Shiro集成web环境[Springboot]--认证与授权

在登录页面提交登陆数据后,发起请求也被ShiroFilter拦截,状态码为302

<form action="${pageContext.request.contextPath}/user/login" method="post">

    Username:<input type="text" name="username"></br>

    Password:<input type="password" name="password"></br>

    <input type="submit" value="提交">

</form>

所以,必须将控制器的请求全部设置为匿名资源

@Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        return securityManager;

    }

再次发起请求,ok 但由于认证未设置 所以没有成功的跳转。

开发自定义Realm--认证与授权方法全部实现

public class MyRealm extends AuthorizingRealm {

    @Autowired

    private UserMapper userMapper;

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        String principal =(String) authenticationToken.getPrincipal();

        User user= new User();

        user.setUsername(principal);

        User user1 = userMapper.selectOne(user);

        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user1.getPassword(),ByteSource.Util.bytes("salt"),this.getName());

        return authenticationInfo;

    }

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();

        System.out.println("================================");

        User user= new User();

        user.setUsername(primaryPrincipal);

        User user1 = userMapper.selectOne(user);

        if(primaryPrincipal.equals(user1.getUsername())){

            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

            authorizationInfo.addRole("super");

            authorizationInfo.addStringPermission("user:delete");

            authorizationInfo.addStringPermissions(Arrays.asList("admin:delete","admin:add"));

            return authorizationInfo;

        }

        return null;

    }

}

补充ShiroFilter,将SecurityManager,自定义Realm,CredentialsMatcher,CacheManager全部交由工厂管理:

@Configuration

public class ShiroFilterConf {

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //shiro会对所有资源进行控制,默认不拦截  需要配置

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        map.put("/index.jsp","anon");

        //多个过滤器组成过滤器链

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        //设置认证页面路径

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm,CacheManager cacheManager){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        ((DefaultWebSecurityManager) securityManager).setCacheManager(cacheManager);

        return securityManager;

    }

    @Bean

    public Realm getRealm(CredentialsMatcher credentialsMatcher){

        MyRealm myRealm = new MyRealm();

        myRealm.setCredentialsMatcher(credentialsMatcher);

        return myRealm;

    }

    @Bean

    public CredentialsMatcher getCredentialsMatcher(){

        HashedCredentialsMatcher hm = new HashedCredentialsMatcher();

        hm.setHashAlgorithmName("MD5");

        hm.setHashIterations(1024);

        return hm;

    }

    @Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

}

测试index页面

<%@ page contentType="text/html;charset=UTF-8" isELIgnored="false" %>

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

<html>

<head>

    <title>Title</title>

</head>

<body>

<shiro:authenticated>

    hello:<shiro:principal></shiro:principal>&nbsp;&nbsp;<a href="${pageContext.request.contextPath}/user/logout">登出</a>

    <ul>

        <li>专辑</li>

        <li>章节</li>

        <li>用户</li>

        <shiro:hasRole name="super">

            <li>管理员</li>

            <shiro:hasPermission name="admin:delete">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:add">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:update">


            </shiro:hasPermission>

        </shiro:hasRole>

    </ul>

</shiro:authenticated>

<shiro:notAuthenticated>

    <a href="${pageContext.request.contextPath}/main/login.jsp">你好请登录</a>

</shiro:notAuthenticated>

</body>

</html>

shiro中相关的标签

<shiro:principal></shiro:principal>  //用户的身份信息

<shiro:authenticated></shiro:authenticated> //认证成功  执行标签体的内容

<shiro:notAuthenticated></shiro:notAuthenticated> //未认证  执行标签体内容

//基于角色的权限管理

<shiro:hasRole name="super"></shiro:hasRole>

<shiro:hasAnyRoles name="admin,super"></shiro:hasAnyRoles>

//基于资源的权限管理

<shiro:hasPermission name="user:delete"></shiro:hasPermission>

缓存问题

如果没有缓存,一个Permission或者role判断要查询三次数据库-username查主体--主体查角色---角色查权限,这样对于数据库的压力太大,需要设置缓存。而且要注意到,在第一次查询时shiro就会多个Permission或者Role判断设置一次缓存,就是说,授权方法doGetAuthorizationInfo只走一次。

shiro缓存是在内存中的。

ehcache主包必须导入,shiro集成时CacheManager是没有实现的,主包中才有实现类EhCacheManager

	@Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

Shiro集成web环境[Springboot]-认证与授权的更多相关文章

  1. Shiro集成web环境[Springboot]-基础使用

    Shiro集成web环境[Springboot] 1.shiro官网查找依赖的jar,其中shiro-ehcache做授权缓存时使用,另外还需要导入ehcache的jar包 <dependenc ...

  2. Shiro学习笔记四(Shiro集成WEB)

    这两天由于家里出了点事情,没有准时的进行学习.今天补上之前的笔记 -----没有学不会的技术,只有不停找借口的人 学习到的知识点: 1.Shiro 集成WEB 2.基于角色的权限控制 3.基于权限的控 ...

  3. Web Api 2 认证与授权 2

    HTTP Message Handler 在 Web Api 2 认证与授权 中讲解了几种实现机制,本篇就详细讲解 Message Handler 的实现方式 关于 Message Handler 在 ...

  4. Spring集成web环境(使用封装好的工具)

    接上文spring集成web环境(手动实现) ##########代码接上文############# spring提供了一个监听器ContextLoaderListener对上述功能的封装,该监听器 ...

  5. Shiro在Web环境下集成Spring的大致工作流程

    1,Shiro提供了对Web环境的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制.      ①配置的 ShiroFilter 实现类为:org.spri ...

  6. 关于 Web Api 2 认证与授权

    认证与授权 认证与授权,Authentication and Authorize,这个是两个不同的事.认证是对访问身份进行确认,如验证用户名和密码,而授权是在认证之后,判断是否具有权限进行某操作,如 ...

  7. 珠联壁合地设天造|M1 Mac os(Apple Silicon)基于vscode(arm64)配置搭建Java开发环境(集成web框架Springboot)

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_194 也许有人从未听说过Python,但是不会有人没听说过Java,它作为一个拥有悠久历史的老牌编程语言,常年雄踞TIOBE编程语 ...

  8. Shiro集成Web

    Shiro不仅可以集成到web中,也可以集成Spring. 1.在WEB中添加Shrio支持 2.WEB中INI配置 3.JSP/GSP标签 在WEB中添加Shrio支持 如果要想在web中使用Shr ...

  9. Shiro 集成 Web

    Web 集成 Shiro 的练习项目. Servlet + Shiro 项目结构 新建Maven项目,pom配置如下 <project xmlns="http://maven.apac ...

随机推荐

  1. 关于MySQL慢日志,你想知道的都在这

    关于MySQL慢日志,你想知道的都在这 https://mp.weixin.qq.com/s/Ifbq0Dk13SO3WVghqWVUbA 作者介绍邹鹏,现任职于腾讯云数据库团队,负责腾讯云数据库My ...

  2. [js]js的惰性声明, js中声明过的变量(预解释),后在不会重新声明了

    js的惰性声明, js中声明过的变量(预解释),后在不会重新声明了 fn(); // 声明+定义 js中声明过一次的变量,之后在不会重新声明了 function fn() { console.log( ...

  3. java代码操作solr搜索引擎的增删查改

    所需的包如图: 代码如下:package solr; import java.util.List;import java.util.Map; import org.apache.solr.client ...

  4. 024-母版页MasterPage

    网站的布局通常是统一的,上面是Logo.菜单条.下面是公司地址.版权声明等.如果每个页面都重复做这些功能的话:重复性劳动.一旦修改那么每个页面都要修改..Net中一般用母版(MasterPage)技术 ...

  5. LinQ各种方式查询、组合查询、IQueryable集合类型

    1.模糊查询(包含) Repeater1.DataSource = con.car.Where(r =>r.name.Contains(s)).ToList(); 2.开头查询 Repeater ...

  6. jQuery安装和语法

    jQuery是一个JavaScript函数库,可实现HTML元素选取及操作.CSS 操作.HTML事件函数.JavaScript特效和动画.HTML DOM遍历和修改.AJAX等功能. 在html中引 ...

  7. nginx和tomcat的优化

    测试脚本(服务器414报错)#!/bin/bashurl=http://192.168.4.5/for i in {1..5000}do url=${url}v$i=idoneecho $url #a ...

  8. Python将list中的string批量转化成int/float

    data = ['] data = map(eval, data) print data 输出:[1, 3.2, 2] 但是在Python3下我们输入: ls=[1,2,3] rs=map(str,l ...

  9. javax.servlet-api 和 servlet-api 区别

    作者:Night Silent链接:https://www.zhihu.com/question/35812310/answer/64578510来源:知乎著作权归作者所有.商业转载请联系作者获得授权 ...

  10. MySQL 5.6容器使用自定义配置文件的权限问题

    提出问题: 在使用Rancher2.0.2部署一个mysql deployment时,我们会发现,如果只设置/var/lib/mysql数据目录时,mysql容器(pod)能够正常启动,一旦数据目录和 ...