Shiro安全框架——【快速入门、登录拦截、用户认证,2024年最新你还看不明白

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量848 收藏 18
点赞数 30
分类专栏: 2024年程序员学习 文章标签: 安全 spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83973943/article/details/137742961
版权

currentUser.logout();

//退出

System.exit(0);

}

}

三、SpringBoot 集成 Shiro

=====================

1.编写测试环境

1.在刚刚的父项目中新建一个 springboot 模块

2.导入 SpringBoot 和 Shiro 整合包的依赖

org.apache.shiro

shiro-spring

1.4.1

下面是编写配置文件

Shiro 三大要素

Subject        用户      ->    ShiroFilterFactoryBean

SecurityManager        管理所有用户  -> DefaultWebSecurityManager

Realm          连接数据

实际操作中对象创建的顺序 : realm -> securityManager -> subject

3.编写自定义的 realm ,需要继承 AuthorizingRealm

//自定义的 UserRealm extends AuthorizingRealm

public class UserRealm extends AuthorizingRealm {

//授权

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

//打印一个提示

System.out.println(“执行了授权方法”);

return null;

}

//认证

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

//打印一个提示

System.out.println(“执行了认证方法”);

return null;

}

}

4.新建一个ShiroConfig配置文件

@Configuration

public class ShiroConfig {

//ShiroFilterFactoryBean:3

@Bean

public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier(“securityManager”) DefaultWebSecurityManager defaultWebsecurityManager){

ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

//设置安全管理器

bean.setSecurityManager(defaultWebsecurityManager);

return bean;

}

//DefaultWebSecurityManager:2

@Bean(name=“securityManager”)

public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier(“userRealm”) UserRealm userRealm){

DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();

//关闭UserRealm

securityManager.setRealm(userRealm);

return securityManager;

}

//创建realm 对象,需要自定义类:1

@Bean(name=“userRealm”)

public UserRealm userRealm(){

return new UserRealm();

}

}

5.测试成功!

2.使用

1.登录拦截

在getShiroFilterFactoryBean方法中添加需要拦截的登录请求

@Configuration

public class ShiroConfig {

//ShiroFilterFactoryBean:3

@Bean

public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier(“securityManager”) DefaultWebSecurityManager defaultWebsecurityManager){

ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

//设置安全管理器

bean.setSecurityManager(defaultWebsecurityManager);

//添加shiro的内置过滤器

/*

anon : 无需认证,就可以访问

authc : 必须认证了才能访问

user : 必须拥有 “记住我” 功能才能用

perms : 拥有对某个资源的权限才能访问

role : 拥有某个角色权限才能访问

*/

filterMap.put(“/user/add”,“authc”);

filterMap.put(“/user/update”,“authc”);

//拦截

Map<String,String> filterMap=new LinkedHashMap<>();

filterMap.put(“/user/*”,“authc”);

bean.setFilterChainDefinitionMap(filterMap);

// //设置登录的请求

// bean.setLoginUrl(“/toLogin”);

return bean;

}

测试:点击 add链接,不会跳到 add 页面,而是跳到登录页,拦截成功

2.用户认证

1.在Controller层写一个登录的方法

//登录的方法

@RequestMapping(“/login”)

public String login(String username, String password, Model model) {

//获取当前用户

Subject subject = SecurityUtils.getSubject();

//封装用户的登录数据,获得令牌

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

//登录 及 异常处理

try {

//执行用户登录的方法,如果没有异常就说明OK了

subject.login(token);

return “index”;

} catch (UnknownAccountException e) {

//如果用户名不存在

System.out.println(“用户名不存在”);

model.addAttribute(“msg”, “用户名错误”);

return “login”;

} catch (IncorrectCredentialsException ice) {

//如果密码错误

System.out.println(“密码错误”);

model.addAttribute(“msg”, “密码错误”);

return “login”;

}

}

}

2.测试

可以看出是先执行了自定义的UserRealm中的AuthenticationInfo方法,再执行登录相关的操作

3.修改UserRealm中的doGetAuthenticationInfo方法

//认证

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

//打印一个提示

System.out.println(“执行了认证方法”);

// 用户名密码

String name = “root”;

String password = “123456”;

//通过参数获取登录的控制器中生成的 令牌

UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;

//用户名认证

if (!token.getUsername().equals(name)){

// return null UnKnownAccountException

return null;

}

//密码认证, Shiro 自己做,为了避免和密码的接触

//最后返回一个 AuthenticationInfo 接口的实现类,这里选择 SimpleAuthenticationInfo

// 三个参数:获取当前用户的认证 ; 密码 ; 认证名

return new SimpleAuthenticationInfo(“”, password, “”);

}

}

4.测试,输入错误的密码

输入正确的密码,即可登录成功

四、Shiro整合Mybatis

================

1.导入依赖

mysql

mysql-connector-java

8.0.19

log4j

log4j

1.2.17

com.alibaba

druid

1.1.12

org.mybatis.spring.boot

mybatis-spring-boot-starter

2.1.1

2.新建个application.yml

spring:

datasource:

username: root

password: 123456

url: jdbc:mysql://localhost:3306/mybatis?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC

driver-class-name: com.mysql.cj.jdbc.Driver

type: com.alibaba.druid.pool.DruidDataSource

#Spring Boot 默认是不注入这些属性值的,需要自己绑定

#druid 数据源专有配置

initialSize: 5

minIdle: 5

maxActive: 20

maxWait: 60000

timeBetweenEvictionRunsMillis: 60000

minEvictableIdleTimeMillis: 300000

validationQuery: SELECT 1 FROM DUAL

testWhileIdle: true

testOnBorrow: false

testOnReturn: false

poolPreparedStatements: true

#配置监控统计拦截的filters,stat:监控统计、log4j:日志记录、wall:防御sql注入

#如果允许时报错 java.lang.ClassNotFoundException: org.apache.log4j.Priority

#则导入 log4j 依赖即可,Maven 地址:https://mvnrepository.com/artifact/log4j/log4j

filters: stat,wall,log4j

maxPoolPreparedStatementPerConnectionSize: 20

useGlobalDataSourceStat: true

connectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=500

mybatis:

type-aliases-package: com.huang.pojo

mapper-locations: classpath:mybatis/mapper/*.xml

3.在application.properties

mybatis.type-aliases-package=com.longdi.pojo

mybatis.mapper-locations=classpath:mapper/*.xml

4.导入依赖

org.projectlombok

lombok

1.18.10

provided

5.编写User类

@Data

@AllArgsConstructor

@NoArgsConstructor

public class User {

private int id;

private String name;

private String pwd;

private String perms;

}

6.编写UserMapper

@Repository

@Mapper

public interface UserMapper {

public User queryUserByName(String name);

}

7.编写UserMapper.xml

<?xml version="1.0" encoding="UTF-8" ?>

select * from mybatis.user where name=#{name}

8.Service层

UserService接口:

public interface UserService {

public User queryUserByName(String name);

}

9.编写接口实现类UserServiceImpl

@Service

public class UserServiceImpl implements UserService{

@Autowired

UserMapper userMapper;

@Override

public User queryUserByName(String name) {

return userMapper.queryUserByName(name);

}

}

10.在ShiroSpringbootApplicationTests测试

@SpringBootTest

class ShiroSpringbootApplicationTests {

@Autowired

UserServiceImpl userService;

@Test

void contextLoads() {

System.out.println(userService.queryUserByName(“longdi”));

}

}

11.成功连接数据库

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-fXKfvfZu-1713072919456)]

2401_83973943
关注
  • 30
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架用户角色权限
07-26
0、重点!重点!配套文档地址https://blog.csdn.net/qq_35867875/article/details/125998233?spm=1001.2014.3001.5502 1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。 2、技术选型(全部目前最新版本) springbootshiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache ShiroSpring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
2024最全Shiro安全框架——【快速入门登录拦截用户认证
最新发布
05-01 248
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBootShiro 整合包的依赖SpringBootShiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
shiro 安全(权限)框架
weixin_49107940的博客
11-02 4063
Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。Shiro 默认的登录认证是不带加密的,如果想要实现加密认证需要自定义登录认证,自定义 Realm。自定义登录认证
shiro框架
小凯的博客
03-02 978
Shiro框架的基本介绍与基本使用
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3633
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro安全性能比较优越,提供了多种方式来保护应用程序的安全性。
Shiro框架
xixihaha_coder的博客
10-12 2356
Shiro框架
Shiro安全框架快速入门
03-01
照例又去官网扒了扒介绍:ApacheShiroisapowerfulandeasy-to-useJavasecurityframeworkthatperformsauthentication,authorization,cryptography,andsessionmanagement.WithShiro’seasy-to-understandAPI,...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
最新apache shiro轻量级的安全认证授权框架
04-03
apache shiro轻量级的安全认证授权框架让你快速搭建中下型企业安全认证模块
Shiro安全框架
Ysuhang的博客
08-04 1478
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问==身份认证==,就是判断一个用户是否为合法用户的处理过程。...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2719
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证登录,验证用户是不是拥有相应的身份; Aut
Shiro安全框架入门使用方法
宋铮的博客
08-15 1万+
框架介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任 何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shrio的主要功能: Authentication:用户认证登录) Authorization:权限控制 Session Management:会话管理 Cryptogr
shiro-安全框架
weixin_64353239的博客
07-05 259
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
shiro权限
天地无名
09-30 651
一、权限框架介绍 1.什么说权限框架? 权限说简单点就是我们字面理解的意思,项目中,例如普通用户和超级管理园 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件K
Springboot整合Shiro框架入门
web15285868498的博客
04-08 4331
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro拦截 2.3、shiro认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
shiro入门
trasewell的博客
09-25 827
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
项目使用shiro安全框架 访问后端被重定向了,但我找不到他的拦截器或过滤器
07-20
如果你的项目使用Shiro安全框架,并且在访问后端时出现重定向问题,但你找不到Shiro拦截器或过滤器,可能有以下几个原因: 1. Shiro配置文件:首先,确保你正在查找正确的Shiro配置文件。一般来说,Shiro的配置文件名为`shiro.ini`、`shiro.yml`或`shiro.properties`。确认你正在查看项目中正确的配置文件。 2. Shiro过滤器链配置:在Shiro中,拦截器和过滤器是通过过滤器链(Filter Chain)进行配置的。在Shiro的配置文件中,你需要定义一个过滤器链,将特定的URL路径与对应的拦截器或过滤器进行关联。检查你的Shiro配置文件,确认是否存在过滤器链的定义。 3. 检查拦截器或过滤器配置:在过滤器链中,你需要指定具体的拦截器或过滤器来处理请求。查看你的Shiro配置文件中是否定义了相应的拦截器或过滤器,并且是否正确地将其与URL路径进行关联。 4. Shiro认证策略:Shiro还有一个认证策略(Authentication Strategy)的概念,用于决定当用户未通过认证时的处理方式。可能你的配置中使用了某种认证策略,导致未通过认证时自动重定向到登录页面。 如果你仍然无法找到Shiro拦截器或过滤器,建议查看Shiro的官方文档或寻求Shiro相关的社区支持,以了解更多关于如何配置和使用拦截器或过滤器的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值