springBoot集成shiro实现权限刷新
更新时间:2024年11月05日 09:48:08 作者:利瑞华
在SpringBoot项目中集成Shiro进行权限管理,包括基础配置引入依赖、创建Shiro配置类以及用户认证与授权实现,具有一定的参考价值,感兴趣的可以了解一下
一、Spring Boot 集成 Shiro 基础配置
引入依赖:
在 Spring Boot 项目的pom.xml(如果是 Maven 项目)中添加 Shiro 相关依赖,例如:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-starter</artifactId>
<version>1.7.1</version>
</dependency>
这里的版本号可以根据实际需求进行调整。
创建 Shiro 配置类:
创建一个配置类,比如ShiroConfig,用于配置 Shiro 的核心组件,如安全管理器(SecurityManager)、过滤器链(FilterChain)等。
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.maven.plugins.shiro.spring.boot.autoconfigure.ShiroAutoConfiguration;
import org.apache.shiro.web.maven.plugins.shiro.spring.boot.autoconfigure.ShiroWebAutoConfiguration;
import org.springframework.boot.autoconfigure.ImportAutoConfiguration;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
@ImportAutoConfiguration({ShiroAutoConfiguration.class, ShiroWebAutoConfiguration.class})
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// 设置安全管理器,后续创建并注入
shiroFilterFactoryBean.setSecurityManager(securityManager());
// 配置过滤器链
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 设置Realm,后续创建并注入
securityManager.setRealm(userRealm());
return securityManager;
}
@Bean
public UserRealm userRealm() {
return new UserRealm();
}
}
在上述配置中,定义了哪些 URL 需要进行认证(authc),哪些可以匿名访问(anon),并设置了安全管理器和相关的 Realm(用于用户认证和授权的组件)。
二、用户认证与授权实现(基于 Shiro 的 Realm)
创建 Realm 类:
创建一个继承自AuthorizingRealm的类,比如UserRealm,用于实现用户的认证和授权逻辑。
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class UserRealm extends AuthorizingRealm {
@Override
protected AuthenticationInfo doAuthentication(AuthenticationToken token) throws AuthenticationException {
// 获取用户名和密码等信息,这里假设从token中获取
String username = (String) token.getPrincipal();
String password = new String((char[]) token.getCredentials());
// 实际应用中应该从数据库等地方查询用户信息进行验证
User user = userService.findByUsername(username);
if (user == null) {
throw new AuthenticationException("用户不存在");
}
if (!user.getPassword().equals(password)) {
throw new AuthenticationException("密码错误");
}
// 认证通过,返回认证信息
return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}
@Override
protected AuthorizationInfo doAuthorization(AuthorizationInfo authorizationInfo) {
// 获取当前用户
User user = (User) getSubject().getPrincipal();
// 根据用户角色和权限信息设置授权信息
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
List<Role> roles = user.getRoles();
for (Role role : roles) {
simpleAuthorizationInfo.addRole(role.getName());
List<Permission> permissions = role.getPermissions();
for (Permission permission : permissions) {
simpleAuthorizationInfo.addStringPermission(permission.getName());
}
}
return simpleAuthorizationInfo;
}
}
在doAuthentication方法中实现用户认证逻辑,通过查询数据库等方式验证用户的用户名和密码是否正确。在doAuthorization方法中根据用户的角色和权限信息设置授权信息。
三、权限刷新机制
1. 基于缓存清理的权限刷新
当权限发生变化时(比如管理员在后台修改了用户的角色或权限),可以通过清理 Shiro 相关缓存来实现权限的刷新。
在 Realm 中添加缓存管理:
在UserRealm类中,可以使用 Shiro 提供的缓存机制来缓存用户的认证和授权信息,以提高性能。例如:
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.maven.plugins.shiro.spring.boot.autoconfigure.ShiroAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.ShiroSpringBootAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.cache.ShiroCacheManagerAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.cache.ShiroRedisCacheManagerAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.session.ShiroSessionManagerAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.session.ShiroSpringSessionAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.web.ShiroWebAutoConfiguration;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.maven.plugins.shiro.spring.boot.autoconfigure.ShiroAutoConfiguration;
import org.apache.shiro.web.maven.plugins.shiro.spring.boot.autoconfigure.ShiroWebAutoConfiguration;
import org.springframework.boot.autoconfigure.ImportAutoConfiguration;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
@ImportAutoConfiguration({ShiroAutoConfiguration.class, ShiroWebAutoConfiguration.class})
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// 设置安全管理器,后续创建并注入
shiroFilterFactoryBean.setSecurityManager(securityManager());
// 配置过滤器链
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 设置Realm,后续创建并注入
securityManager.setRealm(userRealm());
return securityManager;
}
@Bean
public UserRealm userRealm() {
UserRealm userRealm = new UserRealm();
// 设置缓存管理器
userRealm.setCacheManager(cacheManager());
return userRealm;
}
@Bean
public CacheManager cacheManager() {
// 这里可以根据实际情况选择不同的缓存管理器实现,如Ehcache、Redis等
return new MemoryCacheManager();
}
}
这里设置了MemoryCacheManager作为缓存管理器示例,实际应用中可以根据需求选择更合适的,如RedisCacheManager等。
权限修改时清理缓存:
当权限发生变化时,在相关的业务逻辑代码中(比如在修改用户角色或权限的服务方法中),需要清理对应的缓存。例如:
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.maven.plugins.shiro.spring.boot.autoconfigure.ShiroAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.ShiroSpringBootAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.cache.ShiroCacheManagerAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.cache.ShiroRedisCacheManagerAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.session.ShiroSessionManagerAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.session.ShiroSpringSessionAutoConfiguration;
import org.apache.shiro.spring.boot.autoconfigure.web.ShiroWebAutoConfiguration;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.maven.plugins.shiro.spring.boot.autoconfigure.ShiroAutoConfiguration;
import org.apache.shiro.web.maven.plugins.shiro.spring.boot.autoconfigure.ShiroWebAutoConfiguration;
import org.springframework.boot.autoconfigure.ImportAutoConfiguration;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
@ImportAutoConfiguration({ShiroAutoConfiguration.class, ShiroWebAutoConfiguration.class})
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// 设置安全管理器,后续创建并注入
shiroFilterFactoryBean.setSecurityManager(securityManager());
// 配置过滤器链
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
@Bean
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 设置Realm,后续创建并注入
securityManager.setRealm(userRealm());
return securityManager;
}
@Bean
public UserRealm userRealm() {
UserRealm userRealm = new UserRealm();
// 设置缓存管理器
userRealm.setCacheManager(cacheManager());
return userRealm;
}
@Bean
public CacheManager cacheManager() {
// 这里可以根据实际情况选择不同的缓存管理器实现,如Ehcache、Redis等
return new MemoryCacheManager();
}
// 在权限修改的服务方法中
public void updateUserPermissions(User user, List<Permission> newPermissions) {
// 先更新数据库中的用户权限信息
userService.updateUserPermissions(user, newPermissions);
// 清理缓存
Cache<String, AuthorizationInfo> cache = userRealm().getCacheManager().getCache("authorizationCache");
if (cache!= null) {
cache.clear();
}
}
}
这样,当调用updateUserPermissions方法修改用户权限后,会清理掉授权信息的缓存,下次用户访问相关资源时,Shiro 会重新进行授权计算。
2. 主动触发授权更新
除了通过清理缓存来间接实现权限刷新外,还可以在权限发生变化时主动触发授权更新。
在 Realm 中添加更新授权方法:
在UserRealm类中添加一个方法来手动触发授权更新,例如:
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class UserRealm extends AuthorizingRealm {
//... 前面的认证和授权方法
public void updateAuthorization(User user) {
PrincipalCollection principals = getSubject().getPrincipals();
if (principals!= null && principals.contains(user)) {
super.doAuthorization(principals);
}
}
}
这个方法通过获取当前用户的主体信息,然后调用super.doAuthorization来重新进行授权计算。
在权限修改业务逻辑中调用更新授权方法:
在修改用户权限等相关业务逻辑代码中,调用上述updateAuthorization方法来主动触发授权更新。例如:
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class UserService {
//... 其他业务方法
public void updateUserPermissions(User user, List<Permission> newPermissions) {
// 先更新数据库中的用户权限信息
userRepository.updateUserPermissions(user, newPermissions);
// 主动触发授权更新
UserRealm userRealm = (UserRealm) applicationContext.getBean("userRealm");
userRealm.updateAuthorization(user);
}
}
通过这种方式,当权限发生变化时,可以及时、主动地更新用户的授权信息,确保用户的权限访问符合最新的设置。
综上所述,在 Spring Boot 结合 Shiro 进行管理时,通过合理配置 Shiro 的基础组件以及实现有效的权限刷新机制,可以更好地保障系统的安全性和权限管理的灵活性。
到此这篇关于springBoot集成shiro实现权限刷新的文章就介绍到这了,更多相关springBoot shiro权限刷新内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要介绍了JAVA中的OutputStreamWriter流解析,OutputStreamWriter提供了一种方便的方式将字符数据写入到输出流中,并进行字符编码转换,它是Java中处理字符流和字节流之间转换的重要工具之一,需要的朋友可以参考下2023-10-10
本篇文章主要介绍了Spring Boot CLI使用教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-10-10
这篇文章主要介绍了Java内存模型中的虚拟机栈原理分析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-11-11
字符串拼接是我们在Java代码中比较经常要做的事情,就是把多个字符串拼接到一起,下面这篇文章主要给大家介绍了关于Java中拼接String的N种方法,文中通过示例代码介绍的非常详细,需要的朋友可以参考下2022-02-02
当您第一次启动 Fleet 时,它会作为一个功能齐全的编辑器启动,具有语法高亮显示、简单的代码补全以及您对一个编辑器期待的所有功能,本文学习下JetBrains推出全新IDE之Fleet相关知识,感兴趣的朋友跟随小编一起看看吧2021-12-12
这篇文章主要介绍了java基础之Object类 的相关资料,需要的朋友可以参考下2015-06-06
这篇文章主要介绍了Java 如何用二维数组创建空心菱形,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-03-03
这篇文章主要介绍了JAVA中字符串如何与整型数字相加,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-07-07
以下是如何使用JDBC构建一个数据访问层,包括数据转换(将从数据库中查询的数据封装到对应的对象中……),数据库的建立,以及如何连接到数据库,需要的朋友可以参考下2016-11-11
SpringSecurity中@PermitAll与@PreAuthorize的实现
@PermitAll和@PreAuthorize都是处理安全性的强大工具,本文主要介绍了SpringSecurity中@PermitAll与@PreAuthorize的实现,具有一定的参考价值,感兴趣的可以了解一下2024-07-07
最新评论