Shiro集成web环境[Springboot]--认证与授权

在登录页面提交登陆数据后,发起请求也被ShiroFilter拦截,状态码为302

<form action="${pageContext.request.contextPath}/user/login" method="post">

    Username:<input type="text" name="username"></br>

    Password:<input type="password" name="password"></br>

    <input type="submit" value="提交">

</form>

所以,必须将控制器的请求全部设置为匿名资源

@Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        return securityManager;

    }

再次发起请求,ok 但由于认证未设置 所以没有成功的跳转。

开发自定义Realm--认证与授权方法全部实现

public class MyRealm extends AuthorizingRealm {

    @Autowired

    private UserMapper userMapper;

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        String principal =(String) authenticationToken.getPrincipal();

        User user= new User();

        user.setUsername(principal);

        User user1 = userMapper.selectOne(user);

        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user1.getPassword(),ByteSource.Util.bytes("salt"),this.getName());

        return authenticationInfo;

    }

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();

        System.out.println("================================");

        User user= new User();

        user.setUsername(primaryPrincipal);

        User user1 = userMapper.selectOne(user);

        if(primaryPrincipal.equals(user1.getUsername())){

            SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

            authorizationInfo.addRole("super");

            authorizationInfo.addStringPermission("user:delete");

            authorizationInfo.addStringPermissions(Arrays.asList("admin:delete","admin:add"));

            return authorizationInfo;

        }

        return null;

    }

}

补充ShiroFilter,将SecurityManager,自定义Realm,CredentialsMatcher,CacheManager全部交由工厂管理:

@Configuration

public class ShiroFilterConf {

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //shiro会对所有资源进行控制,默认不拦截  需要配置

        Map<String,String> map = new HashMap<>();

        //多个过滤器  AnonymousFilter  匿名过滤器   anon

        // FormAuthenticationFilter 认证过滤器 authc

        map.put("/**","authc");

        map.put("/user/*","anon");

        map.put("/index.jsp","anon");

        //多个过滤器组成过滤器链

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        //设置认证页面路径

        shiroFilterFactoryBean.setLoginUrl("/main/login.jsp");

        return shiroFilterFactoryBean;

    }

    @Bean

    public SecurityManager getSecurityManager(Realm realm,CacheManager cacheManager){

        //web环境下securityManage的实现类为DefaultWebSecurityManager

        SecurityManager securityManager = new DefaultWebSecurityManager();

        ((DefaultWebSecurityManager) securityManager).setRealm(realm);

        ((DefaultWebSecurityManager) securityManager).setCacheManager(cacheManager);

        return securityManager;

    }

    @Bean

    public Realm getRealm(CredentialsMatcher credentialsMatcher){

        MyRealm myRealm = new MyRealm();

        myRealm.setCredentialsMatcher(credentialsMatcher);

        return myRealm;

    }

    @Bean

    public CredentialsMatcher getCredentialsMatcher(){

        HashedCredentialsMatcher hm = new HashedCredentialsMatcher();

        hm.setHashAlgorithmName("MD5");

        hm.setHashIterations(1024);

        return hm;

    }

    @Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

}

测试index页面

<%@ page contentType="text/html;charset=UTF-8" isELIgnored="false" %>

<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

<html>

<head>

    <title>Title</title>

</head>

<body>

<shiro:authenticated>

    hello:<shiro:principal></shiro:principal>&nbsp;&nbsp;<a href="${pageContext.request.contextPath}/user/logout">登出</a>

    <ul>

        <li>专辑</li>

        <li>章节</li>

        <li>用户</li>

        <shiro:hasRole name="super">

            <li>管理员</li>

            <shiro:hasPermission name="admin:delete">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:add">


            </shiro:hasPermission>

            <shiro:hasPermission name="admin:update">


            </shiro:hasPermission>

        </shiro:hasRole>

    </ul>

</shiro:authenticated>

<shiro:notAuthenticated>

    <a href="${pageContext.request.contextPath}/main/login.jsp">你好请登录</a>

</shiro:notAuthenticated>

</body>

</html>

shiro中相关的标签

<shiro:principal></shiro:principal>  //用户的身份信息

<shiro:authenticated></shiro:authenticated> //认证成功  执行标签体的内容

<shiro:notAuthenticated></shiro:notAuthenticated> //未认证  执行标签体内容

//基于角色的权限管理

<shiro:hasRole name="super"></shiro:hasRole>

<shiro:hasAnyRoles name="admin,super"></shiro:hasAnyRoles>

//基于资源的权限管理

<shiro:hasPermission name="user:delete"></shiro:hasPermission>

缓存问题

如果没有缓存,一个Permission或者role判断要查询三次数据库-username查主体--主体查角色---角色查权限,这样对于数据库的压力太大,需要设置缓存。而且要注意到,在第一次查询时shiro就会多个Permission或者Role判断设置一次缓存,就是说,授权方法doGetAuthorizationInfo只走一次。

shiro缓存是在内存中的。

ehcache主包必须导入,shiro集成时CacheManager是没有实现的,主包中才有实现类EhCacheManager

	@Bean

    public CacheManager getCacheManager(){

        CacheManager cacheManager = new EhCacheManager();

        return cacheManager;

    }

Shiro集成web环境[Springboot]-认证与授权的更多相关文章

  1. Shiro集成web环境[Springboot]-基础使用

    Shiro集成web环境[Springboot] 1.shiro官网查找依赖的jar,其中shiro-ehcache做授权缓存时使用,另外还需要导入ehcache的jar包 <dependenc ...

  2. Shiro学习笔记四(Shiro集成WEB)

    这两天由于家里出了点事情,没有准时的进行学习.今天补上之前的笔记 -----没有学不会的技术,只有不停找借口的人 学习到的知识点: 1.Shiro 集成WEB 2.基于角色的权限控制 3.基于权限的控 ...

  3. Web Api 2 认证与授权 2

    HTTP Message Handler 在 Web Api 2 认证与授权 中讲解了几种实现机制,本篇就详细讲解 Message Handler 的实现方式 关于 Message Handler 在 ...

  4. Spring集成web环境(使用封装好的工具)

    接上文spring集成web环境(手动实现) ##########代码接上文############# spring提供了一个监听器ContextLoaderListener对上述功能的封装,该监听器 ...

  5. Shiro在Web环境下集成Spring的大致工作流程

    1,Shiro提供了对Web环境的支持,其通过一个 ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制.      ①配置的 ShiroFilter 实现类为:org.spri ...

  6. 关于 Web Api 2 认证与授权

    认证与授权 认证与授权,Authentication and Authorize,这个是两个不同的事.认证是对访问身份进行确认,如验证用户名和密码,而授权是在认证之后,判断是否具有权限进行某操作,如 ...

  7. 珠联壁合地设天造|M1 Mac os(Apple Silicon)基于vscode(arm64)配置搭建Java开发环境(集成web框架Springboot)

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_194 也许有人从未听说过Python,但是不会有人没听说过Java,它作为一个拥有悠久历史的老牌编程语言,常年雄踞TIOBE编程语 ...

  8. Shiro集成Web

    Shiro不仅可以集成到web中,也可以集成Spring. 1.在WEB中添加Shrio支持 2.WEB中INI配置 3.JSP/GSP标签 在WEB中添加Shrio支持 如果要想在web中使用Shr ...

  9. Shiro 集成 Web

    Web 集成 Shiro 的练习项目. Servlet + Shiro 项目结构 新建Maven项目,pom配置如下 <project xmlns="http://maven.apac ...

随机推荐

  1. python数据结构-如何实现用户的历史记录功能

    如何实现用户的历史记录功能 使用collections中的deque from collections import deque dq = deque([], 5) dq.append(1) dq.a ...

  2. 免费的文件比较工具和beyondcomare和source insight的比较工具

    Linux下,meld就够了,命令行用用diff也行,kdiff3也不错. 参考 http://www.cnblogs.com/itech/archive/2009/08/13/1545344.htm ...

  3. Java基础(变量数&常量&据类型&类型转换)

    什么是变量: 变量就是一个不固定的数值,它随时会改变,就像银行卡里存的钱一样会变动. 变量的格式:1  数据类型 变量名=变量值:  2  数据类型 变量名: 变量名=变量值: 变量的三大要素:1变量 ...

  4. Android -- 带你从源码角度领悟Dagger2入门到放弃(一)

    1,以前的博客也写了两篇关于Dagger2,但是感觉自己使用的时候还是云里雾里的,更不谈各位来看博客的同学了,所以今天打算和大家再一次的入坑试试,最后一次了,保证最后一次了. 2,接入项目 在项目的G ...

  5. phpcms列表页替换

    根据栏目代号获取栏目图 <img src="{$CATEGORYS[$top_parentid][image]}" width="1200" height ...

  6. java之webservice客户端

    1.新建客户端项目. 2.配置服务端的wsdl文件位置 3.添加junit的jar包. 4.编写客户端类.

  7. HttpRunner 接口自动化简单实践

    1.安装 1.1 命令行pip直接安装就好 1.2 验证安装 命令行输入hrun -V,返回项目版本信息则表明安装成功 2.新建测试项目 这里我用直接通过框架的脚手架工具命令生成目录结构 如:hrun ...

  8. m2e-wtp的作用

    描述 Maven3下的项目结构,target目录下会有一个m2e-wtp文件夹,删除掉会自动生成,有什么作用呢? wtp解释 WTP:Web Tools Project Maven集成WTP The ...

  9. qemu-kvm内存虚拟化2

    2017-04-20 上篇文章对qemu部分的内存虚拟化做了介绍,上篇文章对于要添加的FR,调用了 MEMORY_LISTENER_UPDATE_REGION(frnew, as, Forward, ...

  10. Python+OpenCV图像处理(十六)—— 轮廓发现

    简介:轮廓发现是基于图像边缘提取的基础寻找对象轮廓的方法,所以边缘提取的阈值选定会影响最终轮廓发现结果. 代码如下: import cv2 as cv import numpy as np def c ...