springboot2+shiro+JWT实现权限校验功能——通过注解方式实现

最新推荐文章于 2023-08-20 20:56:12 发布
最新推荐文章于 2023-08-20 20:56:12 发布
阅读量458 收藏
点赞数
分类专栏: shiro 文章标签: shiro spring boot java exception
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huanger_/article/details/119137995
版权
本文介绍如何使用Shiro框架通过注解实现权限控制。主要包括:开启注解支持、编写授权信息获取方法、应用权限注解及异常处理。适用于已实现用户认证的Spring Boot项目。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shiro通过注解方式实现权限校验

颗粒度概述

权限颗粒度分为粗粒度和细粒度:
粗粒度:用户具有CRUD中的某些完整的权限,通常指表的操作
细粒度:用户只允许操作表中的某些特定的数据,例如:用户只允许操作id为1,2,3,4的数据
shiro的权限控制是粗粒度的,可以通过业务代码实现细粒度的权限控制

总体概述

shiro进行权限验证的前提是用户已经登录,即可以获取到subject,如果在配置了anon的接口上通过注解的形式进行权限验证,则会报错。
本文章建立在已经可以完成认证的前提下,具体步骤可以参考springboot2+shiro+JWT实现登录功能

总体步骤

1、开启shiro注解的支持
2、在ShiroRealm中编写doGetAuthorizationInfo的详细实现,进行赋权
3、在控制器中添加注解进行权限控制
4、编写异常处理类,捕捉并处理因权限不足而抛出的异常

1、开启注解的支持

注解式必须开启的,否则即使在控制器添加的注解,也无法正常使用,在shiroConfig中添加如下配置

    @Bean
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启shiro aop注解支持. 使用代理方式;所以需要开启代码支持;
     *
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator autoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        autoProxyCreator.setProxyTargetClass(true);
        return autoProxyCreator;
    }

2、编写doGetAuthorizationInfo进行授权

在shiroRealm中查询用户的角色或权限,该代码只会在shiro在缓存中拿不到的时候执行,执行成功后,将会放进缓存中

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //模拟获取权限代码,将查询到的权限赋给当前用户
        ArrayList<String> permissions = new ArrayList<>();
        permissions.add("sys:p1");
        info.addStringPermissions(permissions);
        //模拟获取角色代码,将查询到的角色赋给当前用户
        ArrayList<String> roles = new ArrayList<>();
        roles.add("admin");
        info.addRoles(roles);
        return info;
    }

3、在控制器中添加注解进行权限控制

    /**
     * @RequiresPermissions注解将从用户的AuthorizationInfo中获取Permissions集合
     *          获取到集合后,将对value数组进行判断
     *          value中的多个权限之间的关系可以通过logical指定是与(AND)还是或(OR)
     * @return
     */
    @RequiresPermissions(value = {"sys:p1","sys:p2"},logical = Logical.OR)
    @RequestMapping(value = "/getHello")
    public String getInfo2(){
        return "hello i am Hello!";
    }
    /**
     * @RequiresRoles注解从用户的AuthorizationInfo中获取Roles集合
     *          具体功能、用法与@RequiresPermissions注解相同
     * @return
     */
    @RequiresRoles("admin")
    @RequestMapping(value = "/getHi")
    public String getInfo3(){
        return "hello i am Hi!";
    }

4、编写异常处理类

使用@ControllerAdvice注解搭配@ExceptionHandler({UnauthorizedException.class})注解捕获并处理异常

    /**
     * 可以获取请求的request对象,按需进行操作
     * 可以获取抛出的异常对象,按需进行操作
     * 可对请求进行重定向,将请求重定向到某个页面或控制器
     * 需要返回json串儿的话,在方法上添加@ResponseBody注解即可
     * @param request
     * @param e
     * @return
     */
//    @ResponseBody
    @ExceptionHandler({UnauthorizedException.class})
    public String unauthorizedException(NativeWebRequest request, UnauthorizedException e){
        System.out.println(request.getParameter("param1"));
        e.printStackTrace();
        return "redirect:/403";
    }

	//权限不足空控制器
    @RequestMapping(value = "/403")
    public String unauthorized(){
        return "权限不足";
    }

测试

权限充足可正常访问
在这里插入图片描述
权限不足测试
在这里插入图片描述
在这里插入图片描述

SpringBoot集成shiro+redis+jwt实现无状态授权验证
liangshitian的博客
01-03 3万+
前言 1.放弃Cookie,Session,使用JWT进行鉴权,完全实现无状态鉴权。 2.JWT密钥支持过期时间;jwt作为创建验证token工具,并选择一种验证方式与算法。 3.使用redis做缓存处理,缓存token等等登录信息,以实现单点登录与超时登录功能。 4.密码加密(采用AES-128 + Base64的方式)。 5.根据RefreshToken自动刷新AccessToken...
简单实用! 前后端分离 shiro + springboot +mybatis+ Jwt +redis 实现权限管理
qq_40662405的博客
03-09 1246
简单实用! 前后端分离 shiro + springboot +mybatis+ Jwt 实现权限管理 ​ 之前学习了shiroJwt,就想找个项目练一下手,可是b站上没有找到前后端分离加上用shirojwt权限控制的教程。后来看到一篇文章https://blog.youkuaiyun.com/weixin_42236404/article/details/89319359,这篇文章对于shiro流程的讲解对我非常有帮助,我用mybatis 和 JWT 结合了一下这篇文章的源码。 ​ 代码地址: 1.Jwt简介
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式shiro框架,配置Jedis,以redis作缓存
spring-boot-2+shiro+jwt集成实现权限管理
CodingSoldier的博客
01-31 5346
年前年后有空,花了些时间研究apache shiro。示例代码地址 https://github.com/CodingSoldier/java-learn/tree/master/project/shiro/shiro-jwt 如果不了解Apache shiro,我提供下我的学习路线: 1、先学慕课网的免费教程《Shiro安全框架入门》https://www.imooc.com/learn/...
Shiro权限管理】17.Shiro权限注解
程序猿之洞
12-10 9668
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们讲解了Shiro的标签属性,下面我们来讲解Shiro的有关权限注解属性。 Shiro注解是使用在相应的Java类的方法上,当用户不满足注解的要求时,是无法执行 方法内部逻辑的。这相当于在代码层做了权限校验Shiro注解可以放置在Controller层对应的方法上,也可以放置在Service层对应的方法
shiro授权、注解式开发
weixin_43939301的博客
10-15 259
目标 1、shiro授权角色、权限 2Shiro注解式开发 shiro权限设计图: 授权 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t...
springboot集成jwtshiro实现前后端分离权限demo2
04-10
springboot集成jwtshiro实现前后端分离权限demo2 添加realm中异常处理
springboot+jwt+shiro
Swallow的博客
03-28 776
shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 引用至百度百科 最近弄一个新的服务,比较简单,整合了一下安全框架 springboot+jwt+shiro还是比较常见的安全框架整合,简单记录一下这次整合过程 首先,pom.xml 文件添加依赖 <!--整合Shiro安全框架-->
SpringBoot+MyBatisPlus+Redis+Jwt+Shiro+Vue 完整博客文章管理前后端实战
小青蛙的博客
07-04 2453
从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus,为简化开发而生,只需简单配置,即可快速进行 CRUD`操作,从而节省大量时间。...
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7343
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
SpringBootShiro、 自定义注解权限控制源码下载
04-06
SpringBootShiro、 自定义注解权限控制
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot+mybatis+layui+shiro 权限注解-后台的完整的项目整合
04-23
非常适合刚学习springboot的初学者用了学习springboot+mybatis+layui+shiro 权限注解-后台的完整的项目整合 后台的账号密码 admin-111111
Shiro授权--注解式开发
weixin_67450855的博客
08-31 576
表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true:表示当前Subject已经身份验证或者通过记住我登录的表示当前Subject没有身份验证或者通过记住我登录过,即是游客身:表示当前Subject需要角色admin和user:表示当前Subject需要权限user:delete或者user:b。...
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1433
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
Springboot2 + Shiro + Redis + Jwt 前后端分离整合(4)
miao151515的博客
04-15 926
继上一篇 Springboot2 + Shiro + Redis + Jwt 前后端分离整合(3) 继续补充 使用自己的redis缓存机制 重写redisCache—CustimCache类 @Slf4j public class CustomCache<K,V> implements Cache<K,V> { /** * 缓存的key名称获取为shi...
SpringBoot+JWT+Shiro
最新发布
jakelihua
08-20 771
本文讲解,如何用SpringBoot整合JWTShiro。对于JWTShiro的讲解看这两篇文章,本文只讲解,最后的结合的代码。
Springboot+Shiro+jwt+Redis实现Token自动刷新源码分享
资源摘要信息:"本文档详细介绍了如何基于Spring Boot框架,结合Shiro安全框架、JWT(JSON Web Token)、Redis缓存以及Mybatis持久层框架来实现一个有效期内Token刷新的解决方案,并提供了源码。这一方案可以应用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值