1. 场景描述

(1)最近有点小忙,公司真实项目内容有点小多以及不想只介绍理论,就使用springboot单独部署了个shiro的demo项目,还是理论和实际项结合比较好理解,介绍起来和修改也方便。

(2)接下来介绍springboot集成shrio,springboot-权限控制shiro(二),本节先不连数据库,先介绍springboot下shiro框架如何使用。(springboot-权限控制shiro(一)

2. 解决方案

2.1 整体介绍

2.1.1 项目图

2.1.2 整体说明

shiro的demo项目主要包含三块内容:

(1)1是pom文件,获取相关jar包;

(2)2是资源(resources),一个配置文件以及6个演示页面;

(3)3是主类,包含启动类、控制类、shiro配置类。

2.1.3 shiro 过滤器说明

(1)认证过滤器

anon:用户不需要认证也可以访问

authc: 用户必须认证才可以访问

user:用户只要rememberMe,就可以访问

(2)授权过滤器

perms: 基于资源的授权过滤器

roles : 基于角色的授权过滤器

本节只使用了anon、authc认证过滤与perms资源授权过滤器,简单说shiro就是通过这些过滤器实现的权限控制。

2.2 pom文件

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

        <version>2.1.6.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

    <groupId>com.laowang</groupId>

    <artifactId>lwshiro</artifactId>

    <version>0.0.1-SNAPSHOT</version>

    <name>lwshiro</name>

    <description>Demo project for Spring Boot</description>

    <properties>

        <java.version>1.8</java.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-test</artifactId>

            <scope>test</scope>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-thymeleaf</artifactId>

        </dependency>

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.4.0</version>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

            </plugin>

        </plugins>

    </build>

</project>

说明

重点是两个gav

1. spring-boot-starter-thymeleaf ---结合页面使用(2.2)


2. shiro-spring  -----shiro核心包

2.3 resource(页面及配置类)

2.3.1 application.properties
server.port=8000

spring.thymeleaf.cache=false

说明:启动端口号改成了8000;cache=false是为了更改页面后不用重启服务,可忽略。

2.3.2 六个页面

(1)index.html

<!DOCTYPE html>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>软件老王主页</title>

</head>

<body>

<h3>软件老王主页</h3>

当前用户名:<span th:text="${session.userName}"></span>,<a href="/user/logout">注销</a>

<hr/>

<span>

<a href="/page/toa">页面1</a><br/>

</span>

<span >

<a href="/page/tob">页面2</a><br/>

</span>

<span >

<a href="/page/toc">页面3</a><br/>

</span>

</body>

</html>

(2)login.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>登录页面</title>

</head>

<body>

<h3>登录</h3>

<font color="red" th:text="${msg}"></font>

<form method="post" action="/user/login">

  用户名:<input type="text" name="name"/><br/>

  密码:<input type="password" name="password"/><br/>

  <input type="submit" value="登录">

</form>

</body>

</html>

(3)unauth.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>未授权提示页面</title>

</head>

<body>

i'm 软件老王,没有权限访问此页面

</body>

</html>

(4)a.html、 b.html、 c.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面a</title>

</head>

<body>

i'm 软件老王,页面a

</body>

</html>


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面b</title>

</head>

<body>

i'm 软件老王,页面b

</body>

</html>


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>i'm 软件老王,页面c</title>

</head>

<body>

i'm 软件老王,页面c

</body>

</html>

说明: 几个页面就不多说,仅仅为了说明问题新建的,有个标签可以关注下 th,这个是thymeleaf里面的,结合页面使用。

2.4 java类

2.4.1 启动类(LwshiroApplication)
package com.laowang.lwshiro;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication

public class LwshiroApplication {

    public static void main(String[] args) {

        SpringApplication.run(LwshiroApplication.class, args);

    }

}

说明: springboot项目启动类。

2.4.2 用户登录类(UserController)
package com.laowang.lwshiro.controller;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.IncorrectCredentialsException;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.subject.Subject;

import org.springframework.stereotype.Controller;

import org.springframework.ui.Model;

import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;

/**

 * 用户登录类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/user")

public class UserController {

    @RequestMapping("/login")

    public String login(User user, HttpServletRequest request,

                        Model model) {

        Subject subject = SecurityUtils.getSubject();

        AuthenticationToken token = new UsernamePasswordToken(user.getName(),

                user.getPassword());

        try {

            subject.login(token);

            User tuser = (User)subject.getPrincipal();

            request.getSession().setAttribute("userName",tuser.getName());

            return "redirect:/index";

        } catch (UnknownAccountException e) {

            model.addAttribute("msg", "i'm 软件老王,用户名不存在");

            return "login";

        } catch (IncorrectCredentialsException e) {

            model.addAttribute("msg", "i'm 软件老王,密码错误");

            return "login";

        }

    }

    /**

     * i'm 软件老王,注销方法

     */

    @RequestMapping("/logout")

    public String logout(){

        Subject subject = SecurityUtils.getSubject();

        subject.logout(); //shiro底层删除session的会话信息

        return "redirect:/toLogin";

    }

}

说明:

重点就以下3行代码

 Subject subject = SecurityUtils.getSubject();       -----------#1

        AuthenticationToken token = new UsernamePasswordToken(user.getName(),

                user.getPassword());        ---------#2

        try {

            subject.login(token);            ----------#3

(1)第一行是从工厂中获取subject,登录用户操作类;

(2)将从页面获取的用户名和密码设置到一个token中;

(3)调用登录有用户操作类的login方法;

(4)会在MyRealm类的doGetAuthenticationInfo方法中获取到登录的token与数据库中(目前写的固定值)进行认证过滤比对。

2.4.3 接收参数类(User)
package com.laowang.lwshiro.controller;

import java.io.Serializable;

/**

 * 接收参数类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

public class User implements Serializable{

	private Integer id;

	private String name;

	private String password;

	public Integer getId() {

		return id;

	}

	public void setId(Integer id) {

		this.id = id;

	}

	public String getName() {

		return name;

	}

	public void setName(String name) {

		this.name = name;

	}

	public String getPassword() {

		return password;

	}

	public void setPassword(String password) {

		this.password = password;

	}

	@Override

	public String toString() {

		return "User [id=" + id + ", name=" + name + ", password=" + password + "]";

	}

}

说明: 接收参数类

2.4.4 页面跳转(PageController)
package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 * 页面跳转

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/page")

public class PageController {

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toa")

	public String toAdd(){

		return "page/a";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/tob")

	public String toList(){

		return "page/b";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toc")

	public String toUpdate(){

		return "page/c";

	}

}

说明: 控制跳转类,没啥值的说的。

2.4.5 主控制类(MainController)
package com.laowang.lwshiro.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 *  主控制类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Controller

@RequestMapping("/")

public class MainController {

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/index")

	public String index(){

		return "index";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/toLogin")

	public String toLogin(){

		return "login";

	}

	/**

	 * i'm 软件老王

	 */

	@RequestMapping("/unAuth")

	public String unAuth(){

		return "unauth";

	}

}

**说明: **主控制类,也没啥值的说的。

2.4.6 shiro主配置类(ShiroConfig)
package com.laowang.lwshiro.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.Map;

/**

 *  shiro主配置类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

@Configuration

public class ShiroConfig {

    /**

     * i'm 软件老王

     */

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, String> filterMap = new LinkedHashMap<>();

        //登录

        filterMap.put("/page/toa", "anon");

        filterMap.put("/user/login", "anon");

        //授权过滤器

//        filterMap.put("/page/toa", "perms[toa]");

        filterMap.put("/page/tob", "perms[tob]");

        filterMap.put("/page/toc", "perms[toc]");

        filterMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        shiroFilterFactoryBean.setLoginUrl("/toLogin");

        shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");

        return shiroFilterFactoryBean;

    }

    /**

     * i'm 软件老王

     */

    @Bean

    public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm) {

        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();

        defaultWebSecurityManager.setRealm(myRealm);

        return defaultWebSecurityManager;

    }

    /**

     * i'm 软件老王

     */

    @Bean

    public MyRealm getMyReal() {

        MyRealm myReal = new MyRealm();

        return myReal;

    }

}

说明:

这个是shiro的主配置类,重点说一下,这个类中包含了三个bean,分别为:

(1)getShiroFilterFactoryBean这个bean是关键,用于设定过滤器,本节的授权写的固定的,下节将从数据库中获取,在这个bean中设置认证过滤、授权过滤、登录页及无权限页,非常重要。

(2)getSecurityManager这个类是跟前面的 Subject subject = SecurityUtils.getSubject()有关系的,通过这里配置MyRealm,将登录控制与shiro关联起来;

(3)getMyReal 这个bean是为了注入MyRealm类;

2.4.7 shiro配置类(MyRealm)
package com.laowang.lwshiro.config;

import com.laowang.lwshiro.controller.User;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

/**

 *  shiro配置类

 * @auther: 软件老王

 * @date: 2019/7/30

 */

public class MyRealm extends AuthorizingRealm {

    /**

     * i'm 软件老王

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addStringPermission("toa");

        info.addStringPermission("toc");

        return info;

    }

    /**

     * i'm 软件老王

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;

        String  name ="laowang";

        String  password="123";

        if (!token.getUsername().equalsIgnoreCase(name)) {

            return null;

        }

        User tuser = new User();

        tuser.setName(name);

        tuser.setPassword(password);

        return  new SimpleAuthenticationInfo(tuser,tuser.getPassword(),"");

    }

}

说明

这个类是项目的具体配置类,每个项目都可能会不一样。

(1) doGetAuthorizationInfo这个是授权方法,结合登录用户使用,从数据库中查询出登录人具有的权限信息,有权限的话,放行;没有权限的转到unauth页面;

(2)doGetAuthenticationInfo这个是认证方法,在登录控制处调用subject.login方法后,就会跳转到这里进行认证操作,用户名直接跟从数据库中查询比对,密码赋值到SimpleAuthenticationInfo类在shiro中进行比对,根据返回情况在登录控制处进行提示。

2.5 效果

2.5.1 登录页

访问地址:http://localhost:8000

2.5.2 首页

登录账户:laowang,密码:123

(1)登录成功

(2)登录失败

2.5.3 访问页面

在myrealm中设置了所有用户对a页面和c页面有操作权限,对b页面没有,这一块本节写的固定的,下一节会从数据库中根据用户名查询登录人拥有的权限。

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addStringPermission("toa");

        info.addStringPermission("toc");

        return info;

    }

(1)访问页面a

(2)访问页面b

I’m 「软件老王」,如果觉得还可以的话,关注下呗,后续更新秒知!欢迎讨论区、同名公众号留言交流!

springboot-权限控制shiro(二)的更多相关文章

  1. Java之封装与访问权限控制(二)

    目录 Java之封装与访问权限控制(二) 包:库单元 import import static Java常用包 Java之封装与访问权限控制(二) 访问权限控制是具体实现的隐藏,是封装性的一部分体现. ...

  2. 单点登录(十八)----cas4.2.x客户端增加权限控制shiro

    我们在上面章节已经完成了cas4.2.x登录启用mongodb的验证方式. 单点登录(十三)-----实战-----cas4.2.X登录启用mongodb验证方式完整流程 也完成了获取管理员身份属性 ...

  3. ASP.NET对HTML元素进行权限控制(二)

    这是这个权限控制的第一步,扫描界面把要分配权限的元素的信息获取出来存入到数据库中. 这一步分三小步: (1).标出界面所要分配权限的元素 (2).扫描界面获取所要分配权限的元素信息.(ID,标题,层级 ...

  4. Web Service学习-CXF开发Web Service的权限控制(二)

    Web Service怎样进行权限控制? 解决思路:server端要求input消息总是携带实username.password信息,假设没实username和password信息.直接拒绝调用 解决 ...

  5. shiro权限控制(二):分布式架构中shiro的实现

    前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shi ...

  6. 项目一:第十二天 1、常见权限控制方式 2、基于shiro提供url拦截方式验证权限 3、在realm中授权 5、总结验证权限方式(四种) 6、用户注销7、基于treegrid实现菜单展示

    1 课程计划 1. 常见权限控制方式 2. 基于shiro提供url拦截方式验证权限 3. 在realm中授权 4. 基于shiro提供注解方式验证权限 5. 总结验证权限方式(四种) 6. 用户注销 ...

  7. Java之封装与访问权限控制(一)

    目录 Java之封装与访问权限控制(一) 封装的概念 访问控制符 属性私有化 Java之封装与访问权限控制(一) 对于封装的概念,我总觉得自己还是挺了解的,但是真要我说,还真说不出个啥来.我只能默默地 ...

  8. Shiro入门之二 --------基于注解方式的权限控制与Ehcache缓存

    一  基于注解方式的权限控制 首先, 在spring配置文件applicationContext.xml中配置自动代理和切面 <!-- 8配置自动代理 -->    <bean cl ...

  9. springboot shiro和freemarker集成之权限控制完全参考手册(跳过认证,登录由三方验证,全网首发)

    本文主要考虑单点登录场景,登录由其他系统负责,业务子系统只使用shiro进行菜单和功能权限校验,登录信息通过token从redis取得,这样登录验证和授权就相互解耦了. 用户.角色.权限进行集中式管理 ...

  10. springboot集成shiro 实现权限控制(转)

    shiro apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自 ...

随机推荐

  1. vscode左边侧边栏字体的大小

    相信很多小伙伴们都会在用vscode的时候,当屏幕大小发生变化的时候,你可能会觉得左边的字体太小了,我也遇到了这样的问题,百度也没有找到解决办法,自己摸索了几天,发现可以通过ctrl+shift+ + ...

  2. K8s集群部署(二)------ Master节点部署

    Master节点要部署三个服务:API Server.Scheduler.Controller Manager. apiserver提供集群管理的REST API接口,包括认证授权.数据校验以 及集群 ...

  3. 什么是JS跨域请求

    这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被 ...

  4. iOS邓白氏编码申请流程及苹果账号组织名称变更

    邓氏编码(D-U-N-S®Number,是Data Universal Numbering System的缩写).它是一个独一无二的9位数字全球编码系统,相当于企业的身份识别码 (就像是个人的身份证) ...

  5. WebLogic 任意文件上传远程代码执行_CVE-2018-2894漏洞复现

    WebLogic 任意文件上传远程代码执行_CVE-2018-2894漏洞复现 一.漏洞描述 Weblogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限.Oracle 7月 ...

  6. String到底在内存中是如何存储的

    String会出现在哪些地方 方法内的局部string 类内的字段String static string 容器中存储的string String数组 那么String的位置会影响其存储方式吗? 显然 ...

  7. Spring Boot + Elasticsearch 实现索引批量写入

    在使用Eleasticsearch进行索引维护的过程中,如果你的应用场景需要频繁的大批量的索引写入,再使用上篇中提到的维护方法的话显然效率是低下的,此时推荐使用bulkIndex来提升效率.批写入数据 ...

  8. 多线程总结-同步之volatile关键字

    目录 1 案例引出可见性 2 案例引出原子性 1 案例引出可见性 代码解析:新起一个子线程执行m()方法,1秒后主线程将b置为false,子线程是否会停止执行死循环while(b){},打印" ...

  9. 20141209-基本概念-BlogEngine.NET(1)-笔记

    最近在读BlogEngine.NET3.1源代码,希望能坚持到底吧. 刚接触源代码,没有思路,于是读了14篇关于BlogEngine.Net1.4.5的系列博客,地址:http://www.cnblo ...

  10. CAD2014学习笔记-常用绘图命令和工具

    基于 虎课网huke88.com CAD教程 圆的绘制 快捷键c:选定圆心绘制半径长度的圆 快捷键c + 命令行输入 3p(三点成圆) 2p(两点成圆) t(选定两个圆的切点绘制与两圆相切的圆,第三部 ...