SpringBoot整合Shiro(三)——shiro的角色和权限拦截且进行授权

最新推荐文章于 2025-04-22 09:43:41 发布
最新推荐文章于 2025-04-22 09:43:41 发布
阅读量2.5k 收藏 12
点赞数 4
分类专栏: java 文章标签: 过滤器 shiro 数据库 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45150104/article/details/109547181
版权

1、进行权限拦截和进行授权

    在shiroConfig中配置内置过滤,进行设置安全管理器,然后进行配置shiro的内置过滤器,filterMap.put("/user/update","perms[user:update]");,且进行拦截时,跳转到未授权页面:bean.setUnauthorizedUrl("/unauth");,代码如下所示:

package com.ygl.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author ygl
 * @description
 * @date 2020/11/6 10:37
 */
@Configuration
public class ShiroConfig {

    //ShiroFilterFactoryBean  过滤 (第三步:连接到前端)
    @Bean
        public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //配置shiro的内置过滤器
        /*
            anon:匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,一般用于过滤静态资源。
            authc:需要认证登录才能访问
            user:用户拦截器,表示必须存在用户
            perms:权限授权拦截器,验证用户是否拥有权限
                参数可写多个,表示需要某些权限才能通过,多个参数时写 perms[“user, admin”],当有多个参数时必须每个参数都通过才算可以
            roles:角色授权拦截器,验证用户是或否拥有角色。
                   参数可写多个,表示某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个参数都通过才算通过

         */
        //拦截
        Map<String, String> filterMap = new LinkedHashMap();
        //授权,正常情况下,没有授权的会跳到未授权页面  添加某个权限才可以
//        filterMap.put("/user/add","perms[user:add]");
//        filterMap.put("/user/update","perms[user:update]");

        //授权   添加某个角色才可以
        filterMap.put("/user/add","roles[admin]");

        //拦截
        filterMap.put("/toLogin","anon");
//        filterMap.put("/user/add","authc");
//        filterMap.put("/user/update","authc");
        filterMap.put("/user/*","authc");
        bean.setFilterChainDefinitionMap(filterMap);

        //被拦截时 设置登录的请求
        bean.setLoginUrl("/toLogin");
        //跳转到未授权页面
        bean.setUnauthorizedUrl("/unauth");

        return bean;
    }

    //DafaultWebSecurityManager 安全对象  (第二步:接管对象)
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联userRealm
        securityManager.setRealm(userRealm);

        return securityManager;

    }


    //创建Realm对象  需要自定义 (第一步:创建对象)
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

}

主要修改代码在这里,perms 代表赋予权限
在这里插入图片描述
然后在Realm中的授权中设置拥有这些权限的可以进行授权,代码分析如下:

package com.ygl.config;

import com.ygl.pojo.User;
import com.ygl.service.UserSevice;
import com.ygl.utils.PasswordUtils;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

/**
 * @author ygl
 * @description
 * @date 2020/11/6 10:41
 */
//自定义的 UserRealm
public class UserRealm extends AuthorizingRealm {
    @Autowired
    private UserSevice userSevice;


    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权功能=》doGetAuthorizationInfo!");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //进行授权
//        info.addStringPermission("user:add");
        //获取当前对象
        Subject subject = SecurityUtils.getSubject();
        //从认证中拿到当前登录的user对象
        User currentUser = (User) subject.getPrincipal();
        //设置当前用户的权限
        info.addStringPermission(currentUser.getPerms());
        //设置角色
//        info.addRole(currentUser.getRole());

        return info;
    }
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了认证功能=》doGetAuthorizationInfo!");

        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        //连接真实数据库
        User user = userSevice.queryByName(userToken.getUsername());
        //pwd代表是用户输入的密码数据
        String pwd ="";
        for (int i = 0; i < userToken.getPassword().length; i++) {
            pwd =pwd +userToken.getPassword()[i];
        }
        if (user == null){
            return null;
        }

        /*
        System.out.println("密码:"+user.getPwd());
         */
        // 获取盐值
        String salt = user.getSalt();
        String password = PasswordUtils.getMd5(pwd, user.getName(), salt);
        char[] chars = password.toCharArray();
        userToken.setPassword(chars);
        System.out.println("password:"+password);
        //密码认证   shiro来进行操作,防止获取到密码
        return new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());

    }
}

主要更改内容如下图所示:
在这里插入图片描述
注意: 在realm中,如果需要从认证中查询到的用户信息传到授权中时,需要在认证代码中的密码验证中进行将用户信息传值过来,如下图所示:
在这里插入图片描述

2、进行角色授权

   角色的授权拦截和权限的授权拦截基本上一致,只是在filterMap.put("/user/update","perms[user:update]");代码中的perms更改成roles,也就是更改成filterMap.put("/user/add","roles[admin]");,如下图所示:
在这里插入图片描述
在shiroConfig类中更改为进行角色授权,也就是由info.addStringPermission(currentUser.getPerms());更改为info.addRole(currentUser.getRole());,代码修改如下图所示:
在这里插入图片描述

注意:

    角色和权限这两个是从数据库中查询到的,在实体类中大家记得添加属性。

SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 894
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
shiro 权限角色
02-01
这里是shrio权限角色,入门做为一个参考
shiro实现基于角色权限授权
XWJ
06-03 1万+
shiro除了登陆验证之外,还有一点就是对系统进行相应的权限操作,而基于角色授权是目前最通用的做法,也是符合业务逻辑的。具体思路如下: 1.数据库设计好权限表,角色表(权限标识是自定义的,shiro会根据表格里面相应的权限对系统做出管理) 2.将权限表与角色表做外键关联(多对一),用户表与角色表做外键关联 3.在自定义的Realm里实现授权 4.在controller层的方法里加上对应权
SpringBoot企业级文件管理系统实战:Shiro+Mybatis深度整合
最新发布
梵心白莲的博客
04-22 777
在企业级应用开发中,文件管理系统是一个常见重要的模块。Spring Boot 作为当下流行的 Java 开发框架,以其快速开发、简化配置等特点备受青睐。而 Shiro 是一个强大易用的 Java 安全框架,可用于身份验证、授权、加密等功能;MyBatis 则是一款优秀的持久层框架,能帮助我们高效地与数据库进行交互。本文将详细介绍如何使用 Spring Boot 构建一个企业级文件管理系统,并深度整合 Shiro MyBatis。
Shiro 基于角色授权的简单应用与权限过滤器配置含义
Charge8的博客
04-24 1930
一、Shiro 支持有种方式的授权: 1、编程式:通过写 if/else 授权代码完成(不常用) 2、注解配置式:通过执行 Java 方法上的放置的相应注释或xml 配置完成,没有权限将抛出相应异常。(中小项目注解更常用,配置+数据库更灵活) 3、jsp标签式:在 jsp 页面通过相应标签完成。(主要用于对当前用户没权限访问的内容,可以通过jsp标签隐藏掉) 二、Shiro 权限...
Shiro讲解与实践——实现用户认证、授权拦截,以及整合Mybatis+Thymeleaf
西瓜的博客
11-06 559
Shiro讲解与实践 下载本文的shiro实战完整代码链接:https://download.youkuaiyun.com/download/shooter7/37712708 说明 shiro讲解与实践,主要用于实现以下的功能: 用户认证、授权 权限限制 记住我、首页定制 登录拦截 整合Mybatis 整合Thymeleaf shiro 1.1 什么是shiro? Apache shiro 是一个Java的安全(权限)框架。 shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
shiro 自定义拦截器配置多个权限实现
why154285的博客
08-30 1万+
一、问题产生 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,网上关于shiro的使用实现原理也比较全面。这里不做详细介绍,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器的规则。 二、具体场景 自定义的拦截器没有重写PermissionsAuthorizationFilter的isA...
springboot整合shiro之——拦截路径
qq_58341172的博客
04-12 903
身份认证、授权、加密、会话管理Web支持、缓存、多线程、测试、允许一个用户假装为另一个用户的身份进行访问、记住我。
springboot—— Shiro实现认证授权功能
daralisdan的博客
04-03 1089
springboot—— Shiro实现认证授权功能,解决安测时的水平越权垂直越权
SpringBoot整合Shiro验证Jwt
m0_51382710的博客
11-14 420
使用SpringBoot整合Shiro对token进行校验
SpringBoot基本操作(七)——SpringBoot整合Shiro权限管理(完整demo+界面)
热门推荐
zhulier1124的博客
09-01 3万+
SpringBoot2.0笔记 (一)SpringBoot基本操作——环境搭建及项目创建(有demo) (二)SpringBoot基本操作——使用IDEA打war包发布及测试 (SpringBoot基本操作——SpringBoot整合SpringDataJpa(有demo) (四)SpringBoot基本操作——SpringBoot使用RedisTemplate整合Redis(有dem...
shiro 多Realm授权实现
qq_41606400的博客
05-01 369
需求:管理员未进行登录不可访问首页,权限不够跳转到设定的页面 实现代码: /** shiroConfig.java 只是截取的部分代码 还有的可以另外shiro文章里查看 * 创建shirofilterfactoryBean对象,设置安全管理器 */ @Bean public ShiroFilterFactoryBean getShiroFil...
Shiro角色权限管理
不更了,主打一个陪伴
12-08 1万+
Shiro角色权限管理
shiro权限过滤
zhaofuqiangmycomm的博客
10-12 8606
Shiro权限过滤 1,什么是基于资源的访问控制 RBAC基于资源的访问控制(Resource-BasedAccess Control)是以资源为中心进行访问控制,比如:主体必须具有查询工资权限才可以查询员工工资信息等,访问控制流程如下: 总经理 查所有员工的工资信息 董事长 添加一个查看所有员工的权限 if(主体.拥有查看工资的权限){ //查...
SpringMVC+shiro权限拦截(不使用shiro注解方式)
weixin_34112208的博客
09-13 612
为什么80%的码农都做不了架构师?>>> ...
SpringBoot(21)Shiro的登录拦截
OVO_LQ_Start的博客
09-12 457
拦截功能的实现 注意:环境搭建参考上一篇文章。 【1】.Map<String, String> filterMap = new LinkedHashMap<>();//创建拦截map,用来保存过滤的信息 【2】.filterMap.put("/user/add",“authc”);//添加拦截的请求,权限设置 【3】.shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);//添加内置过滤器 【4】.shiroFi
shiro请求授权实现
Java修炼者的博客
01-05 310
shiro请求授权实现 首先在ShiroConfig中配置授权链条 //授权(正常情况下未授权会跳转到未授权页面)配置授权链条 filterMap.put("/toAdd","perms[user:add]"); filterMap.put("/toUpdate","perms[user:update]"); //设置未授权的请求(未授权页面) factoryBean.setUnauthorizedUrl("/unauthorized
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3771
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
SpringMVC + Shiro 访问未授权页面时不跳转,页面打印抛异常
Excaliburace的博客
06-08 9197
描述:配置文件中配置了访问未授权之后的跳转地址,但结果没能跳转过去,而是直接在页面上抛出未授权异常 分析原因:配置文件可能需要做额外的处理 最终解决方案: 方案1:<!-- 定义需要特殊处理的异常,用类名或完全路径名作为key,异常页名作为值 --> <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptio
springboot前后端分离整合shiro
03-11
### Spring Boot 前后端分离 Shiro 整合实现用户认证权限管理 #### 项目搭建与依赖引入 为了构建支持前后端分离并集成了Shiro安全机制的Spring Boot应用,首先需要创建一个新的Spring Boot项目,并添加必要的依赖项。除了常规的Web开发所需依赖外,还需加入Apache Shiro的相关库来负责安全控制。 ```xml <dependencies> <!-- 其他基础依赖 --> <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> </dependencies> ``` 此部分描述了如何设置项目的初始结构以及所需的Maven坐标以包含Shiro功能[^1]。 #### 配置Shiro过滤器链定义 在`application.properties`文件或者通过Java配置类中指定Shiro Filter Chain Definitions, 定义哪些URL模式应该被哪种类型的拦截器处理。特别需要注意的是路径匹配规则中的顺序问题;更具体的路径应当优先于通配符路径声明,以免影响预期的行为。 例如,在配置文件里可以这样写: ```properties # application.properties 中的部分内容 shiro.filterChainDefinitions= /css/**=anon,/js/**=anon,/images/**=anon,/login=anon, /**=authc ``` 这里指出了对于静态资源(如CSS、JavaScript 文件)允许匿名访问(`anon`),而其他所有请求则需经过身份验证(`authc`)才能继续[^3]。 #### 自定义SecurityManager Bean Realm 实现 为了让Shiro能够理解应用程序特有的逻辑——比如从数据库加载用户的凭证信息或角色分配情况,则通常还需要自定义`Realm`组件并与之关联起来的一个`SecurityManager` bean实例。这一步骤涉及到编写相应的Java代码片段用于扩展AbstractAuthorizingRealm抽象基类,并重载其中的方法完成具体业务需求。 ```java @Configuration public class ShiroConfig { @Bean(name = "securityManager") public DefaultWebSecurityManager securityManager(MyCustomRealm myCustomRealm){ DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(myCustomRealm); return manager; } } ``` 上述代码展示了怎样注册一个名为`securityManager`的服务对象给IoC容器的同时注入了一个实现了定制化realm接口的对象作为参数传递进去。 #### 处理前端发送过来的身份验证请求 当采用RESTful API风格设计时,客户端会向服务器提交带有用户名密码的数据包来进行登录操作。此时可以在控制器层面上捕获这些POST调用并通过Shiro提供的工具方法尝试建立有效的Subject上下文环境。 ```java @PostMapping("/doLogin") @ResponseBody public String doLogin(@RequestParam String username,@RequestParam String password){ Subject currentUser = SecurityUtils.getSubject(); if (!currentUser.isAuthenticated()) { UsernamePasswordToken token = new UsernamePasswordToken(username,password); try{ currentUser.login(token); // 尝试登陆... return "success"; }catch (AuthenticationException e){ return "failure"; } } ... } ``` 这段程序说明了接收来自HTTP POST请求携带的信息之后利用Shiro框架内部封装好的API去校验传入账号的有效性[^2]。 #### 结论 综上所述,通过合理规划项目模块间的协作关系,适当调整中间件层面的各项设定再加上精心编写的后台服务端口就能顺利达成基于Spring Boot平台之上运用Shiro技术栈实施细粒度级别的访问控制目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

岭岭颖颖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值