• springboot-权限控制shiro(二)


    1. 场景描述

    (1)最近有点小忙,公司真实项目内容有点小多以及不想只介绍理论,就使用springboot单独部署了个shiro的demo项目,还是理论和实际项结合比较好理解,介绍起来和修改也方便。

    (2)接下来介绍springboot集成shrio,springboot-权限控制shiro(二),本节先不连数据库,先介绍springboot下shiro框架如何使用。(springboot-权限控制shiro(一)

    2. 解决方案

    2.1 整体介绍

    2.1.1 项目图

    2.1.2 整体说明

    shiro的demo项目主要包含三块内容:

    (1)1是pom文件,获取相关jar包;

    (2)2是资源(resources),一个配置文件以及6个演示页面;

    (3)3是主类,包含启动类、控制类、shiro配置类。

    2.1.3 shiro 过滤器说明

    (1)认证过滤器
    anon:用户不需要认证也可以访问
    authc: 用户必须认证才可以访问
    user:用户只要rememberMe,就可以访问
    (2)授权过滤器
    perms: 基于资源的授权过滤器
    roles : 基于角色的授权过滤器

    本节只使用了anon、authc认证过滤与perms资源授权过滤器,简单说shiro就是通过这些过滤器实现的权限控制。

    2.2 pom文件

    <?xml version="1.0" encoding="UTF-8"?>
    <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
        <modelVersion>4.0.0</modelVersion>
        <parent>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-parent</artifactId>
            <version>2.1.6.RELEASE</version>
            <relativePath/> <!-- lookup parent from repository -->
        </parent>
        <groupId>com.laowang</groupId>
        <artifactId>lwshiro</artifactId>
        <version>0.0.1-SNAPSHOT</version>
        <name>lwshiro</name>
        <description>Demo project for Spring Boot</description>
        <properties>
            <java.version>1.8</java.version>
        </properties>
    
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-web</artifactId>
            </dependency>
    
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-test</artifactId>
                <scope>test</scope>
            </dependency>
    
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-thymeleaf</artifactId>
            </dependency>
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-spring</artifactId>
                <version>1.4.0</version>
            </dependency>
        </dependencies>
    
        <build>
            <plugins>
                <plugin>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-maven-plugin</artifactId>
                </plugin>
            </plugins>
        </build>
    
    </project>
    
    

    说明

    重点是两个gav

    1. spring-boot-starter-thymeleaf ---结合页面使用(2.2)
    
    2. shiro-spring  -----shiro核心包
    

    2.3 resource(页面及配置类)

    2.3.1 application.properties
    server.port=8000
    spring.thymeleaf.cache=false
    

    说明:启动端口号改成了8000;cache=false是为了更改页面后不用重启服务,可忽略。

    2.3.2 六个页面

    (1)index.html

    <!DOCTYPE html>
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>软件老王主页</title>
    </head>
    <body>
    <h3>软件老王主页</h3>
    
    当前用户名:<span th:text="${session.userName}"></span>,<a href="/user/logout">注销</a>
    
    <hr/>
    <span>
    <a href="/page/toa">页面1</a><br/>
    </span>
    <span >
    <a href="/page/tob">页面2</a><br/>
    </span>
    <span >
    <a href="/page/toc">页面3</a><br/>
    </span>
    
    </body>
    </html>
    

    (2)login.html

    <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>登录页面</title>
    </head>
    <body>
    <h3>登录</h3>
    <font color="red" th:text="${msg}"></font>
    
    <form method="post" action="/user/login">
      用户名:<input type="text" name="name"/><br/>
      密码:<input type="password" name="password"/><br/>
      <input type="submit" value="登录">
    </form>
    </body>
    </html>
    

    (3)unauth.html

    <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>未授权提示页面</title>
    </head>
    <body>
    i'm 软件老王,没有权限访问此页面
    </body>
    </html>
    

    (4)a.html、 b.html、 c.html

    <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>i'm 软件老王,页面a</title>
    </head>
    <body>
    i'm 软件老王,页面a
    </body>
    </html>
    
    
    <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>i'm 软件老王,页面b</title>
    </head>
    <body>
    i'm 软件老王,页面b
    </body>
    </html>
    
    <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>i'm 软件老王,页面c</title>
    </head>
    <body>
    i'm 软件老王,页面c
    </body>
    </html>
    

    说明: 几个页面就不多说,仅仅为了说明问题新建的,有个标签可以关注下 th,这个是thymeleaf里面的,结合页面使用。

    2.4 java类

    2.4.1 启动类(LwshiroApplication)
    package com.laowang.lwshiro;
    
    import org.springframework.boot.SpringApplication;
    import org.springframework.boot.autoconfigure.SpringBootApplication;
    
    @SpringBootApplication
    public class LwshiroApplication {
    
        public static void main(String[] args) {
            SpringApplication.run(LwshiroApplication.class, args);
        }
    
    }
    
    

    说明: springboot项目启动类。

    2.4.2 用户登录类(UserController)
    package com.laowang.lwshiro.controller;
    
    
    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.AuthenticationToken;
    import org.apache.shiro.authc.IncorrectCredentialsException;
    import org.apache.shiro.authc.UnknownAccountException;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.subject.Subject;
    import org.springframework.stereotype.Controller;
    import org.springframework.ui.Model;
    import org.springframework.web.bind.annotation.RequestMapping;
    
    import javax.servlet.http.HttpServletRequest;
    
    /**
     * 用户登录类
     * @auther: 软件老王
     * @date: 2019/7/30
     */
    @Controller
    @RequestMapping("/user")
    public class UserController {
        @RequestMapping("/login")
        public String login(User user, HttpServletRequest request,
                            Model model) {
    
            Subject subject = SecurityUtils.getSubject();
            AuthenticationToken token = new UsernamePasswordToken(user.getName(),
                    user.getPassword());
    
            try {
                subject.login(token);
                User tuser = (User)subject.getPrincipal();
                request.getSession().setAttribute("userName",tuser.getName());
    
                return "redirect:/index";
            } catch (UnknownAccountException e) {
                model.addAttribute("msg", "i'm 软件老王,用户名不存在");
                return "login";
            } catch (IncorrectCredentialsException e) {
                model.addAttribute("msg", "i'm 软件老王,密码错误");
                return "login";
            }
        }
    
        /**
         * i'm 软件老王,注销方法
         */
        @RequestMapping("/logout")
        public String logout(){
            Subject subject = SecurityUtils.getSubject();
            subject.logout(); //shiro底层删除session的会话信息
            return "redirect:/toLogin";
        }
    
    }
    
    

    说明:

    重点就以下3行代码

     Subject subject = SecurityUtils.getSubject();       -----------#1
            AuthenticationToken token = new UsernamePasswordToken(user.getName(),
                    user.getPassword());        ---------#2
    
            try {
                subject.login(token);            ----------#3
    

    (1)第一行是从工厂中获取subject,登录用户操作类;

    (2)将从页面获取的用户名和密码设置到一个token中;

    (3)调用登录有用户操作类的login方法;

    (4)会在MyRealm类的doGetAuthenticationInfo方法中获取到登录的token与数据库中(目前写的固定值)进行认证过滤比对。

    2.4.3 接收参数类(User)
    package com.laowang.lwshiro.controller;
    
    import java.io.Serializable;
    
    /**
     * 接收参数类
     * @auther: 软件老王
     * @date: 2019/7/30
     */
    public class User implements Serializable{
    
    	private Integer id;
    	private String name;
    	private String password;
    	public Integer getId() {
    		return id;
    	}
    	public void setId(Integer id) {
    		this.id = id;
    	}
    	public String getName() {
    		return name;
    	}
    	public void setName(String name) {
    		this.name = name;
    	}
    	public String getPassword() {
    		return password;
    	}
    	public void setPassword(String password) {
    		this.password = password;
    	}
    	@Override
    	public String toString() {
    		return "User [id=" + id + ", name=" + name + ", password=" + password + "]";
    	}
    	
    	
    }
    
    

    说明: 接收参数类

    2.4.4 页面跳转(PageController)
    package com.laowang.lwshiro.controller;
    
    import org.springframework.stereotype.Controller;
    import org.springframework.web.bind.annotation.RequestMapping;
    
    /**
     * 页面跳转
     * @auther: 软件老王
     * @date: 2019/7/30
     */
    @Controller
    @RequestMapping("/page")
    public class PageController {
    
    	/**
    	 * i'm 软件老王
    	 */
    	@RequestMapping("/toa")
    	public String toAdd(){
    		return "page/a";
    	}
    	/**
    	 * i'm 软件老王
    	 */
    	@RequestMapping("/tob")
    	public String toList(){
    		return "page/b";
    	}
    	/**
    	 * i'm 软件老王
    	 */
    	@RequestMapping("/toc")
    	public String toUpdate(){
    		return "page/c";
    	}
    }
    
    

    说明: 控制跳转类,没啥值的说的。

    2.4.5 主控制类(MainController)
    package com.laowang.lwshiro.controller;
    
    import org.springframework.stereotype.Controller;
    import org.springframework.web.bind.annotation.RequestMapping;
    
    /**
     *  主控制类
     * @auther: 软件老王
     * @date: 2019/7/30
     */
    @Controller
    @RequestMapping("/")
    public class MainController {
    	/**
    	 * i'm 软件老王
    	 */
    	@RequestMapping("/index")
    	public String index(){
    		return "index";
    	}
    	/**
    	 * i'm 软件老王
    	 */
    	@RequestMapping("/toLogin")
    	public String toLogin(){
    		return "login";
    	}
    	/**
    	 * i'm 软件老王
    	 */
    	@RequestMapping("/unAuth")
    	public String unAuth(){
    		return "unauth";
    	}
    
    }
    

    **说明: **主控制类,也没啥值的说的。

    2.4.6 shiro主配置类(ShiroConfig)
    package com.laowang.lwshiro.config;
    
    import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
    import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    
    import java.util.LinkedHashMap;
    import java.util.Map;
    
    /**
     *  shiro主配置类
     * @auther: 软件老王
     * @date: 2019/7/30
     */
    @Configuration
    public class ShiroConfig {
    
        /**
         * i'm 软件老王
         */
        @Bean
        public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
    
            ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
            shiroFilterFactoryBean.setSecurityManager(securityManager);
    
            Map<String, String> filterMap = new LinkedHashMap<>();
            //登录
            filterMap.put("/page/toa", "anon");
            filterMap.put("/user/login", "anon");
    
            //授权过滤器
    //        filterMap.put("/page/toa", "perms[toa]");
            filterMap.put("/page/tob", "perms[tob]");
            filterMap.put("/page/toc", "perms[toc]");
    
            filterMap.put("/**", "authc");
    
            shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
    
            shiroFilterFactoryBean.setLoginUrl("/toLogin");
            shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");
    
            return shiroFilterFactoryBean;
    
        }
    
        /**
         * i'm 软件老王
         */
        @Bean
        public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm) {
            DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
            defaultWebSecurityManager.setRealm(myRealm);
            return defaultWebSecurityManager;
        }
    
        /**
         * i'm 软件老王
         */
        @Bean
        public MyRealm getMyReal() {
            MyRealm myReal = new MyRealm();
            return myReal;
        }
    }
    
    

    说明:

    这个是shiro的主配置类,重点说一下,这个类中包含了三个bean,分别为:

    (1)getShiroFilterFactoryBean这个bean是关键,用于设定过滤器,本节的授权写的固定的,下节将从数据库中获取,在这个bean中设置认证过滤、授权过滤、登录页及无权限页,非常重要。

    (2)getSecurityManager这个类是跟前面的 Subject subject = SecurityUtils.getSubject()有关系的,通过这里配置MyRealm,将登录控制与shiro关联起来;

    (3)getMyReal 这个bean是为了注入MyRealm类;

    2.4.7 shiro配置类(MyRealm)
    package com.laowang.lwshiro.config;
    
    import com.laowang.lwshiro.controller.User;
    import org.apache.shiro.authc.*;
    import org.apache.shiro.authz.AuthorizationInfo;
    import org.apache.shiro.authz.SimpleAuthorizationInfo;
    import org.apache.shiro.realm.AuthorizingRealm;
    import org.apache.shiro.subject.PrincipalCollection;
    
    /**
     *  shiro配置类
     * @auther: 软件老王
     * @date: 2019/7/30
     */
    public class MyRealm extends AuthorizingRealm {
        /**
         * i'm 软件老王
         */
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            info.addStringPermission("toa");
            info.addStringPermission("toc");
            return info;
        }
        /**
         * i'm 软件老王
         */
        @Override
        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
            UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
            String  name ="laowang";
            String  password="123";
    
            if (!token.getUsername().equalsIgnoreCase(name)) {
                return null;
            }
            User tuser = new User();
            tuser.setName(name);
            tuser.setPassword(password);
            return  new SimpleAuthenticationInfo(tuser,tuser.getPassword(),"");
        }
    }
    
    

    说明

    这个类是项目的具体配置类,每个项目都可能会不一样。

    (1) doGetAuthorizationInfo这个是授权方法,结合登录用户使用,从数据库中查询出登录人具有的权限信息,有权限的话,放行;没有权限的转到unauth页面;

    (2)doGetAuthenticationInfo这个是认证方法,在登录控制处调用subject.login方法后,就会跳转到这里进行认证操作,用户名直接跟从数据库中查询比对,密码赋值到SimpleAuthenticationInfo类在shiro中进行比对,根据返回情况在登录控制处进行提示。

    2.5 效果

    2.5.1 登录页

    访问地址:http://localhost:8000

    2.5.2 首页

    登录账户:laowang,密码:123

    (1)登录成功

    (2)登录失败

    2.5.3 访问页面

    在myrealm中设置了所有用户对a页面和c页面有操作权限,对b页面没有,这一块本节写的固定的,下一节会从数据库中根据用户名查询登录人拥有的权限。

        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            info.addStringPermission("toa");
            info.addStringPermission("toc");
            return info;
        }
    

    (1)访问页面a

    (2)访问页面b


    I’m 「软件老王」,如果觉得还可以的话,关注下呗,后续更新秒知!欢迎讨论区、同名公众号留言交流!

  • 相关阅读:
    您知道SASS吗?
    打破技术壁垒, 用SpreadJS 抢占“表格文档协同编辑系统”的入市先机
    7种你应该知道的JavaScript常见的错误
    前端开发:这10个Chrome扩展你不得不知
    疫情下,买菜难,其实卖菜的也是这么想的
    疫情之下远程办公,开启企业办公的全新时代!
    “泛在电力物联网”究竟是什么?
    2020 春节集五福最详细收集攻略
    怎样使我们的用户不再抵触填写Form表单?
    新事业,新征程:换屏哥,您身边的手机维修专家
  • 原文地址:https://www.cnblogs.com/ruanjianlaowang/p/11281024.html
Copyright © 2020-2023  润新知