springboot整合shiro权限

最新推荐文章于 2025-05-31 11:33:00 发布
原创 最新推荐文章于 2025-05-31 11:33:00 发布 · 640 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #shiro

该博客详细介绍了如何在SpringBoot项目中整合Shiro进行权限管理,包括pom文件配置、Shiro配置类、自定义登录验证与授权、重写角色拦截器以及缓存配置。特别强调了在使用缓存时,如何处理用户权限动态更新的问题,通过重置过滤规则和清空用户权限缓存来实现权限的实时变更。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文http://www.jiajiajia.club/blog/artical/205

1.pom文件

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        
        <dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>1.3.2</version>
		</dependency>

2.shiro配置类

package club.jiajiajia.bulider.config.shiro;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import club.jiajiajia.bulider.entity.sys.SysPermission;
import club.jiajiajia.bulider.entity.sys.SysRole;
import club.jiajiajia.bulider.service.SystemService;
import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;
import javax.servlet.Filter;

/**
 * shiro配置类
 * @author JIA_JIAJIA
 * @website http://www.jiajiajia.club
 * @da2019年5月6日
 */
@Configuration
public class ShiroConfig {
	
	/**
	 * 注入service查询系统全部权限
	 */
	@Autowired
	private SystemService systemService;

    /**
     * 自定义realm
     * 用于认证和授权
     * @return
     */
    @Bean(name="userRealm")
    public UserRealm getUserRealm() {
        UserRealm userRealm = new UserRealm();
        userRealm.setCachingEnabled(true);
        //启用身份验证缓存,即缓存AuthenticationInfo信息,默认false
        userRealm.setAuthenticationCachingEnabled(true);
        //缓存AuthenticationInfo信息的缓存名称 在ehcache-shiro.xml中有对应缓存的配置
        userRealm.setAuthenticationCacheName("authenticationCache");
        //启用授权缓存,即缓存AuthorizationInfo信息,默认false
        userRealm.setAuthorizationCachingEnabled(true);
        //缓存AuthorizationInfo信息的缓存名称  在ehcache-shiro.xml中有对应缓存的配置
        userRealm.setAuthorizationCacheName("authorizationCache");
        return userRealm;
    }
    
    /**
     * 安全管理器
     * @return
     */
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getSecurityManager(@Qualifier("userRealm")UserRealm userRealm,
    		@Qualifier("ehCacheManager")EhCacheManager ehCacheManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        securityManager.setCacheManager(ehCacheManager);
        return securityManager;
    }
    
    /***
     * 开启权限缓存
     * 避免每次请求都会调用UserRealm中的授权方法
     * @return
     */
    @Bean(name="ehCacheManager")
    public EhCacheManager getEhCacheManager(){
        EhCacheManager ehCacheManager = new EhCacheManager();
        ehCacheManager.setCacheManagerConfigFile("classpath:ehcache-shiro.xml");
        return ehCacheManager;
    }
    
    /**
     * 设置过滤规则
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager")DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("roles", new CustomRolesAuthorizationFilter());//覆盖原来的shiro拦截器
        /**
         * 自定义权限拦截器,重写了shiro自带的roles拦截器。
         * 主要目的是为了重写认证失败后返回的信息,例如ajax请求没有权限的路径是,弹出提示,您没有访问权限等。
         */
        shiroFilterFactoryBean.setSecurityManager(securityManager);//
        shiroFilterFactoryBean.setLoginUrl("/builder");
        shiroFilterFactoryBean.setSuccessUrl("/index");
        shiroFilterFactoryBean.setUnauthorizedUrl("/errorPage");
        
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        initPower(filterChainDefinitionMap);//掉用加载数据库中的权限
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
    
    /**
     * 从数据库中初始化权限到过滤规则中
     * @param power
     */
    public void initPower(Map<String,String> power) {
    	power.put("/css/**", "anon");
    	power.put("/img/**", "anon");
    	power.put("/js/**", "anon");
    	power.put("/layuiadmin/**", "anon");
    	power.put("/views/**", "anon");
    	power.put("/login", "anon");
    	power.put("/user/check", "anon");
    	power.put("/logout", "anon");
    	List<SysRole> role=systemService.initAllPower();
    	for(SysRole r:role) {
            for(SysPermission sp:r.getPermission()) {
                if(power.containsKey(sp.getUrl())) {
                    String u=power.get(sp.getUrl());
                    u=u.substring(0,u.length()-1);
                    u+=","+r.getRoleName()+"]";
                    power.put(sp.getUrl(),u);
                }else {
                	power.put(sp.getUrl(),"roles["+r.getRoleName()+"]");
                }
            }
        }
    	power.put("/**", "authc");
    }
}

      注入SystemService主要用于初始化查询数据库中的权限相关。

    UserRealm 是自定义的登录的授权类。

    EhCacheManager 是 EhCache 缓存管理器

    ShiroFilterFactoryBean 自定义过滤规则(主要用于过滤配置,或从数据库中获取权限配置拦截)

 

3.自定义登录验证和授权

package club.jiajiajia.bulider.config.shiro;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import club.jiajiajia.bulider.entity.sys.SysPermission;
import club.jiajiajia.bulider.entity.sys.SysRole;
import club.jiajiajia.bulider.entity.sys.SysUser;
import club.jiajiajia.bulider.service.SystemService;

import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
/**
 * UserRealm自定义登录验证和授权(一般用于从数据库或缓存中查询数据)
 * @author JIA_JIAJIA
 * @website http://www.jiajiajia.club
 * @da2019年5月5日
 *
 */
public class UserRealm extends AuthorizingRealm {
    
    @Autowired
    private SystemService sysUserService;

    /**
     * 授权(权限拦截时调用,因为有缓存,所以一般情况下只调用一次,除非系统修改权限,清除缓存时会再次调用)
     *
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUser sysUser = (SysUser) principals.getPrimaryPrincipal();
        List<SysRole> sysRoles = sysUserService.selectRoleByUserId(sysUser.getId());
        System.err.println(sysRoles);
        /**
         * 授权
         */
        Set<String> roles = new HashSet<String>();
        List<String> sysPermissions=new ArrayList<String>();
        for(int i=0;i<sysRoles.size();i++) {
        	SysRole sysRole=sysRoles.get(i);
        	roles.add(sysRole.getRoleName());
        	List<SysPermission> sp=sysRole.getPermission();
        	if(sp!=null) {
        		for(int j=0;j<sp.size();j++) {
            		sysPermissions.add(sp.get(i).getUrl());
            	}
        	}
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.addStringPermissions(sysPermissions);
        return info;
    }

    /**
     * 认证(登录时调用)
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        SysUser sysUser = sysUserService.findByUserName(token.getUsername());
        System.err.println("用户认证");
        if(sysUser==null){
            throw new UnknownAccountException("用户不存在!");
        }else {
            if(!sysUser.getPassword().equals(new String(token.getPassword()))){
                System.out.println(sysUser.getPassword()+":"+new String(token.getPassword()));
                throw new LockedAccountException("密码错误");
            }
        }
        return new SimpleAuthenticationInfo(sysUser,sysUser.getPassword(),getName());
    }
    
    /****
     *清除所有的权限缓存
     */
    public void clearAuthz(){
    	System.err.println("清空所有的用户缓存");
		this.clearCachedAuthorizationInfo(SecurityUtils.getSubject().getPrincipals());
	}
    
    /**
     * 重写方法,清除当前用户的的 授权缓存
     * @param principals
     */
    @Override
    public void clearCachedAuthorizationInfo(PrincipalCollection principals) {
        super.clearCachedAuthorizationInfo(principals);
    }

    /**
     * 重写方法,清除当前用户的 认证缓存
     * @param principals
     */
    @Override
    public void clearCachedAuthenticationInfo(PrincipalCollection principals) {
        super.clearCachedAuthenticationInfo(principals);
    }

    @Override
    public void clearCache(PrincipalCollection principals) {
        super.clearCache(principals);
    }

    /**
     * 自定义方法:清除所有 授权缓存
     */
    public void clearAllCachedAuthorizationInfo() {
        getAuthorizationCache().clear();
    }

    /**
     * 自定义方法:清除所有 认证缓存
     */
    public void clearAllCachedAuthenticationInfo() {
        getAuthenticationCache().clear();
    }

    /**
     * 自定义方法:清除所有的  认证缓存  和 授权缓存
     */
    public void clearAllCache() {
        clearAllCachedAuthenticationInfo();
        clearAllCachedAuthorizationInfo();
    }
}

    使用如下方法进行登录的时候会调用doGetAuthorizationInfo方法进行认证,一般是从数据库中查询用户信息,比对验证。

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
subject.login(token);

 

    如果配置了缓存,那么在第一次遇到需要拦截的资源时,会调用doGetAuthorizationInfo方法从数据库中查询用户的相关权限,然后交给shiro定义的拦截器或者是我们自定义的拦截器。在这个项目中是交给了我们自定义的拦截器。因为在上面的配置中可以看出,我们是重写了shiro的roles拦截器。并重写的他的认证方法。

filters.put("roles", new CustomRolesAuthorizationFilter());//覆盖原来的shiro拦截器

 

4.重写shiro的角色拦截器CustomRolesAuthorizationFilter

package club.jiajiajia.bulider.config.shiro;

import java.io.IOException;
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.StringUtils;
import org.apache.shiro.web.filter.authz.RolesAuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;
import com.alibaba.fastjson.JSONObject;
import club.jiajiajia.bulider.util.ResultMap;
 
/**
 * 重写RolesAuthorizationFilter类的onAccessDenied方法和isAccessAllowed方法
 * 项目中的每一个请求都会进isAccessAllowed方法判断是否有权限访问,或者时候有角色限制,
 * 		返回true代表有权限访问,返回false代表没有权限访问
 * 
 * 在授权失败的时候,也就是isAccessAllowed方法返回false的时候,会自动调用onAccessDenied方法。
 * 重写onAccessDenied回调方法的目的就是为了返回json数据。友好提示
 * 
 * @author JIAJIAJIA
 * @data 2018年8月31日 下午2:56:12
 * @description TODO
 */
public class CustomRolesAuthorizationFilter extends RolesAuthorizationFilter {  
    /***
     * isAccessAllowed返回false时掉用
     * 请求过滤的回调方法
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        Subject subject = getSubject(request, response);
        if (subject.getPrincipal() == null) {
            if (isAjaxRequest((HttpServletRequest)request)) {//是ajax请求
                response.setCharacterEncoding("UTF-8");
                response.setContentType("application/json");
                ResultMap resultData = ResultMap.fail("登录认证失效,请重新登录!",1081);
                response.getWriter().write(JSONObject.toJSONString(resultData));
            }else {
                saveRequestAndRedirectToLogin(request, response);
            }
        } else {
            String unauthorizedUrl = getUnauthorizedUrl();
            if(isAjaxRequest((HttpServletRequest)request)) {
                response.setCharacterEncoding("UTF-8");
                response.setContentType("application/json");
                ResultMap resultData = ResultMap.fail("您没有权限访问",1081);
                response.getWriter().write(JSONObject.toJSONString(resultData));
            }else {
                if (StringUtils.hasText(unauthorizedUrl))
                    WebUtils.issueRedirect(request, response, unauthorizedUrl);
                else
                    WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
            }
        }
        return false;
    }
    /**
     * 请求过滤
     */
    @Override
	public boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object mappedValue) {  
        Subject subject = getSubject(req, resp);  
        String[] rolesArray = (String[]) mappedValue;  
        if (rolesArray == null || rolesArray.length == 0)//没有角色限制,有权限访问  
            return true;  
        for (int i = 0; i < rolesArray.length; i++)
            if (subject.hasRole(rolesArray[i]))//若当前用户是rolesArray中的任何一个,则有权限访问  
                return true;  
        return false;
    }  
    /**
     * 判断是否是ajax请求
     * @param request
     * @return
     */
    public static boolean isAjaxRequest(HttpServletRequest request) {
        String requestedWith = request.getHeader("x-requested-with");
        if (requestedWith != null && requestedWith.equalsIgnoreCase("XMLHttpRequest")) {
            return true;
        } else {
            return false;
        }
    }
}

        这个类就是上面提到的自定义的shiro拦截器。当需要进行资源拦截的时候回执行isAccessAllowed方法进行权限验证。如果验证通过(返回true),则正常执行后边的拦截器(如果还有的话),如果认证失败(返回false)则执行onAccessDenied回调函数,进行后续的操作。比如现在重写roles拦截器,并重写onAccessDenied方法的目的就是为了当用户用ajax请求一些没有权限的资源时能够返回json字符串,能够在ajax请求后弹出框或其他形式提示用户。

 

5.因为项目中用到了缓存,下面贴出缓存配置

<?xml version="1.0" encoding="UTF-8"?>
<ehcache name="es">
    <!--
        缓存对象存放路径
        java.io.tmpdir:默认的临时文件存放路径。
        user.home:用户的主目录。
        user.dir:用户的当前工作目录,即当前程序所对应的工作路径。
        其它通过命令行指定的系统属性,如“java –DdiskStore.path=D:\\abc ……”。
    -->
    <diskStore path="java.io.tmpdir"/>

    <defaultCache
            maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="0"
            timeToLiveSeconds="0"
            overflowToDisk="false"
            diskPersistent="false"
            diskExpiryThreadIntervalSeconds="120"
    />

    <!-- 授权缓存 -->
    <cache name="authorizationCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="0"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <!-- 认证缓存 -->
    <cache name="authenticationCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="0"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

</ehcache>

 

    经过上边的配置后基本拦截功能应该已经能够实现了

 

6.值得注意的是:

 

    没有配置缓存的时候遇到需要拦截的资源会调用自定义的isAccessAllowed()方法进行拦截。其中执行的

subject.hasRole(rolesArray[i])
或
subject.isPermitted(String str)

        就是在调用自定义UserRealm中的doGetAuthorizationInfo授权方法获取权限(一般从数据库中查询)。

        但是在配置了缓存管理器以后,再调用hasRole方法或者isPermitted方法,如果缓存管理器中有缓存的存在,将会直接缓存中获取,将不再执行AuthorizationInfo授权方法。那么就有必要考虑和解决一个问题:当用户修改了对某个用户的角色,或者是某个角色的权限的时候。如何动态的加载更新后的权限,而不至于重启项目,并且清除缓存中的用户权限,能够实时的更改权限的相关配置。(实现的效果是两个同时在线的用户a,b当用户a修改了b用户的权限时,b用户能够实时做出修改权限后的回应,不应该重启项目,或重新登录)

对上边的问题,当然有解决的方案:

/**
	 * 更新权限配置
	 */
	public ResultMap updatePermission() {
		RealmSecurityManager rsm = (RealmSecurityManager)SecurityUtils.getSecurityManager();
		UserRealm realm = (UserRealm)rsm.getRealms().iterator().next();
		realm.clearAllCache();
		synchronized (shiroFilterFactoryBean) {
			AbstractShiroFilter shiroFilter;
            try {
                shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean.getObject();
            } catch (Exception e) {
                throw new RuntimeException("get ShiroFilter from shiroFilterFactoryBean error!");
            }
 
            PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter.getFilterChainResolver();
            DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver.getFilterChainManager();
 
            // 清空老的权限控制
            manager.getFilterChains().clear();
 
            shiroFilterFactoryBean.getFilterChainDefinitionMap().clear();
            Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); 
            shiroConfig.initPower(filterChainDefinitionMap);//掉用加载数据库中的权限
            shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
            // 重新构建生成
            Map<String, String> chains = shiroFilterFactoryBean.getFilterChainDefinitionMap();
            for (Map.Entry<String, String> entry : chains.entrySet()) {
                String url = entry.getKey();
                String chainDefinition = entry.getValue().trim().replace(" ", "");
                manager.createChain(url, chainDefinition);
            }
        }
		return ResultMap.success(Message.SUCCESS);
	}

 

    意思就是在更改权限的时候调用相应的方法(这里是updatePermission方法)重置shiro的过滤规则,以及调用相应的方法清空shiro用户权限的缓存,这里调用的

RealmSecurityManager rsm = (RealmSecurityManager)SecurityUtils.getSecurityManager();
		UserRealm realm = (UserRealm)rsm.getRealms().iterator().next();
		realm.clearAllCache();

这段代码就是在清空用户缓存。这样再次遇到需要拦截的请求就会再次执行授权方法doGetAuthorizationInfo()

 

 

 

当然了shiro也可以这么用:

    自定义一个拦截器,拦截所有的资源(配置需要不拦截的除外)然后在isAccessAllowed方法中验证用户是否有访问某个资源的权限。如果这样的话,项目中的所有的可访问资源都需要加入数据库配置,似乎有点太严格了,并且开发的时候,也比较麻烦。

 

 

完结。。。

后续将会贴出配置源码包

springboot-shiro权限控制
sinat_40693969的博客
06-02 627
springboot-shiro权限控制
Spring Boot 整合 Shiro 实现认证授权
qq_45716120的博客
02-03 502
导入依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> Subject:用户 SecurityManager:管理所有用户 Realm:连接数据 ...
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
Shiro权限使用大全
最新发布
你好, 我在学java的博客
05-31 918
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。在本系统中,Shiro主要用于实现权限控制,保护系统资源不被未授权的用户访问。
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring Boot与Shiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring Boot与Shiro整合实现用户认证; Spring Boot与Shiro整合实现用户授权; thymeleaf和shiro标签整合使用。
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统
03-08
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统。 文章地址:https://xttblog.blog.youkuaiyun.com/article/details/88353878 FEBS是一个简单高效的后台权限管理系统。项目基础框架采用全新的Java Web开发框架 —— Spring Boot2.0.4,消除了繁杂的XML配置,使得二次开发更为简单;数据访问层采用Mybatis,同时引入了通用Mapper和PageHelper插件,可快速高效的对单表进行增删改查操作,消除了大量传统XML配置SQL的代码;安全框架采用时下流行的Apache Shiro,可实现对按钮级别的权限控制;前端页面使用Bootstrap构建,主题风格为时下Google最新设计语言Material Design,并提供多套配色以供选择。FEBS意指:Fast,Easy use,Beautiful和Safe。
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
springboot整合shiro权限控制加rbac.zip
11-17
在Spring Boot中整合Shiro进行权限控制,并结合RBAC模式,意味着将Shiro作为一个安全框架来管理应用的安全性,同时利用RBAC的思想来设计和实现用户权限管理。这种结合不仅使得权限管理更加高效,也使得系统的权限...
SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架是将SpringBoot与Apache Shiro这两个流行的技术栈结合,用于实现Web应用的安全控制和用户权限管理。SpringBoot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则是一个轻量级的...
springboot整合shiro
03-30
总之,SpringBoot整合Shiro可以有效地帮助我们构建权限管理体系,实现用户的认证和授权。结合ZTree,我们可以提供直观的权限分配界面,提升管理效率。在实际开发过程中,要根据项目需求定制Shiro的配置,确保安全性...
Springboot 整合shiro权限控制
03-28
以上内容详述了SpringBoot整合Shiro实现权限控制的过程。首先,我们需要在项目中引入Shiro的依赖。接着,创建自定义的Shiro Realm类(DemoShiroRealm),该类继承自AuthorizingRealm,分别重写...
SpringBoot整合Shiro,实现从数据库加载权限权限的动态更新、Session共享
01-28
SpringBoot整合Shiro,实现从数据库加载权限权限的动态更新、Session共享
spring boot 与shiro实战(五)整合实现用户授权
maximusrj的博客
03-18 1398
spring boot 与shiro整合实现用户授权 本篇文章接自上一篇:spring boot 与shiro实战(四)整合MyBatis实现登录 https://blog.youkuaiyun.com/jingjingxiazhe/article/details/88579067 源码git地址:https://gitee.com/maximusrj/springboot-shiro.git 1.1 使用S...
SpringBoot(13) 集成Shiro实现动态加载权限
郑清
09-28 6831
一、前言 本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权限,不用重启项目,以及在页面分配给用户 角色 、 按钮 、uri 权限后,后端动态分配权限,用户无需在页面重新登录才能获取最新权限,一切权限动态加载,灵活配置 基本环境 spring-boot 2.1.7 mybatis-plus 2.1.0 mysql 5...
springboot+shiro权限
weixin_43712788的博客
12-24 438
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
shiro-权限概述
OneMaruko的博客
01-26 3716
一、什么是权限 权限管理,一般根据系统的安全设置或安全规则,用户可以且只能访问自己被授予的资源。只要有用户名和密码,就一定会存在权限。 二、权限分类 访问权限 作为一个使用者或是访问者,你能够被允许看到的那些资源。 数据权限 作为一个使用者或是访问者,你能够被允许对那些数据进行操作处理。 三、认证概念 判断一个用户是否为合法用户,常见的有密码登录,验证码登录,第三方授权登录等。 四、认证流程 五、授权概念 授权,即访问权限,控制谁能访问那些资源。主体进行身份认证后,系统会为其分配对应的权限,当访问资源时,会
SpringBoot&Shiro实现权限管理
Willis的博客
03-03 250
SpringBoot&Shiro实现权限管理 引言 相信大家前来看这篇文章的时候,是有SpringBootShiro基础的,所以本文只介绍整合的步骤,如果哪里写的不好,恳请大家能指出错误,谢谢!依赖以及一些配置文件请在源码里参考,请参见 https://github.com/Slags/springboot-learn/tree/master/1.springboot-shiro-aut...
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
低调做人,低调编码,神码都是浮云
04-12 2132
SpringBoot整合Shiro权限控制
SpringBoot整合Shiro实现权限控制
Willing卡卡的博客
09-05 484
本文主要分享了SpringBoot整合Shiro实现权限控制的案例,Shiro的认证流程:包括环境的搭建、数据库的添加、实体类映射文件、使用源生Shiro、MD5加密后的密钥登录问题、基于注解的开发(均附源码);
springboot整合shiro权限管理
02-08
### Spring Boot 整合 Shiro 实现权限管理 #### 项目初始化与依赖设置 为了在Spring Boot项目中集成Shiro并实现权限管理,首先需要创建一个新的Spring Boot项目,并添加必要的Maven依赖项。具体来说,在`pom.xml`文件中应加入Apache Shiro的核心库以及其他可能需要用到的日志组件: ```xml <dependencies> <!-- Apache Shiro Core --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> </dependency> <!-- Commons Logging (for logging purposes) --> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </dependency> <!-- Other dependencies as needed... --> </dependencies> ``` 上述配置确保了应用程序能够利用Shiro提供的认证和授权服务[^4]。 #### 配置类定义 接着,需构建一个用于配置Shiro行为的Java类。此类通常会继承自`WebSecurityConfigurerAdapter`(如果采用的是较新的版本,则可以直接使用`@Configuration`注解),并通过重写相应的方法来定制化安全策略。下面是一个简单的例子展示如何完成这项工作: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); // 设置安全管理器 shiroFilterFactoryBean.setSecurityManager(securityManager); // 定义过滤链映射关系... Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } @Bean public SecurityManager securityManager(){ DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(); // 关联realm到security manager上 defaultWebSecurityManager.setRealm(myShiroRealm()); return defaultWebSecurityManager; } } ``` 这段代码片段展示了如何通过编程方式指定哪些URL路径可以匿名访问(`/login`)以及其余资源都需要经过身份验证才能获取(`/**`). 同时也指定了自定义的安全领域对象作为用户数据源[^1]. #### 自定义 Realm 的实现 为了让Shiro知道去哪里寻找用户及其对应的权限信息,还需要提供一个实现了`AuthorizingRealm`接口的具体类——即所谓的“Realm”。在这个实例里,可以通过数据库查询或其他任何形式的数据存储机制加载这些细节: ```java public class MyShiroRealm extends AuthorizingRealm { protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); // 基于principal从数据库或者其他地方取得该用户的权限列表 return authorizationInfo; } protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken)token; // 使用用户名密码去校验合法性... Object principal = ... ;// 用户名 Object credentials = ...;// 密码hash值 byte[] salt = null; // 如果有加盐则传入salt return new SimpleAuthenticationInfo(principal,credentials,salt,"MyShiroRealm"); } } ``` 此部分负责处理登录请求中的凭证验证逻辑(doGetAuthenticationInfo),同时也支持基于角色或特定操作许可的角色分配(doGetAuthorizationInfo)[^3]. #### 测试API文档生成工具-Swagger2 最后值得一提的是,在开发过程中为了方便调试RESTful API端点的功能性,可以在项目的入口处开启Swagger2的支持。这只需要简单地向主程序类添加@EnableSwagger2注解即可[^2]: ```java @SpringBootApplication @EnableSwagger2 public class DemoApplication { public static void main(String[] args) { SpringApplication.run(DemoApplication.class,args); } } ``` 这样做之后就能借助浏览器直观查看所有已暴露出来的HTTP接口详情了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值