 接下来,Activiti是一个开源的工作流和业务流程管理系统,它支持BPMN 2.0标准,允许开发者定义、执行和监控业务流程。在Springboot-...
springboot-shiro-demo.zip
06-22
通过这个示例项目,开发者不仅可以了解 SpringBootShiro 的基本整合方式,还能学习到如何在实际项目中实现用户登录权限控制等功能。这为构建一个安全的 Web 应用提供了坚实的基础。在实际开发中,可以根据需求...
springboot-shiro权限管理系统.zip
07-05
SpringBoot-Shiro系统通常会集成一个日志框架(如Log4j、Logback),并在Shiro拦截器中记录用户的登录、退出、权限异常等事件。 7. **前端Bootstrap UI** 前端界面采用Bootstrap框架,它提供了丰富的响应式布局...
SpringBoot快速设置拦截器并实现权限验证的方法
08-28
本篇文章主要介绍了SpringBoot快速设置拦截器并实现权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBootShiro整合-权限管理实战源码.zip
05-22
SpringBoot简化了Spring应用程序的配置和开发过程,而Shiro则是一个强大的安全管理框架,专注于身份认证、授权(权限管理)、会话管理和安全性相关的实用工具。下面我们将详细探讨SpringBootShiro整合实现权限管理...
shiro配置拦截器
分享日常bug
11-10 695
如果你是从第一节配置shiro过来的!记得在ShiroFilterFactoryBean 上面添加@Bean注解。
Shiro权限管理框架详解
WGH100817的博客
01-25 1582
1 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 用户身份认证1.2...
shiro权限
天地无名
09-30 669
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Shiro(七):shiro 注解权限控制-5个权限注解
12程序猿的博客
10-23 4087
shiro提供了相应的注解用于权限控制,如果使用这些注解就需要使用aop的功能来进行判断。shiro提供了spring aop集成,用于权限注解的解析和验证 shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 1.@RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须通过login 进行了身份验证;即 Subject.isAuthenticated() 返回 true 2.@RequiresUser: 表
Shiro权限管理框架
king220022的博客
04-11 1130
对于细颗粒度的权限管理不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限
Shiro系列九:拦截器
苍穹尘的博客
06-07 954
一、简介  Shiro 内置了很多默认的拦截器,比如身份验证、授权等 相关的。默认拦截器可以参考 org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器: 1、身份验证相关的拦截器 2、授权相关的拦截器 3、其他拦截器 二、权限配置(即拦截器的使用)  在Spring配置文件的 shiroFilter 中配置权限 <bean id="...
SpringBoot-Shiro整合实践:动态权限、Session共享与单点登录
"本文档详细介绍了如何在SpringBoot项目中...这篇文档详细阐述了如何在SpringBoot项目中利用Shiro实现安全控制,包括动态权限加载、Session共享以及单点登录,对于理解ShiroSpringBoot中的实践具有很高的参考价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值