springboot集成shiro前后端分离权限控制

最新推荐文章于 2025-05-27 16:11:28 发布
最新推荐文章于 2025-05-27 16:11:28 发布
阅读量441 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: spring 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_24053669/article/details/111998078
本文档展示了如何在前后端分离的环境中使用Shiro进行权限管理,包括配置ShiroFilter、自定义Realm实现用户认证与授权,以及自定义权限过滤器。通过用户-角色-资源关联关系,限制后台访问权限,并提供登录、登出、权限校验等核心功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

后台权限管理控制需基于用户-角色-资源关联关系限制,本文仅演示前后端分离情况下使用shiro作为权限管理工具

shiro配置文件

@Configuration
public class ShiroConfig {

    @Bean("securityManager")
    public SessionsSecurityManager securityManager(UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }


    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        //添加自定义的认证授权过滤器
        Map<String, Filter> filters = new HashMap<>();
        filters.put("auth", new AuthFilter());
        shiroFilter.setFilters(filters);

        //添加拦截路径
        Map<String, String> filterMap = new LinkedHashMap<String, String>();

        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/statics/**", "anon");
        filterMap.put("/login.html", "anon");
        filterMap.put("/favicon.ico", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/sys/logout", "anon");
        //除以上所有请求之外 均被自定义权限过滤拦截校验
        filterMap.put("/**", "auth");

        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

    /**
     * 配置以下bean借助SpringAOP扫描使用Shiro注解的类
    *
    * */
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

自定义realm认证


@Component
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private SysUserService sysUserService;

    @Autowired
    private SysMenuService sysMenuService;

    @Autowired
    private RedisUtils redisUtils;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof AuthToken;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authToken) throws AuthenticationException {
        //获取前端传来的token
        String accessToken = (String) authToken.getPrincipal();
        String username = (String) redisUtils.get(RedisKey.SYS_USER+accessToken);
        if (username == null)
            throw new IncorrectCredentialsException("token失效,请重新登录");
        SysUser user = sysUserService.findByUsername(username);
        if (user == null)
            throw new UnknownAccountException("用户不存在!");
        if (user.getStatus() == 0)
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        //传入user以及获取到的token实现自动认证
        return new SimpleAuthenticationInfo(user, accessToken, getName());
    }

    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUser user = (SysUser) principals.getPrimaryPrincipal();
        Long userId = user.getUserId();
        //获取用户权限
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(getUserPermissions(userId));
        return info;
    }

    //获取用户权限
    private Set<String> getUserPermissions(long userId) {
        List<String> permsList;
        //管理员权限列表
        if (userId == CommonConstant.SUPER_ADMIN) {
            List<SysMenu> menuList = sysMenuService.selectAll();
            permsList = new ArrayList<>(menuList.size());
            for (SysMenu menu : menuList) {
                permsList.add(menu.getPerms());
            }
        } else {
            permsList = sysUserService.queryAllPerms(userId);
        }

        //用户权限列表
        Set<String> permsSet = new HashSet<>();
        for (String perms : permsList) {
            if (StringUtils.isBlank(perms))
                continue;
            permsSet.addAll(Arrays.asList(perms.trim().split(",")));
        }
        return permsSet;
    }
}
自定义权限过滤器
public class AuthFilter extends AuthenticatingFilter {

    Gson gson = new Gson();

    //生成自定义token
    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        String token = getUserToken((HttpServletRequest) request);
        return new AuthToken(token);
    }


    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return ((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name());
    }


    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        String token = getUserToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpServletResponse.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader("Origin"));
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.getWriter().write(gson.toJson(ResponseResult.error("请先登录")));
            return false;
        }
        return executeLogin(request, response);
    }


    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpResponse.setCharacterEncoding("UTF-8");
        try {
            Throwable throwable = e.getCause() == null ? e : e.getCause();
            httpResponse.getWriter().write(gson.toJson(gson.toJson(ResponseResult.error("登录凭证已失效,请重新登录"))));
        } catch (IOException e1) {
            e1.printStackTrace();
        }
        return false;
    }

    //如果header中不存在token,则从参数中获取token
    private String getUserToken(HttpServletRequest request) {
        String token = request.getHeader("token");
        if (StringUtils.isBlank(token))
            token = request.getParameter("token");
        return token;
    }
}
生成认证token
public class AuthToken implements AuthenticationToken {
    private String token;

    public AuthToken(String token) {
        this.token = token;
    }

    @Override
    public String getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}
token生成工具类
public class TokenGenerator {

    public static String generateValue() {
        return generateValue(UUID.randomUUID().toString());
    }

    private static final char[] hexCode = "0123456789abcdef".toCharArray();

    public static String toHexString(byte[] data) {
        if(data == null) {
            return null;
        }
        StringBuilder r = new StringBuilder(data.length*2);
        for ( byte b : data) {
            r.append(hexCode[(b >> 4) & 0xF]);
            r.append(hexCode[(b & 0xF)]);
        }
        return r.toString();
    }

    public static String generateValue(String param) {
        try {
            MessageDigest algorithm = MessageDigest.getInstance("MD5");
            algorithm.reset();
            algorithm.update(param.getBytes());
            byte[] messageDigest = algorithm.digest();
            return toHexString(messageDigest);
        } catch (Exception e) {
            throw new ApiException("生成Token失败", e);
        }
    }
}
测试接口示例
//测试账户需先建立 角色-用户-资源 关联关系 该示例中用户拥有sys:menu:info权限
@PostMapping(value = "/login")
    @ApiOperation(value = "登录", notes = "登录")
    public Result login(@RequestBody LoginForm param) {
        SysUser user = sysUserService.findByUsername(param.getUsername());
        String password = param.getPassword();
    
        if (user == null) {
            return Result.error("账号错误");
        } 
        if (!password.equals(user.getPassword())) {
            return Result.error("密码错误");
        } 
        String token = TokenGenerator.generateValue();
        redisUtils.set(RedisKey.SYS_USER + token, param.getUsername(), 3600 * 8);
            return Result.success(token);
        }
    }


    @GetMapping(value = "/logout")
    @ApiOperation(value = "退出", notes = "退出")
    public String logout(@RequestParam("token") String token) {
        redisUtils.del(RedisKey.SYS_USER + token);
        return "redirect:login.html";
    }

    @GetMapping("/info")
    @RequiresPermissions("sys:menu:info")
    @ApiOperation(value = "测试用菜单信息", notes = "测试用菜单信息")
    public Result info() {
        return Result.success("恭喜你成功了··");
    }
前后端分离SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
2401_87555420的博客
10-27 796
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。当在某个项目中引入spring-boot-shiro模块时,只需要在配置文件中加入shiro数据源及redis的相关配置,并在DataSourceConfig加入shiro数据源Bean即可。在项目中,权限相关表可能不在业务库中,因此有必要单独配置权限相关表的数据源。
SpringBoot 集成 Shiro 实现前后端分离
进阶的球儿
09-27 4996
近期,工作需求也是涉及到 Shiro 权限的问题,而且目前项目是前后端分离的,所以要求做到实现前后端分离。作为一个攻城狮,自然不能推辞。 鉴于之前未接触过 SpringBoot 中 用 ShIro 做授权和认证,然后去各大网站上搜了一番,果然,还和以前一样,千篇一律,Copy的居多,而且即使 GitHub 上有 demo 的,下载之后也是跑步不起来,无计可施。 ...
SpringBoot + Shiro实现前后端分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限,实现前后端分离接口安全。
SpringBoot 整合Shiro 实现前后端分离
a254124185的博客
09-13 1333
SpringBoot 整合Shiro 实现前后端分离 最近着手开发一个SpringBoot + Shiro 的后台框架, 设计到前后端分离,需要跨域请求,但是登陆成功之后再进行其他操作总是提示未登录 重定向跳转到unlogin页面(前后分离模式,重定向也要改成json返回,后续贴出代码) 1、修改登陆方法 ...
基于 Apache Shiro + JWT 实现前后端分离登录认证的完整示例
最新发布
m0_74049366的博客
05-27 187
基于 Apache Shiro + JWT 实现前后端分离登录认证
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
SpringBoot + Shiro前后端分离权限
08-25
本文将详细介绍如何在SpringBoot项目中利用Shiro实现前后端分离权限控制。 首先,Shiro是一个轻量级的安全框架,提供了认证、授权、会话管理和安全过滤器等功能。在前后端分离的环境中,Shiro主要负责后端的身份...
Springboot+Vue+shiro实现前后端分离权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。Springboot与Vue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 7952
本文章参考两位大佬写的博客完成的 https://blog.youkuaiyun.com/weixin_42236404/article/details/89319359 https://blog.youkuaiyun.com/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
主要框架           Shiro架构图与基本知识 1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架,相对于security简单的多,也没有security那么复杂。所以我这里也是简单介绍一下shiro的使用。 2、非常简单;其基本功能点如下图所示: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某
springboot集成jwt和shiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
springboot集成jwt和shiro实现前后端分离权限demo2
04-10
springboot集成jwt和shiro实现前后端分离权限demo2 添加realm中异常处理
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
2401_85123379的博客
06-10 1010
三套“算法宝典”算法刷题LeetCode中文版(为例)人与人存在很大的不同,我们都拥有各自的目标,在一线城市漂泊的我偶尔也会羡慕在老家踏踏实实开开心心养老的人,但是我深刻知道自己想要的是一年比一年有进步。最后,我想说的是,无论你现在什么年龄,位于什么城市,拥有什么背景或学历,跟你比较的人永远都是你自己,所以明年的你看看与今年的你是否有差距,不想做咸鱼的人,只能用尽全力去跳跃。祝愿,明年的你会更好!
Shiro整合SpringBoot-前后端分离项目
TheTian的博客
11-28 835
1 什么是shiro? ​ 《官方解释》:“Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any applica
springBoot整合shiro前后端分离模式
qq_1641486826的博客
11-26 937
springBoot框架下我们使用shiro做权限登录验证,首先要建好五张表: 1:user表 CREATE TABLE `user` ( `id` int(16) NOT NULL AUTO_INCREMENT COMMENT '用户ID', `basic_info_id` int(11) NOT NULL COMMENT '企业外键', `user_account` varcha...
SpringbootShiro集成实现前后端分离权限控制
### 描述:“springboot+shiro+jwt+redis集成springboot集成shiro控制权限,前后端分离,返回json jwt做验证。” 1. **Spring Boot集成Shiro控制权限:**这个项目通过Spring Boot整合了Shiro,意味着它在Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值