springboot整合shiro的使用

最新推荐文章于 2022-09-14 23:36:08 发布
最新推荐文章于 2022-09-14 23:36:08 发布
阅读量264 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 后端笔记 SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42595884/article/details/98758563
本文介绍如何在SpringBoot项目中整合Shiro框架,实现登录拦截和授权管理。详细步骤包括添加Shiro依赖,自定义Realm,配置Shiro类,以及在控制器和Thymeleaf模板中应用权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实现登录的拦截和授权的管理

数据库:

添加依赖spring整合shiro的依赖:

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

自定义Realm:

package leane.shiro.springbootshiro.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import leane.shiro.springbootshiro.entity.User;
import leane.shiro.springbootshiro.service.UserService;

/**
 * 自定义Realm
 * @author xing
 *
 */
public class UserRealm extends AuthorizingRealm{

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("执行授权逻辑");
		
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		//获取当前登录用户
		Subject subject = SecurityUtils.getSubject();
		User user = (User)subject.getPrincipal();
		System.err.println(user.getPerms());
		info.addStringPermission(user.getPerms());
		
		return info;
	}

	
	@Autowired
	private UserService userService;
	
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		//arg0控制器层传入的用户名和密码封装的token
		UsernamePasswordToken token = (UsernamePasswordToken)arg0;
		//调用业务层方法:根据用户名获取用户信息
		User user = userService.getUserByUsername(token.getUsername());		
		if(user == null) {
			//用户名不存在,返回null,shiro底层会抛出UnknownAccountException异常
			return null;
		}
		
		/**
		 * 判断密码
		 * 	第一个参数:需要返回的数据
		 * 	第二个参数:数据库中的密码,shiro会自动判断
		 *  第三个参数:shiro的名字
		 */
		return new SimpleAuthenticationInfo(user,user.getPassword(),"");
	}

	
}

创建shiro配置类:

package leane.shiro.springbootshiro.shiro;


import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;


@Configuration
public class ShiroConfig {
	@Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean() {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(getDefaultWebSecurityManager());
		
		/**
		 * 添加shiro内置过滤器
		 * 	常用过滤器
		 * 		anon:无需认证(登录)可以访问
		 * 		authc:必须认证才可以访问
		 * 		user:如果使用rememberMe的功能才可以访问
		 * 		perms:该资源必须得到资源权限才可以访问
		 * 		role:该资源必须得到角色权限才可以访问
		 */
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
		//设置无需登录就可以访问的请求路径
		filterChainDefinitionMap.put("/login", "anon");
		filterChainDefinitionMap.put("/toLogin", "anon");
		
		//授权拦截器,当授权拦截后,shiro会自动跳转到未授权页面
		filterChainDefinitionMap.put("/user/add", "perms[user:add]");
		filterChainDefinitionMap.put("/user/update", "perms[user:update]");
		
		//设置必须登录认证才可以访问的请求路径
		filterChainDefinitionMap.put("/**", "authc");
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		
		//修改跳转的页面
		shiroFilterFactoryBean.setLoginUrl("/toLogin");
		//设置未授权提示页面
		shiroFilterFactoryBean.setUnauthorizedUrl("/noAuth");
		
		return shiroFilterFactoryBean;
	}
	
	@Bean
	public DefaultWebSecurityManager getDefaultWebSecurityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(getRealm());
		return securityManager;
	}

	@Bean
	public UserRealm getRealm() {
		return new UserRealm();
	}
}

控制器层:

package leane.shiro.springbootshiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class UserController {

	@RequestMapping("toLogin")
	public String toLogin() {
		return "login";
	}
	
	@RequestMapping("login")
	public String login(String username,String password,Model model) {
		
		//1.获取Subject
		Subject subject = SecurityUtils.getSubject();
		
		//2.封装用户数据
		UsernamePasswordToken token = new UsernamePasswordToken(username, password);
		
		//3.执行登录方法
		try {
			subject.login(token);
			//登录成功重定向到主页
			return "redirect:/index";
		} catch (UnknownAccountException e) {
			//用户名不存在
			model.addAttribute("msg", "用户名不存在");
			return "login";
		} catch (IncorrectCredentialsException e) {
			//用户名不存在
			model.addAttribute("msg", "密码错误");
			return "login";
		}
	}
	
	@RequestMapping("noAuth")
	public String noAuth() {
		return "noAuth";
	}
	
	@RequestMapping("index")
	public String index(Model model) {
		model.addAttribute("name", "test");
		return "index";
	}
	
	@RequestMapping("user/add")
	public String toAdd() {
		return "add";
	}
	
	@RequestMapping("user/update")
	public String toUpdate() {
		return "update";
	}
}

 

thymeleaf整合shiro(不同权限的用户登录,隐藏权限范围外的标签):

1.添加thymeleaf整合shiro依赖:

<!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->
		<dependency>
			<groupId>com.github.theborakompanioni</groupId>
			<artifactId>thymeleaf-extras-shiro</artifactId>
			<version>2.0.0</version>
		</dependency>

2.在shiro配置类中添加

/**
	 * 配置ShiroDialect,用于Thymeleaf和Shiro标签配合使用
	 */
	@Bean
	public ShiroDialect getShiroDialect() {
		return new ShiroDialect();
	}

 3.在html页面中添加shiro:hasPermission属性

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>主页</title>
</head>
<body>
<h3 th:text="${name}"></h3>
<hr>
<!--如果用户没有user:add,则该标签不现实-->
<div shiro:hasPermission="user:add">
	<a href="/user/add">添加</a>
</div>
<div shiro:hasPermission="user:update">
	<a href="/user/update">修改</a>
</div>
</body>
</html>

 

SpringBoot整合shiro的基本使用
hjvvlkn的博客
06-21 208
import cn/*** @description:自定义Realm实现授权认证} /***授权* 通过认证后 doGetAuthenticationInfo 传过来认证成功的用户进行授权管理 如果返回为null证明不需要权限* @return//获取认证成功传递过来的用户对象 String userName =(String) principalCollection . getPrimaryPrincipal();
java global edit_Java PermissionService.hasPermission方法代碼示例
weixin_31414515的博客
02-16 321
本文整理匯總了Java中org.kuali.rice.kim.api.permission.PermissionService.hasPermission方法的典型用法代碼示例。如果您正苦於以下問題:Java PermissionService.hasPermission方法的具體用法?Java PermissionService.hasPermission怎麽用?Java PermissionS...
springBoot 整合shiro
nove2的博客
09-14 347
spring-boot集成shiro的步骤及代码解析
30.0、spring-boot整合Shiro实现授权功能
m0_52433668的博客
03-17 1092
30.0、spring-boot整合Shiro实现授权功能 在ShiroConfig.java文件里加上这段代码,完整代码往下滑可查看: //授权,这利表示访问/user/add必须要有user:add权限才能访问 filterMap.put("/user/toadd","perms[user:add]"); filterMap.put("/user/toupdate","perms[user:update]"); //访问的页面如果未授权,跳转到哪个页面 bean.setUnauthorized
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
spring security
lin的博客
08-23 712
本文讲述spring Boot整合Spring Security在方法上使用注解实现权限控制,使用自定义UserDetailService,从MySQL中加载用户信息。使用Security自带的MD5加密,对用户密码进行加密。spring security 的验证流程: 用户发出请求 过滤器拦截(OauthAuthenticationFilter:doFilter) 取得请求资源所需权限(Secur
Shiro原理一】shiro:hasPermission 隐藏页面无权访问的资源
朱赤墨黑
09-03 6141
shiro:hasPermission 隐藏页面无权访问的资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。 jsp: organ_list.jsp &lt;shiro:hasPermission name="jigouxinxi-xinzeng"&gt; &lt;button class="layui-btn layui-btn-primary" onclick="a...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
shiro realm何时调用
weixin_43703769的博客
08-11 912
shiro realm何时调用 1.shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo() 2.都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。 3.doGetAuthenticationInfo这个方法是在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调
@shiro.hasPermission 使用
ywb201314的专栏
10-26 3539
在页面上加上@shiro.hasPermission 如下用.ftl为例子: 当加上shiro标签后,会与后台代码结合使用: 需要继承AuthorizingRealm 下的protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection)进行业务的处理。 关系点:@shiro.hasPermission name=的值要与authorizatio...
shiro使用注解式和jsp标签的方式进行开发
oppoppoppo的专栏
02-15 8068
原先的时候可以使用url的shiro配置方式进行拦截,但是发现url地址过多会配置繁琐,解决的方式就是使用aop注解式和jsp标签进行开发 原来的方式 ${adminPath}/sysindex.html = anon /static/** = anon <!-- 对应某个链接需要某个权限 取消这种url使用AOP注解 ${admi
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 4135
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
用thymeleaf给shiro:hasPermission拼接权限字符串
qq_44381427的博客
09-23 1208
问题描述 前几天的一个项目里有几张逻辑表结构相同,就整合一张表来存,通过一个类型字段区分。于是这几张表同样用一个页面来展示数据。页面上的一些操作按钮通过shiro:hasPermission判断权限是否显示,于是就出现了一个问题。不同类型的数据要配置不同的字符串区分。 <div shiro:hasPermission="haveXXXPermission">xx操作</div> 比如一个苹果表,一个香蕉表。我想让苹果表显示xx操作,香蕉表不显示xx操作。就需要给haveXXXPer
Shiro入门案例之认证
weixin_43774824的博客
08-18 150
Shiro 简介: Apache Shiro 是 Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等,而且 Shiro 的 API 也是非常简单。 架构图: ...
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
Springboot整合Shiro并且在html页面使用Shiro标签
yjt520557的博客
03-28 6199
1.首先引入我们最重要的两个pom文件 <!-- 页面使用shiro标签依赖 --> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</...
shiro的maven依赖包
忆往昔的博客
06-14 1876
spring + springmvc + shiro所需引入的shiro以及shiro集成到spring的包,maven依赖如下: org.apache.shiro shiro-core 1.2.1 org.apache.shiro shiro-spring 1.2.1 org.apache.shiro shiro-web 1.2.1 org.apa
SpringBoot整合Shiro实战代码案例分析
- `@SpringBootApplication` 注解整合了`@Configuration`、`@EnableAutoConfiguration`和`@ComponentScan`。 - Spring Boot Actuator提供了一系列生产级别的监控和管理特性。 - Spring Boot DevTools为开发者提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值