Springboot+Shiro理解一个简易的权限管理系统

最新推荐文章于 2025-04-02 17:25:00 发布
最新推荐文章于 2025-04-02 17:25:00 发布
阅读量256 收藏 2
点赞数
分类专栏: SpringBoot 文章标签: Springboot Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40167974/article/details/113985009
版权
该博客详细介绍了使用Shiro进行权限管理和认证的配置过程。通过四张表实现用户角色与权限的关联,自定义 Realm 实现认证和授权。Shiro配置包括过滤器链定义、 Realm 的创建以及授权信息的获取。在认证过程中,Shiro 会调用自定义 Realm 的 `doGetAuthenticationInfo` 方法进行登录验证,并在登录成功后将用户信息存入 session。在授权阶段,通过 `doGetAuthorizationInfo` 方法获取用户权限并设置到 SimpleAuthorizationInfo 中,实现按钮级别的权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


项目地址:https://github.com/fanta04/PermissionExample

一、表结构

权限管理核心表结构

四张表就可以表示每个用户拥有的角色,以及每个角色对应的资源权限。通过资源权限表可以对管理模块进行增删改查级别(也就是按钮级别)的权限划分,具体可以看资源权限表的内容:
在这里插入图片描述

二、Shiro配置

/**
 * shiro配置类
 * */
@Configuration
public class ShiroConfiguration {

    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //将自定义的拦截器覆盖掉shiro自带的拦截器
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("authc",new AjaxPermissionAuthorizationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        /**
         * 定义shiro的过滤链
         * authc:该url需要通过验证才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter
         * anon:该url可以匿名访问
         * */
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/","anon");
        filterChainDefinitionMap.put("/static/**","anon");
        filterChainDefinitionMap.put("/login/auth","anon");
        filterChainDefinitionMap.put("/login/logout","anon");
        filterChainDefinitionMap.put("/error","anon");
        filterChainDefinitionMap.put("/**","authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(userRealm());
        return defaultWebSecurityManager;
    }

    @Bean
    public UserRealm userRealm(){
        UserRealm userRealm = new UserRealm();
        return userRealm;
    }

    /**
     * Shiro生命周期处理器
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }
}

自定义Realm

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private LoginService loginService;

    @Override
    /**
     * loginService(getInfo方法:将用户的基本信息和权限信息放入session)<---
     * permissionService(getUserPermission)<---permissionMapper.xml拿到用户的权限列表
     *
     * 当碰到注解@RequiresPermission时调用这个授权方法
     * */
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Session session = SecurityUtils.getSubject().getSession();
        //查询用户的权限
        JSONObject permission = (JSONObject) session.getAttribute(Constants.SESSION_USER_PERMISSION);
        //为当前用户设置角色和权限
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addStringPermissions((Collection<String>) permission.get("permissionList"));
        return authorizationInfo;
    }
    

    /**
     * subject.login(token)最终会调用到doGetAuthenticationInfo这个认证方法
     * */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取输入的用户名和密码
        String loginName = (String) authenticationToken.getPrincipal();
        String passowrd = new String((char[]) authenticationToken.getCredentials());
        //从数据库中查询用户名和密码
        JSONObject user = loginService.getUser(loginName, passowrd);
        if(user == null){
            throw new UnknownAccountException();
        }
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
                user.getString("username"),
                user.getString("password"),
                this.getName()
        );
        user.remove("password");
        
       //当认证通过之后将用户的基本信息放入session里 
       SecurityUtils.getSubject().getSession().setAttribute(Constants.SESSION_USER_INFO,user);
        return simpleAuthenticationInfo;
    }
}

Shiro最主要的功能就是认证授权

认证比较好理解,就是判断用户的登录名和密码是否正确。

其步骤为:

  • 通过SecurityManager拿到认证主体subjectSecurityManager.getSubject()
  • 生成用户名密码凭证tokennew UsernamePasswordToken(user.getUsername(),user.getPassword())
  • 登录认证:subject.login(token)

然后shiro源码会指引我们到自定义Realm中的认证方法doGetAuthenticationInfo(),完成认证。

授权,当访问的链接配置在shiro的过滤器链中,Controller方法上有shiro权限注解时,或者前端页面标签中含有shiro权限标签时,以上情况都需要进行。

比较常用的是在Controller方法上加shiro注解,如@RequiresPermissions("article:add")

当访问这类有注解的方法时,shiro会调用自定义Realm中的doGetAuthorizationInfo()授权方法。

在登录认证的过程中,会把用户的基本信息和权限信息查询出来放到session中(本文中没写出来,代码里面有),所以授权方法要做的就是从session中取出权限信息,放入到SimpleAuthorizationInfo中。

Spring Boot整合Shiro搭建权限管理系统
03-10
Spring Boot整合Shiro搭建的一套简单的权限管理系统,里面介绍了Shiro的基本用法,里面附上了代码,环境需要自己搭建(里面有图说明怎么搭建环境的),里面的代码直接复制粘贴就可以运行。感谢大家下载!
管理系统系列--SpringBoot+Shiro权限管理系统脚手架.zip
02-25
总的来说,SpringBoot+Shiro权限管理系统脚手架提供了一个快速开发企业级权限管理系统的模板,帮助开发者省去了许多基础架构的工作,可以更专注于业务逻辑的实现,提高开发效率,同时保证系统的安全性。对于初学者和...
(39.1) Spring Boot Shiro权限管理【从零开始学Spring Boot】
weixin_33937499的博客
05-21 125
(本节提供源代码,在最下面可以下载)距上一个章节过了二个星期了,最近时间也是比较紧,一直没有时间可以写博客,今天难得有点时间,就说说Spring Boot如何集成Shiro吧。这个章节会比较复杂,牵涉到的技术点也会比较,如果没有Spring Boot基础的还是建议先学习基础,不然此博客看起来会比较费劲。好了废话不都说了,还是开始我们的Spring Boot Shiro之旅吧。还是依照之...
Shiro学习(三):shiro整合springboot
最新发布
liang8999的博客
04-02 910
由 配置类 ShiroWebFilterConfiguration 初始化 ShiroFilterFactoryBean 时可以发现,过滤器。,所以需要我们手动装载 SecurityManager 去覆盖Springboot 自动装载的 SecurityManager。另外在 shiro-spring-boot-web-starter 包下的文件 spring.factores 中的配置类。只会注入 Shiro 自身默认提供的Relam,这里需要把自定义的Realm注入到 SecurityManager。
springboot+shiro权限管理系统
澹若水的专栏
06-15 248
首先新建一个springboot项目: model代码如下: package com.model; import java.util.List; /** * @Auther: 澹若水 * @Date: 2020/01/10/18:41 * @Description: */ public class Users { private Integer uid; public Integer getUid() { return uid; } public void se
Springboot集成Shiro实现登录权限认证
Apandam的博客
04-08 249
Shiro Shiro简介 什么是Shiro? Apache Shiro一个Java的安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境 Shiro可以完成认证,授权,加密,会话管理,Web集成,缓存等 代码 pom.xml <dependencies> <depend...
Shiro系统权限管理、及原理剖析
热门推荐
helloworldwt的专栏
06-25 1万+
常用的Java EE权限框架有shiro、spring security。shiro被应用非常广泛,可以集成cas,搭建单点登录系统。spring security则被认为比较重,应用没有shiro广泛。 权限系统中的两个概念: 单点登录权限控制
后台管理系统,前后端分离,后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
02-22
这是一个基于现代技术栈的后台管理系统实现,采用了前后端分离的架构模式。让我们深入探讨这个系统背后的各个技术组件及其重要性。 首先,后端的核心框架是SpringBoot,它是由Pivotal团队开发的Java轻量级框架,...
springboot-vue-shiro:这是一个springboot+vue+shiro的后台权限管理系统,很全
04-27
SpringBoot、Vue 和 Shiro 的结合,构建了一个全面的后台权限管理系统。这个系统利用了 SpringBoot 的快速开发能力,Vue.js 的前端渲染与交互功能,以及 Shiro 提供的安全认证与授权服务。以下是关于这三个技术及其...
SpringBoot + Shiro + Vue 实现权限管理系统.zip
03-23
本项目通过结合SpringBootShiro和Vue.js三大技术栈,构建了一个完整的权限管理系统,旨在帮助学生深入理解和实践软件开发的全生命周期。 首先,SpringBoot作为Java开发中的主流框架,以其简洁、快速开发的特点,...
这是一个springboot+vue+shiro的后台权限管理系统,很全.zip
08-05
本项目——“基于SpringBoot+Vue+Shiro的后台权限管理系统”是一个典型的IT毕业设计案例,旨在提供一个完整的、功能完善的后台管理平台,以供学习和实践。下面,我们将深入探讨这个系统的架构、核心技术和实施要点。...
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统
03-08
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统。 文章地址:https://xttblog.blog.youkuaiyun.com/article/details/88353878 FEBS是一个简单高效的后台权限管理系统。项目基础框架采用全新的Java Web开发框架 —— Spring Boot2.0.4,消除了繁杂的XML配置,使得二次开发更为简单;数据访问层采用Mybatis,同时引入了通用Mapper和PageHelper插件,可快速高效的对单表进行增删改查操作,消除了大量传统XML配置SQL的代码;安全框架采用时下流行的Apache Shiro,可实现对按钮级别的权限控制;前端页面使用Bootstrap构建,主题风格为时下Google最新设计语言Material Design,并提供多套配色以供选择。FEBS意指:Fast,Easy use,Beautiful和Safe。
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring Boot与Shiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring Boot与Shiro整合实现用户认证; Spring Boot与Shiro整合实现用户授权; thymeleaf和shiro标签整合使用。
SpringBootShiro整合-权限管理实战视频+源码
02-25
SpringBootShiro整合-权限管理实战视频+源码
springmvc的shiro权限管理系统
12-26
自己编写的基于shiro权限管理,里面有数据库sql文件,可以直接运行,改一下数据库配置连接就行了,里面admin1-4的密码为000000;其余账号的密码为123456.欢迎大家下载使用。有问题多交流
springbootshiro实现权限管理系统(一)
aLinxi的博客
02-08 435
文章目录一个简单的用户权限管理系统01 | 项目介绍02 | 数据库设计与创建03 | 基础项目搭建 一个简单的用户权限管理系统 01 | 项目介绍 用户权限管理系统包含的功能模块 技术选型: SpringBoot,MyBatis 和 Shiro java 版本为 1.8 使用 maven 作为构建工具 API 遵循 RESTful 规范,使用 Swagger 作为文档管理和 API 测试工具。 02 | 数据库设计与创建 数据表预览 sys_permission:权限表。 sys_
极简shiro入门
czhAL的博客
12-07 514
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
Springboot_Shiro
qq_42102911的博客
04-08 544
一、shiro简介 1. shiro是啥? Apache Shiro 是 Java 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 深入学习: 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2. Shiro 基本功能
SpringBoot+Shiro+ZTree实现动态权限管理后台系统源码
资源摘要信息:"本资源是一个基于SpringBootShiro和ztree的权限管理后台系统源码包,它包含了一个可运行的完整代码库,适用于搭建具有用户管理、角色管理、资源链接管理等模块的系统管理后台。该系统后端采用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值