Shiro集成web环境[Springboot]--认证与授权

在登录页面提交登陆数据后,发起请求也被ShiroFilter拦截,状态码为302

<form action="${pageContext.request.contextPath}/user/login" method="post">

    Username:<input type="text" name="username"></br>

    Password:<input type="password" name="password"></br>

    <input type="submit" value="提交">

</form>

所以,必须将控制器的请求全部设置为匿名资源

@Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        return securityManager;

    }

再次发起请求,ok 但由于认证未设置 所以没有成功的跳转。

开发自定义Realm--认证与授权方法全部实现

public class MyRealm extends AuthorizingRealm {

    @Autowired

    private UserMapper userMapper;

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        String principal =(String) authenticationToken.getPrincipal();

        User user= new User();

        user.setUsername(principal);

        User user1 = userMapper.selectOne(user);

        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user1.getPassword(),ByteSource.Util.bytes("salt"),this.getName());

        return authenticationInfo;

    }

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();

        System.out.println("================================");

        User user= new User();

        user.setUsername(primaryPrincipal);

        User user1 = userMapper.selectOne(user);

        if(primaryPrincipal.equals(user1.getUsername())){

            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

            authorizationInfo.addRole("super");

            authorizationInfo.addStringPermission("user:delete");

            authorizationInfo.addStringPermissions(Arrays.asList("admin:delete","admin:add"));

            return authorizationInfo;

        }

        return null;

    }

}

补充ShiroFilter,将SecurityManager,自定义Realm,CredentialsMatcher,CacheManager全部交由工厂管理:

@Configuration

public class ShiroFilterConf {

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //shiro会对所有资源进行控制,默认不拦截  需要配置

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        map.put("/index.jsp","anon");

        //多个过滤器组成过滤器链

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        //设置认证页面路径

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm,CacheManager cacheManager){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        ((DefaultWebSecurityManager) securityManager).setCacheManager(cacheManager);

        return securityManager;

    }

    @Bean

    public Realm getRealm(CredentialsMatcher credentialsMatcher){

        MyRealm myRealm = new MyRealm();

        myRealm.setCredentialsMatcher(credentialsMatcher);

        return myRealm;

    }

    @Bean

    public CredentialsMatcher getCredentialsMatcher(){

        HashedCredentialsMatcher hm = new HashedCredentialsMatcher();

        hm.setHashAlgorithmName("MD5");

        hm.setHashIterations(1024);

        return hm;

    }

    @Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

}

测试index页面

<%@ page contentType="text/html;charset=UTF-8" isELIgnored="false" %>

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

<html>

<head>

    <title>Title</title>

</head>

<body>

<shiro:authenticated>

    hello:<shiro:principal></shiro:principal>&nbsp;&nbsp;<a href="${pageContext.request.contextPath}/user/logout">登出</a>

    <ul>

        <li>专辑</li>

        <li>章节</li>

        <li>用户</li>

        <shiro:hasRole name="super">

            <li>管理员</li>

            <shiro:hasPermission name="admin:delete">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:add">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:update">


            </shiro:hasPermission>

        </shiro:hasRole>

    </ul>

</shiro:authenticated>

<shiro:notAuthenticated>

    <a href="${pageContext.request.contextPath}/main/login.jsp">你好请登录</a>

</shiro:notAuthenticated>

</body>

</html>

shiro中相关的标签

<shiro:principal></shiro:principal>  //用户的身份信息

<shiro:authenticated></shiro:authenticated> //认证成功  执行标签体的内容

<shiro:notAuthenticated></shiro:notAuthenticated> //未认证  执行标签体内容

//基于角色的权限管理

<shiro:hasRole name="super"></shiro:hasRole>

<shiro:hasAnyRoles name="admin,super"></shiro:hasAnyRoles>

//基于资源的权限管理

<shiro:hasPermission name="user:delete"></shiro:hasPermission>

缓存问题

如果没有缓存,一个Permission或者role判断要查询三次数据库-username查主体--主体查角色---角色查权限,这样对于数据库的压力太大,需要设置缓存。而且要注意到,在第一次查询时shiro就会多个Permission或者Role判断设置一次缓存,就是说,授权方法doGetAuthorizationInfo只走一次。

shiro缓存是在内存中的。

ehcache主包必须导入,shiro集成时CacheManager是没有实现的,主包中才有实现类EhCacheManager

	@Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

Shiro集成web环境[Springboot]-认证与授权的更多相关文章

  1. Shiro集成web环境[Springboot]-基础使用

    Shiro集成web环境[Springboot] 1.shiro官网查找依赖的jar,其中shiro-ehcache做授权缓存时使用,另外还需要导入ehcache的jar包 <dependenc ...

  2. Shiro学习笔记四(Shiro集成WEB)

    这两天由于家里出了点事情,没有准时的进行学习.今天补上之前的笔记 -----没有学不会的技术,只有不停找借口的人 学习到的知识点: 1.Shiro 集成WEB 2.基于角色的权限控制 3.基于权限的控 ...

  3. Web Api 2 认证与授权 2

    HTTP Message Handler 在 Web Api 2 认证与授权 中讲解了几种实现机制,本篇就详细讲解 Message Handler 的实现方式 关于 Message Handler 在 ...

  4. Spring集成web环境(使用封装好的工具)

    接上文spring集成web环境(手动实现) ##########代码接上文############# spring提供了一个监听器ContextLoaderListener对上述功能的封装,该监听器 ...

  5. Shiro在Web环境下集成Spring的大致工作流程

    1,Shiro提供了对Web环境的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制.      ①配置的 ShiroFilter 实现类为:org.spri ...

  6. 关于 Web Api 2 认证与授权

    认证与授权 认证与授权,Authentication and Authorize,这个是两个不同的事.认证是对访问身份进行确认,如验证用户名和密码,而授权是在认证之后,判断是否具有权限进行某操作,如 ...

  7. 珠联壁合地设天造|M1 Mac os(Apple Silicon)基于vscode(arm64)配置搭建Java开发环境(集成web框架Springboot)

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_194 也许有人从未听说过Python,但是不会有人没听说过Java,它作为一个拥有悠久历史的老牌编程语言,常年雄踞TIOBE编程语 ...

  8. Shiro集成Web

    Shiro不仅可以集成到web中,也可以集成Spring. 1.在WEB中添加Shrio支持 2.WEB中INI配置 3.JSP/GSP标签 在WEB中添加Shrio支持 如果要想在web中使用Shr ...

  9. Shiro 集成 Web

    Web 集成 Shiro 的练习项目. Servlet + Shiro 项目结构 新建Maven项目,pom配置如下 <project xmlns="http://maven.apac ...

随机推荐

  1. @ConfigurationProperties + @EnableConfigurationProperties

    1.ConfigurationProperties 在类上通过@ConfigurationProperties注解声明当前类为属性读取类. 举例: @ConfigurationProperties(p ...

  2. 常见web UI 元素操作 及API使用

    1. 链接(Link) // 找到链接元素,这个方法比较直接,即通过超文本链接上的文字信息来定位元素,这种方式一般专门用于定位页面上的超文本链接 WebElement link1 = driver.f ...

  3. aop execution 表达式解析

    execution(* com.sample.service.impl..*.*(..)) 解释如下: 符号 含义execution()表达式的主体:第一个”*“符号表示返回值的类型任意:com.sa ...

  4. nginx配置虚拟主机vhost的方法详解

    Nginx vhost配置,可实现基于ip.端口号.servername的虚拟主机,同时可避免直接修改主配置文件.在nginx下配置虚拟主机vhost非常方便.这篇文章主要介绍了nginx配置虚拟主机 ...

  5. [Python] Print input and output in table

    Print the input and output in a table using prettyTable. from prettytable import PrettyTable import ...

  6. 【Checkio Exercise】Probably Dice

    题目: Probably Dice Battle is full of randomnesses. You should observe randomness in a controlled sett ...

  7. Python Logging模块 输出日志颜色、过期清理和日志滚动备份

    # coding:utf-8 import logging from logging.handlers import RotatingFileHandler # 按文件大小滚动备份 import co ...

  8. vue mand-mobile ui Stepper步进器默认值传字符串进去不起作用

    vue mand-mobile ui Stepper步进器默认值传字符串进去不起作用 Stepper 步进器 的默认值有没有弄过的,看了组件只能默认数字的,传字符串进去不起作用<div slot ...

  9. 通过gmapping和伪造的odom,完成Kinect建图

    传感器信息: 环境深度信息:sensor_msgs/laserScan -----> RGBD三维点云数据:通过ros功能包depthimage to laserscan完成深度相机数据转换成激 ...

  10. CentOS6.5升级GCC4.8

    # curl -Lks http://www.hop5.in/yum/el6/hop5.repo > /etc/yum.repos.d/hop5.repo # cat /etc/yum.repo ...