2. 程式人生 > >Springboot2(23)輕鬆整合shiro(帶驗證碼)

Springboot2(23)輕鬆整合shiro(帶驗證碼)

阿新 發佈:2018-12-29

原始碼地址

springboot2教程系列

Shiro配置

1.Spring整合Shiro一般通過xml配置,SpringBoot整合Shiro一般通過java程式碼配合@Configuration和@Bean配置。

2.Shiro的核心通過過濾器Filter實現。Shiro中的Filter是通過URL規則來進行過濾和許可權校驗,所以我們需要定義一系列關於URL的規則和訪問許可權。

3.SpringBoot整合Shiro,我們需要寫的主要是兩個類,ShiroConfiguration類,還有繼承了AuthorizingRealm的Realm類。

  • ShiroConfiguration類,用來配置Shiro,注入各種Bean。包括過濾器(shiroFilter)、安全事務管理器(SecurityManager)、密碼憑證(CredentialsMatcher)、aop註解支援(authorizationAttributeSourceAdvisor)等等
  • Realm類,包括登陸認證(doGetAuthenticationInfo)、授權認證(doGetAuthorizationInfo)

引入依賴

   <properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<java.version>1.8</java.version>
		<shiro.version>1.4.0</shiro.version>
		<commons.lang.version>2.6</commons.lang.version>
		<kaptcha.version>0.0.9</kaptcha.version>
	</properties>


	<dependencies>

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>${shiro.version}</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>${shiro.version}</version>
		</dependency>

		<dependency>
			<groupId>commons-lang</groupId>
			<artifactId>commons-lang</artifactId>
			<version>${commons.lang.version}</version>
		</dependency>

		<dependency>
			<groupId>com.github.axet</groupId>
			<artifactId>kaptcha</artifactId>
			<version>${kaptcha.version}</version>
		</dependency>
		
    </dependencies>

編寫ShiroConfiguration類

/**
 * Shiro的配置檔案
 */
@Configuration
public class ShiroConfig {

    /**
     * Session會話管理器,session交給shiro管理
     */
    @Bean
    public DefaultWebSessionManager sessionManager(@Value("${myframe.sessionTimeout:3600}") long globalSessionTimeout){
        DefaultWebSessionManager sessionManager =
 
 new DefaultWebSessionManager();
        //是否開啟會話驗證器,預設是開啟的
        sessionManager.setSessionValidationSchedulerEnabled(true);
        //禁止URL地標後面新增JSESSIONID
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        //設定全域性會話超時時間
        sessionManager.setGlobalSessionTimeout(globalSessionTimeout * 1000);
        sessionManager.setSessionValidationInterval(globalSessionTimeout * 1000);
        return sessionManager;
    }


    /**
     * 安全管理器
     * @param userRealm
     * @param sessionManager
     * @return
     */
    @Bean("securityManager")
    public SecurityManager securityManager(UserRealm userRealm, SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        securityManager.setRememberMeManager(null);
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }


    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        shiroFilter.setLoginUrl("/login.html");
        shiroFilter.setUnauthorizedUrl("/");

        Map<String, String> filterMap = new LinkedHashMap<>();

        filterMap.put("/public/**", "anon");
        filterMap.put("/login.html", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/**", "authc");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }

    /**
     * Shiro生命週期處理器,保證實現了Shiro內部lifecycle函式的bean執行
     * @return
     */
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     *  啟用shrio授權註解攔截方式,AOP式方法級許可權檢查
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }

    /**
     * 加入註解的使用,不加入這個註解不生效 使用shiro框架提供的切面類,用於建立代理物件
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

過濾器Filter實現

@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean shiroFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new DelegatingFilterProxy("shiroFilter"));
        //該值預設為false,表示生命週期由SpringApplicationContext管理,設定為true則表示由ServletContainer管理
        registration.addInitParameter("targetFilterLifecycle", "true");
        registration.setOrder(Integer.MAX_VALUE - 1);
        registration.setEnabled(true);
        registration.addUrlPatterns("/*");
        return registration;
    }

}

Realm類實現

/**
 * 認證
 */
@Component
public class UserRealm extends AuthorizingRealm {
    @Resource
    private SysUserDao sysUserDao;
    
    /**
     * 授權(驗證許可權時呼叫)
     */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
		Long userId = user.getUserId();
        //使用者許可權列表
		Set<String> permsSet = new HashSet<>();
		String perms = sysUserDao.queryAllPerms(userId);
		permsSet.addAll(Arrays.asList(perms.trim().split(",")));
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.setStringPermissions(permsSet);
		return info;
	}

	/**
	 * 認證(登入時呼叫)
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authcToken) throws AuthenticationException {
		UsernamePasswordToken token = (UsernamePasswordToken)authcToken;
		//查詢使用者資訊
		SysUserEntity user = sysUserDao.selectOne(token.getUsername());
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
		return info;
	}

}

登入實現類

**
 * 登入相關
 */
@Controller
public class SysLoginController {
	@Autowired
	private Producer producer;

	/**
	 * 生成驗證碼
	 * @param response
	 * @throws IOException
	 */
	@RequestMapping("captcha.jpg")
	public void captcha(HttpServletResponse response)throws IOException {
        response.setHeader("Cache-Control", "no-store, no-cache");
        response.setContentType("image/jpeg");

        //生成文字驗證碼
        String text = producer.createText();
        //生成圖片驗證碼
        BufferedImage image = producer.createImage(text);
        //儲存到shiro session
        ShiroUtils.setSessionAttribute(Constants.KAPTCHA_SESSION_KEY, text);
        
        ServletOutputStream out = response.getOutputStream();
        ImageIO.write(image, "jpg", out);
	}
	
	/**
	 * 登入
	 */
	@ResponseBody
	@RequestMapping(value = "/sys/login", method = RequestMethod.POST)
	public R login(String username, String password, String captcha) throws IllegalAccessException {
		String kaptcha = ShiroUtils.getKaptcha(Constants.KAPTCHA_SESSION_KEY);
		if(!captcha.equalsIgnoreCase(kaptcha)){
			return R.error("驗證碼不正確");
		}
		try{
			Subject subject = ShiroUtils.getSubject();
			UsernamePasswordToken token = new UsernamePasswordToken(username, password);
			subject.login(token);
		}catch (UnknownAccountException e) {
			return R.error(e.getMessage());
		}catch (LockedAccountException e) {
			return R.error("賬號已被鎖定,請聯絡管理員");
		} catch (IncorrectCredentialsException e) {
			return R.error("賬號或密碼不正確");
		}catch (AuthenticationException e) {
			return R.error("賬戶驗證失敗");
		}
		return R.ok();
	}
	
	/**
	 * 退出
	 */
	@RequestMapping(value = "logout", method = RequestMethod.GET)
	public String logout() {
		ShiroUtils.logout();
		return "redirect:login.html";
	}
	
}

許可權測試類

@RestController
public class PermController {

    @RequestMapping("/sysRead")
    @RequiresPermissions("sys:read")
    public String sysRead(){
        return "you can sysRead";
    }

    @RequiresPermissions("sys:write")
    @RequestMapping("/sysWrite")
    public String sysWrite(){
        return "you can sysWrite";
    }

    @RequiresPermissions("sys:delete")
    @RequestMapping("/sysDelete")
    public String sysDel(){
        return "you can sysDelete";
    }
}

每次訪問帶有@RequiresPermissions()方法時,都會進入UserRealm類的AuthorizationInfo()授權方法

另外subject.hasRole(“admin”) 或 subject.isPermitted(“admin”) 也會呼叫AuthorizationInfo()授權方法

登入測試(使用者密碼tom/123456)
在這裡插入圖片描述

許可權測試
在這裡插入圖片描述

相關推薦

Springboot223輕鬆整合shiro(驗證)

原始碼地址 springboot2教程系列 Shiro配置 1.Spring整合Shiro一般通過xml配置,SpringBoot整合Shiro一般通過java程式碼配合@Configuration和@Bean配置。 2.Shiro的核心通過過濾器Filt

Springboot221輕鬆整合mail

原始碼地址 springboot2教程系列 SpringBoot實現郵件功能是非常的方便快捷的,因為SpringBoot預設有starter實現了Mail。 傳送郵件應該是網站的必備功能之一,什麼註冊驗證,忘記密碼或者是給使用者傳送營銷資訊。 最早期的時候

Springboot212輕鬆搞定資料驗證

原始碼地址 對於任何一個應用而言,客戶端做的資料有效性驗證都不是安全有效的,而資料驗證又是一個企業級專案架構上最為基礎的功能模組,這時候就要求我們在服務端接收到資料的時候也對資料的有效性進行驗證。為什麼這麼說呢?往往我們在編寫程式的時候都會感覺後臺的驗證無關緊要

Springboot213輕鬆搞定自定義事件監聽

原始碼地址 實現監聽方式三步驟: 1.自定義事件一般繼承ApplicationEvent 2.定義事件監聽實現ApplicationContextListener 3.釋出事件 文章目錄 定

Springboot211輕鬆搞定檔案上傳

原始碼地址 配置 預設情況下Spring Boot無需做任何配置也能實現檔案上傳的功能,但有可能因預設配置不符而導致檔案上傳失敗問題,所以瞭解相關配置資訊更有助於我們對問題的定位和修復; # 是否支援批量上傳 (預設值 true) spring.servle

Springboot217輕鬆搞定AOP

原始碼地址 文章目錄 整合Spring AOP步驟 1 引入依賴 2.實體 通知位置的切入內容 AOP切面的優先順序 定義切入點

Springboot215輕鬆搞定RestTemplate

原始碼地址 文章目錄 新增依賴 程式碼中加入RestTemplate的配置類 傳送GET請求 傳送POST請求 設定HTTP Header 傳送檔案 下載檔案

Android自定義view,打造絢麗的驗證

前言:我相信信念的力量,信念可以支撐起一個人,一個名族,一個國家。正如“人沒有夢想和鹹魚有什麼區別”一樣,我有信念,有理想,所以我正在努力向著夢想前進~。 自定義view,如果是我,我首先要看到自定義view的效果圖,然後再想想怎麼實現這種效果或功能,所以先貼

一個 Yii + vue 專案5vue路由、yii驗證

有了一個簡單的驗證方法,於是需要寫一個前端頁面,首先在 vue src/ 建一個單頁面 login.vue <template> <div id="app"> <form> <div>

JavaWeb學習HttpServletResponse基本應用——生成驗證圖片並提交到伺服器6

一、工程樹: 二、程式碼: CheckServlet.class import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; im

JavaWeb學習HttpServletResponse基本應用——生成驗證5

一、程式碼: package com.servlet.study; import java.awt.Color; import java.awt.Font; import java.awt.Graphics2D; import java.awt.image.BufferedImage; imp

linux CentOS安裝python-tesseract 用於驗證識別

python-tesseract 是 tesseract的python封裝庫,能夠用於驗證碼的識別。尤其是可以通過更改識別庫的名稱達到使用自己訓練出來的庫的目的,尤為方便。關於如何訓練tesseract-ocr 的識別庫見 我的另一篇博文。 下面是官方版安裝python

python爬蟲學習2用tesserocr識別影象驗證

在學習爬蟲的過程中難免會遇到驗證碼問題,作為純自動化的爬蟲是不可能手動去輸入驗證碼的。 那麼我們就要學會怎麼去識別它。 而驗證碼也分很多種類,主要的幾種: (1)影象驗證碼:這是最簡單的一種,也很常見。就比如CSDN登入幾次失敗之後就會出驗證碼。 (2)滑塊驗證碼

2018版OCP 11g 052最新考試題庫整理答案23

rep tab ins auto 考試題 cal tin monitor repo 23、Which three are true about the Automatic Database Diagnostic Monitor (ADDM)? A) Its findings

【Spring Boot】23、Spring Boot整合Mybatis

首先新增mybatis依賴: <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</

shiro學習筆記6--spring整合及可能遇到的問題小結

上篇spring整合shiro後續… spring整合shiro主要是org.apache.shiro.web.filter.authc.FormAuthenticationFilter類。 1、controller @Controller public class HelloSsm {

shiro學習筆記5--spring整合

spring整合shiro(1) 1、jar <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</art

Springboot229整合zookeeper的增刪改查、節點監聽、分散式讀寫鎖、分散式計數器

原始碼地址 springboot2教程系列 實現zookeeper節點的增刪改查、節點監聽、分散式讀寫鎖、分散式計數器 新增依賴 <properties> <project.build.sourceEncoding

Springboot228整合rabbitmq實現延時訊息

原始碼地址 springboot2教程系列 rabbitmq實現訊息的確認機制和延時訊息的傳送 訊息生產者程式碼實現的主要配置 @Configuration @Slf4j public class PrividerRabbitm

Springboot227整合netty實現反向代理內網穿透

原始碼地址 springboot2教程系列 其它netty檔案有部落格 Springboot2(24)整合netty實現http服務(類似SpingMvc的contoller層實現) Springboot2(25)整合netty實現檔案傳輸 Spri