背景:springboot2.1,shiro1.4;由于目前的小项目没做登录,但是客户又需要加上权限,因此楼主就想到了shiro(这是单独的项目,需要集成后台管理系统)

shiro简介

Apache Shiro是Java的一个安全框架,集成相对简单,可以帮我们完成认证、授权、加密、会话管理、与Web集成、缓存等。

Authentication身份认证/登录,验证用户是不是拥有相应的身份;

Authorization授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Subject主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

上面这一段是网上抄的(参考地址:https://jinnianshilongnian.iteye.com/blog/2018936

下面引入自己的实际代码

登录入口:

重新建了一个 AuthenticationToken 的子类 TenantUsernamePasswordToken 添加了一个变量tenantId

@RequestMapping("/login")

    @ResponseBody

    public GlobalResult loginUser(String loginName,String password,HttpServletRequest request) {

        AuthenticationToken usernamePasswordToken = new TenantUsernamePasswordToken(loginName,tenantId,password);

        Subject subject = SecurityUtils.getSubject();

        try {

            subject.login(usernamePasswordToken);   //完成登录

            User user = (User) subject.getPrincipal();

            subject.getSession().setTimeout(60*60000);//1h过期(ms)

            subject.getSession().setAttribute("user", user);

            return ResultUtil.success();

        } catch (IncorrectCredentialsException e) {

            return ResultUtil.fail("密码错误");

        } catch (LockedAccountException e) {

            return ResultUtil.fail("登录失败,该用户已被冻结");

        } catch (AuthenticationException e) {

            return ResultUtil.fail("该用户不存在");

        } catch (Exception e) {

            e.printStackTrace();

            return ResultUtil.fail("登录异常,原因:{}"+e.getMessage());

        }

    }  

接下来贴出shiro主要配置

TenantUsernamePasswordToken

public class TenantUsernamePasswordToken extends UsernamePasswordToken {

    private static final long serialVersionUID = 3814343176522955308L;

    private String tenant;

    public TenantUsernamePasswordToken() {

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password) {

        this(username, tenant, (char[])password, false, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password) {

        this(username, tenant, (char[])(password != null?password.toCharArray():null), false, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password, String host) {

        this(username, tenant, password, false, host);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password, String host) {

        this(username, tenant, password != null?password.toCharArray():null, false, host);

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password, boolean rememberMe) {

        this(username, tenant, (char[])password, rememberMe, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password, boolean rememberMe) {

        this(username, tenant, (char[])(password != null?password.toCharArray():null), rememberMe, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password, boolean rememberMe, String host) {

        this(username, tenant, password != null?password.toCharArray():null, rememberMe, host);

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password, boolean rememberMe, String host) {

        super(username, password, rememberMe, host);

        this.tenant = tenant;

    }

    public String getTenant() {

        return this.tenant;

    }

    public void setTenant(String tenant) {

        this.tenant = tenant;

    }

    public void clear() {

        super.clear();

        this.tenant = null;

    }

    public String toString() {

        StringBuilder sb = new StringBuilder();

        sb.append(this.getClass().getName());

        sb.append(" - ");

        sb.append(this.getUsername());

        sb.append(", tenant=").append(this.tenant);

        sb.append(", rememberMe=").append(this.isRememberMe());

        if(this.getHost() != null) {

            sb.append(" (").append(this.getHost()).append(")");

        }

        return sb.toString();

    }

}

新定义了一个密码比较器(可根据业务需要自行配制)

public class CredentialsMatcher extends SimpleCredentialsMatcher {

    @Override

    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

        UsernamePasswordToken utoken=(UsernamePasswordToken) token;

        //获得用户输入的密码:(可以采用加盐(salt)的方式去检验)

        String inPassword = new String(utoken.getPassword());

        //获得数据库中的密码

        String dbPassword=(String) info.getCredentials();

        //进行密码的比对

//        return this.equals(inPassword, dbPassword);忽略密码比对

        return true;

    }

AuthRealm(进行登录校验,权限赋值等) 

public class AuthRealm extends AuthorizingRealm {

    @Autowired

    private IUserService userService;

    /**

     * 授权

     * @param principal

     * @return

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {

        System.err.println("===================================================================================");

        if(principal == null) {

            throw new AuthorizationException("PrincipalCollection method argument cannot be null.");

        } else {

            User userInfo = (User)this.getAvailablePrincipal(principal);

            log.info("username:{},userId:{}", userInfo.getLoginName(), userInfo.getId());

            Set<String> permissions = new HashSet();

            List<Resource> resourceList = this.userService.findResourcesByUserId(userInfo.getId());

            if(resourceList.isEmpty()) {

                log.error("current user:{} has not resources ", userInfo.getLoginName());

                return null;

            } else {

                Iterator i$ = resourceList.iterator();

                while(i$.hasNext()) {

                    Resource resource = (Resource)i$.next();

                    String permission = resource.getCode();

                    if(StringUtil.isNotEmpty(permission) && !permissions.contains(permission)) {

                        permissions.add(permission);

                    }

                }

                SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

                authorizationInfo.setStringPermissions(permissions);

                return authorizationInfo;

            }

        }

    }

    /**

     * 认证登录

     * @param token

     * @return

     * @throws AuthenticationException

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        TenantUsernamePasswordToken utoken = (TenantUsernamePasswordToken) token;//获取用户输入的token

        String userName = utoken.getUsername();

        String tenantId = utoken.getTenant();

        User user;

        try {

            user = userService.getByLoginNameAndTenantId(userName,tenantId);

        } catch (Exception var8) {

            log.error("无法获取用户信息!", var8);

            throw new UnknownAccountException(SpringContextUtils.getMessage("security.usernameNotExists"), var8);

        }

        if(user == null) {

            throw new UnknownAccountException(SpringContextUtils.getMessage("security.usernameNotExists"));

        } else {

            return new SimpleAuthenticationInfo(user, null,this.getClass().getName());//放入shiro.调用CredentialsMatcher检验密码

        }

    }

} 

 ShiroConfiguration(主要配置)

@Configuration

public class ShiroConfiguration {

    /**

     * anon  匿名访问

     * authc 登陆访问

     * @param manager

     * @return

     */

    @Bean(name="shiroFilter")

    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {

        ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();

        bean.setSecurityManager(manager);

        //配置登录的url和登录成功的url

        bean.setLoginUrl("/unlogin");

//        bean.setSuccessUrl("/merchant/home");

        //配置访问权限

        LinkedHashMap<String, String> filterChainDefinitionMap=new LinkedHashMap<>();

        filterChainDefinitionMap.put("/static/**",  "anon");//静态资源不拦截

        filterChainDefinitionMap.put("/login",  "anon");

        filterChainDefinitionMap.put("/**", "authc");

        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return bean;

    }

    /**

     * 配置核心安全事务管理器

     * @param authRealm

     * @return

     */

    @Bean(name="securityManager")

    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {

        System.err.println("--------------shiro已经加载----------------");

        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();

        manager.setRealm(authRealm);

        return manager;

    }

    /**

     * 配置自定义的权限登录器

     * @param matcher

     * @return

     */

    @Bean(name="authRealm")

    public AuthRealm authRealm(@Qualifier("credentialsMatcher") CredentialsMatcher matcher) {

        AuthRealm authRealm=new AuthRealm();

        authRealm.setCredentialsMatcher(matcher);

        return authRealm;

    }

    /**

     * 配置自定义的密码比较器

     * @return

     */

    @Bean(name="credentialsMatcher")

    public CredentialsMatcher credentialsMatcher() {

        return new CredentialsMatcher();

    }

    @Bean

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){

        return new LifecycleBeanPostProcessor();

    }

    /**

     * 开启shiro注解

     * @return

     */

    @Bean

    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){

        DefaultAdvisorAutoProxyCreator creator=new DefaultAdvisorAutoProxyCreator();

        creator.setProxyTargetClass(true);

        return creator;

    }

    /**

     * 开启aop

     * @param manager

     * @return

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {

        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();

        advisor.setSecurityManager(manager);

        return advisor;

    }

    /**

     * 注册全局异常处理

     * @return

     */

    @Bean(name = "exceptionHandler")

    public HandlerExceptionResolver handlerExceptionResolver() {

        return new MyExceptionHandler();

    }

}

  到此主要配置代码就已完成(主要记录方便以后自用---仅供参考)

如果想对某个接口进行权限控制需要在想要的接口上添加shiro标签(如下代码示例)

    @RequestMapping("/getUser")

    @ResponseBody

    @RequiresPermissions("/getUser")//这里是存入数据库的资源名

    public GlobalResult getUser(String loginName, String password, HttpSession session) {

        return ResultUtil.success(userService.getByLoginNameAndTenantId("zhangsan",tenantId)) ;

    }

  

  

springboot整合shiro进行权限管理的更多相关文章

  1. spring-boot整合shiro实现权限管理

    1.运行环境 开发工具:intellij idea JDK版本:1.8 项目管理工具:Maven 4.0.0 2.GITHUB地址 https://github.com/nbfujx/springBo ...

  2. SpringBoot整合Shiro实现权限控制,验证码

    本文介绍 SpringBoot 整合 shiro,相对于 Spring Security 而言,shiro 更加简单,没有那么复杂. 目前我的需求是一个博客系统,有用户和管理员两种角色.一个用户可能有 ...

  3. SpringBoot整合Shiro实现权限控制

    目录 1.SpringBoot整合Shiro 1.1.shiro简介 1.2.代码的具体实现 1.2.1.Maven的配置 1.2.2.整合需要实现的类 1.2.3.项目结构 1.2.4.ShiroC ...

  4. spring-boot整合shiro作权限认证

    spring-shiro属于轻量级权限框架,即使spring-security更新换代,市场上大多数企业还是选择shiro 废话不多说  引入pom文件 <!--shiro集成spring--& ...

  5. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期

    写在前面 通过前几篇文章的学习,我们从大体上了解了shiro关于认证和授权方面的应用.在接下来的文章当中,我将通过一个demo,带领大家搭建一个SpringBoot整合Shiro的一个项目开发脚手架, ...

  6. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理|前后端分离(下)----筑基后期

    写在前面 在上一篇文章<SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期>当中,我们初步实现了SpringBoot整合Shiro ...

  7. SpringBoot&Shiro实现权限管理

    SpringBoot&Shiro实现权限管理 引言 相信大家前来看这篇文章的时候,是有SpringBoot和Shiro基础的,所以本文只介绍整合的步骤,如果哪里写的不好,恳请大家能指出错误,谢 ...

  8. SpringBoot整合Shiro权限框架实战

    什么是ACL和RBAC ACL Access Control list:访问控制列表 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系 ...

  9. SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...

随机推荐

  1. 1、nio说明 和 对比bio

    nio和bio的区别 bio: 面向流的. 单向的. 阻塞的,这也是b这个的由来. nio: 面向块的.(buffer) 双向的. 非阻塞的.同步的编程方式.是一种select模型 nio编程的常规步 ...

  2. ElementUi中el-table分页效果

    现实的场景中很经常遇到表格el-table数据过多,为了更好的用户体验,所以我们需要用到分页,一般分页可以视数据量的大小可分为前端控制和后端控制. 先看下效果(已做脱敏处理) 图1 前端el-tabl ...

  3. Hibernate 数据层基类实现

    提取经常操作表如新增.修改.删除.查询.分页查询.统计等业务功能,形成基类,用泛型传参,有利于每个实体对象数据层继承. package com.base.dao; import java.io.Ser ...

  4. August 25th, 2019. Sunday, Week 35th.

    It's what you do next that counts, not what happens but what you decide to do about it. 重点不是发生了什么,而是 ...

  5. openstack在controller节点使用openstack network agent list不显示计算节点

    问题描述: 做完计算节点neutron的相关配置后,在controller节点查看agent列表,结果如下 发现并没有compute节点 在计算节点上查看status显示failed 在查看日志文件/ ...

  6. Download Shuttle Pro mac文件下载器使用指南

    Download Shuttle Pro是适用于macOS的最强大的下载管理器和加速器.它将文件下载分为多个部分,与使用Web浏览器相比,可以提高整体下载速度.使用我们的Pro版本,您可以访问我们的新 ...

  7. 【RTOS】基于V7开发板的RTX5和FreeRTOS带CMSIS-RTOS V2封装层的模板例程下载,AC6和AC5两个版本

    说明: 1.使用MDK的RTE环境开发RTX5和FreeRTOS,简单易移植,统一采用CMSIS-RTOS V2封装层. 2.DTCM是H7里面性能最高的RAM,主频400MHz,跟内核速度一样,所以 ...

  8. tf.train.Saver()

    1. 实例化对象 saver = tf.train.Saver(max_to_keep=1) max_to_keep: 表明保存的最大checkpoint文件数.当一个新文件创建的时候,旧文件就会被删 ...

  9. 上海街头灵魂摄影师:勤劳de小懒熊

    上海中年大叔,街头摄影师,眼光比较独特,题材不限于: 酒吧晚上醉酒躺尸的.喝多亲嘴的.拉拉les的.流泪告别的.地铁露肉的.短裤露沟的. 尺度不大,但比较真实,艺术来源于生活,比那些摆拍的有意思. 大 ...

  10. Docker for Java Developers

    1.  基本概念 1.1.  主要组件 Docker有三个主要组件: 镜像是Docker的构建组件,而且是定义应用程序操作系统的只读模板 容器是Docker的运行组件,它是从镜像创建的.容器可以运行. ...