springboot-权限控制shiro(二)
1. 场景描述
(1)最近有点小忙,公司真实项目内容有点小多以及不想只介绍理论,就使用springboot单独部署了个shiro的demo项目,还是理论和实际项结合比较好理解,介绍起来和修改也方便。
(2)接下来介绍springboot集成shrio,springboot-权限控制shiro(二),本节先不连数据库,先介绍springboot下shiro框架如何使用。(springboot-权限控制shiro(一))
2. 解决方案
2.1 整体介绍
2.1.1 项目图
2.1.2 整体说明
shiro的demo项目主要包含三块内容:
(1)1是pom文件,获取相关jar包;
(2)2是资源(resources),一个配置文件以及6个演示页面;
(3)3是主类,包含启动类、控制类、shiro配置类。
2.1.3 shiro 过滤器说明
(1)认证过滤器
anon:用户不需要认证也可以访问
authc: 用户必须认证才可以访问
user:用户只要rememberMe,就可以访问
(2)授权过滤器
perms: 基于资源的授权过滤器
roles : 基于角色的授权过滤器
本节只使用了anon、authc认证过滤与perms资源授权过滤器,简单说shiro就是通过这些过滤器实现的权限控制。
2.2 pom文件
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.1.6.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.laowang</groupId>
<artifactId>lwshiro</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>lwshiro</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
说明:
重点是两个gav
1. spring-boot-starter-thymeleaf ---结合页面使用(2.2)
2. shiro-spring -----shiro核心包
2.3 resource(页面及配置类)
2.3.1 application.properties
server.port=8000
spring.thymeleaf.cache=false
说明:启动端口号改成了8000;cache=false是为了更改页面后不用重启服务,可忽略。
2.3.2 六个页面
(1)index.html
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>软件老王主页</title>
</head>
<body>
<h3>软件老王主页</h3>
当前用户名:<span th:text="${session.userName}"></span>,<a href="/user/logout">注销</a>
<hr/>
<span>
<a href="/page/toa">页面1</a><br/>
</span>
<span >
<a href="/page/tob">页面2</a><br/>
</span>
<span >
<a href="/page/toc">页面3</a><br/>
</span>
</body>
</html>
(2)login.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>登录页面</title>
</head>
<body>
<h3>登录</h3>
<font color="red" th:text="${msg}"></font>
<form method="post" action="/user/login">
用户名:<input type="text" name="name"/><br/>
密码:<input type="password" name="password"/><br/>
<input type="submit" value="登录">
</form>
</body>
</html>
(3)unauth.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>未授权提示页面</title>
</head>
<body>
i'm 软件老王,没有权限访问此页面
</body>
</html>
(4)a.html、 b.html、 c.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 软件老王,页面a</title>
</head>
<body>
i'm 软件老王,页面a
</body>
</html>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 软件老王,页面b</title>
</head>
<body>
i'm 软件老王,页面b
</body>
</html>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>i'm 软件老王,页面c</title>
</head>
<body>
i'm 软件老王,页面c
</body>
</html>
说明: 几个页面就不多说,仅仅为了说明问题新建的,有个标签可以关注下 th,这个是thymeleaf里面的,结合页面使用。
2.4 java类
2.4.1 启动类(LwshiroApplication)
package com.laowang.lwshiro;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class LwshiroApplication {
public static void main(String[] args) {
SpringApplication.run(LwshiroApplication.class, args);
}
}
说明: springboot项目启动类。
2.4.2 用户登录类(UserController)
package com.laowang.lwshiro.controller;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import javax.servlet.http.HttpServletRequest;
/**
* 用户登录类
* @auther: 软件老王
* @date: 2019/7/30
*/
@Controller
@RequestMapping("/user")
public class UserController {
@RequestMapping("/login")
public String login(User user, HttpServletRequest request,
Model model) {
Subject subject = SecurityUtils.getSubject();
AuthenticationToken token = new UsernamePasswordToken(user.getName(),
user.getPassword());
try {
subject.login(token);
User tuser = (User)subject.getPrincipal();
request.getSession().setAttribute("userName",tuser.getName());
return "redirect:/index";
} catch (UnknownAccountException e) {
model.addAttribute("msg", "i'm 软件老王,用户名不存在");
return "login";
} catch (IncorrectCredentialsException e) {
model.addAttribute("msg", "i'm 软件老王,密码错误");
return "login";
}
}
/**
* i'm 软件老王,注销方法
*/
@RequestMapping("/logout")
public String logout(){
Subject subject = SecurityUtils.getSubject();
subject.logout(); //shiro底层删除session的会话信息
return "redirect:/toLogin";
}
}
说明:
重点就以下3行代码
Subject subject = SecurityUtils.getSubject(); -----------#1
AuthenticationToken token = new UsernamePasswordToken(user.getName(),
user.getPassword()); ---------#2
try {
subject.login(token); ----------#3
(1)第一行是从工厂中获取subject,登录用户操作类;
(2)将从页面获取的用户名和密码设置到一个token中;
(3)调用登录有用户操作类的login方法;
(4)会在MyRealm类的doGetAuthenticationInfo方法中获取到登录的token与数据库中(目前写的固定值)进行认证过滤比对。
2.4.3 接收参数类(User)
package com.laowang.lwshiro.controller;
import java.io.Serializable;
/**
* 接收参数类
* @auther: 软件老王
* @date: 2019/7/30
*/
public class User implements Serializable{
private Integer id;
private String name;
private String password;
public Integer getId() {
return id;
}
public void setId(Integer id) {
this.id = id;
}
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
@Override
public String toString() {
return "User [id=" + id + ", name=" + name + ", password=" + password + "]";
}
}
说明: 接收参数类
2.4.4 页面跳转(PageController)
package com.laowang.lwshiro.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
/**
* 页面跳转
* @auther: 软件老王
* @date: 2019/7/30
*/
@Controller
@RequestMapping("/page")
public class PageController {
/**
* i'm 软件老王
*/
@RequestMapping("/toa")
public String toAdd(){
return "page/a";
}
/**
* i'm 软件老王
*/
@RequestMapping("/tob")
public String toList(){
return "page/b";
}
/**
* i'm 软件老王
*/
@RequestMapping("/toc")
public String toUpdate(){
return "page/c";
}
}
说明: 控制跳转类,没啥值的说的。
2.4.5 主控制类(MainController)
package com.laowang.lwshiro.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
/**
* 主控制类
* @auther: 软件老王
* @date: 2019/7/30
*/
@Controller
@RequestMapping("/")
public class MainController {
/**
* i'm 软件老王
*/
@RequestMapping("/index")
public String index(){
return "index";
}
/**
* i'm 软件老王
*/
@RequestMapping("/toLogin")
public String toLogin(){
return "login";
}
/**
* i'm 软件老王
*/
@RequestMapping("/unAuth")
public String unAuth(){
return "unauth";
}
}
**说明: **主控制类,也没啥值的说的。
2.4.6 shiro主配置类(ShiroConfig)
package com.laowang.lwshiro.config;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
/**
* shiro主配置类
* @auther: 软件老王
* @date: 2019/7/30
*/
@Configuration
public class ShiroConfig {
/**
* i'm 软件老王
*/
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> filterMap = new LinkedHashMap<>();
//登录
filterMap.put("/page/toa", "anon");
filterMap.put("/user/login", "anon");
//授权过滤器
// filterMap.put("/page/toa", "perms[toa]");
filterMap.put("/page/tob", "perms[tob]");
filterMap.put("/page/toc", "perms[toc]");
filterMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
shiroFilterFactoryBean.setLoginUrl("/toLogin");
shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");
return shiroFilterFactoryBean;
}
/**
* i'm 软件老王
*/
@Bean
public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm) {
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
defaultWebSecurityManager.setRealm(myRealm);
return defaultWebSecurityManager;
}
/**
* i'm 软件老王
*/
@Bean
public MyRealm getMyReal() {
MyRealm myReal = new MyRealm();
return myReal;
}
}
说明:
这个是shiro的主配置类,重点说一下,这个类中包含了三个bean,分别为:
(1)getShiroFilterFactoryBean这个bean是关键,用于设定过滤器,本节的授权写的固定的,下节将从数据库中获取,在这个bean中设置认证过滤、授权过滤、登录页及无权限页,非常重要。
(2)getSecurityManager这个类是跟前面的 Subject subject = SecurityUtils.getSubject()有关系的,通过这里配置MyRealm,将登录控制与shiro关联起来;
(3)getMyReal 这个bean是为了注入MyRealm类;
2.4.7 shiro配置类(MyRealm)
package com.laowang.lwshiro.config;
import com.laowang.lwshiro.controller.User;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
/**
* shiro配置类
* @auther: 软件老王
* @date: 2019/7/30
*/
public class MyRealm extends AuthorizingRealm {
/**
* i'm 软件老王
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("toa");
info.addStringPermission("toc");
return info;
}
/**
* i'm 软件老王
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
String name ="laowang";
String password="123";
if (!token.getUsername().equalsIgnoreCase(name)) {
return null;
}
User tuser = new User();
tuser.setName(name);
tuser.setPassword(password);
return new SimpleAuthenticationInfo(tuser,tuser.getPassword(),"");
}
}
说明
这个类是项目的具体配置类,每个项目都可能会不一样。
(1) doGetAuthorizationInfo这个是授权方法,结合登录用户使用,从数据库中查询出登录人具有的权限信息,有权限的话,放行;没有权限的转到unauth页面;
(2)doGetAuthenticationInfo这个是认证方法,在登录控制处调用subject.login方法后,就会跳转到这里进行认证操作,用户名直接跟从数据库中查询比对,密码赋值到SimpleAuthenticationInfo类在shiro中进行比对,根据返回情况在登录控制处进行提示。
2.5 效果
2.5.1 登录页
2.5.2 首页
登录账户:laowang,密码:123
(1)登录成功
(2)登录失败
2.5.3 访问页面
在myrealm中设置了所有用户对a页面和c页面有操作权限,对b页面没有,这一块本节写的固定的,下一节会从数据库中根据用户名查询登录人拥有的权限。
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.addStringPermission("toa");
info.addStringPermission("toc");
return info;
}
(1)访问页面a
(2)访问页面b
I’m 「软件老王」,如果觉得还可以的话,关注下呗,后续更新秒知!欢迎讨论区、同名公众号留言交流!
springboot-权限控制shiro(二)的更多相关文章
- Java之封装与访问权限控制(二)
目录 Java之封装与访问权限控制(二) 包:库单元 import import static Java常用包 Java之封装与访问权限控制(二) 访问权限控制是具体实现的隐藏,是封装性的一部分体现. ...
- 单点登录(十八)----cas4.2.x客户端增加权限控制shiro
我们在上面章节已经完成了cas4.2.x登录启用mongodb的验证方式. 单点登录(十三)-----实战-----cas4.2.X登录启用mongodb验证方式完整流程 也完成了获取管理员身份属性 ...
- ASP.NET对HTML元素进行权限控制(二)
这是这个权限控制的第一步,扫描界面把要分配权限的元素的信息获取出来存入到数据库中. 这一步分三小步: (1).标出界面所要分配权限的元素 (2).扫描界面获取所要分配权限的元素信息.(ID,标题,层级 ...
- Web Service学习-CXF开发Web Service的权限控制(二)
Web Service怎样进行权限控制? 解决思路:server端要求input消息总是携带实username.password信息,假设没实username和password信息.直接拒绝调用 解决 ...
- shiro权限控制(二):分布式架构中shiro的实现
前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shi ...
- 项目一:第十二天 1、常见权限控制方式 2、基于shiro提供url拦截方式验证权限 3、在realm中授权 5、总结验证权限方式(四种) 6、用户注销7、基于treegrid实现菜单展示
1 课程计划 1. 常见权限控制方式 2. 基于shiro提供url拦截方式验证权限 3. 在realm中授权 4. 基于shiro提供注解方式验证权限 5. 总结验证权限方式(四种) 6. 用户注销 ...
- Java之封装与访问权限控制(一)
目录 Java之封装与访问权限控制(一) 封装的概念 访问控制符 属性私有化 Java之封装与访问权限控制(一) 对于封装的概念,我总觉得自己还是挺了解的,但是真要我说,还真说不出个啥来.我只能默默地 ...
- Shiro入门之二 --------基于注解方式的权限控制与Ehcache缓存
一 基于注解方式的权限控制 首先, 在spring配置文件applicationContext.xml中配置自动代理和切面 <!-- 8配置自动代理 --> <bean cl ...
- springboot shiro和freemarker集成之权限控制完全参考手册(跳过认证,登录由三方验证,全网首发)
本文主要考虑单点登录场景,登录由其他系统负责,业务子系统只使用shiro进行菜单和功能权限校验,登录信息通过token从redis取得,这样登录验证和授权就相互解耦了. 用户.角色.权限进行集中式管理 ...
- springboot集成shiro 实现权限控制(转)
shiro apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自 ...
随机推荐
- 【设计模式】【最后一个】结构型07适配器模式(Adapter Pattern)
适配器模式(Adapter Pattern) 推荐一个很全面的博客:https://blog.csdn.net/zxt0601/article/details/52848004 定义:将一个类的接口转 ...
- idea创建类报错
创建类报错: 在idea.exe.vmoptions 或 idea64.exe.vmoptions中加入配置 -Djdk.util.zip.ensureTrailingSlash=false jar包 ...
- centos系统supervisor配置
supervisor用来管理非daemon程序!将自动转换为daemon程序 安装: yum install supervisor 配置: 默认配置文件路径: /etc/supervisord.con ...
- 手把手docker部署java应用(初级篇)
本篇原创发布于 Flex 的个人博客:点击跳转 前言 在没有 docker 前,项目转测试是比较麻烦的一件事.首先会化较长的时间搭建测试环境,然后在测试过程中又经常出现测试说是 bug,开发说无法 ...
- 记录微信浏览器里word链接点击没反应的bug
有用户反应点击下载附件时没有反应,让用户把该下载链接复制到微信对话框中,发现点击该链接仍然无反应,但是在内置的手机浏览器中打开是正常的而且可以下载. 链接地址,有需要的可以拿去进行测试: http:/ ...
- 微服务网关 Spring Cloud Gateway
1. 为什么是Spring Cloud Gateway 一句话,Spring Cloud已经放弃Netflix Zuul了.现在Spring Cloud中引用的还是Zuul 1.x版本,而这个版本是 ...
- GRPC Oauth IdentityServer4
Server端 StartUp类: using System; using System.Collections.Generic; using System.Linq; using System.Th ...
- 微服务-springboot-rabbitmq:实现延时队列
延时队列应用于什么场景 延时队列顾名思义,即放置在该队列里面的消息是不需要立即消费的,而是等待一段时间之后取出消费.那么,为什么需要延迟消费呢?我们来看以下的场景 网上商城下订单后30分钟后没有完成支 ...
- Python编程菜鸟成长记--A1--02--Python介绍
目录 1.重点知识 2.Python 语言介绍 2.1.Python 在主要领域的应用前景 2.2.Python 在机构.行业巨头公司的应用 3.Python 的发展史 4.Python 的发展前景如 ...
- BZOJ 3295:[Cqoi2011]动态逆序对(三维偏序 CDQ分治+树状数组)
http://www.lydsy.com/JudgeOnline/problem.php?id=3295 题意:简单明了. 思路:终于好像有点明白CDQ分治处理三维偏序了.把删除操作看作是插入操作,那 ...