SpringBoot2.0整合Shiro框架实现用户权限管理的示例

GitHub源码地址:知了一笑

https://github.com/cicadasmile/middle-ware-parent

一、Shiro简介

1、基础概念

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。

2、核心角色

1)Subject:认证主体

代表当前系统的使用者,就是用户,在Shiro的认证中,认证主体通常就是userName和passWord,或者其他用户相关的唯一标识。

2)SecurityManager:安全管理器

Shiro架构中最核心的组件,通过它可以协调其他组件完成用户认证和授权。实际上,SecurityManager就是Shiro框架的控制器。

3)Realm:域对象

定义了访问数据的方式,用来连接不同的数据源,如:关系数据库,配置文件等等。

3、核心理念
Shiro自己不维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证和授权。

二、整合SpringBoot2框架

1、核心依赖

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.4.0</version>
</dependency>
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.4.0</version>
</dependency>

2、Shiro核心配置

@Configuration
public class ShiroConfig {
  /**
   * Session Manager:会话管理
   * 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;
   * 会话可以是普通JavaSE环境的,也可以是如Web环境的;
   */
  @Bean("sessionManager")
  public SessionManager sessionManager(){
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    //设置session过期时间
    sessionManager.setGlobalSessionTimeout(60 * 60 * 1000);
    sessionManager.setSessionValidationSchedulerEnabled(true);
    // 去掉shiro登录时url里的JSESSIONID
    sessionManager.setSessionIdUrlRewritingEnabled(false);
    return sessionManager;
  }

  /**
   * SecurityManager:安全管理器
   */
  @Bean("securityManager")
  public SecurityManager securityManager(UserRealm userRealm, SessionManager sessionManager) {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setSessionManager(sessionManager);
    securityManager.setRealm(userRealm);
    return securityManager;
  }
  /**
   * ShiroFilter是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理
   */
  @Bean("shiroFilter")
  public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
    shiroFilter.setSecurityManager(securityManager);
    shiroFilter.setLoginUrl("/userLogin");
    shiroFilter.setUnauthorizedUrl("/");
    Map<String, String> filterMap = new LinkedHashMap<>();
    filterMap.put("/userLogin", "anon");
    shiroFilter.setFilterChainDefinitionMap(filterMap);
    return shiroFilter;
  }
  /**
   * 管理Shiro中一些bean的生命周期
   */
  @Bean("lifecycleBeanPostProcessor")
  public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
  }
  /**
   * 扫描上下文,寻找所有的Advistor(通知器)
   * 将这些Advisor应用到所有符合切入点的Bean中。
   */
  @Bean
  public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
    proxyCreator.setProxyTargetClass(true);
    return proxyCreator;
  }
  /**
   * 匹配所有加了 Shiro 认证注解的方法
   */
  @Bean
  public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
    advisor.setSecurityManager(securityManager);
    return advisor;
  }
}

3、域对象配置

@Component
public class UserRealm extends AuthorizingRealm {
  @Resource
  private SysUserMapper sysUserMapper ;
  @Resource
  private SysMenuMapper sysMenuMapper ;
  /**
   * 授权(验证权限时调用)
   * 获取用户权限集合
   */
  @Override
  public AuthorizationInfo doGetAuthorizationInfo
  (PrincipalCollection principals) {
    SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
    if(user == null) {
      throw new UnknownAccountException("账号不存在");
    }
    List<String> permsList;
    //默认用户拥有最高权限
    List<SysMenuEntity> menuList = sysMenuMapper.selectList();
    permsList = new ArrayList<>(menuList.size());
    for(SysMenuEntity menu : menuList){
      permsList.add(menu.getPerms());
    }
    //用户权限列表
    Set<String> permsSet = new HashSet<>();
    for(String perms : permsList){
      if(StringUtils.isEmpty(perms)){
        continue;
      }
      permsSet.addAll(Arrays.asList(perms.trim().split(",")));
    }
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.setStringPermissions(permsSet);
    return info;
  }
  /**
   * 认证(登录时调用)
   * 验证用户登录
   */
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(
      AuthenticationToken authToken) throws AuthenticationException {
    UsernamePasswordToken token = (UsernamePasswordToken)authToken;
    //查询用户信息
    SysUserEntity user = sysUserMapper.selectOne(token.getUsername());
    //账号不存在
    if(user == null) {
      throw new UnknownAccountException("账号或密码不正确");
    }
    //账号锁定
    if(user.getStatus() == 0){
      throw new LockedAccountException("账号已被锁定,请联系管理员");
    }
    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo
        (user, user.getPassword(),
            ByteSource.Util.bytes(user.getSalt()),
            getName());
    return info;
  }
  @Override
  public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
    HashedCredentialsMatcher shaCredentialsMatcher = new HashedCredentialsMatcher();
    shaCredentialsMatcher.setHashAlgorithmName(ShiroUtils.hashAlgorithmName);
    shaCredentialsMatcher.setHashIterations(ShiroUtils.hashIterations);
    super.setCredentialsMatcher(shaCredentialsMatcher);
  }
}

4、核心工具类

public class ShiroUtils {
  /** 加密算法 */
  public final static String hashAlgorithmName = "SHA-256";
  /** 循环次数 */
  public final static int hashIterations = 16;
  public static String sha256(String password, String salt) {
    return new SimpleHash(hashAlgorithmName, password, salt, hashIterations).toString();
  }
  // 获取一个测试账号 admin
  public static void main(String[] args) {
    // 3743a4c09a17e6f2829febd09ca54e627810001cf255ddcae9dabd288a949c4a
    System.out.println(sha256("admin","123")) ;
  }
  /**
   * 获取会话
   */
  public static Session getSession() {
    return SecurityUtils.getSubject().getSession();
  }
  /**
   * Subject:主体,代表了当前“用户”
   */
  public static Subject getSubject() {
    return SecurityUtils.getSubject();
  }
  public static SysUserEntity getUserEntity() {
    return (SysUserEntity)SecurityUtils.getSubject().getPrincipal();
  }
  public static Long getUserId() {
    return getUserEntity().getUserId();
  }
  public static void setSessionAttribute(Object key, Object value) {
    getSession().setAttribute(key, value);
  }
  public static Object getSessionAttribute(Object key) {
    return getSession().getAttribute(key);
  }
  public static boolean isLogin() {
    return SecurityUtils.getSubject().getPrincipal() != null;
  }
  public static void logout() {
    SecurityUtils.getSubject().logout();
  }
}
5、自定义权限异常提示
@RestControllerAdvice
public class ShiroException {
  @ExceptionHandler(AuthorizationException.class)
  public String authorizationException (){
    return "抱歉您没有权限访问该内容!";
  }
  @ExceptionHandler(Exception.class)
  public String handleException(Exception e){
    return "系统异常!";
  }
}

三、案例演示代码

1、测试接口

@RestController
public class ShiroController {
  private static Logger LOGGER = LoggerFactory.getLogger(ShiroController.class) ;
  @Resource
  private SysMenuMapper sysMenuMapper ;
  /**
   * 登录测试
   * http://localhost:7011/userLogin?userName=admin&passWord=admin
   */
  @RequestMapping("/userLogin")
  public void userLogin (
      @RequestParam(value = "userName") String userName,
      @RequestParam(value = "passWord") String passWord){
    try{
      Subject subject = ShiroUtils.getSubject();
      UsernamePasswordToken token = new UsernamePasswordToken(userName, passWord);
      subject.login(token);
      LOGGER.info("登录成功");
    }catch (Exception e) {
      e.printStackTrace();
    }
  }
  /**
   * 服务器每次重启请求该接口之前必须先请求上面登录接口
   * http://localhost:7011/menu/list 获取所有菜单列表
   * 权限要求:sys:user:shiro
   */
  @RequestMapping("/menu/list")
  @RequiresPermissions("sys:user:shiro")
  public List list(){
    return sysMenuMapper.selectList() ;
  }
  /**
   * 用户没有该权限,无法访问
   * 权限要求:ccc:ddd:bbb
   */
  @RequestMapping("/menu/list2")
  @RequiresPermissions("ccc:ddd:bbb")
  public List list2(){
    return sysMenuMapper.selectList() ;
  }
  /**
   * 退出测试,退出后没有任何权限
   */
  @RequestMapping("/userLogOut")
  public String logout (){
    ShiroUtils.logout();
    return "success" ;
  }
}

2、测试流程

1)、登录后取得权限
http://localhost:7011/userLogin?userName=admin&passWord=admin
2)、访问有权限接口
http://localhost:7011/menu/list
3)、访问无权限接口
http://localhost:7011/menu/list2
4)、退出登录
http://localhost:7011/userLogOut

四、源代码地址

GitHub地址:知了一笑
https://github.com/cicadasmile

码云地址:知了一笑
https://gitee.com/cicadasmile

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • spring boot 集成 shiro 自定义密码验证 自定义freemarker标签根据权限渲染不同页面(推荐

    项目里一直用的是 spring-security ,不得不说,spring-security 真是东西太多了,学习难度太大(可能我比较菜),这篇博客来总结一下折腾shiro的成果,分享给大家,强烈推荐shiro,真心简单 : ) 引入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4

  • spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制

    1.添加maven依赖(先安装好cas-server-3.5.2,安装步骤请查看本文参考文章) <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.4</version> </dependency> <dependency> <groupId>

  • SpringBoot集成Shiro进行权限控制和管理的示例

    shiro apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西.springboot暂时没有集成shiro,这得自己配. 1 . 添加依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId

  • SpringBoot2.0整合Shiro框架实现用户权限管理的示例

    GitHub源码地址:知了一笑 https://github.com/cicadasmile/middle-ware-parent 一.Shiro简介 1.基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.作为一款安全框架Shiro的设计相当巧妙.Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中. 2.核心角色 1)Subject:认证主体 代表当前系统的使用者,就是用户,在Shiro的认证中,

  • SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法

    一.Security简介 1.基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作. 2.核心API解读 1).SecurityContextHolder 最基本的对象,保存着当前会话用户认证,权限,鉴权等核心数据.Secu

  • SpringBoot整合Shiro框架,实现用户权限管理

    一.Shiro简介 核心角色 1)Subject:认证主体 代表当前系统的使用者,就是用户,在Shiro的认证中,认证主体通常就是userName和passWord,或者其他用户相关的唯一标识. 2)SecurityManager:安全管理器 Shiro架构中最核心的组件,通过它可以协调其他组件完成用户认证和授权.实际上,SecurityManager就是Shiro框架的控制器. 3)Realm:域对象 定义了访问数据的方式,用来连接不同的数据源,如:关系数据库,配置文件等等. 核心理念 Shi

  • SpringBoot2.0 整合 Dubbo框架实现RPC服务远程调用方法

    一.Dubbo框架简介 1.框架依赖 图例说明: 1)图中小方块 Protocol, Cluster, Proxy, Service, Container, Registry, Monitor 代表层或模块,蓝色的表示与业务有交互,绿色的表示只对 Dubbo 内部交互. 2)图中背景方块 Consumer, Provider, Registry, Monitor 代表部署逻辑拓扑节点. 3)图中蓝色虚线为初始化时调用,红色虚线为运行时异步调用,红色实线为运行时同步调用. 4)图中只包含 RPC

  • spring aop实现用户权限管理的示例

    AOP 在实际项目中运用的场景主要有 权限管理(Authority Management).事务管理(Transaction Management).安全管理(Security).日志管理(Logging)和调试管理(Debugging) 等. 问题源于项目开发 最近项目中需要做一个权限管理模块,按照之前同事的做法是在controller层的每个接口调用之前上做逻辑判断,这样做也没有不妥,但是代码重复率太高,而且是体力劳动,so,便有了如题所说的使用spring aop做一个切点来实现通用功能的

  • springboot2.x整合shiro权限框架的使用

    序 在实际项目中,经常需要用到角色权限区分,以此来为不同的角色赋予不同的权利,分配不同的任务.比如,普通用户只能浏览:会员可以浏览和评论:超级会员可以浏览.评论和看视频课等:实际应用场景很多.毫不夸张的说,几乎每个完整的项目都会设计到权限管理. 在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是由于 Spring Security 过于庞大和复杂,只要能满足业务需要,大多数公司还是会选择 Apache Shiro 来使用. 一般来说,Spri

  • SpringBoot中整合Shiro实现权限管理的示例代码

    之前在 SSM 项目中使用过 shiro,发现 shiro 的权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧 一.简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.使用Shiro的易于理解的API,您可以快速.轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序. 三个核心组件: 1.Subject 即"当前操作用户".但是,在 Shi

  • Springboot整合Shiro实现登录与权限校验详细解读

    目录 Springboot-cli 开发脚手架系列 简介 前言 1. 环境 2. 简介 3. Realm配置 4. 核心配置 5. 接口编写 6. 网页资源 7. 效果演示 8. 源码分享 Springboot-cli 开发脚手架系列 Springboot优雅的整合Shiro进行登录校验,权限认证(附源码下载) 简介 Springboo配置Shiro进行登录校验,权限认证,附demo演示. 前言 我们致力于让开发者快速搭建基础环境并让应用跑起来,提供使用示例供使用者参考,让初学者快速上手. 本博

  • 从零搭建SpringBoot2.X整合Redis框架的详细教程

    最近也不知道写啥,看之前写过Kafka整合Springboot的文章,大家反响还挺热烈的,嘿嘿嘿,就感觉帮助到大家了还挺好的,也算是达到了自己的目的,正好,今天业务模块是springboot整合redis,因为之前做过,所以有现成的代码,cv一下之后就可以了,所以时间比较多,那就给大家整理一下Springboot整合Redis的代码实现吧,从项目搭建到源码实现,下面全都有,耐心看完,相信会对你有所帮助的 好了,话不多说,我们开始吧,同样的,还是建议能够自己在自己的PC端实现一下 个人公众号:Ja

  • SpringBoot2.0整合tk.mybatis异常解决

    pom配置如下(标准简易版): <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.4.RELEASE</version> </parent> <properties> <java.version>1.8&

随机推荐