2. 程式人生 > >springboot 配置 shiro

springboot 配置 shiro

阿新 發佈:2018-11-09

目錄

一、引入 shiro 的包

二、自定義 realm 

三、shiro 配置

四、寫一個 controller 測試

五、無許可權的時候直接報錯的錯誤方式

前提:

先準備一個 springboot+mybatis 的環境:https://blog.csdn.net/weidong_y/article/details/81709391

一、引入 shiro 的包

<!-- shiro 配置 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

二、自定義 realm 

MyShiroRealm.java

package com.yyzheng.oa.shiro;

import com.yyzheng.oa.dao.User;
import com.yyzheng.oa.service.PermissionService;
import com.yyzheng.oa.service.RoleService;
import com.yyzheng.oa.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

public class MyShiroRealm extends AuthorizingRealm {
    @Autowired
    private RoleService roleService;
    @Autowired
    private PermissionService permissionService;
    @Autowired
    private UserService userService;

    // 角色許可權和對應許可權新增
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 獲取登入使用者名稱
        String userName = (String)principalCollection.getPrimaryPrincipal();
        // 查詢使用者的角色資訊
        Set<String> roles = getRolesByUsername(userName);
        // 查詢角色的許可權資訊
        Set<String> permissions = getPermissionsByUserName(userName);
        // 設定使用者的角色和許可權
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(roles);
        simpleAuthorizationInfo.setStringPermissions(permissions);

        return simpleAuthorizationInfo;
    }

    // 根據使用者名稱字從資料庫中獲取當前使用者的許可權資料
    private Set<String> getPermissionsByUserName(String userName) {
        List<String> list = permissionService.queryPermissionNameByUserName(userName);
        if( list != null ){
            Set<String> sets = new HashSet<>(list);
            return sets;
        }else{
            return null;
        }
    }

    // 根據使用者名稱字從資料庫中獲取當前使用者的角色資料
    private Set<String> getRolesByUsername(String userName) {
        List<String> list = roleService.queryRoleNameByUsername(userName);
        if( list != null ){
            Set<String> sets = new HashSet<>(list);
            return sets;
        }else{
            return null;
        }
    }

    // 認證
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.從主體傳過來的資訊中獲取使用者名稱
        String userName = (String)authenticationToken.getPrincipal();
        // 2.通過使用者名稱到資料庫獲取憑證
        String password = getPasswordByUserName(userName);
        if( password == null ){
            return  null;
        }
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName,password,"myShiroRealm");
        return simpleAuthenticationInfo;
    }

    // 通過使用者名稱從資料庫中獲取當前使用者的密碼
    private String getPasswordByUserName(String userName) {
        User user = userService.queryUserByUserName(userName);
        if( user != null ){
            return user.getPassword();
        }else{
            return null;
        }
    }

}

三、shiro 配置

package com.yyzheng.oa.config;

import com.yyzheng.oa.exception.MyExceptionResolver;
import com.yyzheng.oa.shiro.MyShiroRealm;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.HandlerExceptionResolver;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfiguration {

    // 建立自定義 realm
    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        return myShiroRealm;
    }

    // 建立 SecurityManager 物件
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    // Filter工廠,設定對應的過濾條件和跳轉條件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new HashMap<>();
        // 登出
        map.put("/logout", "logout");
        // 對所有使用者認證
        map.put("/**", "authc");
        // 對登入跳轉介面進行釋放
        map.put("/subLogin", "anon");
        map.put("/err", "anon");
        // 登入
        // 注意:這裡配置的 /login 是指到 @RequestMapping(value="/login")中的 /login
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 首頁
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 錯誤頁面,認證不通過跳轉
        shiroFilterFactoryBean.setUnauthorizedUrl("/err");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

    // 加入註解的使用,不加這個,註解不生效
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
    // 跟上面的註解配置搭配使用,有時候加了上面的配置後註解不生效,需要加入下面的配置
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator app = new DefaultAdvisorAutoProxyCreator();
        app.setProxyTargetClass(true);
        return app;
    }

}

四、寫一個 controller 測試

@Controller
public class UserController {

    @RequestMapping(value = "/login")
    public String login(){
        return "/login";
    }

    @RequestMapping(value = "/err")
    public String err(){
        return "/err";
    }

    @RequestMapping(value = "/subLogin")
    public String subLogin(User user){
        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(),user.getPassword());
        try{
            subject.login(token);
        }catch (AuthenticationException e){
            e.printStackTrace();
            return e.getMessage();
        }
        return "success";
    }

    @RequiresRoles(value = "admin")
    @RequestMapping(value = "/test")
    @ResponseBody
    public String test(){
        return  "123";
    }
}

五、無許可權的時候直接報錯的錯誤方式

自定義一個異常攔截,自定義跳轉頁面。

MyExceptionResolver.java 攔截下異常。

package com.yyzheng.oa.exception;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.ModelAndView;

public class MyExceptionResolver implements HandlerExceptionResolver{

    public ModelAndView resolveException(HttpServletRequest request,
                                         HttpServletResponse response, Object handler, Exception ex) {
        System.out.println("==============異常開始=============");
        //如果是shiro無權操作,因為shiro 在操作auno等一部分不進行轉發至無許可權url
        if(ex instanceof UnauthorizedException){
            // 跳轉到 templates 檔案下面找 err.html 頁面
            ModelAndView mv = new ModelAndView("err");
            return mv;
        }
        ex.printStackTrace();
        ModelAndView mv = new ModelAndView("err");
        mv.addObject("exception", ex.toString().replaceAll("\n", "<br/>"));
        return mv;
    }
}

在shiro中配置一下:

// 自定義異常捕獲註冊
    @Bean
    public HandlerExceptionResolver solver(){
        HandlerExceptionResolver handlerExceptionResolver = new MyExceptionResolver();
        return handlerExceptionResolver;
    }

 

相關推薦

springboot 配置 shiro

目錄 一、引入 shiro 的包 二、自定義 realm  三、shiro 配置 四、寫一個 controller 測試 五、無許可權的時候直接報錯的錯誤方式 前提: 先準備一個 springboot+mybatis 的環境:https://blog.csd

springboot配置shiro許可權管理,網搜搜採集網站許可權控制程式碼

import outshine.shiro.authc.AccountSubjectFactory; import outshine.shiro.filter.AuthenticatedFilter; import outshine.shiro.realm.AccountRealm; import or

SpringBoot配置Shiro

習慣用eclipse開發 建立springboot專案前,先安裝spring tool外掛 開啟 help->Eclipse Marketplace 搜尋spring找到Spring Tools 3 Add-On外掛安裝,並重啟eclipse 這時候新建專案可以找到Spring Boo

SpringBoot 整合 Shiro框架 簡單配置

SpringBoot整合Shiro框架 pom.xml新增 <!-- shiro框架-->         <dependency>                <

SpringBoot+MyBatis+Shiro框架配置

1.引言 基於SpringBoot與MyBatis框架在Java開發中越來越流行,最近公司剛好需要技術變革,筆者也是頗費了寫心血做了框架的搭建和幾次框架的一直工作,本框架除了SpringBoot和MyBatista另外也揉入了當下比較流行的許可權安全認證框架Sh

SpringBoot整合shiro(一)基礎配置

公司專案採用的spring-boot框架。在做使用者許可權功能的時候準備採用shiro許可權框架。前面也考慮過spring家族的spring security安全框架。但是經過網上查詢對比最終選擇了shiro。因為shiro含有基本的安全控制功能,並且配置更為簡

springboot整合shiro+thymeleaf的配置

springboot整合shiro+thymeleaf的配置 pom檔案的依賴: <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId&

springboot整合shiro認證時"username"更改為"account"或自定義的ShiroConfig配置

springboot整合shiro認證時"username"更改為"account"或自定義的配置package com.sxt.zhy.springboot.config; import java.util.HashMap; import java.util.Linked

springboot配置容器

repl ron clas 目的 知識 strong class java 自己 servlet容器配置 Spring Boot快速的原因除了自動配置外,另一個就是將web常用的容器也集成進來並做自動配置,讓使用它的人能更快速的搭建web項目,快速的實現自己的業務目的。什

SpringBoot(十四):springboot整合shiro-登錄認證和權限管理

sets man throws 將不 匹配 跳轉 ida 管理員 領域 原文出處: 純潔的微笑 這篇文章我們來學習如何使用Spring Boot集成Apache Shiro。安全應該是互聯網公司的一道生命線,幾乎任何的公司都會涉及到這方面的需求。在Java領域一般有Spri

SpringBoot配置屬性之MQ

ole ring url cer key dmi migration factor 自增 SpringBoot配置屬性系列 SpringBoot配置屬性之MVC SpringBoot配置屬性之Server SpringBoot配置屬性之DataSource

SpringBoot配置屬性之其他

啟用 使用 視圖 conf 啟動 連接 message ctu init SpringBoot配置屬性系列 SpringBoot配置屬性之MVC SpringBoot配置屬性之Server SpringBoot配置屬性之DataSource Spring

SpringBoot配置屬性之NOSQL

等待 地址 lock cli html 超時時間 創建 vid def SpringBoot配置屬性系列 SpringBoot配置屬性之MVC SpringBoot配置屬性之Server SpringBoot配置屬性之DataSource SpringB

springboot配置mongodb

set sta star int pos ndb ppi extends 配置 1 使用maven引入mongodb依賴 <dependency>   <groupId>org.springframework.boot</groupId&g

springboot配置log4j

ase info org enc apach ever div file release      <dependency> <groupId>org.springframework.boot</groupId>

springboot整合shiro應用

exceptio dst over sql version ges sub star images 1、Shiro是Apache下的一個開源項目,我們稱之為Apache Shiro。它是一個很易用與Java項目的的安全框架,提供了認證、授權、加密、會話管理,與spr

SpringBoot配置Druid

root name initials log4 mysql gif 無法 table onsize Druid是Java語言中最好的數據庫連接池。Druid能夠提供強大的監控和擴展功能。關於詳細介紹可查看http://www.iteye.com/magazines/90 S

配置shiro錯誤

shiro fig src manage com div 技術分享 efault 等於 在web配置工程中配置shiro,如果啟動Tomcat,報錯:org.apache.shiro.web.config.WebIniSecurityManagerFactory.setDe

springboot配置多數據源

目前 toolbar ont oca exceptio init user brush temp 在做項目的過程中難免會遇到這種情況:一個項目需要兩個數據庫中的數據,希望這篇文章能給遇到這些問題的小夥伴一點幫助第一步:將兩個數據源的mapper接口和xml文件分別放入不同的

SpringBoot配置攔截器

href 步驟 reg void 成功 config 技術分享 pub 表示 【配置步驟】 1.為類添加註解@Configuration,配置攔截器 2.繼承WebMvcConfigurerAdapter類 3.重寫addInterceptors方法,添加需要攔截的請求 @