SpringBoot学习笔记(十六:Shiro )

于 2024-09-17 20:33:20 发布
阅读量1k 收藏 18
点赞数 7
分类专栏: 技术交流&学习资料看我主页 文章标签: spring boot 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87167645/article/details/142318438
版权

  • Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。

  • Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。

  • Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。

还有其他的功能来支持和加强这些不同应用环境下安全领域的关注点。特别是对以下的功能支持:

  • Web支持:Shiro 提供的 Web 支持 api ,可以很轻松的保护 Web 应用程序的安全。

  • 缓存:缓存是 Apache Shiro 保证安全操作快速、高效的重要手段。

  • 并发:Apache Shiro 支持多线程应用程序的并发特性。

  • 测试:支持单元测试和集成测试,确保代码和预想的一样安全。

  • “Run As”:这个功能允许用户假设另一个用户的身份(在许可的前提下)。

  • “Remember Me”:跨 session 记录用户的身份,只有在强制需要时才需要登录。

3、High-Level Overview 高级概述

在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。

在这里插入图片描述

  • Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。

  • SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。

  • Realms:用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

二、快速上手

========================================================================

1、基础信息

1.1、pom包依赖

org.springframework.boot

spring-boot-starter-data-jpa

org.springframework.boot

spring-boot-starter-thymeleaf

net.sourceforge.nekohtml

nekohtml

1.9.22

org.springframework.boot

spring-boot-starter-web

org.apache.shiro

shiro-spring

1.4.0

mysql

mysql-connector-java

runtime

重点是 shiro-spring 包

1.2、配置文件

spring:

datasource:

url: jdbc:mysql://localhost:3306/test

username: root

password: root

driver-class-name: com.mysql.jdbc.Driver

jpa:

database: mysql

show-sql: true

hibernate:

ddl-auto: update

naming:

strategy: org.hibernate.cfg.DefaultComponentSafeNamingStrategy

properties:

hibernate:

dialect: org.hibernate.dialect.MySQL5Dialect

thymeleaf:

cache: false

mode: LEGACYHTML5

thymeleaf的配置是为了去掉html的校验

1.3、页面

我们新建了六个页面用来测试:

  • index.html :首页

  • login.html :登录页

  • userInfo.html : 用户信息页面

  • userInfoAdd.html :添加用户页面

  • userInfoDel.html :删除用户页面

  • 403.html : 没有权限的页面

除过登录页面其它都很简单,大概如下:

Title

index

2、RBAC

========================================================================

RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

采用 Jpa 技术来自动生成基础表格,对应的实体如下:

用户信息:

@Entity

public class UserInfo implements Serializable {

@Id

@GeneratedValue

private Integer uid;

@Column(unique =true)

private String username;//帐号

private String name;//名称(昵称或者真实姓名,不同系统不同定义)

private String password; //密码;

private String salt;//加密密码的盐

private byte state;//用户状态,0:创建未认证(比如没有激活,没有输入验证码等等)–等待验证的用户 , 1:正常状态,2:用户被锁定.

@ManyToMany(fetch= FetchType.EAGER)//立即从数据库中进行加载数据;

@JoinTable(name = “SysUserRole”, joinColumns = { @JoinColumn(name = “uid”) }, inverseJoinColumns ={@JoinColumn(name = “roleId”) })

private List roleList;// 一个用户具有多个角色

// 省略 get set 方法

}

角色信息:

@Entity

public class SysRole {

@Id@GeneratedValue

private Integer id; // 编号

private String role; // 角色标识程序中判断使用,如"admin",这个是唯一的:

private String description; // 角色描述,UI界面显示使用

private Boolean available = Boolean.FALSE; // 是否可用,如果不可用将不会添加给用户

//角色 – 权限关系:多对多关系;

@ManyToMany(fetch= FetchType.EAGER)

@JoinTable(name=“SysRolePermission”,joinColumns={@JoinColumn(name=“roleId”)},inverseJoinColumns={@JoinColumn(name=“permissionId”)})

private List permissions;

// 用户 - 角色关系定义;

@ManyToMany

@JoinTable(name=“SysUserRole”,joinColumns={@JoinColumn(name=“roleId”)},inverseJoinColumns={@JoinColumn(name=“uid”)})

private List userInfos;// 一个角色对应多个用户

// 省略 get set 方法

}

权限信息:

@Entity

public class SysPermission implements Serializable {

@Id@GeneratedValue

private Integer id;//主键.

private String name;//名称.

@Column(columnDefinition=“enum(‘menu’,‘button’)”)

private String resourceType;//资源类型,[menu|button]

private String url;//资源路径.

private String permission; //权限字符串,menu例子:role:*,button例子:role:create,role:update,role:delete,role:view

private Long parentId; //父编号

private String parentIds; //父编号列表

private Boolean available = Boolean.FALSE;

@ManyToMany

@JoinTable(name=“SysRolePermission”,joinColumns={@JoinColumn(name=“permissionId”)},inverseJoinColumns={@JoinColumn(name=“roleId”)})

private List roles;

// 省略 get set 方法

}

根据以上的代码会自动生成 user_info(用户信息表)、sys_role(角色表)、sys_permission(权限表)、sys_user_role(用户角色表)、sys_role_permission(角色权限表)这五张表,为了方便测试我们给这五张表插入一些初始化数据:

INSERT INTO user_info (uid,username,name,password,salt,state) VALUES (‘1’, ‘admin’, ‘管理员’, ‘d3c59d25033dbf980d29554025c23a75’, ‘8d78869f470951332959580424d4bf4f’, 0);

INSERT INTO sys_permission (id,available,name,parent_id,parent_ids,permission,resource_type,url) VALUES (1,0,‘用户管理’,0,‘0/’,‘userInfo:view’,‘menu’,‘userInfo/userList’);

INSERT INTO sys_permission (id,available,name,parent_id,parent_ids,permission,resource_type,url) VALUES (2,0,‘用户添加’,1,‘0/1’,‘userInfo:add’,‘button’,‘userInfo/userAdd’);

INSERT INTO sys_permission (id,available,name,parent_id,parent_ids,permission,resource_type,url) VALUES (3,0,‘用户删除’,1,‘0/1’,‘userInfo:del’,‘button’,‘userInfo/userDel’);

INSERT INTO sys_role (id,available,description,role) VALUES (1,0,‘管理员’,‘admin’);

INSERT INTO sys_role (id,available,description,role) VALUES (2,0,‘VIP会员’,‘vip’);

INSERT INTO sys_role (id,available,description,role) VALUES (3,1,‘test’,‘test’);

INSERT INTO sys_role_permission VALUES (‘1’, ‘1’);

INSERT INTO sys_role_permission (permission_id,role_id) VALUES (1,1);

INSERT INTO sys_role_permission (permission_id,role_id) VALUES (2,1);

INSERT INTO sys_role_permission (permission_id,role_id) VALUES (3,2);

INSERT INTO sys_user_role (role_id,uid) VALUES (1,1);

3、Shiro 配置

首先要配置的是 ShiroConfig 类,Apache Shiro 核心通过 Filter 来实现,就好像 SpringMvc 通过 DispachServlet 来主控制一样。 既然是使用 Filter 一般也就能猜到,是通过 URL 规则来进行过滤和权限校验,所以我们需要定义一系列关于 URL 的规则和访问权限。

3.1、ShiroConfig

@Configuration

public class ShiroConfig {

@Bean

public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {

System.out.println(“ShiroConfiguration.shirFilter()”);

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

shiroFilterFactoryBean.setSecurityManager(securityManager);

//拦截器.

Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

// 配置不会被拦截的链接 顺序判断

filterChainDefinitionMap.put(“/static/**”, “anon”);

//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了

filterChainDefinitionMap.put(“/logout”, “logout”);

//过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;

//

filterChainDefinitionMap.put(“/**”, “authc”);

// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面

shiroFilterFactoryBean.setLoginUrl(“/login”);

// 登录成功后要跳转的链接

shiroFilterFactoryBean.setSuccessUrl(“/index”);

//未授权界面;

shiroFilterFactoryBean.setUnauthorizedUrl(“/403”);

shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

return shiroFilterFactoryBean;

}

@Bean

public MyShiroRealm myShiroRealm(){

MyShiroRealm myShiroRealm = new MyShiroRealm();

return myShiroRealm;

}

@Bean

public SecurityManager securityManager(){

DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

securityManager.setRealm(myShiroRealm());

return securityManager;

}

}

Filter Chain 定义说明:

  • 1、一个URL可以配置多个 Filter,使用逗号分隔

  • 2、当设置多个过滤器时,全部验证通过,才视为通过

  • 3、部分过滤器可指定参数,如 perms,roles

Shiro 内置的 FilterChain:

| Filter Name | Class |

| — | — |

| anon | org.apache.shiro.web.filter.authc.AnonymousFilter |

| authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |

| authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |

| perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |

| port | org.apache.shiro.web.filter.authz.PortFilter |

| rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |

| roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |

| ssl | org.apache.shiro.web.filter.authz.SslFilter |

| user | org.apache.shiro.web.filter.authc.UserFilter |

  • anon:所有 url 都都可以匿名访问

  • authc: 需要认证才能进行访问

  • user:配置记住我或认证通过可以访问

3.2、登录认证实现

在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在 Shiro 中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。通常情况下,在 Realm 中会直接从我们的数据源中获取 Shiro 需要的验证信息。可以说,Realm 是专用于安全框架的 DAO. Shiro 的认证过程最终会交由 Realm 执行,这时会调用 Realm 的getAuthenticationInfo(token)方法。

该方法主要执行以下操作:

  • 1、检查提交的进行认证的令牌信息

  • 2、根据令牌信息从数据源(通常为数据库)中获取用户信息

  • 3、对用户信息进行匹配验证。

  • 4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。

  • 5、验证失败则抛出AuthenticationException异常信息。

而在我们的应用程序中要做的就是自定义一个 Realm 类,继承AuthorizingRealm 抽象类,重载 doGetAuthenticationInfo(),重写获取用户信息的方法。

doGetAuthenticationInfo 的重写:

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)

throws AuthenticationException {

System.out.println(“MyShiroRealm.doGetAuthenticationInfo()”);

//获取用户的输入的账号.

String username = (String)token.getPrincipal();

System.out.println(token.getCredentials());

//通过username从数据库中查找 User对象,如果找到,没找到.

//实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法

UserInfo userInfo = userInfoService.findByUsername(username);

System.out.println(“----->>userInfo=”+userInfo);

if(userInfo == null){

return null;

}

SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(

userInfo, //用户名

userInfo.getPassword(), //密码

ByteSource.Util.bytes(userInfo.getCredentialsSalt()),//salt=username+salt

getName() //realm name

);

return authenticationInfo;

2401_87167645
关注
专栏目录
Springboot整合shiro_springboot shiro,程序人生
m0_60567881的博客
04-18 510
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
SpringBoot2.0高级案例(01): 整合 Shiro 框架,实现用户权限管理
choujueluo6157的博客
07-14 269
一、Shiro简介 1、基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。 2、核心角色 1)Sub...
Springboot整合shiro
最新发布
chao的博客
07-10 2457
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
springboot-shiro
10-18
使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例。
极简shiro入门
czhAL的博客
12-07 481
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 862
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
Springboot使用shiro
qq_38345598的博客
01-28 3920
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
SpringBoot--Shiro
qq_43430343的博客
08-25 223
Shiro 什么是Shiro? Apache Shiro是一个Java的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成, 认证,授权,加密,会话管理,Web集成,缓存等。 1、pom.xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId&gt
SpringBoot学习笔记:从基础到SpringCloud
本文是关于狂神的SpringBoot学习笔记,涵盖了SpringBoot的基础、SpringSecurity与Shiro、Linux知识以及SpringCloud的学习路径。笔记首先强调了SpringSecurity和Shiro这两个安全框架的作用,它们能够通过拦截器和过滤...
Springboot学习笔记springboot+shiro+cas
05-21
2. 配置 Shiro: ```java @Configuration public class ShiroConfig { @Bean public CasRealm casRealm() { CasRealm realm = new CasRealm(); realm.setCasServerUrlPrefix("https://cas.example.com/cas"); ...
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring BootShiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring BootShiro整合实现用户认证; Spring BootShiro整合实现用户授权; thymeleaf和shiro标签整合使用。
狂神分享:全面SpringBoot学习笔记及代码解析
狂神的SpringBoot笔记及代码,是基于其视频课程学习总结,为想要掌握SpringBoot的初学者和进阶开发者提供了宝贵的学习资料。 SpringBootSpring框架的一个扩展,旨在简化新Spring应用的初始搭建以及开发过程。它...
SpringBootShiro-整合-Redis,springcloud教程
m0_61439560的博客
09-05 352
使用 redis 集中存储,实现分布式集群共享用户信息,这里我们采用第三方开源插件crazycake来实现,pom.xml 引入: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <
springboot--shiro
qy132的博客
07-05 141
1.引入shiro综合嫁包 <!-- shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.0</version>
Springboot_Shiro
qq_42102911的博客
04-08 522
一、shiro简介 1. shiro是啥? Apache Shiro 是 Java 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 深入学习: 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2. Shiro 基本功能
springboot+shiro
weixin_41988875的博客
11-01 691
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于Spr...
SpringBoot完整版(六)- Shiro
Roc的博客
02-02 187
SpringBoot完整版(六)- Shiro一、概述1.1 简介1.2 功能1.3 Shiro架构(外部)1.4 Shiro架构(内部)1.5 认证流程二、快速入门2.1 拷贝案例2.2 分析案例三、SpringBoot 集成 Shiro3.1 编写配置文件3.2 搭建简单测试环境3.3 使用四、Shiro 整合 Mybatis4.1 配置环境4.2 Shiro + Mybatis 结合使用五、Shiro 请求授权实现5.1 设置权限5.2 授予权限5.3 数据库操作六、Shiro 整合 Thymele
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值