Shiro集成web环境[Springboot]--认证与授权

在登录页面提交登陆数据后,发起请求也被ShiroFilter拦截,状态码为302

<form action="${pageContext.request.contextPath}/user/login" method="post">

    Username:<input type="text" name="username"></br>

    Password:<input type="password" name="password"></br>

    <input type="submit" value="提交">

</form>

所以,必须将控制器的请求全部设置为匿名资源

@Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        return securityManager;

    }

再次发起请求,ok 但由于认证未设置 所以没有成功的跳转。

开发自定义Realm--认证与授权方法全部实现

public class MyRealm extends AuthorizingRealm {

    @Autowired

    private UserMapper userMapper;

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        String principal =(String) authenticationToken.getPrincipal();

        User user= new User();

        user.setUsername(principal);

        User user1 = userMapper.selectOne(user);

        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user1.getPassword(),ByteSource.Util.bytes("salt"),this.getName());

        return authenticationInfo;

    }

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();

        System.out.println("================================");

        User user= new User();

        user.setUsername(primaryPrincipal);

        User user1 = userMapper.selectOne(user);

        if(primaryPrincipal.equals(user1.getUsername())){

            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

            authorizationInfo.addRole("super");

            authorizationInfo.addStringPermission("user:delete");

            authorizationInfo.addStringPermissions(Arrays.asList("admin:delete","admin:add"));

            return authorizationInfo;

        }

        return null;

    }

}

补充ShiroFilter,将SecurityManager,自定义Realm,CredentialsMatcher,CacheManager全部交由工厂管理:

@Configuration

public class ShiroFilterConf {

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //shiro会对所有资源进行控制,默认不拦截  需要配置

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        map.put("/index.jsp","anon");

        //多个过滤器组成过滤器链

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        //设置认证页面路径

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm,CacheManager cacheManager){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        ((DefaultWebSecurityManager) securityManager).setCacheManager(cacheManager);

        return securityManager;

    }

    @Bean

    public Realm getRealm(CredentialsMatcher credentialsMatcher){

        MyRealm myRealm = new MyRealm();

        myRealm.setCredentialsMatcher(credentialsMatcher);

        return myRealm;

    }

    @Bean

    public CredentialsMatcher getCredentialsMatcher(){

        HashedCredentialsMatcher hm = new HashedCredentialsMatcher();

        hm.setHashAlgorithmName("MD5");

        hm.setHashIterations(1024);

        return hm;

    }

    @Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

}

测试index页面

<%@ page contentType="text/html;charset=UTF-8" isELIgnored="false" %>

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

<html>

<head>

    <title>Title</title>

</head>

<body>

<shiro:authenticated>

    hello:<shiro:principal></shiro:principal>&nbsp;&nbsp;<a href="${pageContext.request.contextPath}/user/logout">登出</a>

    <ul>

        <li>专辑</li>

        <li>章节</li>

        <li>用户</li>

        <shiro:hasRole name="super">

            <li>管理员</li>

            <shiro:hasPermission name="admin:delete">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:add">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:update">


            </shiro:hasPermission>

        </shiro:hasRole>

    </ul>

</shiro:authenticated>

<shiro:notAuthenticated>

    <a href="${pageContext.request.contextPath}/main/login.jsp">你好请登录</a>

</shiro:notAuthenticated>

</body>

</html>

shiro中相关的标签

<shiro:principal></shiro:principal>  //用户的身份信息

<shiro:authenticated></shiro:authenticated> //认证成功  执行标签体的内容

<shiro:notAuthenticated></shiro:notAuthenticated> //未认证  执行标签体内容

//基于角色的权限管理

<shiro:hasRole name="super"></shiro:hasRole>

<shiro:hasAnyRoles name="admin,super"></shiro:hasAnyRoles>

//基于资源的权限管理

<shiro:hasPermission name="user:delete"></shiro:hasPermission>

缓存问题

如果没有缓存,一个Permission或者role判断要查询三次数据库-username查主体--主体查角色---角色查权限,这样对于数据库的压力太大,需要设置缓存。而且要注意到,在第一次查询时shiro就会多个Permission或者Role判断设置一次缓存,就是说,授权方法doGetAuthorizationInfo只走一次。

shiro缓存是在内存中的。

ehcache主包必须导入,shiro集成时CacheManager是没有实现的,主包中才有实现类EhCacheManager

	@Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

Shiro集成web环境[Springboot]-认证与授权的更多相关文章

  1. Shiro集成web环境[Springboot]-基础使用

    Shiro集成web环境[Springboot] 1.shiro官网查找依赖的jar,其中shiro-ehcache做授权缓存时使用,另外还需要导入ehcache的jar包 <dependenc ...

  2. Shiro学习笔记四(Shiro集成WEB)

    这两天由于家里出了点事情,没有准时的进行学习.今天补上之前的笔记 -----没有学不会的技术,只有不停找借口的人 学习到的知识点: 1.Shiro 集成WEB 2.基于角色的权限控制 3.基于权限的控 ...

  3. Web Api 2 认证与授权 2

    HTTP Message Handler 在 Web Api 2 认证与授权 中讲解了几种实现机制,本篇就详细讲解 Message Handler 的实现方式 关于 Message Handler 在 ...

  4. Spring集成web环境(使用封装好的工具)

    接上文spring集成web环境(手动实现) ##########代码接上文############# spring提供了一个监听器ContextLoaderListener对上述功能的封装,该监听器 ...

  5. Shiro在Web环境下集成Spring的大致工作流程

    1,Shiro提供了对Web环境的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制.      ①配置的 ShiroFilter 实现类为:org.spri ...

  6. 关于 Web Api 2 认证与授权

    认证与授权 认证与授权,Authentication and Authorize,这个是两个不同的事.认证是对访问身份进行确认,如验证用户名和密码,而授权是在认证之后,判断是否具有权限进行某操作,如 ...

  7. 珠联壁合地设天造|M1 Mac os(Apple Silicon)基于vscode(arm64)配置搭建Java开发环境(集成web框架Springboot)

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_194 也许有人从未听说过Python,但是不会有人没听说过Java,它作为一个拥有悠久历史的老牌编程语言,常年雄踞TIOBE编程语 ...

  8. Shiro集成Web

    Shiro不仅可以集成到web中,也可以集成Spring. 1.在WEB中添加Shrio支持 2.WEB中INI配置 3.JSP/GSP标签 在WEB中添加Shrio支持 如果要想在web中使用Shr ...

  9. Shiro 集成 Web

    Web 集成 Shiro 的练习项目. Servlet + Shiro 项目结构 新建Maven项目,pom配置如下 <project xmlns="http://maven.apac ...

随机推荐

  1. 构造方法 this super

    1 构造方法 1.1 构造方法Constructor概述创建对象要明确属性值,此时需要用到构造方法,即对象创建时要执行的方法,用来给对象的属性进行初始化.在new对象时,知道其执行的构造方法是什么,就 ...

  2. .net core 获取不到session 和cookies的值

    在启动类的configure services()方法中,设置选项.checkconsent必需=context=false;如下: services.Configure<CookiePolic ...

  3. 019-并发编程-java.util.concurrent之-Semaphore 信号量

    一.概述 Semaphore是一个计数信号量.从概念上将,Semaphore包含一组许可证.如果有需要的话,每个acquire()方法都会阻塞,直到获取一个可用的许可证.每个release()方法都会 ...

  4. 绿色版mssql

    1.安装2008绿色版,缺少对应的企业管理器,安装官方版本的提示电脑没有重启(已经重启后) 2.选择一个可用版本的mssql,2000的可以用,MSSQL2000-HaoSQL,自带企业管理器和查询器

  5. JAVA:IDEA安装、创建项目、tomcat配置、maven配置(1)

    一.安装 JDK安装自行百度,IDEA安装: IDEA安装包下载:https://www.jetbrains.com/idea/download/ 安装过程一路默认,需要选择的就勾选 .java之类的 ...

  6. leaflet实用插件整理

    leaflet实用插件整理: https://www.giserdqy.com/webgis/leaflet/4920/leaflet%E5%AE%9E%E7%94%A8%E6%8F%92%E4%BB ...

  7. JavaScript 原型链学习(一)原型对象

    在JavaScript中创建的每个函数都有一个prototype(原型)属性,这个属性是一个指针,指向一个对象,而这个对象的用途是包含可以由特定类型的所有的实例共享的属性和方法.如果按照字面意思来理解 ...

  8. 在Qt Quick中一个简单Hello World加载过程

    Qt5基本类图: QQmlEngine    QQmlEngine类提供了一个QML引擎,用于管理由QML文档定义的对象层次架构,QML提供了一个默认的QML上下文(根上下文,获取函数QQmlEngi ...

  9. perl 用网易发邮件报错 554 DT:SPM 163 smtp14

    查看相关链接,貌似被当成垃圾邮件了,发不出去 554 DT:SPM 163 smtp14,EsCowACHUegmKpdc3giRMQ--.29617S2 1553410599,please see ...

  10. P1996 约瑟夫问题

    P1996 约瑟夫问题 广度优先搜索 我竟然寄几做对了 这个题用到了队列 下面详细解释: 我的代码: #include<iostream> #include<cstdio> # ...