shiro权限入门(一)

最新推荐文章于 2024-04-10 16:12:07 发布
最新推荐文章于 2024-04-10 16:12:07 发布
阅读量343 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 后端开发 文章标签: spring boot shiro 权限框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gfl1427097103/article/details/84875693

首先创建一个spring boot 项目(idea)

不多说,一路Next.

pom.xml文件

<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-jpa</artifactId>
		</dependency>
		<dependency>
			<groupId>org.mybatis.spring.boot</groupId>
			<artifactId>mybatis-spring-boot-starter</artifactId>
			<version>1.3.1</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-cache</artifactId>
		</dependency>
		<!--  redis -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-redis</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
		</dependency>
		<dependency>
			<groupId>com.alibaba</groupId>
			<artifactId>druid</artifactId>
			<version>1.1.0</version>
		</dependency>

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>
	</dependencies>

application.properties 文件

spring.datasource.url=jdbc:mysql://localhost:3306/test
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.username=root
spring.datasource.password=admin
#包别名
mybatis.typeAliasesPackage=com.shiro.pojo
#mapper文件路径
mybatis.mapperLocations=classpath:mapping/*.xml
#templates配置
spring.thymeleaf.prefix=classpath:/templates/
spring.thymeleaf.suffix=.html

此时项目已经可以启动了

第一步,编写shiro配置文件

package com.shiro.Config;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * description:
 * author:fuLin.guo
 * Date:2018/12/6 0006 10:22
 */
@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        System.out.println("---------------------Shiro拦截器工厂类注入开始");
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //拦截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/fonts/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/favicon.ico", "anon");
        // 加入不需要拦截的路径, 比如登录接口
        filterChainDefinitionMap.put("/toLogin", "anon");
        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout");

        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/**", "authc");
        // 如果不设置默认会自动寻找Web工程根目录下的"/login.html"页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/toerror");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 身份认证realm;
     * (这个需要自己写,账号密码校验;权限等)
     * @return
     */
    @Bean
    public MyShiroRealm myShiroRealm(){
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        // TODO 测试,我没有开启加密规则
//        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher()); //设置加密规则
        return myShiroRealm;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        //设置Realm
        securityManager.setRealm(myShiroRealm());
        // TODO 注入缓存管理器  后期使用redis
//        securityManager.setCacheManager(ehCacheManager());//这个如果执行多次,也是同样的一个对象;
        return securityManager;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor
                = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
    /**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     *  所以我们需要修改下doGetAuthenticationInfo中的代码)
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2);//散列的次数,比如散列两次,相当于 md5(md5(""))
        return hashedCredentialsMatcher;
    }
}

第二部,编写自定义realm

package com.shiro.Config;

import com.shiro.pojo.UserInfo;
import com.shiro.service.UserInfoManager;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import javax.annotation.Resource;


/**
 * description:自定义权限匹配和账号密码匹配
 * author:fuLin.guo
 * Date:2018/12/6 0006 10:27
 */
public class MyShiroRealm extends AuthorizingRealm {

    @Resource
    private UserInfoManager userInfoManager;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        System.out.println("授权开始============");
        String username =(String) principals.getPrimaryPrincipal();
        System.out.println("授权用户名称:" + username);
        // TODO 此处给所有路径权限
        authorizationInfo.addRole("admin");
        authorizationInfo.addStringPermission("/*");
        /*List<RoleInfo> roleListByUserId = userInfoManager.getRoleListByUserId(user.getId());
        for (RoleInfo role :roleListByUserId ){
            authorizationInfo.addRole(role.getRolename());
           *//* for (Permission permission :role.getPermissions()){
                authorizationInfo.addStringPermission(permission.getPermission());
            }*//*
        }*/
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        System.out.println("开始身份认证:===》");
        //获取用户的输入的账号.
        UsernamePasswordToken token1 = (UsernamePasswordToken) token;
        String user = token1.getUsername();
        String pass = String.valueOf(token1.getPassword());
        System.out.println("用户输入的账号密码===>>:"+user+","+pass);
        //通过username从数据库中查找 User对象,如果找到,s没找到.
        //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
        UserInfo userInfo = new UserInfo(); // 实际操作需要从数据库中获取用户对象
        userInfo.setUsername("guo");
        userInfo.setPassword("123");
        if (null == userInfo) {
            System.out.println("====> 用户找不到");
            throw new UnknownAccountException();
        }
        // TODO 如果有停用或者离职等状态 继续判断
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                userInfo.getUsername(), //数据库中的用户名
                userInfo.getPassword().toCharArray(), //数据库中的密吗,此处没有加盐
                getName()  //realm name
        );
        System.out.println("认证完毕==============");
        return authenticationInfo;
    }
}

第三步,创建登录接口

package com.shiro.controller;

import com.shiro.pojo.UserInfo;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * description:
 * author:fuLin.guo
 * Date:2018/12/7 0007 10:09
 */
@Controller
@RequestMapping("/")
public class IndexController {

    @RequiresPermissions(value = "/*")
    @RequestMapping("/index")
    public String index(){
        System.out.println("go   to   index.......................");
        return "index";
    }
    @RequestMapping("/toerror")
    public String toerror(){
        System.out.println("go   to   403.......................");
        return "error";
    }
    @RequestMapping("/login")
    public String login(){
        System.out.println("go   to   login.......................");
        return "login";
    }

    @RequestMapping("/toLogin")
    public String toLogin(UserInfo userInfo){
        System.out.println("tologin...用户输入密码为:"+userInfo.getPassword());
        //使用最常见的用户名密码的方式
        AuthenticationToken token = new UsernamePasswordToken(
                userInfo.getUsername(), userInfo.getPassword());
        //获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        System.out.println("登录验证开始.......");
        try {
            //传入上一步骤创建的token对象,登录,即进行身份验证操作。
            subject.login(token);
        } catch ( UnknownAccountException uae ) {
            // TODO 实际情况不需要设置s ,采用全局异常拦截器
            System.out.println("用户名未知");
        } catch ( IncorrectCredentialsException ice ) {
            System.out.println("凭据不正确,例如密码不正确 ...");
        } catch ( LockedAccountException lae ) {
            System.out.println("用户被锁定,例如管理员把某个用户禁用...");
        } catch ( ExcessiveAttemptsException eae ) {
            System.out.println("尝试认证次数多余系统指定次数 ...");
        } catch ( AuthenticationException ae ) {
            System.out.println("其他未指定异常");
        }
        //验证是否登录成功
        if(subject.isAuthenticated()){
            return "redirect:/index";
        }else{
            return "redirect:/login";
        }
    }
}

第四步,编写前端页面

第五步,启动

第一次, 访问http://localhost:8080/toLogin?username=guo&password=123234

密码写错

如果此时我不是用的打印方法,而是抛的异常等等..下面的就不会打印了

第二次,访问http://localhost:8080/toLogin?username=guo&password=123

密码正确

完成!

此时一个最简单基本的已经形成了.

spring boot 启动彩蛋!

在resources目录下创建banner.txt

然后复制以下代码保存即可

////////////////////////////////////////////////////////////////////
//                          _ooOoo_                               //
//                         o8888888o                              //
//                         88" . "88                              //
//                         (| ^_^ |)                              //
//                         O\  =  /O                              //
//                      ____/`---'\____                           //
//                    .'  \\|     |//  `.                         //
//                   /  \\|||  :  |||//  \                        //
//                  /  _||||| -:- |||||-  \                       //
//                  |   | \\\  -  /// |   |                       //
//                  | \_|  ''\---/''  |   |                       //
//                  \  .-\__  `-`  ___/-. /                       //
//                ___`. .'  /--.--\  `. . ___                     //
//             ."" '<  `.___\_<|>_/___.'  >'"".                   //
//            | | :  `- \`.;`\ _ /`;.`/ - ` : | |                 //
//            \  \ `-.   \_ __\ /__ _/   .-` /  /                 //
//      ========`-.____`-.___\_____/___.-`____.-'========         //
//                           `=---='                              //
//      ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^        //
//                  佛祖保佑       永不宕机     永无BUG              //
////////////////////////////////////////////////////////////////////

 

Shiro授权
m0_67864917的博客
08-26 298
1) 获取验证身份(用户名)2) 根据身份(用户名)获取角色和权限信息3) 将角色和权限信息设置到SimpleAuthorizationInfo
Shiro权限框架 01(shiro框架入门
m0_67094505的博客
08-24 569
Shiro是Apache的个开源框架,是权限管理的框架,实现用户认证、用户授权。​ 权限管理,般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是权限框架,它和Spring依赖过于紧密,没有Shiro使用简单。Shiro不依赖于SpringShiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
Shiro中的授权问题()
江南一点雨的专栏
03-21 5806
上篇博客(Shiro中的授权问题 )我们介绍了Shiro中最最基本的授权问题,以及常见的权限字符的匹配问题。但是这里边还有许多细节需要我们继续介绍,本节我们就来看看Shiro中授权的些细节问题。验证流程首先我们要搞明白整个的验证流程是什么样子的。 在上篇博客(Shiro中的授权问题 )中,我们验证Subject是否具备某项权限的时候使用的是isPermitted方法,但是在上上篇博客(初识Shi
Shiro的学习
m0_63224330的博客
10-24 988
Shiro的学习
(六)授权(下):自定义permission
weixin_33733810的博客
11-15 439
、Authorizer、PermissionResolver及RolePermissionResolver Authorizer的职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口,具体请参考其Javadoc。SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授...
登录认证和链接权限的相关知识
weixin_43833993的博客
03-01 482
Shiro 提供了个直接拿来用的UsernamePasswordToken,用于实现用户名/密码Token组,另外其实现了RememberMeAuthenticationToken和HostAuthenticationToken,可以实现记住我及主机验证的支持 登录认证实现 在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应...
spring shiro整合入门
08-03
Spring Shiro 整合入门教程 在Web应用开发中,安全是至关重要的个环节。Spring框架作为Java领域最流行的框架,提供了丰富的功能,而Apache Shiro则是款强大的安全管理框架,专注于身份验证、授权和会话管理...
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
SpringBoot整合Apache Shiro极简入门实例.zip
11-04
SpringBoot整合Shiro,实现菜单权限控制入门简单实例;用户菜单权限来自数据库,简单起见,user用户表中同事配置了用户菜单权限,感兴趣的小伙伴可以自行使用RBAC方案扩展数据库表设计进行完善。 运行环境 jdk8+...
shiro入门demo
04-18
本教程将引导你入门 Shiro,通过个简单的 demo 来理解其基本概念和用法。 1. **Shiro 的核心组件** - **Subject**: Shiro 中的核心概念,代表当前操作的用户或系统中的任何实体。它封装了认证、授权、会话和加密...
java 权限校验_权限验证 · Java高效编程 · 看云
weixin_33139275的博客
02-16 728
## 重写MyRealm中的doGetAuthorizationInfo方法```@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {User user = (User) SecurityUtils.getSubject().getPrincipa...
若依权限分配小结
最新发布
猫头鹰的夜晚
04-10 1310
在控制层 controller 中的方案中设置@RequiresPermissions(" "),默认有view(页面展示),list(查询),add(新增),update(修改),delete(删除),exprort(导出)也可以新建独立的菜单,分配固定权限:如下单独建立的台账查询的菜单:只有view和list权限,则给角色分配改菜单时不需要在另行配置其他权限。新增加角色或者对已有角色进行权限分配,如下图,根据业务需求选择需要的权限进行分配。
shiro授权以及注解式开发(1),前端资料大全
2401_84097941的博客
04-04 636
RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份。
.shiro加密解密,短信免密登录,限制密码重试次数、防止暴力破解
u014203449的博客
07-28 3101
。加密解密 存储尽量不要用明文密码,且不可逆的加密存储 1.加密算法 散列算法般用于生成数据的摘要信息,是种不可逆的算法,般适合存储密码之类的 数据,常见的散列算法如 MD5、SHA 等。般进行散列时最好提供个 salt(盐),比如 加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到 些 md5 解密网站很容易的通...
Shiro 学习笔记(5)—— 自定义权限解析器和角色解析器
李威威的博客
09-17 8286
Shiro 学习笔记(5)—— 自定义角色权限解析器步骤1:实现 Permission 接口public class MyPermission implements Permission { private String resourceId; private String operator; private String instanceId; // 这里为了说明问题,
shiro授权
yzq102873的博客
08-29 1081
shiro授权
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门权限部分内容角色 通常代表组行为或职责.这些行为演化为你在个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro 作为应用的权限基础 三:基于注解实现的授权认证过程
时光在路上
10-31 1万+
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。  如,判断个用户有查看页面的权限,编辑数据的权限,拥有某按钮的权限等等。    、用户权限模型 为实现个较为灵活的用户权限数据模型,通常把用户信息单独用个实体表示,用户权限信息用两个实体表示。 用户信息用 LoginAccount 表示,最简单的用户信息可能只包含用户名 loginName 及密码
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值