spring项目框架的搭建(2):整合权限框架shiro

最新推荐文章于 2025-04-21 16:51:09 发布
转载 最新推荐文章于 2025-04-21 16:51:09 发布 · 75 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/1993676/blog/1329807

本文介绍如何在Spring项目中整合Shiro框架来实现用户登录及权限认证功能。主要内容包括添加Shiro相关依赖、创建认证授权的Realm类、配置Spring-Shiro.xml以及web.xml等步骤。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

结合《spring项目框架的搭建(1):基本搭建》代码,在此基础上完成shiro的整合。

整合前的准备

  1. 需要引入shiro相关的jar
  2. 需要一个realm给登录用户进行认证授权
  3. 添加shiro的配置文件,指定url的过滤规则
  4. web.xml配置shiro过滤
  5. 登录控制器调用
  • pom.xml内容追加一下几个依赖
 <!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>

<shiro.version>1.4.0</shiro.version> 表示shiro使用的版本号,这里使用的当前时间的最新版本。

  • 创建认证授权的Realm,这个类主要的作用是进行登录用户的身份认证和权限认证。

新建一个ShiroDbRealm.java类继承AuthorizingRealm,复写父类中的两个方法

doGetAuthorizationInfo,AuthenticationInfo;使用 @Component注解将对象交给容器管理。

伪代码如下:


    /**
     * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用.
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //获取当前登录的用户名,等价于(String)principals.fromRealm(this.getName()).iterator().next()
        String currentUsername = (String)super.getAvailablePrincipal(principals);
        Admin admin=adminService.findByUserName(currentUsername);
        List<String> roles = new ArrayList<String>();//存放该用户具备的角色
        List<String> permissions = new ArrayList<String>();//存放该用户具备的权限

        //查询用户拥有的角色和对应的权限
        List<AdminRole> adminRolesList=adminRolesService.findByAdminId(admin.getId());
        if(adminRolesList!=null && adminRolesList.size()>0){
            Role role;
            for (AdminRole adminRoles:adminRolesList){
                role=roleService.get(Role.class,adminRoles.getRoleId());
                roles.add(role.getRoleName());
                RolePermission permission=roleService.findRolePermission(role.getId());
                if (permission!=null){
                    permissions.addAll(permission.getPermissionList());
                }
            }

        }



        //用来保存认证好的信息,
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        if (admin.getIdentity()==1){
            info.addRole("admin");
            info.addStringPermission("*:*");
        }else {
            info.addRoles(roles);
            info.addStringPermissions(permissions);
        }

        return info;
    }

    /**
     * 认证回调函数,登录时调用.
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token= (UsernamePasswordToken) authenticationToken;
        Admin admin=adminService.findByUserName(token.getUsername());
        if (admin!=null){
            return new SimpleAuthenticationInfo(admin.getUsername(),admin.getPassword(),admin.getRealName());
        }else {
            return null;
        }

    }

AuthenticationInfo登录成后会执行此方法,但是需要在登录成功后的位置显示调用subject.login(token).

身份认证成功后会进入doGetAuthorizationInfo进行权限认证和存储。

  • 配置spring-shiro.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-4.2.xsd">
    <description>Shiro安全配置</description>
    <!-- Shiro 安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroDbRealm"/>
    </bean>

    <!-- Shiro 过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--shiro 核心权限管理器 必须配置-->
        <property name="securityManager" ref="securityManager"/>
        <!--身份认证失败跳转的登录页面-->
        <property name="loginUrl" value="/admin/login"/>
        <!--认证成功跳转的指定页面-->
        <property name="successUrl" value="/admin/index"/>
        <!--权限认证失败跳转的指定页面-->
        <property name="unauthorizedUrl" value="/admin/unautho"/>
        <!--url 过滤规则-->
        <property name="filterChainDefinitions">
            <value>
                /admin/login = anon
                /admin/doLogin = anon
                /admin/logout = authc
                /admin/unautho=anon
                <!--/admin/** = [*:*]-->
            </value>
        </property>
    </bean>

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
     
    <!-- 开启Shiro注解  AOP式方法级权限检查  -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true"/>
    </bean>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

</beans>

同时在spring.xml中添加    <import resource="spring-shiro.xml"/>

  • 配置web.xml
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/admin/*</url-pattern>
  </filter-mapping>
  • LoginController.java
    @RequestMapping(value = "doLogin",method = RequestMethod.POST)

    public ApiBean doLogin(String username, String password, Boolean rememberMe, HttpSession session, HttpServletRequest request){
        ApiBean apiBean;

        if (StrKit.notNull(username,password)) {
             //验证用户名密码是否正确
            JSONObject loginRes=adminService.login(username,password);

            if (loginRes.getBoolean("login")){
                Admin admin= (Admin) loginRes.get("admin");
                UsernamePasswordToken token = new UsernamePasswordToken(admin.getUsername(),admin.getPassword());
                Subject subject = SecurityUtils.getSubject();
                subject.login(token);
                apiBean= ApiBean.responseSuccess("登录成功");
            } else {
                apiBean= ApiBean.responseError(loginRes.getString("msg"));
            }



        } else {
            apiBean= ApiBean.responseError("用户名密码错误");
        }
        return apiBean;

    }

当subject.login(token)之后,会进入到自定义的realm中的AuthenticationInfo方法,该方法执行完成后会执行doGetAuthorizationInfo方法。在这里我显示的调用了service里的方法去验证用户名密码是否正确,在正确之后再将用户交由shiro进行二次身份核实和权限认证。

转载于:https://my.oschina.net/u/1993676/blog/1329807

SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 964
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
Spring Boot整合Shiro搭建权限管理系统
03-10
总结来说,Spring Boot与Shiro整合使得我们能够轻松地搭建一个权限管理系统。通过Spring Boot的自动配置和Shiro的安全特性,我们可以快速地实现用户认证和授权功能,从而保护应用程序的资源。这个过程包括配置...
java获取authorization_Java SimpleAuthorizationInfo.addRole方法代码示例
weixin_39610468的博客
12-19 2179
本文整理汇总了Java中org.apache.shiro.authz.SimpleAuthorizationInfo.addRole方法的典型用法代码示例。如果您正苦于以下问题:Java SimpleAuthorizationInfo.addRole方法的具体用法?Java SimpleAuthorizationInfo.addRole怎么用?Java SimpleAuthorizationInf...
[shiro学习笔记]第一节 使用eclipse/myeclipse搭建一个shiro程序
weixin_30659829的博客
09-24 197
本文地址:http://blog.youkuaiyun.com/sushengmiyan/article/details/39519509shiro官网:http://shiro.apache.org/shiro中文手册:http://wenku.baidu.com/link?url=ZnnwOHFP20LTyX5ILKpd_P94hICe9Ga154KLj_3cCDXpJWhw5Evxt7sfr0B5...
java后台通用权限管理系统(springboot)
03-16 1万+
推荐:200多套后台管理系统模板打包下载(https://blog.youkuaiyun.com/zwx19921215/article/details/102935205) 推荐:Java秒杀系统优化(高性能高并发)(https://blog.youkuaiyun.com/zwx19921215/article/details/103270209) 说明:这是本人正在使用的一款通用权限管理系统。 来源......
java 权限框架 shiro_Spring Boot:整合Shiro权限框架
weixin_34596480的博客
02-24 286
综合概述Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。优势特点它是一个功能强...
Shiro权限控制():Spring整合Shiro
热门推荐
kity9420的专栏
03-30 3万+
1.介绍如何在SpringMVC中整合Shiro权限框架 2.介绍如何使用Shrio进行身份验证,如常见的登录 3.介绍如何控制哪些服务登录后才能访问,哪些服务不需要登录就可以访问
深入浅出 Spring Boot 与 Shiro:构建安全认证与权限管理框架
2301_80320652的博客
04-21 794
第二步:重写认证方法doGetAuthenticatingInfo方法,返回一个AuthenticationInfo的实现类SimpleAuthenticationInfo对象。2.重写Realm中的doGetAuthorizationInfo方法,用于封装数据库的保存的该用户拥有的所有授权标识以供SecurityManager授权校验时使用。(三)数据库获取用户认证信息交给Shiro框架的SecurityManager。(二)提交用户登录信息给Shiro框架的securityMananger。
SpringBoot整合Shiro框架
koko创作
11-07 8734
目录 1、Shiro简介 1.1、Shiro是什么? 1.2、有哪些功能? 1.3、Shiro架构(外部) 2、快速入门(QuickStartShiro2.1、项目结构 2.2、导入shiro依赖,这是我的pom所有依赖。(pom.xml) 2.3、相关配置文件 (1)log4j.properties——官网 (2shiro.ini——官网 (3)启动类 Quickstart——官网 3、SpringBoot集成Shiro框架 3.1SpringBoot整合Shir...
Shiro安全框架学习(二):ShiroSpring整合
王明晓的博客
03-01 340
前言 在之前我们已经了解了Shiro的使用流程,但是我们是在配置文件配置的用户,角色,在实际应用中,我们会在数据库获取信息 ShiroSpring整合 Shiro 提供了与 Web 集成的支持,其通过一个ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制 ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器,是安全控制的入口...
Spring Boot整合Shiro搭建权限管理系统教学提纲.docx
06-08
### Spring Boot整合Shiro搭建权限管理系统知识点解析 #### 一、Spring Boot与Shiro简介 - **Spring Boot**: 是一种简化Spring应用开发的框架,它提供了自动配置、依赖管理等功能,使得开发者能够快速构建独立的...
权限管理(项目和源码)springboot与shiro整合
11-02
项目旨在帮助开发者理解和实践如何将Shiro框架Spring Boot相结合,用于权限控制和用户认证。下面将详细介绍这个实践项目中的主要知识点。 1. **Spring Boot简介**: Spring Boot 是由 Pivotal 团队提供的全新...
Spring Boot整合Shiro搭建权限管理系统教学提纲.pdf
06-07
Spring Boot整合Shiro搭建权限管理系统】 在Java后端开发中,Spring Boot因其简洁的配置和强大的功能,已经成为构建Web应用的首选框架。而Apache Shiro则是一个强大且易用的Java安全框架,用于处理认证、授权、...
cloudhsm-jvm-1.4.51-sources.jar
09-13
cloudhsm-jvm-1.4.51-sources.jar
sparkling-water-doc_2.12-3.42.0.3-1-3.4.jar
最新发布
09-13
sparkling-water-doc_2.12-3.42.0.3-1-3.4.jar
backupgateway-jvm-1.3.35-sources.jar
09-13
backupgateway-jvm-1.3.35-sources.jar
bedrockruntime-0.32.4-beta-sources.jar
09-13
bedrockruntime-0.32.4-beta-sources.jar
appmesh-jvm-1.0.64-javadoc.jar
09-13
appmesh-jvm-1.0.64-javadoc.jar
baqixiaozhu-High-order-Software-Testing-38272-1756660772481.zip
09-13
fpgabaqixiaozhu_High-order-Software-Testing_38272_1756660772481.zipbaqixiaozhu_High-order-Software-Testing_38272_1756660772481.zip
SSM与Shiro整合:JSP项目简易框架搭建教程
SSM整合shiro的简单框架搭建是一个面向Java开发者的教程,主要指导新手如何将SpringSpring MVC和MyBatis这三个广泛使用的Java框架(统称为SSM)与Apache Shiro安全框架整合起来。Apache Shiro是一个功能强大且易于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值