shiro实现权限校验和session共享

最新推荐文章于 2023-03-10 09:20:35 发布
最新推荐文章于 2023-03-10 09:20:35 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yan970440700/article/details/79686048
版权


1. ShiroRealm 授权/认证

import java.util.List;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import com.huawei.hicloud.service.UserService;

/**
 * 认证/授权
 * 
 * @author
 *
 */
public class MyShiroRealm extends AuthorizingRealm {

	private static final Logger logger = LoggerFactory.getLogger(MyShiroRealm.class);

	@Autowired
	private UserService userService;

	/**
	 * 授权
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
		logger.info("##### doGetAuthorizationInfo args: " + principalCollection);
		
		// 获取用户名
		String username = (String) principalCollection.getPrimaryPrincipal();

		// 通过用户名获取用户权限信息
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		List<String> roles = userService.getRoles(username);
		simpleAuthorizationInfo.addRoles(roles);
		for (String role : roles) {
			List<String> permissions = userService.getPermissions(role);
			simpleAuthorizationInfo.addStringPermissions(permissions);
		}

		return simpleAuthorizationInfo;
	}

	/**
	 * 登录认证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
			throws AuthenticationException {
		logger.info("##### doGetAuthenticationInfo args: " + authenticationToken);

		UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
		// 获取登录信息
		String userName = token.getUsername();
		char[] password = token.getPassword();
		
		// 查询数据库获取用户信息,校验密码,判断用户状态
		
		// 加入判断逻辑
		

		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName, password,
				ByteSource.Util.bytes(userName), getName());

		return authenticationInfo;
	}

}

2. SessionManager

import java.io.Serializable;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.util.StringUtils;

public class MySessionManager extends DefaultWebSessionManager {
	private static final String AUTHORIZATION = "X-Auth-Token";

	private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

	public MySessionManager() {
		super();
	}

	@Override
	protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
		String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
		// 如果请求头中有Authorization则其值为sessionId
		if (!StringUtils.isEmpty(id)) {
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
			
			return id;
		} else {
			// 否则按默认规则从cookie取sessionId
			return super.getSessionId(request, response);
		}
	}
}

3. SessionDao重写session增删改查实现

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;

import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.SimpleSession;
import org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import com.alibaba.fastjson.JSON;
import com.huawei.hicloud.components.jedis.JedisClient;

public class RedisSessionDao extends EnterpriseCacheSessionDAO {

	private static final Logger logger = LoggerFactory.getLogger(RedisSessionDao.class);
	
	/** Session过期时间,单位: 秒 */
	private static final Integer SESSION_TIMEOUT = 30*60;

	@Autowired
	private JedisClient jedisClient;

	// 创建session,保存到数据库
	@Override
	protected Serializable doCreate(Session session) {
		logger.info("### doCreate session: " + JSON.toJSONString(session));
		Serializable sessionId = super.doCreate(session);
		byte[] key = sessionId.toString().getBytes();
		jedisClient.set(key, sessionToByte(session));
		jedisClient.expire(key, SESSION_TIMEOUT);

		return sessionId;
	}

	// 获取session
	@Override
	protected Session doReadSession(Serializable sessionId) {
		logger.info("### doReadSession sessionId: {}", sessionId);

		// 先从缓存中获取session,如果没有再去数据库中获取
		Session session = super.doReadSession(sessionId);
		if (session == null) {
			byte[] key = sessionId.toString().getBytes();
			byte[] bytes = jedisClient.get(key);
			if (bytes != null && bytes.length > 0) {
				session = byteToSession(bytes);
			}
			jedisClient.expire(key, SESSION_TIMEOUT);
		}
		
		return session;
	}

	// 更新session的最后一次访问时间
	@Override
	protected void doUpdate(Session session) {
		logger.info("### doUpdate session: " + JSON.toJSONString(session));
		super.doUpdate(session);
		byte[] key = session.getId().toString().getBytes();
		jedisClient.set(key, sessionToByte(session));
		jedisClient.expire(key, SESSION_TIMEOUT);
	}

	// 删除session
	@Override
	protected void doDelete(Session session) {
		logger.info("### doDelete session: " + JSON.toJSONString(session));
		super.doDelete(session);
		jedisClient.del(session.getId().toString().getBytes());
	}

	// 把session对象转化为byte保存到redis中
	public byte[] sessionToByte(Session session) {
		ByteArrayOutputStream bo = new ByteArrayOutputStream();
		byte[] bytes = null;
		try {
			ObjectOutputStream oo = new ObjectOutputStream(bo);
			oo.writeObject(session);
			bytes = bo.toByteArray();
		} catch (IOException e) {
			e.printStackTrace();
		}
		return bytes;
	}

	// 把byte还原为session
	public Session byteToSession(byte[] bytes) {
		ByteArrayInputStream bi = new ByteArrayInputStream(bytes);
		ObjectInputStream in;
		SimpleSession session = null;
		try {
			in = new ObjectInputStream(bi);
			session = (SimpleSession) in.readObject();
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		}

		return session;
	}

}
4. ShiroConfiguration 
import java.util.LinkedHashMap;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import com.huawei.hicloud.components.shiro.MySessionManager;
import com.huawei.hicloud.components.shiro.MyShiroRealm;
import com.huawei.hicloud.components.shiro.RedisSessionDao;

@Configuration
public class ShiroConfiguration {

	/**
	 * Realm认证/授权加入容器管理
	 * @return
	 */
	@Bean
	public MyShiroRealm myShiroRealm() {
		MyShiroRealm myShiroRealm = new MyShiroRealm();
		
		return myShiroRealm;
	}
	
	/**
	 * Redis实现session共享
	 * @return
	 */
	@Bean
	public RedisSessionDao redisSessionDao() {
		
		return new RedisSessionDao();
	}

	/**
	 * SessionManager
	 * 自定义SessionDAO实例,实现session共享
	 * @return
	 */
	@Bean
	public SessionManager sessionManager() {
		MySessionManager mySessionManager = new MySessionManager();
		mySessionManager.setSessionDAO(redisSessionDao());
		mySessionManager.setGlobalSessionTimeout(30 * 60 * 1000);
		
		return mySessionManager;
	}

	/**
	 * SecurityManager
	 * 权限/认证/session/缓存
	 * @return
	 */
	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(myShiroRealm());
		securityManager.setSessionManager(sessionManager());
		//securityManager.setCacheManager(cacheManager);

		return securityManager;
	}

	/**
	 * Shiro filter工厂
	 * @param securityManager
	 * @return
	 */
	@Bean
	public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);

		LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
		// 登出
		filterChainDefinitionMap.put("/logout", "logout");
		// 配置不会被拦截的链接 顺序判断
		filterChainDefinitionMap.put("/static/**", "anon");
		filterChainDefinitionMap.put("/ajaxLogin", "anon");
		filterChainDefinitionMap.put("/login", "anon");
		// 所有url都需认证
		filterChainDefinitionMap.put("/**", "authc");

		// 登录
		shiroFilterFactoryBean.setLoginUrl("/login");
		// 首页
		shiroFilterFactoryBean.setSuccessUrl("/index");
		// 错误页面,认证不通过跳转
		shiroFilterFactoryBean.setUnauthorizedUrl("/error");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

		return shiroFilterFactoryBean;
	}

	/**
	 * 开启shiro注解
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

		return authorizationAttributeSourceAdvisor;
	}

	@Bean
	@ConditionalOnMissingBean
	public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
		defaultAAP.setProxyTargetClass(true);
		
		return defaultAAP;
	}

}

5. 登录测试

到Realm里面实现认证

import java.util.HashMap;
import java.util.Map;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class LoginController {

	@RequestMapping(value = "/login", method = RequestMethod.POST)
	public Map<String, Object> login(@RequestBody Map<String, String> params) {
		HashMap<String, Object> result = new HashMap<>();

		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("shiro", "123456");

		try {
			subject.login(token);
			result.put("token", subject.getSession().getId() + "");
			result.put("msg", "登录成功");
		} catch (IncorrectCredentialsException e) {
			result.put("msg", "密码错误");
		} catch (LockedAccountException e) {
			result.put("msg", "登录失败,该用户已被冻结");
		} catch (AuthenticationException e) {
			result.put("msg", "该用户不存在");
		} catch (Exception e) {
			e.printStackTrace();
		}

		return result;
	}

}

6. 授权测试

import java.util.HashMap;
import java.util.Map;

import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class ShiroController {

	@RequiresRoles("admin")
	@RequiresPermissions("rs:view")
	@RequestMapping(value="/shiro", method=RequestMethod.GET)
	public Map<String, Object> shiro() {
		HashMap<String, Object> resultMap = new HashMap<>();
		
		resultMap.put("msg", "Hello shiro!");
		
		return resultMap;
	}
	
}



Mr_Yan225
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot +shiro+redis实现session共享(方案二)1
08-08
springboot +shiro+redis实现session共享(方案二)1
nginx+tomcat shiro实现多tomcat下session共享
06-30
分布式nginx多tomcat shiro共享session
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
最新发布
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 1、开发环境 MyBatis-Plus版本: 3.1.0 SpringBoot版本:2.1.5 JDK版本:1.8 Shiro版本:1.4 Shiro-redis插件版本:3.1.0 2、数据库中测试号的密码进行了加密,密码皆为123456
spring boot整合redis实现shiro的分布式session共享的方法
08-28
本篇文章主要介绍了spring boot整合redis实现shiro的分布式session共享的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro session 放入到 redis 中不被序列化以及 SimpleSession 的 transient 属性序列化方式踩到的坑
weixin_41069382的博客
06-16 4982
1、先来说一下 shiro session 序列化到 redis 中的过程 shiro session 放入到 redis 中的 过程(序列化过程):1、将 shiroSimpleSession 通过 RedisTemple 模板,有两种方案,即 Jackson 和 fastJson ,都是将 Java对象 打成 json,在转成 buty[] 。补充:在将 Java 对象 打成 ...
Spring集成Shiro时内存溢出的问题分析
hantanluoying的博客
05-29 3913
前段时间有一天系统访问量突然增加,系统每隔一两个小时就会由于内存瞬时飙升而宕机。查看内存dump文件发现其中ShiroSimpleSession对象异常多。后来经分析才发现是由于使用Spring集成Shiro时配置不当导致的。当时的配置如下: "sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionMan
解决Shiro频繁访问Redis读取和更新session(十二)
Doge的技术小屋
11-10 792
原文:https://blog.csdn.net/qq_34021712/article/details/80791339 该博客是接着上一篇博客: Shiro使用redis作为缓存(解决shiro频繁访问Redis) 请将两篇博客同时打开,方便查看。 前言 关于shiro频繁访问redis,共分为两种,一种是频繁的去redis读取session , 一种是频繁的去更新redis 中的session,针对两种不同情况,分别写出解决方案。 频繁读取session解决有两种方案: 第一种方案:本地缓存 上面的R
Shrio 微服务权限控制方案,完美实现
架构文摘
03-10 909
来自:blog.csdn.net/to10086/article/details/109573948一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security,看了下对比,都说shrio比较轻量,比较好用。本文我们也选择了shrio来做整个项目的权限框架,同时结合...
spring,shiro,redis实现session共享
啊大海全是水的博客
10-24 6003
spring-shiro 整合请看shiro springmvc整合第一步 spring-redis整合请看spring和redis集成 用到的redis jar如下 redis.clients jedis 2.6.2 org.springframework.data spring-data-redis 1.4.1.RELEASE
Spring Boot分布式系统实践【扩展1】shiro+redis实现session共享simplesession反序列化失败的问题定位及反思改进...
dbqg57671的博客
03-18 826
前言 调试之前请先关闭Favicon配置 spring: favicon: enabled: false 不然会发现有2个请求(如果用nginx+ 浏览器调试的话) 序列化工具类【fastjson版本1.2.37】 ```public class FastJson2JsonRedisSerializer implements RedisSerializer { ...
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
Shiro 关于校验Session过期、有效性的设计概念
07-11 936
核心行为 开启Session校验调度任务、校验所有的session、具体的Session自我校验、关闭Session校验调度任务 核心类 ValidatingSessionManager、SessionValidationScheduler、ValidatingSession ValidatingSessionManager的行为 public interface Vali...
org.apache.shiro.session.ExpiredSessionException: Session with id异常排查
TomCosin的博客
03-15 2417
org.apache.shiro.session.ExpiredSessionException: Session with id异常排查 系统运行过程中报出异常 Caused by: org.apache.shiro.session.ExpiredSessionException: Session with id [aa21ba8b-7f3a-4236-a2f8-3b440524f55e] has expired. Last access time: 3/14/22 2:55 PM. Current t
shiro入门代码示例,与springBoot整合示例,获取自定义sessionID
苏凯的博客
01-30 1249
 pom: &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;vers...
spring boot shiro 登录redis共享sesson配置
RZ_1107的专栏
08-28 757
由于多台集群服务端导致登录用户session切换问题,使用redis哨兵模式共享shiro登录session; 用到的pom依赖 <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro&lt...
shiro继承redis序列化失败-----坑
喝醉的咕咕鸟
12-05 8904
shiro继承redis进行session的管理: package com.maobc.common.core.redis; import lombok.Data; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value...
shiro会话管理
zhangchang0516的博客
04-13 470
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
Shiro的校验Session是否过期处理的过程
weixin_30809333的博客
05-19 3180
首先开启定时扫描活跃的session进行校验 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.s...
Shiro 登录、退出、校验是否登录涉及到的Session和Cookie
08-23 668
前提 我们的使用的是DefaultWebSessionManager而不是ServletContainerSessionManager。这就意味着前者的sessionShiro的,后者的session为Tomcat的。 登录   DefaultWebSessionManager调用start()方法(在AbstractNativeSessionManager中)创建Session...
shiro实现踢出对应sessionId的用户
03-01
您好!针对您的问题,我可以回答:使用shiro可以通过SessionManager的getSession()方法获取到对应sessionId的Session对象,然后调用Session的stop()方法来使该Session失效,从而实现踢出对应sessionId的用户。具体的实现可以参考shiro官方文档或者相关的技术博客。希望能够对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值