本文源码:GitHub·点这里 || GitEE·点这里

一、Shiro简介

1、基础概念

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。

2、核心角色

1)Subject:认证主体

代表当前系统的使用者,就是用户,在Shiro的认证中,认证主体通常就是userName和passWord,或者其他用户相关的唯一标识。

2)SecurityManager:安全管理器

Shiro架构中最核心的组件,通过它可以协调其他组件完成用户认证和授权。实际上,SecurityManager就是Shiro框架的控制器。

3)Realm:域对象

定义了访问数据的方式,用来连接不同的数据源,如:关系数据库,配置文件等等。

3、核心理念

Shiro自己不维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证和授权。

二、整合SpringBoot2框架

1、核心依赖

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-core</artifactId>

    <version>1.4.0</version>

</dependency>

<dependency>

    <groupId>org.apache.shiro</groupId>

    <artifactId>shiro-spring</artifactId>

    <version>1.4.0</version>

</dependency>

2、Shiro核心配置

@Configuration

public class ShiroConfig {

    /**

     * Session Manager:会话管理

     * 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;

     * 会话可以是普通JavaSE环境的,也可以是如Web环境的;

     */

    @Bean("sessionManager")

    public SessionManager sessionManager(){

        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

        //设置session过期时间

        sessionManager.setGlobalSessionTimeout(60 * 60 * 1000);

        sessionManager.setSessionValidationSchedulerEnabled(true);

        // 去掉shiro登录时url里的JSESSIONID

        sessionManager.setSessionIdUrlRewritingEnabled(false);

        return sessionManager;

    }

    /**

     * SecurityManager:安全管理器

     */

    @Bean("securityManager")

    public SecurityManager securityManager(UserRealm userRealm, SessionManager sessionManager) {

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        securityManager.setSessionManager(sessionManager);

        securityManager.setRealm(userRealm);

        return securityManager;

    }

    /**

     * ShiroFilter是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理

     */

    @Bean("shiroFilter")

    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();

        shiroFilter.setSecurityManager(securityManager);

        shiroFilter.setLoginUrl("/userLogin");

        shiroFilter.setUnauthorizedUrl("/");

        Map<String, String> filterMap = new LinkedHashMap<>();

        filterMap.put("/userLogin", "anon");

        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;

    }

    /**

     * 管理Shiro中一些bean的生命周期

     */

    @Bean("lifecycleBeanPostProcessor")

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

        return new LifecycleBeanPostProcessor();

    }

    /**

     * 扫描上下文,寻找所有的Advistor(通知器)

     * 将这些Advisor应用到所有符合切入点的Bean中。

     */

    @Bean

    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {

        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();

        proxyCreator.setProxyTargetClass(true);

        return proxyCreator;

    }

    /**

     * 匹配所有加了 Shiro 认证注解的方法

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {

        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();

        advisor.setSecurityManager(securityManager);

        return advisor;

    }

}

3、域对象配置

@Component

public class UserRealm extends AuthorizingRealm {

    @Resource

    private SysUserMapper sysUserMapper ;

    @Resource

    private SysMenuMapper sysMenuMapper ;

    /**

     * 授权(验证权限时调用)

     * 获取用户权限集合

     */

    @Override

    public AuthorizationInfo doGetAuthorizationInfo

    (PrincipalCollection principals) {

        SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();

        if(user == null) {

            throw new UnknownAccountException("账号不存在");

        }

        List<String> permsList;

        //默认用户拥有最高权限

        List<SysMenuEntity> menuList = sysMenuMapper.selectList();

        permsList = new ArrayList<>(menuList.size());

        for(SysMenuEntity menu : menuList){

            permsList.add(menu.getPerms());

        }

        //用户权限列表

        Set<String> permsSet = new HashSet<>();

        for(String perms : permsList){

            if(StringUtils.isEmpty(perms)){

                continue;

            }

            permsSet.addAll(Arrays.asList(perms.trim().split(",")));

        }

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.setStringPermissions(permsSet);

        return info;

    }

    /**

     * 认证(登录时调用)

     * 验证用户登录

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(

            AuthenticationToken authToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken)authToken;

        //查询用户信息

        SysUserEntity user = sysUserMapper.selectOne(token.getUsername());

        //账号不存在

        if(user == null) {

            throw new UnknownAccountException("账号或密码不正确");

        }

        //账号锁定

        if(user.getStatus() == 0){

            throw new LockedAccountException("账号已被锁定,请联系管理员");

        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo

                (user, user.getPassword(),

                        ByteSource.Util.bytes(user.getSalt()),

                        getName());

        return info;

    }

    @Override

    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        HashedCredentialsMatcher shaCredentialsMatcher = new HashedCredentialsMatcher();

        shaCredentialsMatcher.setHashAlgorithmName(ShiroUtils.hashAlgorithmName);

        shaCredentialsMatcher.setHashIterations(ShiroUtils.hashIterations);

        super.setCredentialsMatcher(shaCredentialsMatcher);

    }

}

4、核心工具类

public class ShiroUtils {

    /**  加密算法 */

    public final static String hashAlgorithmName = "SHA-256";

    /**  循环次数 */

    public final static int hashIterations = 16;

    public static String sha256(String password, String salt) {

        return new SimpleHash(hashAlgorithmName, password, salt, hashIterations).toString();

    }

    // 获取一个测试账号 admin

    public static void main(String[] args) {

        // 3743a4c09a17e6f2829febd09ca54e627810001cf255ddcae9dabd288a949c4a

        System.out.println(sha256("admin","123")) ;

    }

    /**

     * 获取会话

     */

    public static Session getSession() {

        return SecurityUtils.getSubject().getSession();

    }

    /**

     * Subject:主体,代表了当前“用户”

     */

    public static Subject getSubject() {

        return SecurityUtils.getSubject();

    }

    public static SysUserEntity getUserEntity() {

        return (SysUserEntity)SecurityUtils.getSubject().getPrincipal();

    }

    public static Long getUserId() {

        return getUserEntity().getUserId();

    }

    public static void setSessionAttribute(Object key, Object value) {

        getSession().setAttribute(key, value);

    }

    public static Object getSessionAttribute(Object key) {

        return getSession().getAttribute(key);

    }

    public static boolean isLogin() {

        return SecurityUtils.getSubject().getPrincipal() != null;

    }

    public static void logout() {

        SecurityUtils.getSubject().logout();

    }

}

5、自定义权限异常提示

@RestControllerAdvice

public class ShiroException {

    @ExceptionHandler(AuthorizationException.class)

    public String authorizationException (){

        return "抱歉您没有权限访问该内容!";

    }

    @ExceptionHandler(Exception.class)

    public String handleException(Exception e){

        return "系统异常!";

    }

}

三、案例演示代码

1、测试接口

@RestController

public class ShiroController {

    private static Logger LOGGER = LoggerFactory.getLogger(ShiroController.class) ;

    @Resource

    private SysMenuMapper sysMenuMapper ;

    /**

     * 登录测试

     * http://localhost:7011/userLogin?userName=admin&passWord=admin

     */

    @RequestMapping("/userLogin")

    public void userLogin (

            @RequestParam(value = "userName") String userName,

            @RequestParam(value = "passWord") String passWord){

        try{

            Subject subject = ShiroUtils.getSubject();

            UsernamePasswordToken token = new UsernamePasswordToken(userName, passWord);

            subject.login(token);

            LOGGER.info("登录成功");

        }catch (Exception e) {

            e.printStackTrace();

        }

    }

    /**

     * 服务器每次重启请求该接口之前必须先请求上面登录接口

     * http://localhost:7011/menu/list 获取所有菜单列表

     * 权限要求:sys:user:shiro

     */

    @RequestMapping("/menu/list")

    @RequiresPermissions("sys:user:shiro")

    public List list(){

        return sysMenuMapper.selectList() ;

    }

    /**

     * 用户没有该权限,无法访问

     * 权限要求:ccc:ddd:bbb

     */

    @RequestMapping("/menu/list2")

    @RequiresPermissions("ccc:ddd:bbb")

    public List list2(){

        return sysMenuMapper.selectList() ;

    }

    /**

     * 退出测试,退出后没有任何权限

     */

    @RequestMapping("/userLogOut")

    public String logout (){

        ShiroUtils.logout();

        return "success" ;

    }

}

2、测试流程

1)、登录后取得权限

http://localhost:7011/userLogin?userName=admin&passWord=admin

2)、访问有权限接口

http://localhost:7011/menu/list

3)、访问无权限接口

http://localhost:7011/menu/list2

4)、退出登录

http://localhost:7011/userLogOut

四、源代码地址

GitHub·地址

https://github.com/cicadasmile/middle-ware-parent

GitEE·地址

https://gitee.com/cicadasmile/middle-ware-parent

SpringBoot2.0 整合 Shiro 框架,实现用户权限管理的更多相关文章

  1. SpringBoot2.0 整合 Dubbo框架 ,实现RPC服务远程调用

    一.Dubbo框架简介 1.框架依赖 图例说明: 1)图中小方块 Protocol, Cluster, Proxy, Service, Container, Registry, Monitor 代表层 ...

  2. SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理

    本文源码:GitHub·点这里 || GitEE·点这里 一.Security简介 1.基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方 ...

  3. 7. 整合shiro,搭建粗粒度权限管理

    shiro是一个易用的权限管理框架,只需提供一个Realm即可在项目中使用,本文就将结合上一篇中搭建的权限模块.角色模块和用户模块来搭建一个粗粒度的权限管理系统,具体如下:1. 添加shiro依赖和与 ...

  4. SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

    本文源码:GitHub·点这里 || GitEE·点这里 一.传统Session认证 1.认证过程 1.用户向服务器发送用户名和密码. 2.服务器验证后在当前对话(session)保存相关数据. 3. ...

  5. SpringBoot2.0 整合 ElasticSearch框架,实现高性能搜索引擎

    本文源码:GitHub·点这里 || GitEE·点这里 一.安装和简介 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful ...

  6. springboot2.0整合shiro出现ShiroDialect报错 找不到org/thymeleaf/processor/attr/AbstractTextChildModifierAttrPr

    包版本过低,找最新包 https://mvnrepository.com/ <dependency> <groupId>com.github.theborakompanioni ...

  7. springboot2.0整合shiro遇到的问题

    1.重启服务器,访问登陆页面,登陆成功后跳转的不是index,而是favicon.ico

  8. (十二)整合 Shiro 框架,实现用户权限管理

    整合 Shiro 框架,实现用户权限管理 1.Shiro简介 1.1 基础概念 1.2 核心角色 1.3 核心理念 2.SpringBoot整合Shiro 2.1 核心依赖 2.2 Shiro核心配置 ...

  9. (补漏)Springboot2.0 集成shiro权限管理

    原文Springboot2.0 集成shiro权限管理 一.关于停止使用外键. 原本集成shiro建立用户.角色.权限表的时候使用了外键,系统自动创建其中两个关联表,用@JoinTable.看起来省事 ...

随机推荐

  1. Vue ---- 表单指令 条件指令 循环指令 分隔符 过滤器 计算属性 监听属性

    目录 案例讲解: 一. 表单指令 1.重点: 补充 2.单选框 3.单一复选框 4.多复选框 二 . 条件指令 v-if/v-show ... v-clock 三 . 循环指令 string arra ...

  2. 第三次作业-Python网络爬虫与信息提取

    1.注册中国大学MOOC 2.选择北京理工大学嵩天老师的<Python网络爬虫与信息提取>MOOC课程 3.学习完成第0周至第4周的课程内容,并完成各周作业 过程. 5.写一篇不少于100 ...

  3. 关于爬取babycenter.com A-Z为顺序的所有英文名及其详细属性

     这一次爬取的内容已经在标题里提到了,下面是详细要求及其图示: 1.首先以A-Z的顺序获取所有英文名,最后爬取该英文名的详细信息. 2.CSV的header以3中的单词为准,请别拼错.如果没有对应的数 ...

  4. 百万级高并发mongodb集群性能数十倍提升优化实践

    背景 线上某集群峰值TPS超过100万/秒左右(主要为写流量,读流量很低),峰值tps几乎已经到达集群上限,同时平均时延也超过100ms,随着读写流量的进一步增加,时延抖动严重影响业务可用性.该集群采 ...

  5. Nginx配置实例-负载均衡实例:平均访问多台服务器

    场景 Nginx配置实例-反向代理实例:根据访问的路径跳转到不同端口的服务中: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/10 ...

  6. 因特尔CPU上TM和R标识的区别

    TM是英文trademark的缩写,TM标志并非对商标起到保护作用,它与R不同,TM表示的是该商标已经向国家商标局提出申请,并且国家商标局也已经下发了<受理通知书>,进入了异议期,这样就可 ...

  7. IT兄弟连 HTML5教程 CSS3属性特效 CSS3背景

    CSS3规范中对背景这一部分,新加入了一些有用的功能,如可以设置多个背景图片.可以指定背景大小.设置背景渐变等功能.CSS3规范中定义的背景属性新增了background-clip.backgroun ...

  8. C语言笔记 04_运算符

    运算符 运算符是一种告诉编译器执行特定的数学或逻辑操作的符号.C 语言内置了丰富的运算符,并提供了以下类型的运算符: 算术运算符 关系运算符 逻辑运算符 位运算符 赋值运算符 杂项运算符 算术运算符 ...

  9. React的setState学习及应用

    React的setState学习及应用 一:作用: setState() 将对组件 state 的更改排入队列,并通知 React 需要使用更新后的 state 重新渲染此组件及其子组件.这是用于更新 ...

  10. C# base

    using System; using System.Collections.Generic; using System.Text; namespace 继承 { class Program { st ...