SpringBoot2 整合 Shiro 基于URL的权限校验

最新推荐文章于 2025-03-04 16:48:00 发布
最新推荐文章于 2025-03-04 16:48:00 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: JAVAEE 文章标签: Shiro Url 权限判断 SpringBoot2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tplina/article/details/97293505
版权

概念模型

用户与角色之间是一对一关联,角色与资源之间是多对多关联(关联关系用中间表来维护)

Resource里面存储着系统的url路径

模型字段都很简单,SQL及Model类就不再贴出来了.

1.引入依赖

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
</dependency>

添加这一个依赖就够用了,它会依赖core和web

 

我写的shiro类有这些

CheckLoginFilter  登录认证过滤器

CheckPermissionsFilter 权限校验过滤器

ShiroConfig 配置类(核心)

ShiroLifecycleBeanPostProcessorConfig shiro生命周期管理

ShiroPermissionResolver 生成Permission实例(关键)

ShiroWildcardPermission Permission的子孙类,判断权限通过与否(关键)

UserRealm 提供身份认证和授权(核心)

要使用自定义的鉴权方式,需要写  PermissionResolver  和  WildcardPermission 的子类

注:所有的Service类.就不贴出来了,功能很简单

1.首先看一下UserRealm

doGetAuthorizationInfo 和 doGetAuthenticationInfo方法必须要求实现

这里为了url权限校验的需要,覆盖了isPermitted方法(这不是必须的)

package com.web.shiro;

import com.web.constant.Constant;
import com.web.constant.ErrorCode;
import com.web.dto.AuthorizationRoleInfoDTO;
import com.web.entity.Role;
import com.web.entity.User;
import com.web.exception.PolarisException;
import com.web.service.RoleService;
import com.web.service.UserService;
import org.apache.commons.collections4.CollectionUtils;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.SimplePrincipalCollection;
import org.apache.shiro.subject.support.DefaultSubjectContext;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Lazy;

import java.io.Serializable;
import java.util.Collection;
import java.util.HashSet;

/**
 * Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”
 *
 * @author 
 * @date 2019/07/09 10:43
 */
public class UserRealm extends AuthorizingRealm {
    @Autowired
    @Lazy
    private UserService userService;
    @Autowired
    @Lazy
    private RoleService roleService;
    @Autowired
    @Lazy
    private MemorySessionDAO sessionDAO;

    /**
     * 授权
     *
     * @param principal principal
     * @return 用户权限信息集合
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        User user = (User) principal.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = (SimpleAuthorizationInfo) SecurityUtils.getSubject()
                .getSession().getAttribute(Constant.AUTHORIZATION_INFO);
        if (info != null) {
            return info;
        }

        info = new SimpleAuthorizationInfo();
        AuthorizationRoleInfoDTO roleInfo = roleService.getAuthorizationRoleInfoDTOByUsername(user.getUsername());
        if (roleInfo == null) {
            return info;
        }

        info.
最低0.47元/天 解锁文章
SpringBoot23、SpringBoot整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目中使用过 shiro,发现 shiro权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro 中,Subje
java 权限url权限_filter设计缺陷导致的权限绕过
weixin_39676348的博客
11-21 451
1.1 权限控制的本质一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前URI/URL是否具有相应的业务权限。1.2 常见权限控制的实现一般情况下,通常是获取到当前URI/URL,然后跟需要鉴权的接口进行⽐对,或者直接结合startsWith()或者endsWith()方法,...
shiro动态URL权限控制
04-14
在Spring中整合shiro,使用shiro动态URL权限控制学习教程
Springboot+shiro基于url身份认证和授权认证
weixin_33737134的博客
06-05 475
shiro看了有一段时间了。但是由于之前对这部分理解不了所以在这上面学习的进展一直不多。但是有了解权限管理在日常开发中很重要,所以硬着头皮也要啃下来。 实现功能: 身份认证 对不同页面进行url授权 多表登录解决 同一个页面多role访问 项目完整github地址 欢迎star springboot一些学习整合完整地址 shiro的四大组件: 身份认证(Authentication)-证明用...
SpringBoot+Shiro开发登录认证功能
最新发布
qq_35485206的博客
03-04 644
文章目录一、项目背景二、页面效果三、仍然存在的问题总结四、代码前端Login.vue(前端登录页)system.js(调用登录接口代码)index.js(配置拦截器处理逻辑)后端pom.xmlLoginControl.java(登录接口)Account.java(账户实体类)CustomEnterpriseCacheSes...
SpringMVC 整合shiro 实现url动态权限验证(二)
xcc_2269861428的博客
07-13 1305
前言:上一篇文章讲述了如何使用shiro进行登录认证,其实主要的实现还是自定义Realm,继承AuthorizingRealm实现其中的 doGetAuthenticationInfo方法。上一篇文章链接:https://blog.youkuaiyun.com/xcc_2269861428/article/details/95107167 这篇文章主要实现url权限的认证,也就是roles的验证 如图:...
shiro基于角色URL进行鉴权
凌康的博客
01-14 661
前言 shiro基于URL进行鉴权,网上有很多,但是多数都是copy不排版,眼睛都看花了,还不如自己看看源码。 2021年1月14日21:23:49最新的shiro是1.7,使用时发现了首次访问的一个bug,然后我使用1.5.3 环境springboot 2.3.7.RELEASE + thymeleaf + shiro 1.5.3 <dependency> <groupId>org.apache.shiro</groupId> <arti
SpringBoot2.x配置Shiro实现权限管理,根据URL鉴权
01-06 2033
之前使用 Shiro 鉴权的时候,一直用的是注解,如 @RequiresPermissions() 和 @RequiresRoles(),这种方法不利于维护和动态修改,代码侵入性强。所以,为了解决这个问题,通常都会采用URL鉴权,当写一个拦截器,获取请求的URL,然后查询当前登录用户的权限列表,判断请求的URL是否在权限列表的URL内,如果在则放行,否则拦截。 之前介绍了SpringSecuri...
springboot整合shiro
weixin_45476535的博客
08-24 657
【代码】springboot整合shiro
springboot2.x整合shiro权限框架的使用
09-08
在Spring Boot 2.x版本中整合Shiro,可以快速实现权限管理功能,降低项目的复杂度。 首先,我们要了解Shiro的基本组件和功能: 1. **身份验证(Authentication)**:验证用户身份,通常涉及用户名和密码的校验。...
我的开源:shiro实现分布式session和url权限验证
陈海龙的格物之路
09-23 425
本文讲述了如何基于shiro实现分布式session和url权限验证。
Shiro权限管理框架(三):Shiro权限过滤器的初始化流程和实现原理
十指波课堂的博客
08-07 299
初始化流程ShiroFilterFactoryBean实现了FactoryBean接口,那么Spring在初始化的时候必然会调用ShiroFilterFactoryBean的getObject()获取实例,而ShiroFilterFactoryBean也在此时做了一系列初始化操作。关于FactoryBean的介绍和实现方式另外也记了一篇:https://www.guitu18.com/post/2...
Spring Boot2 整合 Shiro ,两种方式全总结!
Gblfy_Blog
12-08 376
前言:在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。 文章目录一、Spring Security 和 Shiro 的比较二、原生的整合2.1. 创建一个 Spring Boot 项目2.1. 加入 Shiro 相关的依赖2.2. 完整pom2.3. 自定义核心组件 Realm2.4. 配置 ...
shiro学习笔记——shiro拦截器与url匹配规则
m0_67402341的博客
08-24 1041
过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤。
基于URL权限验证流程总结
陌上花开,可缓缓归矣
04-30 7064
之前写过一篇博客:拦截器实现基于Url权限管理,文章中讲解了怎么用拦截器实现url权限认证,这仅仅是权限管理的一部分。今天这篇博客就来说说一个项目完整的权限认证流程。1、 准备权限数据服务器启动时,通过InitListener监听器,将数据库中的权限信息查询出来,并放到ServletContext中。其中权限信息分两类:顶层菜单(系统管理)和其他权限信息url。ServletContext中放一些
三、Spring Security之权限校验及源码解析
panchang199266的博客
05-28 1571
一、源码解析 1、权限校验涉及的相关类图 2权限校验时序图: 3.在权限校验过程中,几个比较关键的类: UsernamePasswordAuthenticationFilter AnonymousAuthenticationFilter ExceptionTranslationFilter FilterSecurityInterceptor 调用流程如下: AbstractAuthentic...
shiro会话管理
zhangchang0516的博客
04-13 576
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
项目集成ureport2 并通过登录用户权限显示(Fuse低代码平台 )
qq_27246521的博客
05-20 542
尝试了很多方法最后通过 将token传参方式解决。这里也发现了一些SaToken的使用技巧。这样操作后便可获取到参数。具体原理有时间再研究。
SpringBootShiro整合实现权限管理示例
- 详细解释代码中的安全拦截逻辑,包括哪些URL或方法需要进行权限校验。 - 讨论Shiro的认证过程,比如如何加载用户数据以及校验用户凭证。 通过整合Spring Boot和Shiro,开发者可以创建一个既拥有Spring Boot快速...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值