SpringBoot整合Shiro

最新推荐文章于 2024-04-15 18:08:17 发布
最新推荐文章于 2024-04-15 18:08:17 发布
阅读量426 收藏
点赞数
分类专栏: 后端 JAVA 文章标签: shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alankingv8/article/details/111057430
版权

SpringBoot整合Shiro

了解认证授权

authentication 认证,确定用户身份,用户名密码验证
authorization 授权,对用户访问系统资源的行为做控制。常见的授权内容:后台接口访问,前台页面元素,敏感数据。
RBAC: role based access control(基于角色的访问控制)

用户,角色,权限:为角色赋予权限,为用户赋予角色

了解shiro

主要概念:认证,授权,会话管理,加密


基础API

shiro官方地址
shiro官方提供的10分钟入门教程
下载源码后:可运行shiro->sample->quickstart的demo进行体验

Shiro QuickStart

 Subject currentUser = SecurityUtils.getSubject();//获取当前用户
 Session session = currentUser.getSession();//获取用户缓存
 currentUser.login(token);//通过抛出的异常来判断用户登录结果
 currentUser.hasRole
 currentUser.isPermitted
 currentUser.isAuthenticated();
 currentUser.logout();//退出登录

基础框架

maven依赖

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.2.5.RELEASE</version>
</parent>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-spring-boot-starter</artifactId>
     <version>1.6.0</version>
 </dependency>

 <dependency>
     <groupId>log4j</groupId>
     <artifactId>log4j</artifactId>
     <version>1.2.17</version>
 </dependency>
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>

controller

MobileController

@RestController
@RequestMapping("/mobile")
public class MobileController {
   

    @RequiresPermissions("mobile")
    @RequestMapping("/query")
    public String query(){
   
        return "mobile";
    }
}

SalaryController

@RestController
@RequestMapping("/salary")
public class SalaryController {
   

    //@RequiresPermissions代替ShiroConfig中的filterMap.put("/api/salary/**", "authc,perms[salary]");配置,
    //错误补充机制:通过@RequiresPermissions配置的会抛出异常,需要定义异常处理,见MyExceptionHandler
    @RequiresPermissions("salary")
    @RequestMapping("/query")
    public String query(){
   
        return "salary";
    }
}

bean

UserBean

@Data
@NoArgsConstructor
@AllArgsConstructor
public class UserBean {
   
    private String userName;
    private String userPass;
    private String userMobile;
    private List<String> userRoles;
    private List<String> userPerms;
}

config

ShiroConfig(shiro配置三板斧)

@Configuration
public class ShiroConfig {
   
    //1 Realm 代表系统资源
    @Bean
    public Realm getRealm(){
   
        return new MyRealm();
    }

    //2 SecurityManager 流程控制
    @Bean
    public DefaultWebSecurityManager getSecurityManager(MyRealm myRealm){
   
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
		defaultWebSecurityManager.setRealm(myRealm);
		return defaultWebSecurityManager;
    }

    //3 ShiroFilterFactoryBean 请求过滤器
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager myDefaultWebSecurityManager){
   
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(myDefaultWebSecurityManager); 
        return shiroFilterFactoryBean;
    }

MyRealm

@Configuration
public class MyRealm extends AuthorizingRealm {
   
    private Logger logger = LoggerFactory.getLogger(MyRealm.class);

    @Autowired
    private UserService userService;

    /**
     * 触发权限验证的时候才会触发该方法
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
   
        logger.info("<<<enter MyRealm doGetAuthorizationInfo method ");
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
   
        logger.info(">>>enter MyRealm doGetAuthenticationInfo method");
        return simpleAuthenticationInfo;
    }
}

基础认证功能(登录认证)

创建自己的Realm对象,继承AuthorizingRealm

实现父类的doGetAuthenticationInfo认证方法。

配置路径过滤器(MyRealm的doGetAuthenticationInfo)

//配置路径过滤器
Map<String, String> filterMap = new HashMap<>();
//key是ant路径,支持××代表多级路径,×代表单级路径,?代表单个字符, value配置shiro的默认过滤器
//shiro默认过滤器 DefaultFilter
//auth, authc, perms,roles
//表示两个资源路径需要验证
//规则判断自上而下判断,如果上下冲突,因为优先取到上面,所以越详细的规则要定义到前面来
//表示两个资源路径都需要登录才可以访问
filterMap.put("/api/mobile/**", "authc,perms[mobile]");//错误补充机制:该配置方法,没有权限就会进入下面shiroFilterFactoryBean.setUnauthorizedUrl的路径
filterMap.put("/api/salary/**", "authc,perms[salary]");
filterMap.put("/api/logout", "logout");//登出配置,如果在此写配置的话,就无需实现"/api/logout"接口
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
shiroFilterFactoryBean.setLoginUrl("/index.html");//登录页,登出或认证失败会回到登录页
shiroFilterFactoryBean.setUnauthorizadUrl("/common/unauthorized");//未授权跳转页面

基本的过滤器名称

shiro注解权限控制-5个权限注解

RequiresAuthentication:

使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。

RequiresGuest:

使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。

RequiresPermissions:

当前Subject需要拥有某些特定的权限时,才能执行被该注解标注的方法。如果当前Subject不具有这样的权限,则方法不会被执行。

RequiresRoles:

当前Subject必须拥有所有指定的角色时,才能访问被该注解标注的方法。如果当天Subject不同时拥有所有指定角色,则方法不会执行还会抛出AuthorizationException异常。

RequiresUser

当前Subject必须是应用的用户,才能访问或调用被该注解标注的类,实例,方法。

登出,有两种方式

一.通过api接口

@GetMapping("/logout")
public void logout(){
   
    Subject currentUser = SecurityUtils.getSubject();
    currentUser.logout();
}

二.使用shiro提供的logout过滤器

filterMap.put("/api/logout", "logout"
最低0.47元/天 解锁文章
小码农wxc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro
12-28
springboot整合shiro实现登录权限管理的一个demo,根据注解形式控制操作权限及角色权限。包含sql
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 2370
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 758
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
Springboot整合shiro_springboot shiro,带你一起探究网络安全事件分发机制
最新发布
m0_62289824的博客
04-15 699
加盐的意思就是加上。
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
ShiroSpringBoot整合
小凯的博客
03-03 1093
Shrio整合springboot及相关案例解析
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2703
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot整合Shiro的代码实例
08-25
主要介绍了Springboot整合Shiro的代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
ShiroSpringboot集成Shiro
专注于Java领域开发 关注我 带你玩转Java
06-22 1593
Springboot集成Shiro
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
springboot2.0整合Shiro
04-20
springboot2.0整合Shiro 。权限配置,user/permission/role
SpringBootShiro、 自定义注解权限控制源码下载
04-06
SpringBootShiro、 自定义注解权限控制
shiro+springboot2.x+redis注解方式完整项目
07-03
shiro+springboot2.x+redis注解方式完整项目,包括自定义realm,整合redis缓存管理器,自定义sessionId,自定义session等等,sql文件就在resource文件夹下
springboot shiro 权限管理 spring boot
11-13
springboot shiro 例子源码,具有参考和实际实行价值,可以按此更快熟悉改框架的使用细节
SpringBoot整合Shiro(最详细)
m0_54852350的博客
04-08 744
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
SpringBoot整合Shiro配置详解
chujia1956的博客
12-27 1336
一.shiro基本介绍 1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,...
springboot 整合 shiro
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值