六、Springboot 整合Shiro---04权限控制

原创 已于 2022-12-09 23:28:28 修改 · 1.5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Springboot #Shiro

于 2018-07-21 17:54:11 首次发布
本文详细介绍了如何在Springboot项目中结合Shiro进行权限控制,包括通过realm进行权限控制和使用Shiro注解进行权限控制。首先,通过在ShiroConf配置文件中设置拦截URL和权限信息,实现基于角色的页面访问限制。然后,通过启用Shiro注解权限控制,添加AOP依赖并在Action类中添加测试方法,验证注解权限控制的生效。最后,展示了不同角色用户访问受限页面的效果,证实了权限控制的正确性。

本章节基于:五、Springboot 整合Shiro---03认证---第三方QQ登陆

一、通过realm进行权限控制

1、在templates下创建三个html页面

user.html、admin.html、unauthorized.html

2、创建一个Action类

package com.xslde.action;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

import java.util.Map;

/**
 * Created by xslde on 2018/7/21
 */
@Controller
public class PermissionAction {

    @GetMapping("/unauthorized")
    public String unauthorized(){
        return "unauthorized.html";
    }

    //拥有user角色才可访问
    @GetMapping("/user")
    public String user(Map<String,String> mode){
        mode.put("msg","拥有user角色");
        return "user.html";
    }

    //拥有user角色才可访问和user:query权限才可访问
    @GetMapping("/user/per")
    public String userPer(Map<String,String> mode){
        mode.put("msg","拥有user角色和user:query权限");
        return "user.html";
    }

    //拥有admin角色才可访问
    @GetMapping("/admin")
    public String admin(Map<String,String> mode){
        mode.put("msg","拥有admin角色");
        return "admin.html";
    }


}

3、在ShiroConf.class中加入上面action类中的请求url权限控制,对shiroFilter方法进行改动,添加拦截url和无权访问跳转页面url

package com.xslde.configurer;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.mgt.WebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author xslde
 * @Description
 * @Date 2018/7/20 16:25
 */
@Configuration
public class ShiroConf {


    //注入shiro过滤器
    @Bean("shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilter(WebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilte
最低0.47元/天 解锁文章
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
SpringBoot整合Shiro实现权限管理,经典实战教程
m0_63174344的博客
10-21 548
String username = authenticationToken.getPrincipal().toString(); if(!username.equals(“zhang”)){ throw new UnknownAccountException(“此用户不存在”); } //返回验证信息,参数:1、用户名 2、正确密码 3、realm名称 return new SimpleAuthenticationInfo(username,“123”, getName()); } } 2) 使用自定义Re
springboot-shiro权限控制
sinat_40693969的博客
06-02 658
springboot-shiro权限控制
SpringBoot集成Shiro极简教程(实战版)
十指波课堂的博客
04-20 1109
1. 前言Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。Shiro有三大核心组件:Subject: 即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前应用交互的任何东西都是Subject,如网络爬虫等。...
springboot shiro权限管理
zangguangtian的博客
03-06 6513
 集成shiro大概分这么一个步骤:(一) pom.xml中添加Shiro依赖;(二) 注入Shiro Factory和SecurityManager。(三) 身份认证(四) 权限控制一: pom.xml中添加Shiro依赖1.1: 要使用Shiro进行权限控制,那么很明显的就需要添加对Shiro的依赖包,在pom.xml中加入如下配置: &lt;!-- shiro权限控制框架 --&gt; ...
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
低调做人,低调编码,神码都是浮云
04-12 2276
SpringBoot整合Shiro权限控制
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
总结来说,"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"项目是一个使用Spring Boot作为基础框架,结合Shiro进行权限控制,借助MyBatis Plus简化数据库操作的示例。通过这个项目,开发者可以学习到如何...
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
精选资源
Springboot-Shiro-Activiti
05-14
你可以通过Shiro的拦截器或者注解来控制对URL、方法或整个控制器的访问权限。 接下来,Activiti是一个开源的工作流和业务流程管理系统,它支持BPMN 2.0标准,允许开发者定义、执行和监控业务流程。在Springboot-...
springboot-shiro-mybatis-demo.zip
02-08
SpringBoot整合Shiro与MyBatis的实战详解》 在现代Java开发中,SpringBoot以其简洁、快速的特性受到了广大开发者的喜爱。而Shiro和MyBatis作为两个非常重要的安全框架和持久层框架,它们的整合可以为Web应用提供...
springboot集成shiro 实现权限控制
热门推荐
哎幽的成长
02-26 4万+
shiroapache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西。springboot暂时没有集成shiro,这得自己配。shiro 内置过滤器请看博文: http://blog.youkuaiyun.com/hxpjava1/article/details/70357
SpringBoot整合Shiro实现权限控制
Willing卡卡的博客
09-05 518
本文主要分享了SpringBoot整合Shiro实现权限控制的案例,Shiro的认证流程:包括环境的搭建、数据库的添加、实体类映射文件、使用源生Shiro、MD5加密后的密钥登录问题、基于注解的开发(均附源码);
spring boot 集成 shiro权限控制框架
luhaichuan88的博客
01-19 590
本文主要是使用spring boot 集成shiro 实现shiro-spring-boot-starter 1、首先创建相关配置文件有两个ShiroProperties,JwtProperties package com.shiro.sdk.properties; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.boot.context...
SpringBoot整合Shiro权限控制
Java全栈领域/离线地图/微服务
08-08 321
在网上看到的一篇较完整的文章: https://www.cnblogs.com/telwanggs/p/10809536.html
springboot整合shiro进行权限控制
m0_48342140的博客
08-03 381
1.创建springboot项目 使用spring初始化器创建即可 2.引入相关依赖 <!-- shiro依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.3</version> </dependen
SpringBoot整合Shiro实现权限管理
weixin_41326106的博客
05-29 338
Shiro简介 Apache Shiro是一个强大且易用的java认证、授权、加密和会话管理的框架,主要有三个核心的组件:Subject,SecurityManager和Realms。 Subject:不仅指人,还可以是第三方进程、后台账户等,它表示跟系统或软件交互的东西。 SecurityManager:它是Shiro框架的核心组件,管理组件实例和提供安全服务的各种管理。 Realm:Shiro与应用数据交互的桥梁,可以理解为spring中的dao层。 创建SpringBoot项目 在IDEA中选择Fil
SpringBoot2.3.4整合Shiro实现权限管理
liu320yj的博客
10-23 1111
概述 Shiro是一个功能强大且灵活的开源Java安全框架,相比于SpringSecurity更加简单,Shiro可以执行身份验证、授权、加密和会话管理等 Shiro的主要功能如下图: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; SessionManager:会话管理,即
实战:Springboot整合shiro实现权限控制实战
逆天的博客
09-28 2749
1.项目结构 2.pom <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apac
springboot项目中使用shiro框架基于RBAC实现权限控制
qq_51891433的博客
06-18 613
注解标记,并在该类中进行相关的配置,包括创建SecurityManager、配置Realm等。注解标记,并在该类中进行相关的配置,包括创建SecurityManager、配置Realm等。4、创建一个登录页面和相应的登录Controller,用于处理用户登录请求。5、在需要进行权限控制的Controller方法上,添加相应的Shiro注解(如。在需要进行权限控制的Controller方法上,添加相应的Shiro注解(如。创建一个登录页面和相应的登录Controller,用于处理用户登录请求。
springboot整合shiro-spring-boot-start自动配置
最新发布
08-07
<think>我们参考了用户提供的引用内容,特别是引用[3]和引用[4]中关于使用shiro-spring-boot-web-starter的配置方法。 用户需求:在Spring Boot项目中整合Shiro并使用shiro-spring-boot-starter进行自动配置。 步骤: 1. 创建Spring Boot项目并添加依赖。 2. 配置Shiro的核心组件(如Realm、SecurityManager等)。 3. 配置Shiro的过滤器链(用于定义URL的拦截规则)。 4. 编写自定义Realm实现认证和授权逻辑。 由于使用shiro-spring-boot-starter,很多配置可以自动化,但我们仍然需要提供一些自定义的Bean。 注意:在Spring Boot中,使用starter后,Shiro的自动配置会生效,但我们需要自定义Realm和SecurityManager的配置。 具体步骤:</think>### Spring Boot整合Shiro自动配置指南 使用`shiro-spring-boot-starter`可简化Shiro集成流程,以下是详细步骤: #### 1. **添加依赖** 在`pom.xml`中引入starter: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.11.0</version> <!-- 使用最新稳定版 --> </dependency> ``` #### 2. **配置核心组件** 创建`ShiroConfig.java`配置类: ```java @Configuration public class ShiroConfig { // 自定义Realm(负责认证和授权逻辑) @Bean public JwtRealm jwtRealm() { return new JwtRealm(); // 需实现Realm接口 } // 安全管理器(自动注入自定义Realm) @Bean public SecurityManager securityManager(JwtRealm jwtRealm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(jwtRealm); return securityManager; } // 过滤器链(定义URL拦截规则) @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/login", "anon"); // 匿名访问 chain.addPathDefinition("/admin/**", "authc, roles[admin]"); // 需认证且角色为admin chain.addPathDefinition("/**", "authc"); // 其他路径需认证 return chain; } } ``` #### 3. **实现自定义Realm** 继承`AuthorizingRealm`,重写认证/授权方法: ```java public class JwtRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) { // 1. 将token转换为JwtToken // 2. 验证令牌有效性(如过期时间、签名) // 3. 查询数据库验证用户合法性 return new SimpleAuthenticationInfo(user, credentials, getName()); } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 1. 从principals获取用户身份 // 2. 查询数据库获取用户角色/权限 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addRole("admin"); // 添加角色 info.addStringPermission("user:delete"); // 添加权限 return info; } } ``` #### 4. **配置JWT支持(可选)** 若使用JWT认证,需自定义Token和过滤器: ```java public class JwtToken implements AuthenticationToken { private String token; // 实现getPrincipal()和getCredentials() } public class JwtFilter extends AuthenticatingFilter { // 重写登录逻辑,从HTTP头解析JWT } ``` #### 关键配置说明 - **自动生效机制**:Starter会自动注册`ShiroFilterFactoryBean`,无需手动绑定[^3] - **注解支持**:直接在Controller方法使用`@RequiresRoles("admin")`进行权限控制 - **会话管理**:默认启用`SessionManager`,可通过`shiro.sessionManager`配置参数调整 #### 验证整合结果 - 访问受限接口(如`/admin`)应跳转至登录页 - 成功登录后,具有权限的接口返回正常数据 - 权限不足时返回`403 Forbidden` > **注意**:Starter已处理Shiro生命周期与Spring容器的集成,无需额外配置[^4]。若需覆盖默认配置(如缓存策略),可在`application.yml`中添加`shiro.*`参数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值