springboot 配置 shiro

原創 csdn_小东 2018-10-20 06:54

目錄

一、引入 shiro 的包

二、自定義 realm 

三、shiro 配置

四、寫一個 controller 測試

五、無權限的時候直接報錯的錯誤方式

前提:

先準備一個 springboot+mybatis 的環境:https://blog.csdn.net/weidong_y/article/details/81709391

一、引入 shiro 的包

<!-- shiro 配置 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

二、自定義 realm 

MyShiroRealm.java

package com.yyzheng.oa.shiro;

import com.yyzheng.oa.dao.User;
import com.yyzheng.oa.service.PermissionService;
import com.yyzheng.oa.service.RoleService;
import com.yyzheng.oa.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

public class MyShiroRealm extends AuthorizingRealm {
    @Autowired
    private RoleService roleService;
    @Autowired
    private PermissionService permissionService;
    @Autowired
    private UserService userService;

    // 角色權限和對應權限添加
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 獲取登錄用戶名
        String userName = (String)principalCollection.getPrimaryPrincipal();
        // 查詢用戶的角色信息
        Set<String> roles = getRolesByUsername(userName);
        // 查詢角色的權限信息
        Set<String> permissions = getPermissionsByUserName(userName);
        // 設置用戶的角色和權限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(roles);
        simpleAuthorizationInfo.setStringPermissions(permissions);

        return simpleAuthorizationInfo;
    }

    // 根據用戶名字從數據庫中獲取當前用戶的權限數據
    private Set<String> getPermissionsByUserName(String userName) {
        List<String> list = permissionService.queryPermissionNameByUserName(userName);
        if( list != null ){
            Set<String> sets = new HashSet<>(list);
            return sets;
        }else{
            return null;
        }
    }

    // 根據用戶名字從數據庫中獲取當前用戶的角色數據
    private Set<String> getRolesByUsername(String userName) {
        List<String> list = roleService.queryRoleNameByUsername(userName);
        if( list != null ){
            Set<String> sets = new HashSet<>(list);
            return sets;
        }else{
            return null;
        }
    }

    // 認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.從主體傳過來的信息中獲取用戶名
        String userName = (String)authenticationToken.getPrincipal();
        // 2.通過用戶名到數據庫獲取憑證
        String password = getPasswordByUserName(userName);
        if( password == null ){
            return  null;
        }
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName,password,"myShiroRealm");
        return simpleAuthenticationInfo;
    }

    // 通過用戶名從數據庫中獲取當前用戶的密碼
    private String getPasswordByUserName(String userName) {
        User user = userService.queryUserByUserName(userName);
        if( user != null ){
            return user.getPassword();
        }else{
            return null;
        }
    }

}

三、shiro 配置

package com.yyzheng.oa.config;

import com.yyzheng.oa.exception.MyExceptionResolver;
import com.yyzheng.oa.shiro.MyShiroRealm;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.HandlerExceptionResolver;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfiguration {

    // 創建自定義 realm
    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        return myShiroRealm;
    }

    // 創建 SecurityManager 對象
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    // Filter工廠,設置對應的過濾條件和跳轉條件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new HashMap<>();
        // 登出
        map.put("/logout", "logout");
        // 對所有用戶認證
        map.put("/**", "authc");
        // 對登錄跳轉接口進行釋放
        map.put("/subLogin", "anon");
        map.put("/err", "anon");
        // 登錄
        // 注意:這裏配置的 /login 是指到 @RequestMapping(value="/login")中的 /login
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 首頁
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 錯誤頁面,認證不通過跳轉
        shiroFilterFactoryBean.setUnauthorizedUrl("/err");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

    // 加入註解的使用,不加這個,註解不生效
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
    // 跟上面的註解配置搭配使用,有時候加了上面的配置後註解不生效,需要加入下面的配置
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator app = new DefaultAdvisorAutoProxyCreator();
        app.setProxyTargetClass(true);
        return app;
    }

}

四、寫一個 controller 測試

@Controller
public class UserController {

    @RequestMapping(value = "/login")
    public String login(){
        return "/login";
    }

    @RequestMapping(value = "/err")
    public String err(){
        return "/err";
    }

    @RequestMapping(value = "/subLogin")
    public String subLogin(User user){
        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(),user.getPassword());
        try{
            subject.login(token);
        }catch (AuthenticationException e){
            e.printStackTrace();
            return e.getMessage();
        }
        return "success";
    }

    @RequiresRoles(value = "admin")
    @RequestMapping(value = "/test")
    @ResponseBody
    public String test(){
        return  "123";
    }
}

五、無權限的時候直接報錯的錯誤方式

自定義一個異常攔截,自定義跳轉頁面。

MyExceptionResolver.java 攔截下異常。

package com.yyzheng.oa.exception;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.ModelAndView;

public class MyExceptionResolver implements HandlerExceptionResolver{

    public ModelAndView resolveException(HttpServletRequest request,
                                         HttpServletResponse response, Object handler, Exception ex) {
        System.out.println("==============異常開始=============");
        //如果是shiro無權操作,因爲shiro 在操作auno等一部分不進行轉發至無權限url
        if(ex instanceof UnauthorizedException){
            // 跳轉到 templates 文件下面找 err.html 頁面
            ModelAndView mv = new ModelAndView("err");
            return mv;
        }
        ex.printStackTrace();
        ModelAndView mv = new ModelAndView("err");
        mv.addObject("exception", ex.toString().replaceAll("\n", "<br/>"));
        return mv;
    }
}

在shiro中配置一下:

// 自定義異常捕獲註冊
    @Bean
    public HandlerExceptionResolver solver(){
        HandlerExceptionResolver handlerExceptionResolver = new MyExceptionResolver();
        return handlerExceptionResolver;
    }

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Springboot+Shiro+Mybatis 前後端分離

pom.xml <!--shiro start--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifac

Andy8921 2020-07-08 00:16:48

Shiro(2)---授權

Shiro授權 1.授權流程 2.授權方式 Shiro 支持三種方式的授權: 1.編程式:通過寫if/else 授權代碼塊完成: Subject subject = SecurityUtils.getSubject(); if(

Kyle Stamos 2020-07-07 13:56:22

第八章 攔截器機制——《跟我學Shiro》[張開濤]

8.1 攔截器介紹 Shiro使用了與Servlet一樣的Filter接口進行擴展;所以如果對Filter不熟悉可以參考《Servlet3.1規範》http://www.iteye.com/blogs/subjects/Servlet-3

Angel_G 2020-07-05 20:30:04

第六章 Realm及相關對象——《跟我學Shiro》[張開濤]

6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已經詳細介紹過Realm了,接下來再來看一下一般真實環境下的Realm如何實現。    1、定義實體及關係 即用戶-角色之間是多對多關係,角色-權限之間是

Angel_G 2020-07-05 20:30:04

第九章 JSP標籤——《跟我學Shiro》[張開濤]

Shiro提供了JSTL標籤用於在JSP/GSP頁面進行權限控制,如根據登錄用戶顯示相應的頁面按鈕。     導入標籤庫 Java代碼   <%@taglib prefix="shiro" uri="http://shiro.apa

Angel_G 2020-07-05 20:30:04

18.SSM框架集~Shiro

18.SSM框架集~Shiro 本文是上一篇文章的後續,詳情點擊該鏈接         Apache Shiro 是一個強大而靈活的開源安全框架,它乾淨利落地處理身份認證,授權,企業會話管理和加密 Shiro官網 Shiro 中的

Java软件工程师· 2020-07-08 09:09:02

Springboot+Shiro+Mybatis+Thymeleaf

首先是pom.xml注入依賴包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-

Andy8921 2020-07-08 00:16:47

初始Shiro

Shiro 關於 Apache Shiro 是一個強大易用的 Java 安全框架,提供了認證、授權、加密和會話管理等功能,對於任何一個應用程序,Shiro 都可以提供全面的安全管理服務。並且相對於 Spring Security安

GD柠檬 2020-07-07 11:25:19

shiro源碼分析04 -- SubjectDAO

前面的章節說完了Subject的創建過程,創建完Subject需要將其保存起來,而保存的過程則由SubjectDAO完成。既然每一次訪問都會創建一個新的Subject,那麼爲什麼還需要SubjectDAO來存儲呢?其實SubjectDAO

砖1⃣️的渣男 2020-07-07 09:29:51

Shiro框架學習筆記(二)基於內置ini文件的身份認證

一開始學習我們先從簡單的開始學習,先不從數據庫中取數據來進行交互檢測,先通過內置一個shiro.ini文件來進行簡單的身份驗證。 shiro.ini文件如下: #定義⽤戶信息 #格式:⽤戶名=密碼,⻆⾊1,⻆⾊2,.... [us

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(一)shiro簡介以及工作流程

不知道大家在做java web項目的時候有沒有想過這個,雖然我們一般做項目時都會選擇讓用戶先註冊登錄之後才能看到我們項目的具體內容,在知道了內部頁面的路徑之後我們能夠在未登錄的情況下,直接在網頁中輸入我們內部頁面的絕對路徑訪問到呢

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(三)與web集成之後進行簡單的身份驗證

首先說一下shiro在web程序中的運作流程 shiro就像是一個包裹着web應用程序的罩子,所有的用戶請求都需要經過shiro這一層罩子,經過shiro這層罩子以後,就會接着通過一條循環的過濾器鏈,從上到下通過,在經過與該請求適

瓤瓤 2020-07-07 04:53:42

freemarker與shiro

freemarker中shiro常用標籤:<@shiro.guest><@shiro.user> <shiro:hasRole name="admin

YtN_C 2020-07-06 22:32:55

Shiro學習(總結)

聲明:本文原文地址:http://www.iteye.com/blogs/subjects/shiro 感謝開濤提供的博文,讓我學到了很多,在這裏由衷的感謝你,同時我強烈的推薦開濤的博文,他的博文力爭完美,講解細緻,是基於實際的項

AlexLongjiu 2020-07-06 10:38:23

spring整合shiro系列(三)spring boot 整合 shiro

之前寫了兩篇有關shiro和spring的文章,結合目前java開發spring boot框架是大勢,所以有必要將shiro和spring boot進行一次整合。我在使用spring  boot的時候比較明顯的一個感觸就是原來spring

今天想吃柠檬 2020-07-06 07:55:45