基于BOS系统的Shiro权限框架基本使用

已于 2023-06-14 09:04:15 修改
阅读量265 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 旧博客 文章标签: spring java mybatis
于 2018-10-31 11:12:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Pastthewind/article/details/83576812
本文深入讲解Shiro框架的核心功能,包括认证、授权、会话管理和加密。覆盖了Maven依赖配置、Spring整合步骤、自定义Realm及认证授权的实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1.Shiro框架的基本概念

2.Shiro的maven依赖与spring配置

2.1shiro的maven依赖

2.2Shiro的spring配置

(1)在web.xml中配置spring框架提供的用于整合shiro框架的过滤器

(2)整合Spring,配置bean:shiroFilter

(3)注册安全管理器对象

(4)Controller层编写login方法,使用shiro提供的方式进行权限认证

(5)自定义Realm,配置bean并注入安全管理器

3.Shiro的认证

4.Shiro的授权

4.1数据库准备工作

4.2在Realm中完成授权

5.shiro框架提供的权限控制方式

1.Shiro框架的基本概念

Shiro框架的核心功能有4个,即认证、授权、会话管理、加密,shiro基本使用这一方面我们主要讨论认证与授权两个基本用法。认证,顾名思义,即登陆时期数据库用户对象与表单的用户对象比对,若对比成功,则登陆成功。授权,即登陆之后当前该用户能访问哪些请求,不能访问哪些请求,这些请求也是从数据库中查询的。

 Application Code:应用程序代码,由开发人员负责开发

Subject:框架提供的接口,代表当前认证对象

SecurityManager:框架提供的接口,代表安全管理器对象

Realm:可以开发人员编写,框架也提供一些,类似于DAO,用户访问权限数据

2.Shiro的maven依赖与spring配置

2.1shiro的maven依赖

<!-- 引入shiro框架的依赖 -->
      <dependency>
         <groupId>org.apache.shiro</groupId>
         <artifactId>shiro-all</artifactId>
         <version>1.2.2</version>
      </dependency>

2.2Shiro的spring配置

(1)在web.xml中配置spring框架提供的用于整合shiro框架的过滤器

<!-- shiro过滤器 -->
   <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
   </filter>
   <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
   </filter-mapping>

(2)整合Spring,配置bean:shiroFilter

<!-- 配置shiro框架的过滤器工厂对象 -->
   <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
      <!-- 注入安全管理器对象 -->
      <property name="securityManager" ref="securityManager" />
      <!-- 注入相关页面访问URL -->
      <property name="loginUrl" value="/login.jsp" />
      <property name="successUrl" value="/index.jsp" />
      <property name="unauthorizedUrl" value="/unauthorized.jsp" />
      <!--注入URL拦截规则 -->
      <property name="filterChainDefinitions">
         <value>
            /css/** = anon
            /js/** = anon
            /images/** = anon
            /validatecode.jsp* = anon
            /login.jsp = anon
            /userAction_login.action = anon <!--禁止整理格式! -->
            /page_base_staff.action = perms["staff-list"]
            /* = authc
         </value>
      </property>
   </bean>

(3)注册安全管理器对象

<!-- 注册安全管理器对象 -->
   <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager" />

(4)Controller层编写login方法,使用shiro提供的方式进行权限认证

public String login() {
      /**
       * 校验验证码
       */
      //获取正确的验证码
      String trueCode = (String) ActionContext.getContext().getSession().get("key");
      //验证码校验不通过
      if(trueCode != null && !trueCode.equals(checkCode)) {
         this.addActionError("验证码错误");
         return LOGIN;
      }else {//验证码正确
         //使用shiro提供的方式进行认证
         Subject subject = SecurityUtils.getSubject();//获取当前用户对象,状态为“未认证”
         //创建用户名密码令牌对象
         AuthenticationToken token = new UsernamePasswordToken(model.getUsername(), MD5Utils.md5(model.getPassword()));
         try {
            subject.login(token);
         } catch (Exception e) {
            e.printStackTrace();
            return LOGIN;
         }
         return HOME;
      }
   }

如果认证不成功,Shiro会抛出异常,此时我们在表现层需要处理异常。

(5)自定义Realm,配置bean并注入安全管理器

/**
 * 自定义realm
* Title: BOSRealm <p>
* Description:   <p>
* @author Tianyu Xiao 
* @date 2018年10月23日
 */
public class BOSRealm extends AuthorizingRealm{
   @Autowired
   private IUserDao userDao;
 
   /**
    * 授权
    */
   protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
      // TODO Auto-generated method stub
      return null;
   }
  /**
    * 认证
    */
   protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
     // TODO Auto-generated method stub
      return null;
   }
}

配置spring:

<!-- 注册安全管理器对象 -->
   <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager" >
      <property name="realm" ref="bosRealm" />
   </bean>
   <!-- 注册realm -->
   <bean id="bosRealm" class="com.itheima.bos.realm.BOSRealm"></bean>

3.Shiro的认证

登陆时认证的java代码在2.2(4)中已经完成,我们只需要在Realm中完成Shiro的认证即可。

编写Realm中的代码:

/**
	 * 认证
	 */
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken myToken = (UsernamePasswordToken) token;
		String username = myToken.getUsername();
		//根据用户名查询密码
		User user = userDao.findUserByUsername(username);
		if(user == null) {
			//用户不存在
			return null;//shiro 会抛出异常
		}
		//如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致
		AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
		return info;
	}

4.Shiro的授权

4.1数据库准备工作

4.2在Realm中完成授权

/**
    * 授权
    */
   protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
     
      SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
      //获取当前登陆的用户对象
      User user = (User) SecurityUtils.getSubject().getPrincipal();
      //根据当前用户查询数据库,获取实际对应的权限
      List<Function> functionList = null;
      //如果是系统的内置账号(所有权限都可以访问)
      if(user.getUsername().equals("admin")) {
         functionList = functionDao.findAll();
      }else {//是基本通用用户
         functionList = functionDao.findFunctionByUserId(user.getId());
      }
      //为当前的用户授权
      for (Function function : functionList) {
         info.addStringPermission(function.getCode());
      }
      return info;
   }

5.shiro框架提供的权限控制方式

(1)URL拦截权限控制(基于过滤器实现)

(2)方法注解权限控制(基于代理技术实现)

(3)页面标签权限控制(标签技术实现)

缓存框架EhCache整合shiro权限验证(基于spring整合)
今晚有风
10-08 7764
缓存简介: 缓存可以提高查询数据性能,对同一批数据进行多次查询时, 第一次查询走数据库,查询数据后,将数据保存在内存中,第二次以后查询可以直接从内存获取数据,而不需要和数据库进行交互。 每次访问一个需要被权限控制资源时,调用Realm的授权方法,根据当前用户查询角色(role)和权限(permission)信息,每次调用 都会查询一次数据库。 问题: 为什么使用ehcache而不使用re
Shiro入门4:Shiro环境搭建【基于Maven
热门推荐
机智猫
03-23 2万+
在这里我使用Maven作为项目JAR包管理,只要使用下面提供的Shiro在Apache里面的仓库就可以轻松快捷地加入Shiro框架在WEB程序中所需要的代码。 如果没有使用Maven的可以在Shiro官网下载所需要的JAR包也是可以使用的。 【核心JAR包:shiro-core-1.2.3】
Shiro权限框架完整源码
06-30
这个源码很详细 可以配合之前我上传的shiro框架技术的pdf文档结合起来参考学习
Shiro加入到Maven项目
baidu_39120378的博客
12-26 3316
shiro加入到项目里面 (1)创建一个maven模块 (2)导入shiro依赖包 ​ <!--shiro的包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all...
Shiro框架基本使用
weixin_51722520的博客
08-02 508
SpringBoot+mybatis+MySQL+Shiro框架整合
shiro笔记(三)maven项目集成shiro的第一个项目,实现认证和判断权限;加密及凭证匹配器
一天不写代码难受的博客
08-06 1572
目录搭建maven项目框架 Shiro是不依赖于容器的,所以建立一个普通的Maven项目就可以。 搭建maven项目框架 以上是刚创建的maven项目架构 以下导入shiro依赖 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifac
bos.zip_BOS系统开发_bos_bos系统_权限管理_物流系统
09-23
在“bos_bos系统”中,Shiro框架的应用可以实现对不同用户角色的权限控制,如管理员、员工、客户等,确保每个用户只能访问他们被授权的操作和数据。Shiro的易用性和灵活性使得它成为许多系统开发中的首选安全解决...
Shiro权限框架实战:初始化、角色与用户管理及菜单自定义
Shiro权限框架2是BOS项目中重要的组成部分,用于实现系统权限管理和身份验证。它包括了权限初始化、查询、角色管理和用户管理等核心功能。以下将详细阐述这些关键知识点: 1. 权限管理 - 初始化:权限数据作为...
BOS物流系统权限管理及工作流技术解析
资源摘要信息:"BOS系统开发涵盖权限管理和物流系统设计,集成了工作流技术和shiro框架。本系统设计用于管理物流流程,特别是取派员的日常操作,包括增加、删除、修改和查询取派员信息。权限管理通过shiro框架实现,...
基于SSH框架BOS物流系统开发技术解析
在讨论“java开发的bos物流项目(ssh框架)”时,涉及到的知识点众多,覆盖了从后端开发到前端展示,再到项目管理的各个方面。下面详细地对提到的技术进行讲解。 ### 后端技术 #### Java Java是一种广泛使用的面向...
Maven搭建Spring+SpringMVC+Mybatis+Shiro项目详解
soo_co的专栏
12-18 354
一. 环境搭建: 1. 开发工具:myeclipse 2014 / IDEA; 2. maven管理版本:apache-maven-3.0+; 3. jdk 1.7.0+ 4. Tomcat8.0 二:工程搭建: 1、修改pom.xml添加对应的包依赖 ? 1 2 3 4 5 6 7 8 9 10 ...
shiro学习笔记(1)】shiro入门 shiro的第一个程序shiro Maven案例
weixin_45921478的博客
02-04 477
shiro入门 shiro整合maven
shiro框架搭建(maven+spring+jpa+hibernate配置)
java编程
03-21 399
这个是maven依赖配置&lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/x...
mavenshiro的整合
方圆几里的博客
04-26 2769
前言:最近在看一些shiro 的东西,看的也不是很明白,关于shiro 的研究这里就不详解了,这里只说下shiro 在web 开发中的集成(注: 这里引用的是别人的博文) 1:首先创建maven 项目 2:配置pom.xml 添加框架依赖包 project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.o
我来又来了,maven+ssm+shiro
记录,记录,记录
10-18 760
由于前天写的有点模糊,我决定推到重来,在做一个demo。 OK!,先空功能实现 一:流程图 gif演示:如下 二:每个任务拥有的角色与权限 一共需要5张表,user,role,user_role,permission,role_permission表格 项目主要用ssm框架搭建,这我就只放置查询语句 &lt;?xml version="1.0" encoding="UTF-...
Shiro学习笔记
SIMBA1949的博客
06-28 522
Shiro学习笔记 前言 版本说明 shiro=1.5.3 相关链接 Shiro 官网:http://shiro.apache.org/ Shiro maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core shiro-spring-boot-starter maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-st
springboot整合shiro(含MD5加密)
weixin_34050389的博客
05-08 379
写在前面: 关于shiro介绍以及shiro整合spring,我在另一篇文章中已详细介绍,此处不作说明,请参考spring整合shiro。点我下载源码。 开发环境: 1、mysql - 5.7.21 2、navicat(mysql客户端管理工具) 3、idea 2017 4、jdk9 5、tomcat 8.5...
Marco's JavaShiro进阶(一) 之 Shiro+SMM集成Maven项目串烧篇(上)】
馬克兒的私人博客
08-04 373
前言 Shiro集成SSM 第一步:创建Maven Web项目 第二步:准备数据库 我们这里一共准备了5张表,由于权限、角色和用户之间都是多对多的关系,因此除了三张主表,对应的还添加了两张关系连接表,当然表名大家可以随意取,但是这几张表是RBAC(Role Based Access Controll)结构所必须的。 permission权限表 role角色表 role_permission...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值