备案控制台
开发者社区 开发与运维 文章 正文

springboot整合shiro实现权限控制(上)

2022-01-07 329
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。上个月写了一个在线教育的项目用到了shiro权限控制,这几天又复盘了一下,对其进行了深入探究,来总结一下。

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。上个月写了一个在线教育的项目用到了shiro权限控制,这几天又复盘了一下,对其进行了深入探究,来总结一下。

一、实现功能

1、完成了记住我功能

2、完成了密码加密功能

3、完成了根据shiro权限访问不同内容

4、完成了使用shiro的session进行保存

二、实现代码

1、引入shiro相关的依赖

我是前端使用了thymeleaf,所以需要引入下面shiro相关的依赖

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
</dependency>
<dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
</dependency>

2、自定义密码验证器


(1)这个类实现了shiro的SimpleCredentialsMatcher接口来重新密码验证方法


(2)同时写了加密的方法encrypt(String data),拿到前台传过来的密码后,使用该方法加密后与数据库的拿到的密码进行比对,返回ture或者fasle。


(3)当然,前台注册时,保存数据库的密码也需要用同样的形式把密码加密后再保存。

//验证密码 查找到了1该用户 自定义密码验证器
public class MyMatcher extends SimpleCredentialsMatcher {
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String pwd = encrypt(String.valueOf(usernamePasswordToken.getPassword()));
        String mysqlpwd = (String) info.getCredentials();
        return this.equals(pwd, mysqlpwd);
    }
    //将传进来的密码进行加密的方法
    private String encrypt(String data){
        String sha384Hex=new Sha384Hash(data).toBase64();
        return sha384Hex;
    }
}

3、自定义realm

当密码验证通过后,就到了我们的自定义realm,在我们自定义realm中实现了AuthorizingRealm接口,将其方法进行重写,将各种权限对用户进行授权,同时对用户身份进行验证,代码如下,每一行代码具体含义十分详细了。

//登录及权限验证
public class MyRealm extends AuthorizingRealm {
    @Autowired
    UserService us;
  //角色权限和对应权限添加
    //Authorization授权,将数据库中的角色和权限授权给输入的用户名
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录的用户名
        String phone = (String) principalCollection.getPrimaryPrincipal();
        //到数据库里查询要授权的内容
        User user = us.querybyname(phone);
        //记录用户的所有角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();//权限信息
        for(Role r:user.getRoles()){
            //将所有的角色信息添加进来。
            simpleAuthorizationInfo.addRole(r.getRname());
            for(Permission p:r.getPermissions()){
                //将此次遍历到的角色的所有权限拿到,添加·进来
                simpleAuthorizationInfo.addStringPermission(p.getPname());
            }
        }
        return simpleAuthorizationInfo;
    }
    //用户身份验证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //从token获取用户名,从主体传过来的认证信息中获取
        //加这一步的目的是在post请求时会先进入认证然后再到请求。
        if(authenticationToken.getPrincipal()==null){
            return null;
        }
        //获取用户的登录信息,用户名
        String phone=authenticationToken.getPrincipal().toString();
        //根据service调用用户名,查找用户的全部信息
        //通过用户名到数据库获取凭证
        User user=us.querybyname(phone);
        if(user==null){
            //这里返回会报出对应异常
            return  null;
        }else{
            //这里验证authenticationToken和simpleAuthenticationInfo的信息
            SimpleAuthenticationInfo simpleAuthenticationInfo=new SimpleAuthenticationInfo(phone,user.getUpwd().toString(),getName());
            return simpleAuthenticationInfo;
        }
    }

4、自定义记住我过滤器

该过滤器是为了实现记住我后,用户再次登陆不需要进行权限验证,就能到达首页,后面会介绍当不使用该过滤器的后果。

(1)该过滤器实现当用户通过isRemembered()登陆,没有通过isAuthenticated()登陆时拿到user的session信息,保证后面到达首页时候能拥有各种跟通过isAuthenticated()登陆时的session信息。


(2)过滤器完成了登陆条件的过滤,要么通过权限认证登陆成功,要么通过记住我登陆成功。


(3)在shiroconfig类中会进行shiro访问权限配置。

public class MyRememberFilter extends FormAuthenticationFilter {
    protected boolean isAccessAllowed(HttpServletRequest request, HttpServletResponse response, Object mappedValue){
        Subject subject=getSubject(request,response);
        if(!subject.isAuthenticated() && subject.isRemembered()){
            if(subject.getSession().getAttribute("user")==null &&subject.getPrincipal()!=null){
                subject.getSession().setAttribute("user",subject.getPrincipal());
            }
        }
        return subject.isAuthenticated() || subject.isRemembered();
    }
}
文章标签:
密钥管理服务
Java
前端开发
数据安全/隐私保护
Apache
安全
API
数据库
关键词:
Spring Boot权限控制
Spring Boot shiro
Spring Boot实现
springboot整合shiro实现权限控制
jiankang66
目录
相关文章
1932836719192345
|
3月前
|
缓存 安全 Java
Shiro框架以及Spring Boot整合Shiro
Shiro框架以及Spring Boot整合Shiro
1932836719192345
78 3
Shiro框架以及Spring Boot整合Shiro
漫走云雾
|
18天前
|
Java 数据安全/隐私保护 Spring
Springboot 中引入 SpEL,复杂权限控制轻松搞定,非常优雅!
Springboot 中引入 SpEL,复杂权限控制轻松搞定,非常优雅!
漫走云雾
21 1
风水道人
|
2月前
|
安全 算法 Java
SpringBoot+JWT+Shiro+MybatisPlus实现Restful快速开发后端脚手架
SpringBoot+JWT+Shiro+MybatisPlus实现Restful快速开发后端脚手架
风水道人
35 0
纸飞机_暖阳
|
3月前
|
开发框架 安全 Java
【Java专题_01】springboot+Shiro+Jwt整合方案
【Java专题_01】springboot+Shiro+Jwt整合方案
纸飞机_暖阳
66 0
醉鱼Java
|
3月前
|
Java 关系型数据库 MySQL
Shiro实战+springboot集成
Shiro实战+springboot集成
醉鱼Java
46 0
陶然同学
|
3月前
|
前端开发 Java 关系型数据库
【Shiro】Springboot集成Shiro
【Shiro】Springboot集成Shiro
陶然同学
58 1
疯狂的猿
|
4月前
|
Java
springboot如何配置使用shiro
【1月更文挑战第11天】springboot如何配置使用shiro
疯狂的猿
19 2
极客李华
|
4月前
|
存储 Java 数据库
SpringBoot+JWT+Shiro
SpringBoot+JWT+Shiro
极客李华
33 0
极客李华
|
4月前
|
存储 JSON 安全
使用shiro对数据库中的密码进行加密存储(java+springboot+shiro)
使用shiro对数据库中的密码进行加密存储(java+springboot+shiro)
极客李华
102 0
飞翔的佩奇
|
4月前
|
前端开发 Java Spring
使用Spring Boot集成Shiro时出现了无法注入Service的问题
使用Spring Boot集成Shiro时出现了无法注入Service的问题
飞翔的佩奇
55 0

热门文章

最新文章

  • 1
    SpringBoot开发案例之整合Kafka实现消息队列
  • 2
    Spring Boot 集成 MyBatis和 SQL Server实践
  • 3
    手把手教你SpringBoot集成SFTP客户端实现文件上传下载(下)
  • 4
    SpringBoot 实战:在 RequestBody 中优雅的使用枚举参数
  • 5
    SpringBoot从小白到精通(一)如何快速创建SpringBoot项目
  • 6
    还在手动操作?试试配置为开发模式 | 带你读《SpringBoot实战教程》之十
  • 7
    SpringBoot 整合 Redis
  • 8
    详解访问静态资源 | 带你读《SpringBoot实战教程》之十一
  • 9
    《Springboot极简教程》MappingMongoConverter:Failed to convert from type [java.lang.String] to type [long] for value 'null'; nested exception is java.lang.Il
  • 10
    Springboot整合Elasticsearch、搭建Logstash同步数据
  • 1
    spring cache整合redis实现springboot项目中的缓存功能
    50
  • 2
    Spring Boot 和 Vue.js 实现的前后端分离的用户权限管理系统
    62
  • 3
    Spring Boot中的bean注入方式和原理
    117
  • 4
    springboot中的第二个IOC容器BootstrapContext
    50
  • 5
    springboot使用html模版导出pdf文档
    171
  • 6
    springboot集成knife4j接口文档
    50
  • 7
    springboot - 条件注解@ConditionalOnClass原理
    20
  • 8
    SpringBoot启动后出现Please sign in页面
    55
  • 9
    Spring Boot的定时任务与异步任务
    56
  • 10
    SpringBoot整合Mybatis连接Oracle数据库
    75

    • 相关课程

    更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • SpringBoot实战教程
  • SpringBoot快速掌握 - 核心技术
  • SpringBoot快速掌握 - 高级应用
  • Springboot项目云开发快速迁移
  • 5天实战Spring Boot 2.5

    • 相关电子书

    更多
  • Java Spring Boot开发实战系列课程【第7讲】:Spring Boot 2.0安全机制与MVC身份验证实战(Java面试题)
  • Java Spring Boot开发实战系列课程【第15讲】:Spring Boot 2.0 API与Spring REST Docs实战
  • Java Spring Boot开发实战系列课程【第6讲】:Spring Boot 2.0实战MyBatis与优化(Java面试题)
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)