2. 程式人生 > >Spring整合Shiro及簡單實用

Spring整合Shiro及簡單實用

阿新 發佈:2018-12-01

匯入依賴

<dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context</artifactId>
            <version>5.0.6.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>5.0.6.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.9</version>
        </dependency>

        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
            <version>5.0.6.RELEASE</version>
        </dependency>

Spring-Context配置相應Bean

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="login.html"/>
        <property name="unauthorizedUrl" value="403.html"/>
        <property name="filterChainDefinitions">
            <value> 
                /login.html = anon  <!--anon的代表是不要認證的-->
                /subLogin = anon
                /* = authc		<!--anon的代表是要認證的,一般放最後-->
            </value>
        </property>
    </bean>

    <!--建立SecurityManager-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="realm" />
    </bean>

    <bean id="realm" class="com.ay.shiro.realm.CustomRealm">
       <!-- <property name="credentialsMatcher" ref="credentialsMatcher"/> -->
    </bean>

    <!--<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <property name="hashAlgorithmName" value="md5" />
        <property name="hashIterations" value="1" />

    </bean>-->

密碼如果使用MD5加密需要credentialsMatcher

自定義Realm

一般 user,role,permission是存在資料庫的3+2表,自定義Realm通過持久層讀取相關需要驗證的資訊。

public class CustomRealm extends AuthorizingRealm {
    {
        super.setName("customRealm");
    }

    @Resource
    private UserDao userDao;

    @Override  //授權
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username = (String) principalCollection.getPrimaryPrincipal();
        //模擬獲取roles permission
        Set<String> roles = getRolesByUsername(username);
        Set<String> permission = getPermissionByUsername(username);

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(roles);
        simpleAuthorizationInfo.setStringPermissions(permission);
        return simpleAuthorizationInfo;
    }

    private Set<String> getPermissionByUsername(String username) {
        List<String> permission = userDao.getPermissionByUsername(username);
        if(permission == null){
            return  null;
        }
        Set<String> set = new HashSet<>(permission);
        return set;
    }

    private Set<String> getRolesByUsername(String username) {
        List<String> roles = userDao.getRolesByUsername(username);
        if(roles == null){
            return  null;
        }
        Set<String> set = new HashSet<>(roles);
        return set;
    }

    @Override //認證  主體提交認證後的處理
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = (String) authenticationToken.getPrincipal();
        //模擬從資料庫獲取密碼
        String password = getPasswordByUsername(username);
        if(password == null){
            return null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                username,password,"customRealm");
        //對原密碼要進行加鹽,資料庫存的也是要進行加鹽加密的密碼
        authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(username));
        return authenticationInfo;
    }

    private String getPasswordByUsername(String username) {
        User user = userDao.getUserByUsername(username);
        if(user != null){
            return user.getPassword();
        }
        return null;
    }

    public static void main(String[] args){
        Md5Hash md5Hash = new Md5Hash("123456","Ay");
        System.out.println(md5Hash.toString());
    }
}

控制層

得到主體,生成token,進行認證和授權。

@RequestMapping(value = "/subLogin",method = RequestMethod.POST,
    produces = "application/json;charset=utf-8")
    @ResponseBody
    public String subLogin(User user){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(),user.getPassword());
        try {
            subject.login(token);
//            subject.checkRole("admin");
//            subject.checkPermission("user:select");
        }catch (Exception e){
            return e.getMessage();
        }
        return "登入成功";
    }

通過註釋進行授權

<!--shiro註釋-->
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjweaver</artifactId>
        </dependency>

bean配置

<!--開啟shiro註釋-->
    <aop:config proxy-target-class="true"/>
    <bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

示例方法
已認證的使用者需要admin才能訪問

@RequiresRoles("admin")
    @RequestMapping(value = "/testRole",method = RequestMethod.GET)
    @ResponseBody
    public String testRole(){
        return "testRole success";
    }

相關推薦

Spring整合Shiro簡單實用

匯入依賴 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifact

spring整合shiro

返回 官方文檔 用戶 用戶訪問 framework net att work tar Spring整合shiro 一、 配置web.xml <!-- 配置Shiro過濾器,先讓Shiro過濾系統接收到的請求 --> <!-- 這裏filter-name必須

maven項目中Spring整合Shiro配置文件(示例)

-a filter service 管理 .org true 緩存 cti text <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/sc

Spring AOP簡介簡單例項

一、SpringAOP 簡介 1.AOP思想: AOP即面向切面程式設計,可以說是OOP的補充和完善。它利用一種稱為"橫切"的技術,剖解開封裝的物件內部,並將那些影響了多個類的公共行為封裝到一個可重用模組,並將其命名為"Aspect",即切面。       &n

springboot整合shiro簡單實現

springboot整合shiro的簡單實現 注意: 1.shiro需要自行在doGetAuthenticationInfo方法中進行賬號密碼的校驗 2.ip+埠形式訪問頁面會被shiro攔截,如果沒有登入會被重定向到login頁面,如果登入會被重定向到index

Influxdb相關概念簡單實用操作

轉自:https://blog.csdn.net/Jailman/article/details/78427896?locationNum=6&fps=1 新的infludb版本已經取消了頁面的訪問方式,只能使用客戶端來檢視資料 一、influxdb與傳統資料庫的比較 庫、表等

Centos7 下mongodb安裝簡單實用

Centos7 下mongodb安裝及簡單實用  i骷髏精靈 關注 2018.08.20 17:45* 字數 141 閱讀 76評論 0喜歡 0 mongodb版本:4.0 官網安裝教程 安裝和解除安裝教程見官網 常用命令 啟

Spring整合shiro框架來進行驗證登入並且給使用者授權

使用shiro驗證登入的流程主要就是,現在配置檔案配置好那些過濾器,然後在controller驗證登入的方法中獲取到使用者名稱密碼,把它交給shiro提供的物件 AuthenticationToken,然後呼叫它的subject.login(token); 然後跳轉到realm方法當中,然

SpringBoot 整合 Shiro框架 簡單配置

SpringBoot整合Shiro框架 pom.xml新增 <!-- shiro框架-->         <dependency>                <

Spring整合Shiro做許可權控制模組詳細案例分析

1.引入Shiro的Maven依賴 <!-- Spring 整合Shiro需要的依賴 --> <dependency> <groupId>org.apache.shiro</groupId> <artifac

詳解spring整合shiro許可權管理與資料庫設計

現在基本上所有的後臺系統都逃不過許可權管理這一塊,這算是一個剛需了。現在我們來整合shiro來達到顆粒化許可權管理,也就是從連線選單到頁面功能按鈕,都進行許可權都驗證,從前端按鈕的顯示隱藏,到後臺具體功能方法的許可權驗證。 首先要先設計好我們的資料庫,先來看一張比較粗糙的資

SpringBoot整合redis簡單工具類使用

本篇文章只是簡單的SpringBoot整合redis及redis的簡單工具類 1.匯入pom檔案 <!--redis--> <dependency> <groupId>org.springframework.boot</gr

Spring整合MyBatis 的簡單xml配置:

<!--spring框架整合mybatis 1.宣告資料來源(datasource) 2.宣告SqlSessionFactoryBean --> <!--宣告資料來源--> <bean id="dataSou

shiro簡單實用

shiro:     Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。     使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程式,從最小的移動應用程式到最大的網路和企業應用程式。     單點登入:如果兩個網

spring boot整合mongodb使用簡單介紹 spring整合mongo使用簡單介紹 spring整合mongoDB使用簡單介紹

最近在專案中使用到了mongodb,第一次用,各種百度加問大佬,簡單記錄下自己的理解,一是希望能幫助到同樣要學習mongo的同學,另外就是以後可以看一下複習複習。 簡單理解 第一步匯入mongo的依賴 <!--mongodb--> <dependen

Spring 整合Shiro:記住我

有限公司 remember post 是否 RKE term set lock dag 1、登錄方法 /** * 執行登錄操作 * * @param username * @param password

Spring整合shiro+nginx 實現訪問記錄

最近公司的網站需要新增使用者訪問記錄功能,由於使用了nginx請求轉發直接通過HttpServletRequest無法獲取使用者真實Ip 關於nginx獲取真實IP的資料  https://blog.csdn.net/bigtree_3721/article/details/72820081 獲

SpringMVC整合FastJson簡單使用

1.FastJson介紹      Fastjson是阿里巴巴的一個Java語言編寫的高效能功能完善的JSON庫。      特性: 在伺服器端和android客戶端提供最佳效能提供簡單toJSONString()和parseObject()方法的Java物件轉換為JSO

Spring整合PageHelper的簡單用法

1、Maven依賴,注意使用PageHelper時的版本必須與Mybatis版本對應 1 <!-- 新增Mybatis依賴 --> 2 <dependency> 3 <groupId>org.mybatis&l

expect安裝簡單實用例子

2.解壓縮原始碼包 tar xfvz tcl8.4.11-src.tar.gz tar xfvz tk8.4.11-src.tar.gz 3.安裝配置 cd tcl8.4.11 cd unix ./configure --prefix=/usr/tcl --enab