权限shiro与thymeleaf整合

最新推荐文章于 2025-05-29 15:42:54 发布
最新推荐文章于 2025-05-29 15:42:54 发布
阅读量863 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44474200/article/details/109035731
本文介绍如何使用Shiro实现Web应用的登录权限控制。通过整合Spring Boot和Thymeleaf,实现用户认证与授权功能,并展示具体代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

javaweb的登录拦截请求,用拦截器也可以实现,但是得需要大量的代码。
使用springSecurity和shiro都可以实现同样的效果,下面来介绍一下shiro实现登录权限控制。

百度百科:
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

下面来做一些简单的例子,只是实现部分功能,其他的内容具体问题具体分析吧。

工具:idea2019
框架:springboot
前端引擎:thymeleaf

首先新建一个web项目导入maven依赖:

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
		<!--导入shiro依赖-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.mybatis.spring.boot/mybatis-spring-boot-starter -->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.3</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->
        <!--mysql数据库的包-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.21</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/com.alibaba/druid-spring-boot-starter -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.1</version>
        </dependency>
		<!--为了实现shiro与thymeleaf的整合的包-->
        <!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
    </dependencies>

导入依赖之后开始进行配置
application.yml
这些是最基本的配置 关闭thymeleaf的缓存,配置mybatis,连接数据库,端口

spring:
  thymeleaf:
    cache: false
  datasource:
    username: root
    password: 123
    url: jdbc:mysql://localhost:3306/ssmbuild?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
    driver-class-name: com.mysql.cj.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource
mybatis:
  type-aliases-package: com.pojo
  mapper-locations: classpath:mapper/*.xml
server:
  port: 8081

springboot的基本注解在这里就不说了。主要说一下shiro的配置。
三个核心组件:Subject, SecurityManagerRealms.
Subject就是当前操作的用户,
SecurityManager 是管理所有用户的安全操作,
Shiro会从应用配置的Realm中查找用户及其权限信息。

1.UserRealm是自定义的然后将其交给spring容器去管理
2.调用getDefaultWebSecurityManager这个方法来创建默认的权限管理者
3.调用getShiroFilterFactoryBean的构造函数来实例化一个过滤器
我们具体的权限设置也是在这里设置的。

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //System.out.println("doGetAuthorizationInfo");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("user:add");
        Subject thisUser = SecurityUtils.getSubject();
        //拿到User对象
        User currentUser = (User)thisUser.getPrincipal();
        //设置权限   从数据库中读取来设置
        info.addStringPermission(currentUser.getPrems());
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        User user = userService.searchByName(token.getUsername());
        System.out.println(user);
        if(user == null){
            return null;
        }
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        session.setAttribute("loginUser",user);
        //密码认证
        //传递user在授权中使用
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }
}

@Configuration
public class ShiroConfig  {
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager s){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(s);
        //添加内置过滤器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //开始授权

        filterChainDefinitionMap.put("/user/add","perms[user:add]");   //
        filterChainDefinitionMap.put("/user/update","perms[user:update]");   //
        filterChainDefinitionMap.put("/user/*","authc");
//        filterChainDefinitionMap.put("/user/update","authc");
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        //设置登录的请求
        bean.setLoginUrl("/login");
        bean.setUnauthorizedUrl("/noauth");

        return bean;
    }


    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userR){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(userR);
        return defaultWebSecurityManager;
    }
    //自定义的认证和授权 需要自己配置
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    //整合ShiroDialect  thymeleaf
    @Bean
    public ShiroDialect getShiroDialect(){
        return  new ShiroDialect();
    }


}

下面写一个controller来进行测试

@Controller
public class MyController {
    //因为
    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg", "one");
        return "/index2";
    }

    @RequestMapping("/user/add")
    public String add(Model model){
        return "/user/add";
    }
    @RequestMapping("/user/update")
    public String update(Model model){
        return "/user/update";
    }

    @RequestMapping("/login")
    public String toLogin(String username,String password,Model model){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);
            //登录成功返回首页
            return "/index2";
        } catch (UnknownAccountException e) {
            model.addAttribute("msg","user is undefined");
            return "/login";
        } catch (IncorrectCredentialsException e){
            model.addAttribute("msg","password is unkown");
            return "/login";
        }
    }
    @RequestMapping("/noauth")
    @ResponseBody
    public String unauthorized(){
        //没有权限无法访问
        return "unauthorized";
    }
}

我们可以看到在controller中用SecurityUtils.getSubject()来获取了当前操作对象
然后调用login()方法来进行登录。具体的验证是由shiro去做的。如果是用拦截器来写的话
代码起码要翻一倍吧。(还可能有bug,如果让我写bug可能是改不完的,好尴尬)

下面贴上我在数据库设置的权限表
name和password就不说了。perms这个字段就是shiro用来拿这个去验证的
这里要注意这个权限按照常理来说是不可能为空的,这是我建表的失误。

拿这段代码为例

//第一个参数是路径,第二个参数是设置过滤权限
filterChainDefinitionMap.put("/user/add","perms[user:add]");

第一个参数是路径,第二个参数是设置过滤权限
也就是说访问add请求的时候你必须携带一个add权限否则无法访问。

最牛逼的地方啊,我觉得就是shiro和thymeleaf整合的地方。(我都惊呆了原来还可以这样)
看下html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
                xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>ppp</title>
</head>
<body>

<h1>首页</h1>

    <p th:text="${msg}"></p>
<div th:if="${session.loginUser == null}">
    <a th:href="@{/login}">登录</a>
</div>

<div shiro:hasPermission="user:add">
    <a th:href="@{/user/add}">add</a>
</div>
<div shiro:hasPermission="user:update">
    <a th:href="@{/user/update}">update</a>
</div>
</body>
</html>

如果 shiro:hasPermission="user:add"修饰在div上就可以直接控制该div根据权限是否显示。

这样就可以跑起来了,而这些代码只不过是可以小小的感觉一下shiro的作用。
如果想把登录写的更完善的话就需要罗列更多的代码。
了解来说的话,这样就差不多了,如果用到了可以再深究一下。
建议多看些数据结构和算法,这些插件和框架看看说明书找找资料就可以配置的,
但是,算法这个东西,不会就是不会啊!

得做有氧
关注
shiro+thymeleaf 整合
贱气逼人的博客
08-24 2万+
SpringBoot中实现Shiro控制ThymeLeaf界面按钮级权限控制 移动开发 ## 需求简述 在业绩核算系统中,我们使用了SpringBoot作为项目的整体架构,使用ThymeLeaf作为前端界面框架,使用Shiro作为我们的权限控制框架,Shiro作为轻量级的权限框架,使用起来非常方便,但是在使用的过程中我发现,Shiro作为页面级的权限控制框架非常好用,它可以注入到Con...
Shirothymeleaf整合
m0_46388866的博客
02-10 470
Shirothymeleaf整合 直接讲一下步骤 导入jar 导入命名空间,使用shiro:hasPermission=""来判断用户是否拥有这一个权限。 在Config上面导入ShiroDialect的Bean对象 为登录的按钮设置好根据用户是否已经存在来决定是否显示按钮。 代码(依赖) <dependency> <groupId>com.github.theborakompanioni</groupId> &
Shiro笔记三】Shiro整合Thymeleaf
m0_67393827的博客
04-11 1236
版权声明:本文为 小异常 原创文章,非商用自由转载-保持署名-注明出处,谢谢! 本文网址:https://sunkuan.blog.csdn.net/article/details/107154646 文章目录 一、引入 Shiro 整合 Thymeleaf 依赖 二、在 Shiro 配置类中配置 Shrio 方言 三、修改 main.html 页面 四、实现效果 1、效果一(没有任何角色,没有任何权限) 2、效果二(拥有 manage 角色,没有任何权限) 3、效果三(拥有 manage 角色,.
Springboot+Shiro+Thymeleaf
最新发布
a2982955295的博客
05-29 323
这个项目比较简单,主要就是要理解Shiro的应用,以及咋样搭配Thymeleaf的使用,springboot框架主要是代码以及操作简单易懂。目录前言1、导入依赖2、创建数据库用户表User角色表权限表用户角色表角色权限表3、配置相关数据config包UserRealm创建Realmspringbootcontrollerservice和ServiceImpl以及mapperxml页面index.htmllogin.htmluser包。
Shiro整合thymeleaf
qq_44116526的博客
12-23 321
实现目标:登录不同的权限,显示不同的内容。 接 https://blog.csdn.net/qq_44116526/article/details/122032092?spm=1001.2014.3001.5501 1、引入依赖 <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-
SpringBoot基础学习之(二十):ShiroThymeleaf整合版本
m0_52479012的博客
04-16 1068
spring boot:shiro框架thymeleaf引擎的结合实现的功能不同的用户具有的权限不同则访问的同一页面但内容不同
用于ThymeleafShiro HTML标签扩展
05-05
功能描述: 用于在页面模板中应用Shiro框架提供的功能,例如权限验证、角色判断、提取用户凭证信息等 开发环境: 运行环境:Jvm 语言支持:Java、Kotlin、Groovy等所有基于Jvm的语言 框架依赖:Spring/Spring Boot、ThymeleafShiro 也可以在github上获取最新源码:https://github.com/edenyin307/thymeleaf-shiro-extags
thymeleaf整合shiro
sjgllllll的博客
02-21 230
第一步:先在pom.xml加入thymeleafshiro的依赖 <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</artifactId> <version>1.2.1</version> </dependency> 第二步:在ShiroConfig
Shiro详细介绍 springboot整合Shirothymleaf的简单案例
qq_37080185的博客
03-09 4104
Shiro详细介绍 springboot整合Shirothymleaf的简单案例
Shiro学习笔记
lizongxiao的博客
10-29 1933
1.简介
shiro+thymeleaf+spring boot实现权限按钮
ha2saki的博客
07-22 2105
shiro框架整合shiro简介功能构成开始使用依赖配置thymeleaf配置shiro自定义relam页面登录 shiro简介 功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否...
springboot_shiro_thymeleaf权限控制
12-21
springboot_shiro_thymeleaf开发的权限控制,通俗易懂,直击主题,可直接运行,运行前【请在application里面查看账号密码】
SpringBoot整合ShiroThymeleaf-权限管理实战视频
10-08
SpringBoot整合ShiroThymeleaf-权限管理实战视频
shirothymeleaf的简单整合
二十一克阳光!的博客
05-02 359
添加依赖 <!--thymeleaf整合shiro--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro</artifact...
shiro实现用户认证
Java修炼者的博客
12-22 197
shiro实现用户认证 用户登录的Controller @RequestMapping("/login") public String login(String username,String password,Model model){ //获得当前用户 Subject subject = SecurityUtils.getSubject(); //封装用户的登录数据(通过用户名和密码让shiro为我们生成一个token)
Spring boot项目整合thymeleafshiro
qq_32969281的博客
12-08 3737
项目使用了spring boot 框架和orm框架用了spring data jpa和前台是thymeleaf 第一步:先在pom.xml加入thymeleafshiro的依赖 <dependency> <groupId>com.github.theborakompanioni</groupId&g...
springboot thymeleafshiro标签整合使用
戴林峰的博客
07-26 425
首先需要导入thymeleafshiro扩展的坐标 <!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro --> <dependency> <groupId>com.github.theborakompanioni</...
Shiro权限管理,Shriothymeleaf整合
itzhuangjh的博客
08-25 2795
Shiro核心API:Shiro内置过滤器:Shiro配置文件Realm实现(授权身份认证)shiro登录(controller)shirothymeleaf整合 核心API: 1、Subject:用户主体(把操作交给SecurityManager) 2、SecurityManager:安全管理器(关联Realm) 3、Realm:Shiro连接数据的桥梁(从数据库中获取数据) Shiro内置...
shiro+Thymeleaf整合教程
07-09 332
1.web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值