在项目添加依赖

       <!-- shiro spring. -->

	<dependency>

		<groupId>org.apache.shiro</groupId>

		<artifactId>shiro-spring</artifactId>

		<version>1.4.0</version>

	</dependency>

	<!-- shiro core -->

	<dependency>

		<groupId>org.apache.shiro</groupId>

		<artifactId>shiro-core</artifactId>

		<version>1.4.0</version>

	</dependency>

配置文件目录下新建spring文件夹,在文件夹内新建spring-shiro.xml文件

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx" xmlns:util="http://www.springframework.org/schema/util" xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation="

       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd

       http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd

       http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd

       http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd

       http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">

	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

		<!-- ref对应我们写的realm myRealm -->

		<property name="realm" ref="AuthRealm" />

		<!-- 使用下面配置的缓存管理器 -->

		<!-- <property name="cacheManager" ref="shiroEncacheManager" /> -->

	</bean>

	<!-- 安全认证过滤器 -->

	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">

		<!-- 调用我们配置的权限管理器 -->

		<property name="securityManager" ref="securityManager" />

		<!-- 配置我们的登录请求地址 -->

		<property name="loginUrl" value="/toLogin" />

		<!-- 配置我们在登录页登录成功后的跳转地址,如果你访问的是非/login地址,则跳到您访问的地址 -->

		<property name="successUrl" value="/" />

		<!-- 如果您请求的资源不再您的权限范围,则跳转到/403请求地址 -->

		<property name="unauthorizedUrl" value="/html/403.html" />

		<property name="filterChainDefinitions">

			<value>

			<!-- anon是允许通过  authc相反 -->

				/statics/**=anon

				/login=anon

				/** = authc

			</value>

		</property>

	</bean>

	<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->

	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

	<!-- AOP式方法级权限检查 -->

	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">

		<property name="proxyTargetClass" value="true" />

	</bean>

	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">

		<property name="securityManager" ref="securityManager" />

	</bean>

</beans>

在主入口加载spring-shiro.xml

@ImportResource({ "classpath:spring/spring-shiro.xml" })

在登录Controller内更改成

		//构造登录参数

		UsernamePasswordToken token = new UsernamePasswordToken(name, pwd);

		try {

			//交给Realm类处理

			SecurityUtils.getSubject().login(token);

		} catch (UnknownAccountException uae) {

			map.put("msg", "未知用户");

			return "login";

		} catch (IncorrectCredentialsException ice) {

			map.put("msg", "密码错误");

			return "login";

		} catch (AuthenticationException ae) {

			// unexpected condition? error?

			map.put("msg", "服务器繁忙");

			return "login";

		}

		return "redirect:/toIndex";

看5行就知道登录交给了Realm类处理了,所以我们要有Realm类

在可以被主入口扫描到的地方新建AuthRealm类并且继承AuthorizingRealm,重写doGetAuthenticationInfo(登录逻辑),重写doGetAuthorizationInfo(授权逻辑)

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

public class AuthRealm extends AuthorizingRealm {

	@Override

	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		// TODO Auto-generated method stub

		return null;

	}

	@Override

	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

		// TODO Auto-generated method stub

		return null;

	}

}

登录验证在doGetAuthenticationInfo方法写入

		// 获取Token

		UsernamePasswordToken token2 = (UsernamePasswordToken) token;

		//获取用户名

		String userName = token2.getUsername();

		//获取密码

		String pwd = new String(token2.getPassword());

		//下面我使用的是MyBatis-puls3.0

		//查询条件对象

		QueryWrapper<User> queryWrapper = new QueryWrapper();

		//查询该用户

		queryWrapper.eq("name", userName).or().eq("phone", userName);

		//查询

		User user = iUserService.getOne(queryWrapper);

		//查回的对象为空

		if (CommonUtil.isBlank(user)) {

			//抛出未知的账户异常

			throw new UnknownAccountException();

		}

		//查回的对象密码和输入密码不相等

		if (!CommonUtil.isEquals(user.getPwd(), pwd)) {

			//抛出凭证不正确异常

			throw new IncorrectCredentialsException();

		}

		//上面都通过了就说明该用户存在并且密码相等

		// 验证成功了

		SecurityUtils.getSubject().getSession().setAttribute(Constant.SESSION_USER_KEY, user);

		// 返回shiro用户信息

		// token传过来的密码,一定要跟验证信息传进去的密码一致,加密的密码一定要加密后传过来

		return new SimpleAuthenticationInfo(user, user.getPwd(), getName());

如果要设置权限,就在对应的Controllerf方法加上

@RequiresPermissions("/system/user/list")

再doGetAuthorizationInfo方法内写

//创建简单的授权信息对象

SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();

//授予权限

simpleAuthorizationInfo.addStringPermission("/system/user/list");

return simpleAuthorizationInfo;

  

当所有Controller都加了@RequiresPermissions注解后,如果访问到没有授权的Controller会报错。

Spring boot 加入shiro支持的更多相关文章

  1. Spring Boot 添加Shiro支持

    前言: Shiro是一个权限.会话管理的开源Java安全框架:Spring Boot集成Shiro后可以方便的使用Session: 工程概述: (工程结构图) 一.建立Spring Boot工程 参照 ...

  2. 快速搭建Spring Boot + Apache Shiro 环境

    个人博客网:https://wushaopei.github.io/    (你想要这里多有) 一.Apache Shiro 介绍及概念 概念:Apache Shiro是一个强大且易用的Java安全框 ...

  3. 基于Spring Boot和Shiro的后台管理系统FEBS

    FEBS是一个简单高效的后台权限管理系统.项目基础框架采用全新的Java Web开发框架 —— Spring Boot 2.0.3,消除了繁杂的XML配置,使得二次开发更为简单:数据访问层采用Myba ...

  4. Spring Boot 集成Shiro和CAS

    Spring Boot 集成Shiro和CAS 标签: springshirocas 2016-01-17 23:03 35765人阅读 评论(22) 收藏 举报  分类: Spring(42)  版 ...

  5. Spring Boot 添加JSP支持【转】

    Spring Boot 添加JSP支持 大体步骤: (1)            创建Maven web project: (2)            在pom.xml文件添加依赖: (3)     ...

  6. Spring Boot 整合 Shiro ,两种方式全总结!

    在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro. 今天松哥就来和大家聊聊 Spring Boot ...

  7. Spring Boot 之FilterRegistrationBean --支持web Filter 排序的使用(转)

    Spring Boot 之FilterRegistrationBean  --支持web Filter 排序的使用Spring 提供了FilterRegistrationBean类,此类提供setOr ...

  8. 解决Spring Boot集成Shiro,配置类使用Autowired无法注入Bean问题

    如题,最近使用spring boot集成shiro,在shiroFilter要使用数据库动态给URL赋权限的时候,发现 @Autowired 注入的bean都是null,无法注入mapper.搜了半天 ...

  9. Springboot 系列(十七)迅速使用 Spring Boot Admin 监控你的 Spring Boot 程序,支持异常邮件通知

    1. Spring Boot Admin 是什么 Spring Boot Admin 是由 codecentric 组织开发的开源项目,使用 Spring Boot Admin 可以管理和监控你的 S ...

随机推荐

  1. [POJ2356] Find a multiple 鸽巢原理

    Find a multiple Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 8776   Accepted: 3791   ...

  2. B/S 端基于 HTML5 + WebGL 的 VR 3D 机房数据中心可视化

    前言 在 3D 机房数据中心可视化应用中,随着视频监控联网系统的不断普及和发展, 网络摄像机更多的应用于监控系统中,尤其是高清时代的来临,更加快了网络摄像机的发展和应用. 在监控摄像机数量的不断庞大的 ...

  3. asp.net core 设置默认文档index.html

    参考:https://jingyan.baidu.com/article/6079ad0e3e212168fe86db75.html 在Startup.cs的Configure添加 app.UseFi ...

  4. 基础安全术语科普(六)——exploit

    exploit (漏洞利用) 利用漏洞存在两种攻击形式: 1.Remote(远程):利用系统漏洞来获得访问权限. 2.local(本地):需要对系统进行物理访问来实现攻击. 如何发现漏洞? 利用逆向工 ...

  5. Java根据参数返回相应类

    问题初衷:如何根据参数变换方法的返回类型(参数为 类) 解决方案: 下面方法是放在工具类(例:YslRequestUtil) public <T> T response(Object re ...

  6. 微服务架构 ------ Day01 微服务架构优缺点

    1. 微服务架构的优点 庞大的单体程序 -> 一套微型程序. 每一个服务有明确的边界(服务之间的消息通讯机制) ,每一个服务都能单独的开发和维护,并且更好理解 每一个服务都能由一个团队来开发,当 ...

  7. 哈夫曼树C++实现详解

    哈夫曼树的介绍 Huffman Tree,中文名是哈夫曼树或霍夫曼树,它是最优二叉树. 定义:给定n个权值作为n个叶子结点,构造一棵二叉树,若树的带权路径长度达到最小,则这棵树被称为哈夫曼树. 这个定 ...

  8. SpringBoot接管SpringMvc

    SpringBoot接管SpringMvc Spring Web MVC framework(通常简称为“Spring MVC”)是一个丰富的“model 视图控制器”web framework. S ...

  9. CSPS模拟 90

  10. NOIP模拟12

    也算是最近几次比较水的一次吧. 考试时看T1像个打表找规律的题,扔了,去看T2,带修莫队??不会,完戏.看了T3,我决定还是去看T1. 看着T1,我突然发现T2是个大水题:主席树就行,不带修,修改时只 ...