springboot 整合 Shiro 进行权限验证

最新推荐文章于 2024-11-04 20:34:00 发布
原创 最新推荐文章于 2024-11-04 20:34:00 发布 · 534 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Apache Shiro 是一个功能强大且易于使用的Java安全框架,可进行身份验证,授权,加密和会话管理等。

在使用 shiro 之前, 我们先了解一下 shiro 权限管理的方式:

基于角色的访问控制
RBAC (Role-Based Access Control) ,
通过角色将用户和权限关联起来, 即一个用户可以拥有多个角色, 一个角色拥有多个权限.

所以先建立五张表:

// 管理员表
admin(id, username, password)

// 角色表
role(id, role_name)

// 权限表
permission(id, permission_name)

// 管理员-角色关联表
admin_role(id, admin_id, role_id)

// 角色-权限关联表
role_permission(id, role_id, permission_id)

实现相关的查询方法

public interface SysAdminService{
   
   

    /**
     * 这里是通过用户名直接将用户信息和其所有的角色和权限信息都查了出来, 然后封装在 AdminInfo 的对象中
     * 具体实现就是根据用户名查用户, 然后根据用户 id 查角色, 再查权限, 最后封装, 如果用户不存在就直接返回 null
     */
    AdminInfo getInfoByUsername(String username);
}

/**
 * 用户身份信息类, 封装了其角色和权限
 */
public class AdminInfo implements Serializable {
   
   

    private static final long serialVersionUID = 7899578061660728259L;

    private Integer id;

    private String username;

    // 返回密码是为了进行身份认证
    @JsonIgnore     // 该注解是在将对象转化成 json 返回给前端的时候, 忽视该字段
    private String password;

    // 为了方便, 这里一个用户只对应一个角色
    private String role;

    private Integer roleId;

    private Set<String> permissions;
    
    /*
     * 省略 get, set 方法
     */
}

然后就开始在SpringBoot 中搭建 shiro 了,

首先是引入依赖:

<!-- shiro 权限管理 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

定义 Realm

Realm 是 shiro 用来进行身份认证的获取角色权限信息的类, 我们通过继承 AuthorizingRealm 重写下面两个方法来获取用户的身份认证和权限信息.

public class ShiroRealm extends AuthorizingRealm {
   
   

    @Autowired
    private SysAdminService sysAdminService;

    /**
     * 根据 token 获取身份信息
     * AuthenticationToken 是封装了登陆的 用户名和密码, 后面登陆的时候用到
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
   
   
        // 获取用户名
        String username = (String) token.getPrincipal();

        AdminInfo admin = sysAdminService.getInfoByUsername(username);
        // 用户不存在就直接返回 null 值
        if (admin == null) {
   
   
            return null;
        }

        /* 
         * 返回用户身份认证信息
         * 构造方法为 SimpleAuthenticationInfo(Object principal, Object credentials, String realmName)
         * 第一个参数是用户主体, 也可以存用户名
         * 第二个参数用户凭据, 即密码
         * 第三个就是 realm 的名字, 直接用 getName() 当前 realm
         */
        
        return new SimpleAuthenticationInfo(admin, admin.getPassword(), getName());
    }

    /**
     * 根据上面返回的身份信息获取授权信息
     *
     * @param principals
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
   
   
        // 直接从用户主体信息中获取权限, 如果上面存用户名, 就还得在查一下权限
        AdminInfo adminInfo = (AdminInfo) principals.getPrimaryPrincipal();
        Set<String> permissions = adminInfo.getPermissions();

        // 在授权信息中添加用户的角色和权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole(adminInfo.getRole());
        info.setStringPermissions(permissions);
        return info;
    }
}

在 SpringBoot 中配置 Shiro

在这个 ShiroConfig 主要对 Shiro 的 realm, session, security, 过滤器等进行配置.

/**
 * shiro 配置类
 * springboot 会自动扫描该类中 @Bean 注解的对象, 并加载到spring容器中
 */
@Configuration
public class shiroConfig {
   
   

    // 定义 shiro 的 cookie 的名字
    private static String COOKIE_NAME = "shiro-session-cookie";

    /**
     * shiro 过滤器的配置
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter() {
   
   
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager()
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringBoot整合Shiro实现权限管理,经典实战教程
m0_63174344的博客
10-21 518
String username = authenticationToken.getPrincipal().toString(); if(!username.equals(“zhang”)){ throw new UnknownAccountException(“此用户不存在”); } //返回验证信息,参数:1、用户名 2、正确密码 3、realm名称 return new SimpleAuthenticationInfo(username,“123”, getName()); } } 2) 使用自定义Re
springboot整合shiro进行安全登录,并且进行权限验证
weixin_71787144的博客
12-12 498
笔记
springboot shiro 登录权限校验
Iloveskr
09-03 388
定义: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 核心组件: Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。   Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。   Secu
springboot+shiro实现权限校验及shiro讲解
baoaibao的博客
05-12 1368
背景 笔者在学习了张开涛老师讲解的shiro课程后,对其述内容做了自己的总结。由于张开涛–跟我学shiro一文中利用shiro配置文件简单的写了一个小Demo,所以笔者结合自己的理解采用springboot+mybatis+shiro的框写了一个单系统下、前后端分离的Demo。如有理解错误的地方,欢迎大家指正。 shiro简介 shiro是Apache旗下提供的一套JAVA安全框架,主要用于权限校验。其实spring也提供了一套权限架构即:Spring Security。在实际开发项目中,shiro所提供的
SpringBoot+shiro下通过反射扫描注解导出Controller的路径和权限信息
hjg719的博客
05-17 607
目录业务需求核心逻辑 业务需求 项目中有非常多的api接口,很多接口都有相应的权限限制,需要把对应的权限写入到数据库的权限表中,以供选择。节省人工输入的时间。 核心逻辑 创建一个@Component类 实现 ApplicationContextAware 接口,并实现其中的setApplicationContext拿到上下文 ApplicationContext。通过ApplicationContext 的 getBeansWithAnnotation 方法可以拿Springboot管理 ...
springboot应用-shiro增强权限管理
技术路漫漫
07-04 525
本文实现了基于shiro、mybatis-plus、thymeleaf、vue、axios、hutools的基本权限管理demo,提供了用户登陆、注册、查看、锁定\解锁以及excel导出功能 基本功能 本文是在上一篇shiro简单权限管理的基础上,实现: 基于RBAC权限模型,建立相关数据库表,实现shiro框架与数据库的对接。 基于mybatis-plus,实现相关权限查询、用户认证、新增注册用户等功能。 基于thymleaf、vue、axios实现简单的前端页面展示、交互。 数据模型构建 首先,.
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
SpringBoot整合Shiro
最新发布
whs_8792的博客
11-04 1080
Shiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。
SpringBoot入门实战:SpringBoot整合Shiro
qq_24428851的博客
07-26 705
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
springboot实现权限管理(shiro
qq_44156131的博客
12-13 1013
总结一下学习springboot权限管理的经验 1、创建数据库 5张表 user表:用户表 role表:角色表 permission表:功能表 role_permission:角色功能表(外键关联) user_role:角色用户表(外键关联) /* Navicat MySQL Data Transfer Source Server : 10.2.10.201111 Source ...
springboot项目整合shiro实现权限管理
ligai1992的博客
02-03 678
准备工作 需要一个整合了mybatis的springboot项目; 这部分可以参考我之前的文章。 使用idea创建springboot项目并整合mybatis 整合shiro shiro是一个开源的权限管理框架,其功能非常丰富,这里我只实现它最基本的登录认证和权限验证功能,我使用的开发环境是: idea 2018.1 springboot 2.1.12 shiro-spring 1.3.2 mys...
SpringBoot学习笔记32——整合Shiro完成接口权限验证
月月大王的博客
02-28 1768
整合Shiro完成接口权限验证
Springboot整合shiro:第一篇 用户验证
老照片
09-23 412
Springboot整合shiro之用户验证搭建springboot项目创建数据库使用https://start.spring.io/快速生成项目将项目导入Eclipse中编写代码使该项目可以正常访问pom.xmlapplication.propertiesSpringbootShiroPracticeApplication.javacontrollerentityServiceServiceImplMapperMapper.xml功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如
springboot整合shiro框架
longzhengyong1314的博客
03-31 243
springboot整合shiro框架引入依赖自定义realmshiro配置文件自定义salt登录验证页面如此 引入依赖 <!--引入shiro整合springboot依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId>
去除jessionid时shiro设置sessionIdUrlRewritingEnabled报错,超级坑
baikunlong的博客
11-17 1445
项目场景: 使用shiro进行权限认证时,登录地址第一次访问总是自动携带JESSIONID,现在需要把它去掉不能显示。 问题描述: 首先翻遍百度发现大多数解决方案就是在DefaultWebSecurityManager注入时设置sessionManager。该方法还需要 shiro 1.3.2以上才行,巧了我的1.3.0肯定不行,直接去pom改下版本号。 注解方式: @Bean public DefaultWebSessionManager sessionManager(){
SpringBoot 实战系列之四:SpringBoot+Shiro的安全认证和授权
Peter_Changyb的博客
08-21 716
Shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。 先介绍概念: Subject:主体,可以看到主体可以是任何与应用交互的“用户”。 SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负
sessionIdUrlRewritingEnabled无效问题处理
narutots的博客
09-18 2470
为了处理shiro自动跳转登录也面不自动在URL后面拼接:JSESSIONID,逐步排查定位到shiro,根据资料需要增加sessionIdUrlRewritingEnabled的配置,但是增加后依然无效。 后续经过排查,问题出在项目中sessionManager是集成重写的DefaultWebSessionManager, 重写了getSessionId方法,主要是为了自定义获取sessionid的途径,在分析原super.getSessionId 方法的源码后发现一下代码,这里可以看到sessio
springboot + shiro 地址栏出现 jsessionid
快乐的小三菊的博客
05-21 1890
解决 springboot + shiro 地址栏出现 jsessionid
SpringBoot整合Shiro和MyBatisPlus实现权限管理
在本项目中,我们将了解如何使用SpringBoot整合Shiro来实现权限管理功能,并且利用MyBatisPlus来操作数据库,实现用户信息的CRUD操作。 ### 知识点详解 #### SpringBoot基础 - **项目启动与配置:** SpringBoot项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值