springboot-mybatis-shiro集成的步骤及代码解析

已于 2022-09-15 10:02:02 修改
阅读量302 收藏 1
点赞数 2
文章标签: spring java spring boot
于 2022-09-15 09:55:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ayden_/article/details/126859330
版权

目录

shiro

shiro概念:

RBAC

一、 实现步骤:

1.1、创建数据库表:

1.2、创建springboot项目

1.3、导入pom依赖

1.4、改配置

 1.5、 核心配置类

1.6、创建Realm域对象

1.7、测试接口

1.8、其它

shiro

Shiro的功能包括以下几点:

  • Authentication: 认证 判断是否为合法用户 有时被称为 "登录”,这是证明用户合法
  • Authorization: 授权 验证某个已认证的用户是否拥有某个权限
  • Session Management: session会话管理
  • Cryptography: 安全数据加解密
  • Web Support: 支持 web
  • Caching: 支持缓存
  • Concurrency: 支持并发
  • Testing: 支持测试
  • "Run As": 用其他用户登录
  • "Remember Me": 记住我

shiro概念:

中枢管理中心:DefaultWebSecurityManager类,我们所自定义的方法对象都会添加到这个管理中心去,会由它来调控我们所定义的方法从而代替系统自带的默认认证方法。其次是Realm对象,它翻译过来叫做"",是由它充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。我们所自定义的方法需要写在继承了AuthorizingRealm的类中,才能添加到管理中心去。最后是Subject,通常我们会将Subject对象理解为一个用户,同样它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。

名词解释:

Realm : 域,提供数据的组件

  • getAuthencationInfo 入参 Token 出参 Info
  • Info 有 Principal + Credentials

AuthenticationToken:认证令牌,认证入参

AuthenticationInfo: 认证信息,用户信息

AuthorizationInfo: 授权信息

Principal: 经过认证的用户

Credentials: 凭证=密码

RBAC

role based access control 基于角色的访问控制

授权基于角色实现

role 角色

permission 权限

user 用户

都是多对多关系,所以需要建立关联表

一、 实现步骤:

1.1、创建数据库表:

        上图中的五个表,并插入数据

create table edu_user(
    user_id int auto_increment primary key ,
    username varchar(256) not null comment '用户名',
    password varchar(256) not null comment '密码',
    status varchar(32) not null comment '状态 NORMAL | LOCKED | CANCELD'
)comment '用户表';

create table edu_user_role(
    user_role_id int auto_increment primary key ,
    user_id int not null comment '用户id',
    role_id int not null comment '角色id'
)comment '用户角色关联表';

create table edu_role(
    role_id int auto_increment primary key ,
    role_name varchar(32) not null comment '角色'
)comment '角色表';

create table edu_role_perm(
    role_perm_id int auto_increment primary key ,
    role_id int not null comment '角色id',
    perm_id int not null comment '权限id'
)comment '角色权限关联表';

create table edu_perm(
    perm_id int auto_increment primary key ,
    perm_name varchar(32) not null comment '权限名'
)comment '权限表';
#插入用户数据
insert into edu_user values
    (default,'zhangsan','wohenshuai','NORMAL'),
    (default,'wangwu','wohenchou','NORMAL'),
    (default,'lisi','wohenku','NORMAL'),
    (default,'maliu','wohenliu','NORMAL'),
    (default,'tianqi','wohenniu','NORMAL');
#插入角色数据
insert into edu_role values
    (default,'headmaster'),
    (default,'teacher');
#插入用户角色关联数据
insert into edu_user_role values
    (default,1,1),
    (default,2,2),
    (default,3,2),
    (default,4,2),
    (default,5,2);
#插入权限数据
insert into edu_perm values
    (default,'fireEmployee'),
    (default,'raiseSalary'),
    (default,'recess'),
    (default,'teach'),
    (default,'fireStudent'),
    (default,'manageStudents');
#插入角色权限关联数据
insert into edu_role_perm values
    (default,1,1),
    (default,1,2),
    (default,1,3),
    (default,2,4),
    (default,2,5),
    (default,2,6);

1.2、创建springboot项目

1.3、导入pom依赖

<properties>
        <java.version>1.8</java.version>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <spring-boot.version>2.3.7.RELEASE</spring-boot.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.4.1</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <!--集成mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.2</version>
        </dependency>
        <!--数据库-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.8.5</version>
        </dependency>
        <!--日志-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>

        <!--代码生成器-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.5.3</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.apache.velocity</groupId>
            <artifactId>velocity-engine-core</artifactId>
            <version>2.1</version>
            <scope>test</scope>
        </dependency>
        <!--日志打印-->
        <dependency>
            <groupId>io.springfox</groupId>
            <artifactId>springfox-swagger2</artifactId>
            <version>2.9.2</version>
        </dependency>
        <dependency>
            <groupId>io.springfox</groupId>
            <artifactId>springfox-swagger-ui</artifactId>
            <version>2.9.2</version>
        </dependency>
    </dependencies>

1.4、改配置

       配置文件application.yml

#shiro默认跳转登录页面设置
shiro:
  loginUrl:
    /login.html

  #设置端口号
server:
  port:
    8081
spring:

  #数据源
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/edu?characterEncoding=utf8&useSSL=false&serverTimezone=UTC
    password: 12345678
    username: root

  #日期格式转换
  jackson:
    date-format: yyyy-MM-dd HH:mm:ss
    time-zone: GMT+8
  mvc:
    format:
      date: yyyy-MM-dd HH:mm:ss

#mybatis配置
mybatis-plus:
  configuration:
    log-impl: org.apache.ibatis.logging.slf4j.Slf4jImpl

    map-underscore-to-camel-case: true
  type-aliases-package: com.woniuxy.shiroboot.model
  mapper-locations: classpath:mappers/**/*.xml

#日志配置
logging:
  level:
    com.woniuxy.boo1: debug

 1.5、 核心配置类

import com.woniuxy.shiroboot.components.ShiroRealm;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class SecurityConfig {
    /**
     * 自定义realm 提供数据源的,用来存储数据库获取的对象
     * @return
     */
    @Bean
    public Realm shiroRealm(){
        return new ShiroRealm();
    }

    /**
     * shiro的过滤器链
     * @return
     */
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition(){
        //shiro默认的shiro过滤器链定义
        DefaultShiroFilterChainDefinition sfcd = new DefaultShiroFilterChainDefinition();
        /*定义 某个路径 使用哪个过滤器处理
         *警告:过滤器定义有顺序
         *过滤器列表参考:DefaultFilter
          */
        //anon表示直接放过
        sfcd.addPathDefinition("/","anon");
        sfcd.addPathDefinition("/login","anon");
        sfcd.addPathDefinition("/css/**","anon");
        sfcd.addPathDefinition("/js/**","anon");
        sfcd.addPathDefinition("/images/**","anon");
        sfcd.addPathDefinition("/fonts/**","anon");
        sfcd.addPathDefinition("/html/**","anon");
        //登出
        sfcd.addPathDefinition("/logout","logout");
        //其它所有都需要认证
        sfcd.addPathDefinition("/**","user");
        return sfcd;
    }
    @Bean
    public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();

        /**
         * setUsePrefix(false)用于解决一个奇怪的bug。在引入spring aop的情况下。
         * 在@Controller注解的类的方法中加入@RequiresRole等shiro注解,会导致该方法无法映射请求,导致返回404。
         * 加入这项配置能解决这个bug
         */
        defaultAdvisorAutoProxyCreator.setUsePrefix(true);
        return defaultAdvisorAutoProxyCreator;
    }

1.6、创建Realm域对象

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.woniuxy.shiroboot.dao.PermMapper;
import com.woniuxy.shiroboot.dao.RoleMapper;
import com.woniuxy.shiroboot.dao.UserMapper;
import com.woniuxy.shiroboot.model.Role;
import com.woniuxy.shiroboot.model.User;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import javax.annotation.Resource;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import java.util.stream.Collectors;

@Slf4j
public class ShiroRealm extends AuthorizingRealm {

    @Resource
    private UserMapper userMapper;

    @Resource
    private RoleMapper roleMapper;

    @Resource
    private PermMapper permMapper;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        User user = (User) principal.getPrimaryPrincipal();

        //查找该用户所有的角色
        List<Role> roleList = roleMapper.selectByUserId(user.getUserId());
        Set<String> strRoles = roleList.stream().map(r -> r.getRoleName()).collect(Collectors.toSet());
        List<String> permissions = new ArrayList<>();
        if (roleList.size()>0){
            //查询该用户所有的权限
            permissions = permMapper.selectPermInRoleIds(roleList);
        }
        SimpleAuthorizationInfo authzInfo = new SimpleAuthorizationInfo();
        authzInfo.setStringPermissions(new HashSet<>(permissions));
        authzInfo.setRoles(strRoles);

        return authzInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        log.info("执行ShiroRealm#doGetAuthenticationInfo{}",token);
        //从被shiro封装成的token中取出我们传入的username
        Object username = token.getPrincipal();
        //根据用户名查询用户
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("username",username);
        User user = userMapper.selectOne(wrapper);

        //返回一个新封装的认证实体,传入的是用户名,数据库查出来的密码,和当前Realm的名字
        return new SimpleAuthenticationInfo(user,user.getPassword(),getClass().getName());

    }
}

查询角色sql

public interface RoleMapper extends BaseMapper<Role> {
    @Select("select r.* from edu_user u " +
            "join edu_user_role eur on u.user_id = eur.user_id " +
            "join edu_role r on r.role_id = eur.role_id where u.user_id = #{userId}")
    List<Role> selectByUserId(int userId);//根据userId查询该用户所有角色,返回集合
}

根据用户角色id查询该用户所有权限

<mapper namespace="com.woniuxy.shiroboot.dao.PermMapper">

    <select id="selectPermInRoleIds" resultType="java.lang.String">
        select ep.perm_name
        from edu_role_perm erp join edu_perm ep on erp.perm_id = ep.perm_id
        where erp.role_id in
        <foreach collection="roles" item="r" separator="," open="(" close=")">
            #{r.roleId}
        </foreach>
    </select>
</mapper>

1.7、测试接口

import lombok.extern.java.Log;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RestController;


@RestController
@Slf4j
public class LoginController {
    @PostMapping("/login")
    public String login(String username,String password){

        Subject subject = SecurityUtils.getSubject();
        subject.login(new UsernamePasswordToken(username,password));

        return "success";
    }
    @GetMapping("/pay")
    public String pay(){
        return "success";
    }

    @GetMapping("destroyEarth")
    //权限注解,如果登录用户拥有该权限可正常访问,
    //没有则报错AuthorizationException,无法访问
    @RequiresPermissions("fireEmployee")
    public String destroyEarth(){
        return "success";
    }
}

先访问未认证不能访问的/pay,会发现无法访问且会自动跳转至/login,登陆后再次访问/pay即可访问成功,然后再访问/destroyEarth,如果有@RequiresPermissions("fireEmployee")该权限可访问成功,否则报错AuthorizationException,无法访问

1.8、其它

shiro将账号和密码分成两个地方进行验证,如果我们不自己定义,那么就会调用shiro默认的校验方法;我们可以重新创建一个MyCredentialsMatcher类继承SimpleCredentialsMatcher来实现我们自定义的密码校验方法。

Ayden_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
springboot-mybatisplus集成Shiro
weixin_42549400的博客
09-14 357
​ Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。 ​
Shiro整合MyBatis
Healerjy的博客
05-18 104
测试结果:登录时从数据库中进行用户和密码的验证,若用户名和密码正确则登录成功。配置application.yaml文件。新建一个mapper.xml文件。编写controller接口。编写shiro配置类(同上)新建一个service接口。新建一个mapper接口。导入mybatis依赖。
springboot+mybatis整合shiro
心藏_的博客
09-29 345
springboot+mybatis整合shiro 简单学习了一下shiro,简单记录一下。 1.shiro是什么 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全
SpringBoot+MyBatis+Shiro框架配置
行者
11-04 7330
1.引言 基于SpringBootMyBatis框架在Java开发中越来越流行,最近公司刚好需要技术变革,笔者也是颇费了写心血做了框架的搭建和几次框架的一直工作,本框架除了SpringBootMyBatista另外也揉入了当下比较流行的权限安全认证框架Shiro,附带架构设计,希望能帮助到有需要的人。 1.1 框架版本说明 技术的变革瞬息万变,此处有必要对各个第三方框架的版本做一下说明:Spr...
SpringBoot整合Shiro(Mybatis-plus)
liulang68的博客
09-28 926
官网:https://shiro.apache.org/ 然后点击下载我们就可以下载不同的版本(也可以基于Maven去管理) Shiro是一款主流的Java安全框架,不依赖任何容器,可以运行在javase和javaee项目中,它的主要作用是对访问系统的用户身份进行认证,授权,会话管理,加密等操作。(相当于过滤器的功能) Shiro就是用来解决安全管理的系统化框架。 Shiro核心组件 Shiro的核心组件 用户,角色,权限 会给角色赋予权限,给用户赋予角色(比如一个删除商品的模块,张三这个用户能不能删除,
springBoot集成mybatis+shiro+jsp
11-01
通过以上步骤,我们可以构建一个基于SpringBoot的Web应用,它集成Mybatis进行数据库操作,使用Shiro进行用户管理和权限控制,同时通过JSP提供动态网页展示。这样的架构在中小型项目中非常实用,既能保证开发效率,...
Java SpringBoot+Mybatis+Druid+Shiro
03-24
Java SpringBoot + Mybatis + Druid + Shiro 是一个常见的企业级Web应用开发框架组合,用于构建高效、稳定且易于维护的系统。以下是对这个技术栈的详细解释: **SpringBoot** SpringBootSpring框架的一个扩展,它...
code.zip基于springBoot+mybatis+shiro+thymeleaf 模板引擎 实现的后台管理系统
07-04
这个后台管理系统集成SpringBoot的便捷性、Mybatis的数据处理能力、Shiro的安全特性以及Thymeleaf的模板渲染功能,实现了对用户登录、权限控制、数据操作等多种功能。对于初学者,这是一个很好的学习实践项目,...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
整合mybatis-spring-boot-2.0-shiro-thymeleaf
04-10
MyBatis消除了几乎所有的JDBC代码和参数的手动设置,同时也避免了对结果集的解析。通过XML或注解来配置和映射原生信息,将接口和Java的POJOs(Plain Old Java Objects,普通的Java对象)映射成数据库中的记录。 ...
SpringBoot+Mybatis+Mybatis Plus+Shiro实现一个简单的项目架构
08-07
此项目是一个SpringBoot集成Mybatis+Mybatis Plus+Shiro实现登录和权限验证的示例,代码完整下载后可以直接运行
springbootshiromybatis的整合项目
03-15
此资源是springbootshiromybatis的整合项目,里面有数据库文件,希望能帮助到大家
springboot+mybatis+shiro权限控制
04-04
springboot+mybatis+shiro+mysql实现 数据查询,动态权限控制,以及错误统一拦截处理,权限控制的是控制后台粗粒度控制。想要页面实现细粒度,直接在页面加shrio的标签就行,后台都是整通了的,压缩包中包含 数据库文件数据,mybatis动态生成mapper等等
springBoot+mybatis+shiro
05-24
springBoot框架搭建以及mybatisshiro验证登陆,访问http://127.0.0.1:8080/index
SpringBoot 整合【MybatisPlus、Shiro】实现权限认证信息
m0_63300795的博客
11-13 1013
先生成加密后的密码添加到数据库里 方便测试使用。生成输出目录注意查看、修改。
SpringBootShiroMybatis简单整合
weixin_45747080的博客
05-15 466
SpringBootShiroMybatis简单整合 ShiroMybatis整合顾名思义就是靠Mybatis用数据库里查出用户的用户名和密码还有某样权限,然后Shiro对用户的用户名和密码还有权限进行相应的判断然后做出反应,如果用户名在数据库中不存在那么提示不存在该用户,如果用户名存在但是密码不正确则提示密码错误,如果用户没有某项权限(如,不能访问某页面)则不允许用户访问此页面。 1、准备测试的数据表 我这里是三张表 一张user表,存放用户的用户名,密码,和编号 一张perm表,存放权限的权
shiro-springbootmybatis整合
u013313232的博客
08-31 164
shiro-springbootmybatis整合 导入必要的pox文件 <!--引入mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.6</version&gt.
shiro与token无状态单点登录
weixin_45528177的博客
09-13 1034
shiro与token无状态单点登录 1.session 的运作通过一个session_id来进行。session_id通常是存放在客户端的 cookie 中,众所周知,当客户端请求成功,服务端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。session是基于
springboot整合shiro+mybatis+mysql
caoyang0105的博客
09-18 5479
一 、介绍shiro框架 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。Shiro 主要分为来个部分就是认证和授权两部分 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shi...
springboot-mybatis-crud
最新发布
09-20
springboot-mybatis-crud是一个使用Spring Boot框架和MyBatis持久层技术的项目,用于实现CRUD(增删改查)操作。该项目中使用了mybatis-plus相关依赖,包括mybatis-plus-boot-starter和mybatis-plus-generator。此外...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值