springboot整合shiro进行权限管理
背景:springboot2.1,shiro1.4;由于目前的小项目没做登录,但是客户又需要加上权限,因此楼主就想到了shiro(这是单独的项目,需要集成后台管理系统)
shiro简介
Apache Shiro是Java的一个安全框架,集成相对简单,可以帮我们完成认证、授权、加密、会话管理、与Web集成、缓存等。
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;
SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
上面这一段是网上抄的(参考地址:https://jinnianshilongnian.iteye.com/blog/2018936)
下面引入自己的实际代码
登录入口:
重新建了一个 AuthenticationToken 的子类 TenantUsernamePasswordToken 添加了一个变量tenantId
@RequestMapping("/login")
@ResponseBody
public GlobalResult loginUser(String loginName,String password,HttpServletRequest request) {
AuthenticationToken usernamePasswordToken = new TenantUsernamePasswordToken(loginName,tenantId,password);
Subject subject = SecurityUtils.getSubject();
try {
subject.login(usernamePasswordToken); //完成登录
User user = (User) subject.getPrincipal();
subject.getSession().setTimeout(60*60000);//1h过期(ms)
subject.getSession().setAttribute("user", user);
return ResultUtil.success();
} catch (IncorrectCredentialsException e) {
return ResultUtil.fail("密码错误");
} catch (LockedAccountException e) {
return ResultUtil.fail("登录失败,该用户已被冻结");
} catch (AuthenticationException e) {
return ResultUtil.fail("该用户不存在");
} catch (Exception e) {
e.printStackTrace();
return ResultUtil.fail("登录异常,原因:{}"+e.getMessage());
}
}
接下来贴出shiro主要配置
TenantUsernamePasswordToken
public class TenantUsernamePasswordToken extends UsernamePasswordToken {
private static final long serialVersionUID = 3814343176522955308L;
private String tenant;
public TenantUsernamePasswordToken() {
}
public TenantUsernamePasswordToken(String username, String tenant, char[] password) {
this(username, tenant, (char[])password, false, (String)null);
}
public TenantUsernamePasswordToken(String username, String tenant, String password) {
this(username, tenant, (char[])(password != null?password.toCharArray():null), false, (String)null);
}
public TenantUsernamePasswordToken(String username, String tenant, char[] password, String host) {
this(username, tenant, password, false, host);
}
public TenantUsernamePasswordToken(String username, String tenant, String password, String host) {
this(username, tenant, password != null?password.toCharArray():null, false, host);
}
public TenantUsernamePasswordToken(String username, String tenant, char[] password, boolean rememberMe) {
this(username, tenant, (char[])password, rememberMe, (String)null);
}
public TenantUsernamePasswordToken(String username, String tenant, String password, boolean rememberMe) {
this(username, tenant, (char[])(password != null?password.toCharArray():null), rememberMe, (String)null);
}
public TenantUsernamePasswordToken(String username, String tenant, String password, boolean rememberMe, String host) {
this(username, tenant, password != null?password.toCharArray():null, rememberMe, host);
}
public TenantUsernamePasswordToken(String username, String tenant, char[] password, boolean rememberMe, String host) {
super(username, password, rememberMe, host);
this.tenant = tenant;
}
public String getTenant() {
return this.tenant;
}
public void setTenant(String tenant) {
this.tenant = tenant;
}
public void clear() {
super.clear();
this.tenant = null;
}
public String toString() {
StringBuilder sb = new StringBuilder();
sb.append(this.getClass().getName());
sb.append(" - ");
sb.append(this.getUsername());
sb.append(", tenant=").append(this.tenant);
sb.append(", rememberMe=").append(this.isRememberMe());
if(this.getHost() != null) {
sb.append(" (").append(this.getHost()).append(")");
}
return sb.toString();
}
}
新定义了一个密码比较器(可根据业务需要自行配制)
public class CredentialsMatcher extends SimpleCredentialsMatcher {
@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
UsernamePasswordToken utoken=(UsernamePasswordToken) token;
//获得用户输入的密码:(可以采用加盐(salt)的方式去检验)
String inPassword = new String(utoken.getPassword());
//获得数据库中的密码
String dbPassword=(String) info.getCredentials();
//进行密码的比对
// return this.equals(inPassword, dbPassword);忽略密码比对
return true;
}
AuthRealm(进行登录校验,权限赋值等)
public class AuthRealm extends AuthorizingRealm {
@Autowired
private IUserService userService;
/**
* 授权
* @param principal
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
System.err.println("===================================================================================");
if(principal == null) {
throw new AuthorizationException("PrincipalCollection method argument cannot be null.");
} else {
User userInfo = (User)this.getAvailablePrincipal(principal);
log.info("username:{},userId:{}", userInfo.getLoginName(), userInfo.getId());
Set<String> permissions = new HashSet();
List<Resource> resourceList = this.userService.findResourcesByUserId(userInfo.getId());
if(resourceList.isEmpty()) {
log.error("current user:{} has not resources ", userInfo.getLoginName());
return null;
} else {
Iterator i$ = resourceList.iterator();
while(i$.hasNext()) {
Resource resource = (Resource)i$.next();
String permission = resource.getCode();
if(StringUtil.isNotEmpty(permission) && !permissions.contains(permission)) {
permissions.add(permission);
}
}
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setStringPermissions(permissions);
return authorizationInfo;
}
}
}
/**
* 认证登录
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
TenantUsernamePasswordToken utoken = (TenantUsernamePasswordToken) token;//获取用户输入的token
String userName = utoken.getUsername();
String tenantId = utoken.getTenant();
User user;
try {
user = userService.getByLoginNameAndTenantId(userName,tenantId);
} catch (Exception var8) {
log.error("无法获取用户信息!", var8);
throw new UnknownAccountException(SpringContextUtils.getMessage("security.usernameNotExists"), var8);
}
if(user == null) {
throw new UnknownAccountException(SpringContextUtils.getMessage("security.usernameNotExists"));
} else {
return new SimpleAuthenticationInfo(user, null,this.getClass().getName());//放入shiro.调用CredentialsMatcher检验密码
}
}
}
ShiroConfiguration(主要配置)
@Configuration
public class ShiroConfiguration { /**
* anon 匿名访问
* authc 登陆访问
* @param manager
* @return
*/
@Bean(name="shiroFilter")
public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {
ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
bean.setSecurityManager(manager);
//配置登录的url和登录成功的url
bean.setLoginUrl("/unlogin");
// bean.setSuccessUrl("/merchant/home");
//配置访问权限
LinkedHashMap<String, String> filterChainDefinitionMap=new LinkedHashMap<>();
filterChainDefinitionMap.put("/static/**", "anon");//静态资源不拦截
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/**", "authc");
bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return bean;
} /**
* 配置核心安全事务管理器
* @param authRealm
* @return
*/
@Bean(name="securityManager")
public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {
System.err.println("--------------shiro已经加载----------------");
DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
manager.setRealm(authRealm);
return manager;
} /**
* 配置自定义的权限登录器
* @param matcher
* @return
*/
@Bean(name="authRealm")
public AuthRealm authRealm(@Qualifier("credentialsMatcher") CredentialsMatcher matcher) {
AuthRealm authRealm=new AuthRealm();
authRealm.setCredentialsMatcher(matcher);
return authRealm;
} /**
* 配置自定义的密码比较器
* @return
*/
@Bean(name="credentialsMatcher")
public CredentialsMatcher credentialsMatcher() {
return new CredentialsMatcher();
}
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
return new LifecycleBeanPostProcessor();
} /**
* 开启shiro注解
* @return
*/
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
DefaultAdvisorAutoProxyCreator creator=new DefaultAdvisorAutoProxyCreator();
creator.setProxyTargetClass(true);
return creator;
} /**
* 开启aop
* @param manager
* @return
*/
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {
AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
advisor.setSecurityManager(manager);
return advisor;
} /**
* 注册全局异常处理
* @return
*/
@Bean(name = "exceptionHandler")
public HandlerExceptionResolver handlerExceptionResolver() {
return new MyExceptionHandler();
} }
到此主要配置代码就已完成(主要记录方便以后自用---仅供参考)
如果想对某个接口进行权限控制需要在想要的接口上添加shiro标签(如下代码示例)
@RequestMapping("/getUser")
@ResponseBody
@RequiresPermissions("/getUser")//这里是存入数据库的资源名
public GlobalResult getUser(String loginName, String password, HttpSession session) {
return ResultUtil.success(userService.getByLoginNameAndTenantId("zhangsan",tenantId)) ;
}
springboot整合shiro进行权限管理的更多相关文章
- spring-boot整合shiro实现权限管理
1.运行环境 开发工具:intellij idea JDK版本:1.8 项目管理工具:Maven 4.0.0 2.GITHUB地址 https://github.com/nbfujx/springBo ...
- SpringBoot整合Shiro实现权限控制,验证码
本文介绍 SpringBoot 整合 shiro,相对于 Spring Security 而言,shiro 更加简单,没有那么复杂. 目前我的需求是一个博客系统,有用户和管理员两种角色.一个用户可能有 ...
- SpringBoot整合Shiro实现权限控制
目录 1.SpringBoot整合Shiro 1.1.shiro简介 1.2.代码的具体实现 1.2.1.Maven的配置 1.2.2.整合需要实现的类 1.2.3.项目结构 1.2.4.ShiroC ...
- spring-boot整合shiro作权限认证
spring-shiro属于轻量级权限框架,即使spring-security更新换代,市场上大多数企业还是选择shiro 废话不多说 引入pom文件 <!--shiro集成spring--& ...
- SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期
写在前面 通过前几篇文章的学习,我们从大体上了解了shiro关于认证和授权方面的应用.在接下来的文章当中,我将通过一个demo,带领大家搭建一个SpringBoot整合Shiro的一个项目开发脚手架, ...
- SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理|前后端分离(下)----筑基后期
写在前面 在上一篇文章<SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期>当中,我们初步实现了SpringBoot整合Shiro ...
- SpringBoot&Shiro实现权限管理
SpringBoot&Shiro实现权限管理 引言 相信大家前来看这篇文章的时候,是有SpringBoot和Shiro基础的,所以本文只介绍整合的步骤,如果哪里写的不好,恳请大家能指出错误,谢 ...
- SpringBoot整合Shiro权限框架实战
什么是ACL和RBAC ACL Access Control list:访问控制列表 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系 ...
- SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...
随机推荐
- react学习之弹出层
react的弹出层不同于以往的DOM编程,我们知道,在DOM中,弹出层事件绑定在对应的节点上即可,但是在react中,往往只能实现父子之间的传递控制,显然,弹出层的层级不符合此关系. 在这里我们需要使 ...
- 通过程序调用微信公众号发消息api返回48001
自己的订阅号,尝试通过写程序来给用户发消息.结果呢,接口返回报错:errcode=48001,errmsg = api unauthorized hint: [ZlPULa02942276!] 去微信 ...
- 表空间相关SQL
--查表空间使用率情况(含临时表空间)SELECT D.TABLESPACE_NAME "Name", D.STATUS "Status", TO_CHAR(N ...
- C# 执行 cmd 命令, 不显示任何窗口
代码如下: 调用的命令:reg export exportPath registryKey -y Process proc = new Process(); proc.StartInfo.FileNa ...
- 2019阿里天猫团队Java高级工程师面试题之第一面
2019阿里天猫团队Java高级工程师面试题之第二面 2019阿里天猫团队Java高级工程师面试题之第三面 1.五分钟自我介绍,说说自己的擅长及拿手的技术 自我介绍是为了考察面试者的语言表达和总结概括 ...
- 【安富莱】RTX嵌入式操作系统教程发布,支持F103,F407和F429,含81个配套例程(2017-10-17)
前言说明:1. 首先感谢大家对我们安富莱电子一年来的支持,2016年我们会再接再厉推出更好的教程. 2. 估计也有网友会问RTX的优势在那里,针对这个问题,教程中第一章分为6条专门回答了这个问题,有兴 ...
- 第2次作业-titanic数据集练习
一.读入titanic.xlsx文件,按照教材示例步骤,完成数据清洗. titanic数据集包含11个特征,分别是: Survived:0代表死亡,1代表存活Pclass:乘客所持票类,有三种值(1, ...
- Springboot整合Mybatis实现级联一对多CRUD操作
在关系型数据库中,随处可见表之间的连接,对级联的表进行增删改查也是程序员必备的基础技能.关于Spring Boot整合Mybatis在之前已经详细写过,不熟悉的可以回顾Spring Boot整合Myb ...
- SpringBoot 构建 REST 服务
摘要 该文章只为了说明如何整合REST服务,并不介绍如何使用,当做笔记吧. MongoDB 以MongoDB为例 maven 依赖 <dependency> <groupId> ...
- 并发容器之ConcurrentHashMap(JDK 1.8版本)
1.ConcurrentHashmap简介 在使用HashMap时在多线程情况下扩容会出现CPU接近100%的情况,因为hashmap并不是线程安全的,通常我们可以使用在java体系中古老的hasht ...