1. 场景描述

(1)最近有点小忙,公司真实项目内容有点小多以及不想只介绍理论,就使用springboot单独部署了个shiro的demo项目,还是理论和实际项结合比较好理解,介绍起来和修改也方便。

(2)接下来介绍springboot集成shrio,springboot-权限控制shiro(二),本节先不连数据库,先介绍springboot下shiro框架如何使用。(springboot-权限控制shiro(一)

2. 解决方案

2.1 整体介绍

2.1.1 项目图

2.1.2 整体说明

shiro的demo项目主要包含三块内容:

(1)1是pom文件,获取相关jar包;

(2)2是资源(resources),一个配置文件以及6个演示页面;

(3)3是主类,包含启动类、控制类、shiro配置类。

2.1.3 shiro 过滤器说明

(1)认证过滤器

anon:用户不需要认证也可以访问

authc: 用户必须认证才可以访问

user:用户只要rememberMe,就可以访问

(2)授权过滤器

perms: 基于资源的授权过滤器

roles : 基于角色的授权过滤器

本节只使用了anon、authc认证过滤与perms资源授权过滤器,简单说shiro就是通过这些过滤器实现的权限控制。

2.2 pom文件

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

        <version>2.1.6.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

    <groupId>com.laowang</groupId>

    <artifactId>lwshiro</artifactId>

    <version>0.0.1-SNAPSHOT</version>

    <name>lwshiro</name>

    <description>Demo project for Spring Boot</description>

    <properties>

        <java.version>1.8</java.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-test</artifactId>

            <scope>test</scope>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-thymeleaf</artifactId>

        </dependency>

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.4.0</version>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

            </plugin>

        </plugins>

    </build>

</project>

说明

重点是两个gav

1. spring-boot-starter-thymeleaf ---结合页面使用(2.2)


2. shiro-spring  -----shiro核心包

2.3 resource(页面及配置类)

2.3.1 application.properties
server.port=8000

spring.thymeleaf.cache=false

说明:启动端口号改成了8000;cache=false是为了更改页面后不用重启服务,可忽略。

2.3.2 六个页面

(1)index.html

<!DOCTYPE html>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>软件老王主页</title>

</head>

<body>

<h3>软件老王主页</h3>

当前用户名:<span th:text="${session.userName}"></span>,<a href="/user/logout">注销</a>

<hr/>

<span>

<a href="/page/toa">页面1</a><br/>

</span>

<span >

<a href="/page/tob">页面2</a><br/>

</span>

<span >

<a href="/page/toc">页面3</a><br/>

</span>

</body>

</html>

(2)login.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>登录页面</title>

</head>

<body>

<h3>登录</h3>

<font color="red" th:text="${msg}"></font>

<form method="post" action="/user/login">

  用户名:<input type="text" name="name"/><br/>

  密码:<input type="password" name="password"/><br/>

  <input type="submit" value="登录">

</form>

</body>

</html>

(3)unauth.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>未授权提示页面</title>

</head>

<body>

i'm 软件老王,没有权限访问此页面

</body>

</html>

(4)a.html、 b.html、 c.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面a</title>

</head>

<body>

i'm 软件老王,页面a

</body>

</html>


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面b</title>

</head>

<body>

i'm 软件老王,页面b

</body>

</html>


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面c</title>

</head>

<body>

i'm 软件老王,页面c

</body>

</html>

说明: 几个页面就不多说,仅仅为了说明问题新建的,有个标签可以关注下 th,这个是thymeleaf里面的,结合页面使用。

2.4 java类

2.4.1 启动类(LwshiroApplication)
package com.laowang.lwshiro;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication

public class LwshiroApplication {

    public static void main(String[] args) {

        SpringApplication.run(LwshiroApplication.class, args);

    }

}

说明: springboot项目启动类。

2.4.2 用户登录类(UserController)
package com.laowang.lwshiro.controller;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.IncorrectCredentialsException;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.subject.Subject;

import org.springframework.stereotype.Controller;

import org.springframework.ui.Model;

import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;

/**

 * 用户登录类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/user")

public class UserController {

    @RequestMapping("/login")

    public String login(User user, HttpServletRequest request,

                        Model model) {

        Subject subject = SecurityUtils.getSubject();

        AuthenticationToken token = new UsernamePasswordToken(user.getName(),

                user.getPassword());

        try {

            subject.login(token);

            User tuser = (User)subject.getPrincipal();

            request.getSession().setAttribute("userName",tuser.getName());

            return "redirect:/index";

        } catch (UnknownAccountException e) {

            model.addAttribute("msg", "i'm 软件老王,用户名不存在");

            return "login";

        } catch (IncorrectCredentialsException e) {

            model.addAttribute("msg", "i'm 软件老王,密码错误");

            return "login";

        }

    }

    /**

     * i'm 软件老王,注销方法

     */

    @RequestMapping("/logout")

    public String logout(){

        Subject subject = SecurityUtils.getSubject();

        subject.logout(); //shiro底层删除session的会话信息

        return "redirect:/toLogin";

    }

}

说明:

重点就以下3行代码

 Subject subject = SecurityUtils.getSubject();       -----------#1

        AuthenticationToken token = new UsernamePasswordToken(user.getName(),

                user.getPassword());        ---------#2

        try {

            subject.login(token);            ----------#3

(1)第一行是从工厂中获取subject,登录用户操作类;

(2)将从页面获取的用户名和密码设置到一个token中;

(3)调用登录有用户操作类的login方法;

(4)会在MyRealm类的doGetAuthenticationInfo方法中获取到登录的token与数据库中(目前写的固定值)进行认证过滤比对。

2.4.3 接收参数类(User)
package com.laowang.lwshiro.controller;

import java.io.Serializable;

/**

 * 接收参数类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

public class User implements Serializable{

	private Integer id;

	private String name;

	private String password;

	public Integer getId() {

		return id;

	}

	public void setId(Integer id) {

		this.id = id;

	}

	public String getName() {

		return name;

	}

	public void setName(String name) {

		this.name = name;

	}

	public String getPassword() {

		return password;

	}

	public void setPassword(String password) {

		this.password = password;

	}

	@Override

	public String toString() {

		return "User [id=" + id + ", name=" + name + ", password=" + password + "]";

	}

}

说明: 接收参数类

2.4.4 页面跳转(PageController)
package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 * 页面跳转

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/page")

public class PageController {

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toa")

	public String toAdd(){

		return "page/a";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/tob")

	public String toList(){

		return "page/b";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toc")

	public String toUpdate(){

		return "page/c";

	}

}

说明: 控制跳转类,没啥值的说的。

2.4.5 主控制类(MainController)
package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 *  主控制类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/")

public class MainController {

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/index")

	public String index(){

		return "index";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toLogin")

	public String toLogin(){

		return "login";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/unAuth")

	public String unAuth(){

		return "unauth";

	}

}

**说明: **主控制类,也没啥值的说的。

2.4.6 shiro主配置类(ShiroConfig)
package com.laowang.lwshiro.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.Map;

/**

 *  shiro主配置类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Configuration

public class ShiroConfig {

    /**

     * i'm 软件老王

     */

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, String> filterMap = new LinkedHashMap<>();

        //登录

        filterMap.put("/page/toa", "anon");

        filterMap.put("/user/login", "anon");

        //授权过滤器

//        filterMap.put("/page/toa", "perms[toa]");

        filterMap.put("/page/tob", "perms[tob]");

        filterMap.put("/page/toc", "perms[toc]");

        filterMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        shiroFilterFactoryBean.setLoginUrl("/toLogin");

        shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");

        return shiroFilterFactoryBean;

    }

    /**

     * i'm 软件老王

     */

    @Bean

    public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm) {

        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();

        defaultWebSecurityManager.setRealm(myRealm);

        return defaultWebSecurityManager;

    }

    /**

     * i'm 软件老王

     */

    @Bean

    public MyRealm getMyReal() {

        MyRealm myReal = new MyRealm();

        return myReal;

    }

}

说明:

这个是shiro的主配置类,重点说一下,这个类中包含了三个bean,分别为:

(1)getShiroFilterFactoryBean这个bean是关键,用于设定过滤器,本节的授权写的固定的,下节将从数据库中获取,在这个bean中设置认证过滤、授权过滤、登录页及无权限页,非常重要。

(2)getSecurityManager这个类是跟前面的 Subject subject = SecurityUtils.getSubject()有关系的,通过这里配置MyRealm,将登录控制与shiro关联起来;

(3)getMyReal 这个bean是为了注入MyRealm类;

2.4.7 shiro配置类(MyRealm)
package com.laowang.lwshiro.config;

import com.laowang.lwshiro.controller.User;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

/**

 *  shiro配置类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

public class MyRealm extends AuthorizingRealm {

    /**

     * i'm 软件老王

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addStringPermission("toa");

        info.addStringPermission("toc");

        return info;

    }

    /**

     * i'm 软件老王

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;

        String  name ="laowang";

        String  password="123";

        if (!token.getUsername().equalsIgnoreCase(name)) {

            return null;

        }

        User tuser = new User();

        tuser.setName(name);

        tuser.setPassword(password);

        return  new SimpleAuthenticationInfo(tuser,tuser.getPassword(),"");

    }

}

说明

这个类是项目的具体配置类,每个项目都可能会不一样。

(1) doGetAuthorizationInfo这个是授权方法,结合登录用户使用,从数据库中查询出登录人具有的权限信息,有权限的话,放行;没有权限的转到unauth页面;

(2)doGetAuthenticationInfo这个是认证方法,在登录控制处调用subject.login方法后,就会跳转到这里进行认证操作,用户名直接跟从数据库中查询比对,密码赋值到SimpleAuthenticationInfo类在shiro中进行比对,根据返回情况在登录控制处进行提示。

2.5 效果

2.5.1 登录页

访问地址:http://localhost:8000

2.5.2 首页

登录账户:laowang,密码:123

(1)登录成功

(2)登录失败

2.5.3 访问页面

在myrealm中设置了所有用户对a页面和c页面有操作权限,对b页面没有,这一块本节写的固定的,下一节会从数据库中根据用户名查询登录人拥有的权限。

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addStringPermission("toa");

        info.addStringPermission("toc");

        return info;

    }

(1)访问页面a

(2)访问页面b

I’m 「软件老王」,如果觉得还可以的话,关注下呗,后续更新秒知!欢迎讨论区、同名公众号留言交流!

springboot-权限控制shiro(二)的更多相关文章

  1. Java之封装与访问权限控制(二)

    目录 Java之封装与访问权限控制(二) 包:库单元 import import static Java常用包 Java之封装与访问权限控制(二) 访问权限控制是具体实现的隐藏,是封装性的一部分体现. ...

  2. 单点登录(十八)----cas4.2.x客户端增加权限控制shiro

    我们在上面章节已经完成了cas4.2.x登录启用mongodb的验证方式. 单点登录(十三)-----实战-----cas4.2.X登录启用mongodb验证方式完整流程 也完成了获取管理员身份属性 ...

  3. ASP.NET对HTML元素进行权限控制(二)

    这是这个权限控制的第一步,扫描界面把要分配权限的元素的信息获取出来存入到数据库中. 这一步分三小步: (1).标出界面所要分配权限的元素 (2).扫描界面获取所要分配权限的元素信息.(ID,标题,层级 ...

  4. Web Service学习-CXF开发Web Service的权限控制(二)

    Web Service怎样进行权限控制? 解决思路:server端要求input消息总是携带实username.password信息,假设没实username和password信息.直接拒绝调用 解决 ...

  5. shiro权限控制(二):分布式架构中shiro的实现

    前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shi ...

  6. 项目一:第十二天 1、常见权限控制方式 2、基于shiro提供url拦截方式验证权限 3、在realm中授权 5、总结验证权限方式(四种) 6、用户注销7、基于treegrid实现菜单展示

    1 课程计划 1. 常见权限控制方式 2. 基于shiro提供url拦截方式验证权限 3. 在realm中授权 4. 基于shiro提供注解方式验证权限 5. 总结验证权限方式(四种) 6. 用户注销 ...

  7. Java之封装与访问权限控制(一)

    目录 Java之封装与访问权限控制(一) 封装的概念 访问控制符 属性私有化 Java之封装与访问权限控制(一) 对于封装的概念,我总觉得自己还是挺了解的,但是真要我说,还真说不出个啥来.我只能默默地 ...

  8. Shiro入门之二 --------基于注解方式的权限控制与Ehcache缓存

    一  基于注解方式的权限控制 首先, 在spring配置文件applicationContext.xml中配置自动代理和切面 <!-- 8配置自动代理 -->    <bean cl ...

  9. springboot shiro和freemarker集成之权限控制完全参考手册(跳过认证,登录由三方验证,全网首发)

    本文主要考虑单点登录场景,登录由其他系统负责,业务子系统只使用shiro进行菜单和功能权限校验,登录信息通过token从redis取得,这样登录验证和授权就相互解耦了. 用户.角色.权限进行集中式管理 ...

  10. springboot集成shiro 实现权限控制(转)

    shiro apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自 ...

随机推荐

  1. while循环语句、格式化输出、常用运算符、字符编码

    1.while循环 while 空格 条件 冒号 缩进 循环体 num=1 while num<11: print(num) num=num+1 变量都是先执行等号右边的,然后执行等号左边的. ...

  2. SQL Server温故系列(5):SQL 查询之分组查询 GROUP BY

    1.GROUP BY 与聚合函数 2.GROUP BY 与 HAVING 3.GROUP BY 扩展分组 3.1.GROUP BY ROLLUP 3.2.GROUP BY CUBE 3.3.GROUP ...

  3. HDU 5723:Abandoned country(最小生成树+算期望)

    http://acm.hdu.edu.cn/showproblem.php?pid=5723 Abandoned country Problem Description   An abandoned ...

  4. CRM 总结

    目录 一. CRM客户关系管理系统 1. CRM是什么? 里面都有哪些功能(业务)? 2. 什么是公户?什么是私户?为什么要做这个区分? 3. 请列举出CRM系统中的表 4. 通过ORM操作对数据库的 ...

  5. Linux命令及安装

    1.三大操作系统 1.Unix Solaris(SUN) IOS(Aplle移动端) Mas OS(Aplle平板,电脑端) 2.Windows XP win7 win8 win10 3.Linux ...

  6. C# 中的委托和事件本质讲解

    C# 中的委托和事件 文中代码在VS2005下通过,由于VS2003(.Net Framework 1.1)不支持隐式的委托变量,所以如果在一个接受委托类型的位置直接赋予方法名,在VS2003下会报错 ...

  7. Everything-1.4.1.917 绿色版

    Everything是一款搜索软件,可以瞬间搜索到你需要的文件.如果你用过Windows自带的搜索工具.Total Commander的搜索.Google 桌面搜索或百度硬盘搜索,都因为速度或其他原因 ...

  8. python PEP8常用规范

    python 常用PEP8规范   一 代码编排 1 缩进.4个空格的缩进(编辑器都可以完成此功能),不使用Tap,更不能混合使用Tap和空格.2 每行最大长度79,换行可以使用反斜杠,最好使用圆括号 ...

  9. Java编程思想:泛型接口

    import java.util.Iterator; import java.util.Random; public class Test { public static void main(Stri ...

  10. 深入理解Java虚拟机一 阅读笔记

    xl_echo编辑整理.欢迎添加echo微信(微信号:t2421499075)交流学习. 百战不败,依不自称常胜,百败不颓,依能奋力前行.--这才是真正的堪称强大!! --- > 以下内容摘抄自 ...