背景:springboot2.1,shiro1.4;由于目前的小项目没做登录,但是客户又需要加上权限,因此楼主就想到了shiro(这是单独的项目,需要集成后台管理系统)

shiro简介

Apache Shiro是Java的一个安全框架,集成相对简单,可以帮我们完成认证、授权、加密、会话管理、与Web集成、缓存等。

Authentication身份认证/登录,验证用户是不是拥有相应的身份;

Authorization授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Subject主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

上面这一段是网上抄的(参考地址:https://jinnianshilongnian.iteye.com/blog/2018936

下面引入自己的实际代码

登录入口:

重新建了一个 AuthenticationToken 的子类 TenantUsernamePasswordToken 添加了一个变量tenantId

@RequestMapping("/login")

    @ResponseBody

    public GlobalResult loginUser(String loginName,String password,HttpServletRequest request) {

        AuthenticationToken usernamePasswordToken = new TenantUsernamePasswordToken(loginName,tenantId,password);

        Subject subject = SecurityUtils.getSubject();

        try {

            subject.login(usernamePasswordToken);   //完成登录

            User user = (User) subject.getPrincipal();

            subject.getSession().setTimeout(60*60000);//1h过期(ms)

            subject.getSession().setAttribute("user", user);

            return ResultUtil.success();

        } catch (IncorrectCredentialsException e) {

            return ResultUtil.fail("密码错误");

        } catch (LockedAccountException e) {

            return ResultUtil.fail("登录失败,该用户已被冻结");

        } catch (AuthenticationException e) {

            return ResultUtil.fail("该用户不存在");

        } catch (Exception e) {

            e.printStackTrace();

            return ResultUtil.fail("登录异常,原因:{}"+e.getMessage());

        }

    }  

接下来贴出shiro主要配置

TenantUsernamePasswordToken

public class TenantUsernamePasswordToken extends UsernamePasswordToken {

    private static final long serialVersionUID = 3814343176522955308L;

    private String tenant;

    public TenantUsernamePasswordToken() {

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password) {

        this(username, tenant, (char[])password, false, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password) {

        this(username, tenant, (char[])(password != null?password.toCharArray():null), false, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password, String host) {

        this(username, tenant, password, false, host);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password, String host) {

        this(username, tenant, password != null?password.toCharArray():null, false, host);

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password, boolean rememberMe) {

        this(username, tenant, (char[])password, rememberMe, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password, boolean rememberMe) {

        this(username, tenant, (char[])(password != null?password.toCharArray():null), rememberMe, (String)null);

    }

    public TenantUsernamePasswordToken(String username, String tenant, String password, boolean rememberMe, String host) {

        this(username, tenant, password != null?password.toCharArray():null, rememberMe, host);

    }

    public TenantUsernamePasswordToken(String username, String tenant, char[] password, boolean rememberMe, String host) {

        super(username, password, rememberMe, host);

        this.tenant = tenant;

    }

    public String getTenant() {

        return this.tenant;

    }

    public void setTenant(String tenant) {

        this.tenant = tenant;

    }

    public void clear() {

        super.clear();

        this.tenant = null;

    }

    public String toString() {

        StringBuilder sb = new StringBuilder();

        sb.append(this.getClass().getName());

        sb.append(" - ");

        sb.append(this.getUsername());

        sb.append(", tenant=").append(this.tenant);

        sb.append(", rememberMe=").append(this.isRememberMe());

        if(this.getHost() != null) {

            sb.append(" (").append(this.getHost()).append(")");

        }

        return sb.toString();

    }

}

新定义了一个密码比较器(可根据业务需要自行配制)

public class CredentialsMatcher extends SimpleCredentialsMatcher {

    @Override

    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

        UsernamePasswordToken utoken=(UsernamePasswordToken) token;

        //获得用户输入的密码:(可以采用加盐(salt)的方式去检验)

        String inPassword = new String(utoken.getPassword());

        //获得数据库中的密码

        String dbPassword=(String) info.getCredentials();

        //进行密码的比对

//        return this.equals(inPassword, dbPassword);忽略密码比对

        return true;

    }

AuthRealm(进行登录校验,权限赋值等) 

public class AuthRealm extends AuthorizingRealm {

    @Autowired

    private IUserService userService;

    /**

     * 授权

     * @param principal

     * @return

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {

        System.err.println("===================================================================================");

        if(principal == null) {

            throw new AuthorizationException("PrincipalCollection method argument cannot be null.");

        } else {

            User userInfo = (User)this.getAvailablePrincipal(principal);

            log.info("username:{},userId:{}", userInfo.getLoginName(), userInfo.getId());

            Set<String> permissions = new HashSet();

            List<Resource> resourceList = this.userService.findResourcesByUserId(userInfo.getId());

            if(resourceList.isEmpty()) {

                log.error("current user:{} has not resources ", userInfo.getLoginName());

                return null;

            } else {

                Iterator i$ = resourceList.iterator();

                while(i$.hasNext()) {

                    Resource resource = (Resource)i$.next();

                    String permission = resource.getCode();

                    if(StringUtil.isNotEmpty(permission) && !permissions.contains(permission)) {

                        permissions.add(permission);

                    }

                }

                SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

                authorizationInfo.setStringPermissions(permissions);

                return authorizationInfo;

            }

        }

    }

    /**

     * 认证登录

     * @param token

     * @return

     * @throws AuthenticationException

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        TenantUsernamePasswordToken utoken = (TenantUsernamePasswordToken) token;//获取用户输入的token

        String userName = utoken.getUsername();

        String tenantId = utoken.getTenant();

        User user;

        try {

            user = userService.getByLoginNameAndTenantId(userName,tenantId);

        } catch (Exception var8) {

            log.error("无法获取用户信息!", var8);

            throw new UnknownAccountException(SpringContextUtils.getMessage("security.usernameNotExists"), var8);

        }

        if(user == null) {

            throw new UnknownAccountException(SpringContextUtils.getMessage("security.usernameNotExists"));

        } else {

            return new SimpleAuthenticationInfo(user, null,this.getClass().getName());//放入shiro.调用CredentialsMatcher检验密码

        }

    }

} 

 ShiroConfiguration(主要配置)

@Configuration

public class ShiroConfiguration {

    /**

     * anon  匿名访问

     * authc 登陆访问

     * @param manager

     * @return

     */

    @Bean(name="shiroFilter")

    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {

        ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();

        bean.setSecurityManager(manager);

        //配置登录的url和登录成功的url

        bean.setLoginUrl("/unlogin");

//        bean.setSuccessUrl("/merchant/home");

        //配置访问权限

        LinkedHashMap<String, String> filterChainDefinitionMap=new LinkedHashMap<>();

        filterChainDefinitionMap.put("/static/**",  "anon");//静态资源不拦截

        filterChainDefinitionMap.put("/login",  "anon");

        filterChainDefinitionMap.put("/**", "authc");

        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return bean;

    }

    /**

     * 配置核心安全事务管理器

     * @param authRealm

     * @return

     */

    @Bean(name="securityManager")

    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {

        System.err.println("--------------shiro已经加载----------------");

        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();

        manager.setRealm(authRealm);

        return manager;

    }

    /**

     * 配置自定义的权限登录器

     * @param matcher

     * @return

     */

    @Bean(name="authRealm")

    public AuthRealm authRealm(@Qualifier("credentialsMatcher") CredentialsMatcher matcher) {

        AuthRealm authRealm=new AuthRealm();

        authRealm.setCredentialsMatcher(matcher);

        return authRealm;

    }

    /**

     * 配置自定义的密码比较器

     * @return

     */

    @Bean(name="credentialsMatcher")

    public CredentialsMatcher credentialsMatcher() {

        return new CredentialsMatcher();

    }

    @Bean

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){

        return new LifecycleBeanPostProcessor();

    }

    /**

     * 开启shiro注解

     * @return

     */

    @Bean

    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){

        DefaultAdvisorAutoProxyCreator creator=new DefaultAdvisorAutoProxyCreator();

        creator.setProxyTargetClass(true);

        return creator;

    }

    /**

     * 开启aop

     * @param manager

     * @return

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {

        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();

        advisor.setSecurityManager(manager);

        return advisor;

    }

    /**

     * 注册全局异常处理

     * @return

     */

    @Bean(name = "exceptionHandler")

    public HandlerExceptionResolver handlerExceptionResolver() {

        return new MyExceptionHandler();

    }

}

  到此主要配置代码就已完成(主要记录方便以后自用---仅供参考)

如果想对某个接口进行权限控制需要在想要的接口上添加shiro标签(如下代码示例)

    @RequestMapping("/getUser")

    @ResponseBody

    @RequiresPermissions("/getUser")//这里是存入数据库的资源名

    public GlobalResult getUser(String loginName, String password, HttpSession session) {

        return ResultUtil.success(userService.getByLoginNameAndTenantId("zhangsan",tenantId)) ;

    }

  

  

springboot整合shiro进行权限管理的更多相关文章

  1. spring-boot整合shiro实现权限管理

    1.运行环境 开发工具:intellij idea JDK版本:1.8 项目管理工具:Maven 4.0.0 2.GITHUB地址 https://github.com/nbfujx/springBo ...

  2. SpringBoot整合Shiro实现权限控制,验证码

    本文介绍 SpringBoot 整合 shiro,相对于 Spring Security 而言,shiro 更加简单,没有那么复杂. 目前我的需求是一个博客系统,有用户和管理员两种角色.一个用户可能有 ...

  3. SpringBoot整合Shiro实现权限控制

    目录 1.SpringBoot整合Shiro 1.1.shiro简介 1.2.代码的具体实现 1.2.1.Maven的配置 1.2.2.整合需要实现的类 1.2.3.项目结构 1.2.4.ShiroC ...

  4. spring-boot整合shiro作权限认证

    spring-shiro属于轻量级权限框架,即使spring-security更新换代,市场上大多数企业还是选择shiro 废话不多说  引入pom文件 <!--shiro集成spring--& ...

  5. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期

    写在前面 通过前几篇文章的学习,我们从大体上了解了shiro关于认证和授权方面的应用.在接下来的文章当中,我将通过一个demo,带领大家搭建一个SpringBoot整合Shiro的一个项目开发脚手架, ...

  6. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理|前后端分离(下)----筑基后期

    写在前面 在上一篇文章<SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期>当中,我们初步实现了SpringBoot整合Shiro ...

  7. SpringBoot&Shiro实现权限管理

    SpringBoot&Shiro实现权限管理 引言 相信大家前来看这篇文章的时候,是有SpringBoot和Shiro基础的,所以本文只介绍整合的步骤,如果哪里写的不好,恳请大家能指出错误,谢 ...

  8. SpringBoot整合Shiro权限框架实战

    什么是ACL和RBAC ACL Access Control list:访问控制列表 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系 ...

  9. SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...

随机推荐

  1. 【好书推荐】《剑指Offer》之硬技能(编程题1~6)

    本文例子完整源码地址:https://github.com/yu-linfeng/BlogRepositories/tree/master/repositories/sword 前一篇<[好书推 ...

  2. AWS云EC2(RHEL7)添加网络接口与路由调整

    AWS云EC2(RHEL7)添加网络接口与路由调整 Amazon Linux(类似RHEL6,Centos6) 以及 RHEL7 修改MAC地址的说明 RHEL7 Centos7 添加路由 解决RHE ...

  3. 今日资源帖-PPT逆袭秘籍72集+2000套模板,太经典了

    好资源不私藏,分享是一种态度 今日给大家分享的是PPT教程和2000套模板 如何让PPT成为你职场的利器 如何让你的PPT更具表现力 2000套模板随便选 PPT视频教程 链接 https://pan ...

  4. 54. Spiral Matrix && 59. Spiral Matrix II

    Given a positive integer n, generate a square matrix filled with elements from 1 to n2 in spiral ord ...

  5. 网络爬虫入门:你的第一个爬虫项目(requests库)

    0.采用requests库 虽然urllib库应用也很广泛,而且作为Python自带的库无需安装,但是大部分的现在python爬虫都应用requests库来处理复杂的http请求.requests库语 ...

  6. 记一次Tomcat启动报错Failed to start component [StandardEngine[Catalina].Standard

    今天启动项目的时候,发现tomcat一直报错,之前都一直没有问题的啊,提示       org.apache.catalina.LifecycleException: Failed to start ...

  7. jquery使用on()方法绑定的事件被执行多次的问题

    jQuery用on()方法绑定了事件之后,在代码执行过程中,可能会遇到事件被多次执行的情况. 本来以为是事件冒泡的问题,后来发现是on()方法的特性引起的问题. 简单还原一下问题的场景 这里简单还原一 ...

  8. pecl安装和卸载示例

    比如安装MongoDB扩展 命令行下输入: [#] /usr/local/php/bin/pecl install mongodb ......嗒吧嗒吧一大堆输出后 Build process com ...

  9. MySQLl存储过程学习总结

    1.简介 : 逻辑处理一般不是一条语句组成,需要多条之间相互配合使用              这时,存储过程就是为了以后使用而保存的的一条或多条Mysql语句的集合 2.为何 : 1)简单:将处理单 ...

  10. canvas之事件交互效果isPointPath

    isPointInPath() 用来检测某个点是否在当前路径中,常用来做点击交互等. 需要注意的是,每次执行一次beginPath方法,检测路径就变成这次beginPath之后绘制的路径,原来的路径不 ...