1. 场景描述

(1)最近有点小忙,公司真实项目内容有点小多以及不想只介绍理论,就使用springboot单独部署了个shiro的demo项目,还是理论和实际项结合比较好理解,介绍起来和修改也方便。

(2)接下来介绍springboot集成shrio,springboot-权限控制shiro(二),本节先不连数据库,先介绍springboot下shiro框架如何使用。(springboot-权限控制shiro(一)

2. 解决方案

2.1 整体介绍

2.1.1 项目图

2.1.2 整体说明

shiro的demo项目主要包含三块内容:

(1)1是pom文件,获取相关jar包;

(2)2是资源(resources),一个配置文件以及6个演示页面;

(3)3是主类,包含启动类、控制类、shiro配置类。

2.1.3 shiro 过滤器说明

(1)认证过滤器

anon:用户不需要认证也可以访问

authc: 用户必须认证才可以访问

user:用户只要rememberMe,就可以访问

(2)授权过滤器

perms: 基于资源的授权过滤器

roles : 基于角色的授权过滤器

本节只使用了anon、authc认证过滤与perms资源授权过滤器,简单说shiro就是通过这些过滤器实现的权限控制。

2.2 pom文件

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

        <version>2.1.6.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

    <groupId>com.laowang</groupId>

    <artifactId>lwshiro</artifactId>

    <version>0.0.1-SNAPSHOT</version>

    <name>lwshiro</name>

    <description>Demo project for Spring Boot</description>

    <properties>

        <java.version>1.8</java.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-test</artifactId>

            <scope>test</scope>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-thymeleaf</artifactId>

        </dependency>

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.4.0</version>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

            </plugin>

        </plugins>

    </build>

</project>

说明

重点是两个gav

1. spring-boot-starter-thymeleaf ---结合页面使用(2.2)


2. shiro-spring  -----shiro核心包

2.3 resource(页面及配置类)

2.3.1 application.properties
server.port=8000

spring.thymeleaf.cache=false

说明:启动端口号改成了8000;cache=false是为了更改页面后不用重启服务,可忽略。

2.3.2 六个页面

(1)index.html

<!DOCTYPE html>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>软件老王主页</title>

</head>

<body>

<h3>软件老王主页</h3>

当前用户名:<span th:text="${session.userName}"></span>,<a href="/user/logout">注销</a>

<hr/>

<span>

<a href="/page/toa">页面1</a><br/>

</span>

<span >

<a href="/page/tob">页面2</a><br/>

</span>

<span >

<a href="/page/toc">页面3</a><br/>

</span>

</body>

</html>

(2)login.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>登录页面</title>

</head>

<body>

<h3>登录</h3>

<font color="red" th:text="${msg}"></font>

<form method="post" action="/user/login">

  用户名:<input type="text" name="name"/><br/>

  密码:<input type="password" name="password"/><br/>

  <input type="submit" value="登录">

</form>

</body>

</html>

(3)unauth.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>未授权提示页面</title>

</head>

<body>

i'm 软件老王,没有权限访问此页面

</body>

</html>

(4)a.html、 b.html、 c.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面a</title>

</head>

<body>

i'm 软件老王,页面a

</body>

</html>


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面b</title>

</head>

<body>

i'm 软件老王,页面b

</body>

</html>


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面c</title>

</head>

<body>

i'm 软件老王,页面c

</body>

</html>

说明: 几个页面就不多说,仅仅为了说明问题新建的,有个标签可以关注下 th,这个是thymeleaf里面的,结合页面使用。

2.4 java类

2.4.1 启动类(LwshiroApplication)
package com.laowang.lwshiro;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication

public class LwshiroApplication {

    public static void main(String[] args) {

        SpringApplication.run(LwshiroApplication.class, args);

    }

}

说明: springboot项目启动类。

2.4.2 用户登录类(UserController)
package com.laowang.lwshiro.controller;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.IncorrectCredentialsException;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.subject.Subject;

import org.springframework.stereotype.Controller;

import org.springframework.ui.Model;

import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;

/**

 * 用户登录类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/user")

public class UserController {

    @RequestMapping("/login")

    public String login(User user, HttpServletRequest request,

                        Model model) {

        Subject subject = SecurityUtils.getSubject();

        AuthenticationToken token = new UsernamePasswordToken(user.getName(),

                user.getPassword());

        try {

            subject.login(token);

            User tuser = (User)subject.getPrincipal();

            request.getSession().setAttribute("userName",tuser.getName());

            return "redirect:/index";

        } catch (UnknownAccountException e) {

            model.addAttribute("msg", "i'm 软件老王,用户名不存在");

            return "login";

        } catch (IncorrectCredentialsException e) {

            model.addAttribute("msg", "i'm 软件老王,密码错误");

            return "login";

        }

    }

    /**

     * i'm 软件老王,注销方法

     */

    @RequestMapping("/logout")

    public String logout(){

        Subject subject = SecurityUtils.getSubject();

        subject.logout(); //shiro底层删除session的会话信息

        return "redirect:/toLogin";

    }

}

说明:

重点就以下3行代码

 Subject subject = SecurityUtils.getSubject();       -----------#1

        AuthenticationToken token = new UsernamePasswordToken(user.getName(),

                user.getPassword());        ---------#2

        try {

            subject.login(token);            ----------#3

(1)第一行是从工厂中获取subject,登录用户操作类;

(2)将从页面获取的用户名和密码设置到一个token中;

(3)调用登录有用户操作类的login方法;

(4)会在MyRealm类的doGetAuthenticationInfo方法中获取到登录的token与数据库中(目前写的固定值)进行认证过滤比对。

2.4.3 接收参数类(User)
package com.laowang.lwshiro.controller;

import java.io.Serializable;

/**

 * 接收参数类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

public class User implements Serializable{

	private Integer id;

	private String name;

	private String password;

	public Integer getId() {

		return id;

	}

	public void setId(Integer id) {

		this.id = id;

	}

	public String getName() {

		return name;

	}

	public void setName(String name) {

		this.name = name;

	}

	public String getPassword() {

		return password;

	}

	public void setPassword(String password) {

		this.password = password;

	}

	@Override

	public String toString() {

		return "User [id=" + id + ", name=" + name + ", password=" + password + "]";

	}

}

说明: 接收参数类

2.4.4 页面跳转(PageController)
package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 * 页面跳转

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/page")

public class PageController {

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toa")

	public String toAdd(){

		return "page/a";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/tob")

	public String toList(){

		return "page/b";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toc")

	public String toUpdate(){

		return "page/c";

	}

}

说明: 控制跳转类,没啥值的说的。

2.4.5 主控制类(MainController)
package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 *  主控制类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/")

public class MainController {

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/index")

	public String index(){

		return "index";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toLogin")

	public String toLogin(){

		return "login";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/unAuth")

	public String unAuth(){

		return "unauth";

	}

}

**说明: **主控制类,也没啥值的说的。

2.4.6 shiro主配置类(ShiroConfig)
package com.laowang.lwshiro.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.Map;

/**

 *  shiro主配置类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Configuration

public class ShiroConfig {

    /**

     * i'm 软件老王

     */

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, String> filterMap = new LinkedHashMap<>();

        //登录

        filterMap.put("/page/toa", "anon");

        filterMap.put("/user/login", "anon");

        //授权过滤器

//        filterMap.put("/page/toa", "perms[toa]");

        filterMap.put("/page/tob", "perms[tob]");

        filterMap.put("/page/toc", "perms[toc]");

        filterMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        shiroFilterFactoryBean.setLoginUrl("/toLogin");

        shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");

        return shiroFilterFactoryBean;

    }

    /**

     * i'm 软件老王

     */

    @Bean

    public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm) {

        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();

        defaultWebSecurityManager.setRealm(myRealm);

        return defaultWebSecurityManager;

    }

    /**

     * i'm 软件老王

     */

    @Bean

    public MyRealm getMyReal() {

        MyRealm myReal = new MyRealm();

        return myReal;

    }

}

说明:

这个是shiro的主配置类,重点说一下,这个类中包含了三个bean,分别为:

(1)getShiroFilterFactoryBean这个bean是关键,用于设定过滤器,本节的授权写的固定的,下节将从数据库中获取,在这个bean中设置认证过滤、授权过滤、登录页及无权限页,非常重要。

(2)getSecurityManager这个类是跟前面的 Subject subject = SecurityUtils.getSubject()有关系的,通过这里配置MyRealm,将登录控制与shiro关联起来;

(3)getMyReal 这个bean是为了注入MyRealm类;

2.4.7 shiro配置类(MyRealm)
package com.laowang.lwshiro.config;

import com.laowang.lwshiro.controller.User;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

/**

 *  shiro配置类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

public class MyRealm extends AuthorizingRealm {

    /**

     * i'm 软件老王

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addStringPermission("toa");

        info.addStringPermission("toc");

        return info;

    }

    /**

     * i'm 软件老王

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;

        String  name ="laowang";

        String  password="123";

        if (!token.getUsername().equalsIgnoreCase(name)) {

            return null;

        }

        User tuser = new User();

        tuser.setName(name);

        tuser.setPassword(password);

        return  new SimpleAuthenticationInfo(tuser,tuser.getPassword(),"");

    }

}

说明

这个类是项目的具体配置类,每个项目都可能会不一样。

(1) doGetAuthorizationInfo这个是授权方法,结合登录用户使用,从数据库中查询出登录人具有的权限信息,有权限的话,放行;没有权限的转到unauth页面;

(2)doGetAuthenticationInfo这个是认证方法,在登录控制处调用subject.login方法后,就会跳转到这里进行认证操作,用户名直接跟从数据库中查询比对,密码赋值到SimpleAuthenticationInfo类在shiro中进行比对,根据返回情况在登录控制处进行提示。

2.5 效果

2.5.1 登录页

访问地址:http://localhost:8000

2.5.2 首页

登录账户:laowang,密码:123

(1)登录成功

(2)登录失败

2.5.3 访问页面

在myrealm中设置了所有用户对a页面和c页面有操作权限,对b页面没有,这一块本节写的固定的,下一节会从数据库中根据用户名查询登录人拥有的权限。

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addStringPermission("toa");

        info.addStringPermission("toc");

        return info;

    }

(1)访问页面a

(2)访问页面b

I’m 「软件老王」,如果觉得还可以的话,关注下呗,后续更新秒知!欢迎讨论区、同名公众号留言交流!

springboot-权限控制shiro(二)的更多相关文章

  1. Java之封装与访问权限控制(二)

    目录 Java之封装与访问权限控制(二) 包:库单元 import import static Java常用包 Java之封装与访问权限控制(二) 访问权限控制是具体实现的隐藏,是封装性的一部分体现. ...

  2. 单点登录(十八)----cas4.2.x客户端增加权限控制shiro

    我们在上面章节已经完成了cas4.2.x登录启用mongodb的验证方式. 单点登录(十三)-----实战-----cas4.2.X登录启用mongodb验证方式完整流程 也完成了获取管理员身份属性 ...

  3. ASP.NET对HTML元素进行权限控制(二)

    这是这个权限控制的第一步,扫描界面把要分配权限的元素的信息获取出来存入到数据库中. 这一步分三小步: (1).标出界面所要分配权限的元素 (2).扫描界面获取所要分配权限的元素信息.(ID,标题,层级 ...

  4. Web Service学习-CXF开发Web Service的权限控制(二)

    Web Service怎样进行权限控制? 解决思路:server端要求input消息总是携带实username.password信息,假设没实username和password信息.直接拒绝调用 解决 ...

  5. shiro权限控制(二):分布式架构中shiro的实现

    前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shi ...

  6. 项目一:第十二天 1、常见权限控制方式 2、基于shiro提供url拦截方式验证权限 3、在realm中授权 5、总结验证权限方式(四种) 6、用户注销7、基于treegrid实现菜单展示

    1 课程计划 1. 常见权限控制方式 2. 基于shiro提供url拦截方式验证权限 3. 在realm中授权 4. 基于shiro提供注解方式验证权限 5. 总结验证权限方式(四种) 6. 用户注销 ...

  7. Java之封装与访问权限控制(一)

    目录 Java之封装与访问权限控制(一) 封装的概念 访问控制符 属性私有化 Java之封装与访问权限控制(一) 对于封装的概念,我总觉得自己还是挺了解的,但是真要我说,还真说不出个啥来.我只能默默地 ...

  8. Shiro入门之二 --------基于注解方式的权限控制与Ehcache缓存

    一  基于注解方式的权限控制 首先, 在spring配置文件applicationContext.xml中配置自动代理和切面 <!-- 8配置自动代理 -->    <bean cl ...

  9. springboot shiro和freemarker集成之权限控制完全参考手册(跳过认证,登录由三方验证,全网首发)

    本文主要考虑单点登录场景,登录由其他系统负责,业务子系统只使用shiro进行菜单和功能权限校验,登录信息通过token从redis取得,这样登录验证和授权就相互解耦了. 用户.角色.权限进行集中式管理 ...

  10. springboot集成shiro 实现权限控制(转)

    shiro apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自 ...

随机推荐

  1. js api 之 fetch、querySelector、form、atob及btoa

    js api 之 fetch.querySelector.form.atob及btoa 转载请注明出处: https://www.cnblogs.com/funnyzpc/p/11095862.htm ...

  2. Redis 安装和配置(一)

    一. mac下redis的安装 1. 官网http://redis.io/ 下载最新的稳定版本,这里是3.2.0 2. sudo mv 到 /usr/local/ 3. sudo tar -zxf r ...

  3. K Balanced Teams CodeForces - 1133E (Dp)

    题意: 给出 n 个数,选取其中若干个数分别组成至多 k 组,要求每组内最大值与最小值的差值不超过5,求最后被选上的总人数. 题解: 将a[1∼n] 从小到大排序, f[i][j] 表示到第 i 个数 ...

  4. 【朝花夕拾】Android自定义View篇之(九)多点触控(下)实践出真知

    前言 在上一篇文章中,已经总结了MotionEvent以及多点触控相关的基础理论知识和常用的函数.本篇将通过实现单指拖动图片,多指拖动图片的实际案例来进行练习并实现一些效果,来理解前面的理论知识.要理 ...

  5. DataBinding的用法

    一.基本介绍 DataBinding数据绑定库是一种支持库,借助该库,可以使用声明性格式(而非程序化地)将布局中的界面组件绑定到应用中的数据源.这是官方给出的介绍. 那么为什么要使用DataBindi ...

  6. hihoCoder 1308:搜索二·骑士问题(BFS预处理)

    题目链接 题意 中文题意. 思路 对于每一个骑士,可以先预处理出到达地图上某个点的需要走的步数,然后最后暴力枚举地图上每一个点,让三个骑士走过的距离之和最小即可. #include <bits/ ...

  7. CPU缓存和内存屏障

    CPU性能优化手段 - 缓存 为了提高程序的运行性能, 现代CPU在很多方面对程序进行了优化例如: CPU高速缓存, 尽可能的避免处理器访问主内存的时间开销, 处理器大多会利用缓存以提高性能 多级缓存 ...

  8. spring的context:exclude-filter 与 context:include-filter

    1 在主容器中(applicationContext.xml),将Controller的注解打消掉 <context:component-scan base-package="com& ...

  9. SQL Server 函数的定义及使用

    一.定义函数 1. 标量值函数: 返回一个确定类型的标量值,例如:int,char,bit等 --创建标量值函数 create function func_1(@func_parameter_1 in ...

  10. 生产Server遭挖矿程序入侵,暴力占用CPU

    区块链的火热,利益驱使必然导致不少PC或Server,被变成肉鸡,执行挖矿程序进行挖矿,进而导致我们正常的程序无法正常. (Centos7 Server)使用top命令查看服务器进程运行情况,发现几个 ...