springboot集成shiro (2)

最新推荐文章于 2025-12-28 16:49:38 发布
转载 最新推荐文章于 2025-12-28 16:49:38 发布 · 106 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/zk875/blog/829947
文章标签:

#java #git #前端 #ViewUI

上一篇基本是一个登陆认证的功能,

我是传送门!!!!!!!!!!!!!!

接下来要做的是权限控制。

1.权限控制

上一篇虽然在realm中配置了权限信息,但实际是没有用的,要实现权限控制,那么在shiroconfig中需要加上filter。

        //拦截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
        //配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/login", "authc");

        //<!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->
        // 这里存在一个短路机制,即最先匹配原则如:/user/**=anon,/user/aa=authc 永远不会执行
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/userDelete", "perms[userInfo:del]");
        filterChainDefinitionMap.put("/userAdd", "perms[userInfo:add]");
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/**", "user");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;

配置中,/userDalete需要有userInfo:del的权限才能才做,不然就跳403,无权限页面,/userAdd则需要userInfo:add权限。此外,除了这种写法之外,还有roles,例如xxxx。put("/userGet","roles[admin]")则表示,这个/userGet操作需要amdin角色才有权限。

这时候访问的时候会调用realm中的doGetAuthorizationInfo方法,判断是否有权限访问。

2.缓存机制

在shiroconfig中加上EhCacheManager 

@Bean
    public EhCacheManager ehCacheManager(){
       System.out.println("ShiroConfiguration.getEhCacheManager()");
       EhCacheManager cacheManager = new EhCacheManager();
       cacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
       returncacheManager;
    }

将缓存对象注入到SecurityManager中:

//注入缓存管理器;
securityManager.setCacheManager(ehCacheManager());//这个如果执行多次,也是同样的一个对象;

添加缓存配置文件:ehcache.xml

<?xml version="1.0" encoding="UTF-8"?>
<ehcache name="es">

     <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="false"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
            />
           
           
    <!-- 登录记录缓存锁定10分钟 -->
    <cache name="passwordRetryCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
   
</ehcache>

3.记住我

在shiroconfig中加上cookie 对象和他的管理对象

@Bean
    public SimpleCookie rememberMeCookie(){
       System.out.println("ShiroConfiguration.rememberMeCookie()");
       //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
       SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
       //<!-- 记住我cookie生效时间30天 ,单位秒;-->
       simpleCookie.setMaxAge(259200);
       returnsimpleCookie;
    }
@Bean
    public CookieRememberMeManager rememberMeManager(){
       System.out.println("ShiroConfiguration.rememberMeManager()");
       CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
       cookieRememberMeManager.setCookie(rememberMeCookie());
       returncookieRememberMeManager;
    }

将rememberMeManager注入到SecurityManager中

//注入记住我管理器;
securityManager.setRememberMeManager(rememberMeManager());

在shirFilter中配置记住我或认证通过可以访问的地址

//配置记住我或认证通过可以访问的地址
filterChainDefinitionMap.put("/index", "user");
filterChainDefinitionMap.put("/", "user");

这里有一点要注意:

当用户登录时开启了rememberMe时,用户关闭了浏览器,下次访问的时候是一个user,但不是authc。比如

/add=user  表示用户不一定需要已经通过认证,只需要曾经被Shiro记住过登录状态(rememberMe)就可以正常访问。

/delete=authc 表示用户必需已通过认证(登录操作),才可以访问,即使之前使用remeberMe,也无法在不登录的前提下直接访问。

记住我的用户对象必须实现序列化,记住我的原理实际是在浏览器的cookies中创建了一个rememberMe的cookie对象。

登录界面修改,修改登录界面加入rememberMe复选框:

在login.html中加入:


<P><input type="checkbox" name="rememberMe" />记住我</P>

 

代码地址:https://git.oschina.net/zheng875/springboottemplate

 

转载于:https://my.oschina.net/zk875/blog/829947

cheping7998
关注
SpringBoot集成Shiro
简单,坚持
09-27 541
Shiro是一个对用户登录与访问权限进行校验的框架,可以方便地与Spring进行集成。本文讲解如何使用Shiro进行登录和权限校验,因为项目中需要获取所有活跃的session,使用了SessionDAO来存储session。
SpringBoot集成Shiro的步骤
m0_50725078的博客
09-14 673
SpringBoot集成Shiro的步骤
springboot集成shiro
Flying_Fish_roe的博客
09-11 2037
自定义Realm用于从数据库中获取用户信息并进行身份验证。我们可以通过继承// 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 在这里配置用户的角色和权限信息 // authorizationInfo.addRole("admin");
Springboot集成shiro框架
weixin_35654814的博客
03-17 1166
Shiro是一个功能强大且易于使用的Java安全框架,可以运行在JavaSE和JavaEE项目中,可执行身份验证、授权、加密和会话管理。
SpringBoot集成Shiro+Jwt+Redis
weixin_40017062的博客
11-01 1476
SpringBoot集成Shiro+Jwt+Redis实现登录认证、权限控制
springboot集成Shiro
随我的博客
07-31 2766
一、介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。本文是使用Shiro + JWT(Json Web Token)实现的,对于jwt部分有疑问的可以参考之前jwt相关文章,本博文中的一部分函数使用的是JWT那一篇文章文章所写的...
Springboot集成Shiro
weixin_46242847的博客
05-10 675
本文是回馈粉丝的一份礼物,旨在springboot中快速集成shiro实现鉴权,无需到处查资料,简单易懂,复制粘贴,一气呵成。
springboot集成shiro demo】
老照片
04-13 1135
@TOC shiro architecture 摘自apache官网:https://shiro.apache.org/architecture.html Subject (org.apache.shiro.subject.Subject) A security-specific ‘view’ of the entity (user, 3rd-party service, cron job, etc) currently interacting with the software. Security
Springboot集成shiro
shuishuishuitian的博客
08-21 287
1.依赖导入: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.spring.version}</version> </dependency> &l
SpringBoot学习()SpringBoot集成Shiro
weixin_41289954的博客
08-15 322
Maven配置:登录后复制 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> ...
精选资源
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
精选资源
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用... (2shiro默认使用的登录拦截校验机制恰恰就是使用的session。  这当然不是我们
SpringBoot集成shiro,MyRealm中无法@Autowired注入Service的问题
08-26
总结来说,Spring Boot集成Shiro时,如果在`MyRealm`中遇到`@Autowired`注入Service的问题,需要检查是否正确地将`MyRealm`声明为Spring Bean,并通过`@Bean`注解进行管理。同时,确保所有依赖都遵循Spring的依赖...
java入门到放弃】网络
最新发布
WZDBXHNL的博客
12-28 948
防火墙既可以是硬件,也可以是软件,本质上是一种,而不是只能对应某一种形态。
点赞系统问题
amdkk的博客
12-26 959
​​:Spring Pulsar 提供的接口,允许通过customize方法深度定制消费者行为。批量接收策略配置。:控制批量消息接收策略maxNumMessages:单次批量拉取多少条信息timeout:超时后触发批量处理。NACK重试策略当消费者调用时触发重试。:消息重投递的退避策略接口。.minDelayMs(1000) // 初始延迟 1 秒 .maxDelayMs(60000) // 最大延迟 60 秒 .multiplier(2) // 指数退避倍数。
抽象类和接口的区别
tryxr的博客
12-27 949
本文对比了Java中接口(Interface)与抽象类(AbstractClass)的8个核心区别。主要差异包括:抽象类使用abstract class定义,支持单继承,可包含实例字段和构造器,体现"is-a"关系;接口使用interface定义,允许多实现,仅包含常量,体现"can-do"能力。抽象类适合共享代码和状态,接口适合定义跨类能力。建议优先使用接口定义能力,仅在需要共享状态或实现模板方法时使用抽象类,并考虑组合优于继承。二者可结合使用,如Shape抽象类实
c#Socket学习,使用Socket创建一个在线聊天,日志笔记(5)
学不会shader
12-25 1191
32位整数:0x12345678高位字(High Word):0x1234(高16位)低位字(Low Word):0x5678(低16位)64位整数:0x123456789ABCDEF0高位双字(High Dword):0x12345678(高32位)低位双字(Low Dword):0x9ABCDEF0(低32位)
spring boot 运行测试类时:Error creating bean with name ‘serverEndpointExporter‘ 问题
csdndd521的博客
12-26 287
这个在Websocket中,注入不进去,单元测试时报错。直接在@SpringBootTest加入。
SpringBoot集成Shiro实现角色控制教程
SpringBoot集成Shiro首先需要进行相关的依赖引入,通常是在项目的pom.xml或build.gradle文件中添加Shiro相关的依赖库。接着需要配置Shiro的SecurityManager以及其他相关组件,如Realm等。SpringBoot的自动配置特性...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值