Shiro 权限动态加载与配置精细讲解

最新推荐文章于 2022-06-27 11:49:42 发布
转载 最新推荐文章于 2022-06-27 11:49:42 发布 · 1.3k 阅读 · 1
文章标签:

#shiro #权限 #会话 #验证用户 #加密

本文详细介绍了Shiro框架结合SSM进行权限控制的方法,并探讨了如何优化配置过程以提高安全性及灵活性。通过使用Freemarker模板引擎,展示了如何在前后端进行有效的权限验证。

shiro demo下载

Shiro + SSM(框架) + Freemarker(jsp)讲解的权限控制Demo,还不赶快去下载?

Shiro  是一个很完美的权限控制框架,一般我们会采用 shiro  的标签,在页面判断,从而来判断一些Button Link Tag  的显示与否,但是仅仅这样判断是不够的,如果用户知道链接,这就一点用都没有。所以我们后台还要有一层判断。这样才安全。今天来说说 Shiro  后台判断的这点事。

shiro标签讲解:

Freemarker  使用Shiro 标签的介绍:http://www.sojson.com/blog/143.html

JSP  使用Shiro 标签的介绍:http://www.sojson.com/blog/144.html

shiro一般是这样配置。


 
  1. <property name="filterChainDefinitions" >
  2. 	<value>
  3. 		/** = anon
  4. 		/page/login.jsp = anon
  5. 		/page/register/* = anon
  6. 		/page/index.jsp = authc
  7. 		/page/addItem* = authc,roles[数据管理员]
  8. 		/page/file* = authc,roleOR[普通用户,数据管理员]
  9. 		/page/listItems* = authc,roleOR[数据管理员,普通用户]
  10. 		/page/showItem* = authc,roleOR[数据管理员,普通用户]
  11. 		/page/updateItem*=authc,roles[数据管理员]
  12.     </value>
  13. </property>

这样配置有什么问题?

shiro  加载配置,或者说校验配置,是从上而下的,也就是向上面的配置,其实是有问题的。可能不仔细看你没看出来,/** = anon  ,如果把这个配置在第一行,其实下面的配置都没用。因为是从上往下去匹配,只要匹配中了,就不匹配了,这个是重点,所以要有序

其次,我们知道,这样配置有一个问题,就是维护起来费劲,它不如单独的配置文件,比如我们常用properties 配置文件来配置一些经常修改的值。如:jdbc.properties 会配置一些数据库的链接,帐号、密码等。

说到这里,有的同学就会想,那么我们就用 properties 

properties 我们来看看有什么问题?

用 properties 配置,其实是没问题,问题就出在读取 properties 配置上。我们一般读取,或者说常用读取properties 配置文件,都是用相对应的 Java   JDK   自带提供java.util.Properties 工具类,我们可以看到这个工具类的情况。


 
  1. public class Properties extends Hashtable<Object,Object> {
  2. 	//Do some thing
  3. }

它继承了 Hashtable ,这就是出现了一个问题,Hashtable 是无序的。这就是关键点。

Shiro 权限拦截动态配置方案

1.重写java.util.Properties  工具类 ,继承 LinkedHashMap<K, V>()  ,LinkedHashMap()  是有序的。
</k, v>

2.自己写一个读取文件的工具类也可以解决。

我的实现是用ini配置文件,自己写了一个读取的工具类,已经封装好,欲知详情或者下载请点击:http://www.sojson.com/blog/139.html

里面有工具类的下载,本站的实现,以及本站发布的开源Demo项目:SpringMVC + Mybatis + Shiro + Redis 。

这个 Demo  里的配置文件:


 
  1. [base_auth]
  2. /u/**=anon
  3. /user/**=simple,login
  4. /js/**=anon
  5. /css/**=anon 
  6. /open/**=anon
  8. #不用校验地址是否有权限
  9. /permission/selectPermissionById.shtml=simple,login
  10. /member/onlineDetails/**=simple,login
  11. /role/mypermission.shtml=simple,login
  12. /role/getPermissionTree.shtml=simple,login
  13. /role/selectRoleByUserId.shtml=simple,login
  16. #需要根据地址校验有无权限
  17. /permission/**=simple,login,permission
  18. /role/**=simple,login,permission
  19. /member/**=simple,login,permission
  24. /**=simple,login

配置文件加载类:


 
  1. package com.sojson.core.shiro.service.impl;
  3. import java.io.IOException;
  4. import java.util.Map;
  5. import java.util.Set;
  7. import javax.annotation.Resource;
  9. import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
  10. import org.apache.shiro.web.filter.mgt.DefaultFilterChainManager;
  11. import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;
  12. import org.apache.shiro.web.servlet.AbstractShiroFilter;
  13. import org.springframework.core.io.ClassPathResource;
  15. import com.sojson.common.utils.LoggerUtils;
  16. import com.sojson.core.config.INI4j;
  17. import com.sojson.core.shiro.service.ShiroManager;
  18. /**
  19.  * 
  20.  * 开发公司:SOJSON在线工具 <p>
  21.  * 版权所有:© www.sojson.com<p>
  22.  * 博客地址:http://www.sojson.com/blog/  <p>
  23.  * <p>
  24.  * 
  25.  * 动态加载权限 Service
  26.  * 
  27.  * <p>
  28.  * 
  29.  * 区分 责任人 日期    说明<br/>
  30.  * 创建 周柏成 2016年6月2日  <br/>
  31.  *
  32.  * @author zhou-baicheng
  33.  * @email  so@sojson.com
  34.  * @version 1.0,2016年6月2日 <br/>
  35.  * 
  36.  */
  37. public class ShiroManagerImpl implements ShiroManager {
  38. 	
  39. 	// 注意/r/n前不能有空格
  40. 	private static final String CRLF = "\r\n";
  42. 	@Resource
  43. 	private ShiroFilterFactoryBean shiroFilterFactoryBean;
  46. 	@Override
  47. 	public String loadFilterChainDefinitions() {
  48. 		
  49. 		StringBuffer sb = new StringBuffer();
  50. 			sb.append(getFixedAuthRule());//固定权限,采用读取配置文件
  51. 		return sb.toString();
  52. 	}
  53. 	
  54. 	/**
  55. 	 * 从配额文件获取固定权限验证规则串
  56. 	 */
  57. 	private String getFixedAuthRule(){
  58. 		String fileName = "shiro_base_auth.ini";
  59. 		ClassPathResource cp = new ClassPathResource(fileName);
  60. 		INI4j ini = null;
  61. 		try {
  62. 			ini = new INI4j(cp.getFile());
  63. 		} catch (IOException e) {
  64. 			LoggerUtils.fmtError(getClass(), e, "加载文件出错。file:[%s]", fileName);
  65. 		}
  66. 		String section = "base_auth";
  67. 		Set<String> keys = ini.get(section).keySet();
  68. 		StringBuffer sb = new StringBuffer();
  69. 		for (String key : keys) {
  70. 			String value = ini.get(section, key);
  71. 			sb.append(key).append(" = ")
  72. 			.append(value).append(CRLF);
  73. 		}
  74. 		
  75. 		return sb.toString();
  77. 	}
  79. 	// 此方法加同步锁
  80. 	@Override
  81. 	public synchronized void reCreateFilterChains() {
  82. //		ShiroFilterFactoryBean shiroFilterFactoryBean = (ShiroFilterFactoryBean) SpringContextUtil.getBean("shiroFilterFactoryBean");
  83. 		AbstractShiroFilter shiroFilter = null;
  84. 		try {
  85. 			shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean.getObject();
  86. 		} catch (Exception e) {
  87. 			LoggerUtils.error(getClass(),"getShiroFilter from shiroFilterFactoryBean error!", e);
  88. 			throw new RuntimeException("get ShiroFilter from shiroFilterFactoryBean error!");
  89. 		}
  91. 		PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter
  92. 				.getFilterChainResolver();
  93. 		DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver
  94. 				.getFilterChainManager();
  96. 		// 清空老的权限控制
  97. 		manager.getFilterChains().clear();
  99. 		shiroFilterFactoryBean.getFilterChainDefinitionMap().clear();
  100. 		shiroFilterFactoryBean.setFilterChainDefinitions(loadFilterChainDefinitions());
  101. 		// 重新构建生成
  102. 		Map<String, String> chains = shiroFilterFactoryBean
  103. 				.getFilterChainDefinitionMap();
  104. 		for (Map.Entry<String, String> entry : chains.entrySet()) {
  105. 			String url = entry.getKey();
  106. 			String chainDefinition = entry.getValue().trim().replace(" ", "");
  107. 			manager.createChain(url, chainDefinition);
  108. 		}
  110. 	}
  111. 	public void setShiroFilterFactoryBean(
  112. 			ShiroFilterFactoryBean shiroFilterFactoryBean) {
  113. 		this.shiroFilterFactoryBean = shiroFilterFactoryBean;
  114. 	}
  116. }

具体请查看:

本站发布的开源Demo项目:SpringMVC + Mybatis + Shiro + Redis 。

Github下载:https://github.com/baichengzhou/SpringMVC-Mybatis-shiro

shiro 动态加载权限 数据库及配置文件
qq_37333252的博客
08-15 2463
shiro 动态加载权限 数据库及配置文件 动态加载配置文件中的url 和数据库中的配置url 修改权限时 重新加载配置文件中的url 和数据库中的配置url到shiro中 核心 重写org.apache.shiro.spring.web.ShiroFilterFactoryBean.setFilterChainDefinitions()方法 动态加载url权限 清空org.apache...
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
01-28
SpringBoot整合Shiro,实现从数据库加载权限权限动态更新、Session共享
shiro学习笔记十三:shiro权限动态加载
chunlulin2540的博客
08-19 180
一、项目说明 项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2 源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms 实现目标:权限资源等数据一般都是存储在数据中,便于管理,所以这...
Spring Boot Shiro权限管理
爱笑的博客
08-28 2万+
转:http://412887952-qq-com.iteye.com/blog/2299777 (1). Shiro简单介绍 Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用Java项目的的安全框架,提供了认证、授权、加密会话管理, Spring Security 一样都是做一个权限的安全框架,但是Spring Security
SpringBootShiro实战:用户权限管理认证授权教程
Shiro权限标签整合Thymeleaf Thymeleaf是一个Java库,用于服务器端和模板引擎,可以作为MVC中的视图技术。在本课程中,介绍了如何将Shiro提供的权限标签Thymeleaf结合,从而在模板页面中实现权限控制。这允许...
SpringMVC整合Shiro实现权限控制实战教程
SpringMVC整合Shiro权限控制是Java Web开发中一个非常经典且实用的技术组合,广泛应用于企业级系统的安全认证权限管理模块。该技术方案通过将SpringMVC这一轻量级Web框架Apache Shiro这一强大而灵活的安全框架相...
Shiro安全权限框架实战:整合SpringMVC详解
本资源标题为“shiro安全权限框架 实战应用技术”,其描述明确指出内容由浅入深地讲解Shiro权限框架的使用配置,涵盖了其三大核心组件——Subject、SecurityManager 和 Realm,并进一步展示了如何将Shiro...
shiroDemo.rar
09-06
本教程将详细讲解如何利用SpringBoot框架Apache Shiro库结合,实现用户登录验证、记住密码功能,并通过Redis缓存保持登录状态,以及对用户权限进行精细控制。同时,我们将探讨Shiro的前端标签和后台注解两种验证...
Shiro权限注解使用详解:简化权限控制代码
使用Shiro权限注解,我们可以在方法或类级别上添加注解,以标识需要进行权限控制的代码块。这样一来,我们无需编写繁琐的权限判断代码,只需通过注解来声明所需的角色或权限Shiro会自动进行权限验证,从而降低了...
shiro动态URL权限控制
04-14
在Spring中整合shiro,使用shiro动态URL权限控制学习教程
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
SpringBoot整合Shiro权限动态加载、更新,Shiro-Redis实现分布式Session共享,挤人功能(带后台管理界面)
热门推荐
隔壁老王的专栏
04-22 3万+
本文章是介绍SpringBoot整合Apache Shiro,并实现在项目启动时从数据库中读取权限列表,在对角色进行增删改时,动态更新权限以及在分布式环境下的Session共享,Session共享使用的是shiro-redis框架,是根据真实项目写的一个Demo。网上有很多关于Shiro相关的文章,但是大多都是零零散散的,要么就只介绍上述功能中的一两个功能,要么就是缺少配置相关的内容。所以,我整理...
shiro权限动态改变后数据库重新加载shiro权限
u011424470的专栏
10-29 2178
@Service public class ShiroServiceImpl { @Autowired @Qualifier("shiroFilter") private ShiroFilterFactoryBean shiroFilterFactoryBean; @Autowired @Qualifier("loginServiceImpl") ...
7.shiro权限配置
qq_36468169的博客
10-28 219
给页面配置相应得权限,只有有这个权限才能访问: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> ...
shiro权限 的基本配置
weixin_45341195的博客
04-28 718
1.编写一个自定义权限类(继承AuthorizingRealm ) package com.zking.test.shiro; import com.zking.test.biz.IUserBiz; import com.zking.test.model.User; import org.apache.shiro.authc.*; import org.apache.shiro.authc.cr...
Shiro 权限管理
心猿意码
06-24 5184
一共5个表 用户表 角色表 权限用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
解决shiro动态加载权限需要重启的问题
SHOCKYOUNG的博客
07-26 1789
这里主要说的是在shiroConfig中配置shiroFilter中的资源权限问题,这些资源权限配置在过滤器中只在启动项目的时候拦截一次,如果后台改动资源权限的话不能立即生效,需要进行重启,于是我用了以下的解决办法:     由于每次调用接口的时候都需要经过自定义的realm类的认证方法 那么在这个方法里边进行资源权限的查询验证肯定是实时的,于是在这里加了根据URL查询资源权限的方法,达...
Shiro权限控制
一个死宅的不屈
06-27 2702
shiro权限验证框架
SpringBootShiro整合:数据库权限动态加载Session共享
### 权限加载动态更新 Shiro允许我们将权限数据存储在数据库中,并通过自定义Realm来从数据库中读取权限数据,实现权限动态加载。通常,可以通过覆盖Realm中的`doGetAuthorizationInfo`方法来实现权限加载。 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值