Spring Boot(九)整合 Shiro

最新推荐文章于 2020-07-17 15:03:12 发布
最新推荐文章于 2020-07-17 15:03:12 发布
阅读量237 收藏
点赞数
分类专栏: Spring Boot 文章标签: Spring Boot 集成 Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/E86huang/article/details/89258753
版权 
<!--集成shiro安全框架-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

Shiro 配置类

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        /*拦截器*/
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
        /*配置不会被拦截的链接 顺序判断*/
        /*anon:所有url都都可以匿名访问*/
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/templates/**", "anon");
        /*配置退出*/
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/index", "anon");
        /*过滤链定义,从上向下顺序执行,一般将/**放在最为下*/
        /*authc:所有url都必须认证通过才可以访问-->*/
        filterChainDefinitionMap.put("/**", "authc");
        /*如果不设置默认会自动寻找Web工程根目录下的"/login"页面*/
        shiroFilterFactoryBean.setLoginUrl("/index");
        /* 登录成功后要跳转的链接*/
        shiroFilterFactoryBean.setSuccessUrl("/userInfo");
        /*未授权界面*/
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 凭证匹配器(由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了)
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2000);//散列的次数,比如散列两次,相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

    @Bean
    public ShiroRealm myShiroRealm(){
        ShiroRealm myShiroRealm = new ShiroRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    /**
     *  开启shiro aop注解支持.
     *  使用代理方式;所以需要开启代码支持;
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean(name="simpleMappingExceptionResolver")
    public SimpleMappingExceptionResolver createSimpleMappingExceptionResolver() {
        SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver();
        Properties mappings = new Properties();
        mappings.setProperty("DatabaseException", "databaseError");//数据库异常处理
        mappings.setProperty("UnauthorizedException","403");
        r.setExceptionMappings(mappings);  // None by default
        r.setDefaultErrorView("error");    // No default
        r.setExceptionAttribute("ex");     // Default is "exception"
        r.setWarnLogCategory("example.MvcLogger");     // No default
        return r;
    }
}

ShiroRealm

public class ShiroRealm extends AuthorizingRealm{
   @Autowired
    private ISysUserService iSysUserService; //用户
    @Autowired
    private ISysRoleService iSysRoleService; //角色
    @Autowired
    private ISysRoleMenuService iSysRoleMenuService;//角色-菜单
    @Autowired
    ISysMenuPermissionsService iSysMenuPermissionsService;//菜单-权限

    /*权限授权*/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("pc权限授权");
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //用户
        SysUser sysUser = (SysUser) super.getAvailablePrincipal(principals);
        QueryWrapper<SysRole> sysRoleQueryWrapper = new QueryWrapper<>();
        sysRoleQueryWrapper.eq("idsys_role",sysUser.getSysRoleIdsysRole());
        //角色
        List<SysRole> sysRoleList = iSysRoleService.list(sysRoleQueryWrapper);
        for (SysRole sysRole : sysRoleList) {
            simpleAuthorizationInfo.addRole(sysRole.getSysRoleName());
            //角色-菜单
            QueryWrapper<SysRoleMenu> roleMenuQueryWrapper=new QueryWrapper<>();
            roleMenuQueryWrapper.eq("sys_role_menu_roleId",sysUser.getSysRoleIdsysRole());
            List<SysRoleMenu> SysRoleMenuList =  iSysRoleMenuService.list(roleMenuQueryWrapper);
            for (SysRoleMenu sysRoleMenu:SysRoleMenuList) {
                //菜单-权限 shirokey
                QueryWrapper<SysMenuPermissions> sysMenuPermissionsQueryWrapper = new QueryWrapper<>();
                sysMenuPermissionsQueryWrapper.eq("sys_menu_permissions_menuId",sysRoleMenu.getSysRoleMenuMenuid());
                List<SysMenuPermissions> sysMenuPermissionsList = iSysMenuPermissionsService.list(sysMenuPermissionsQueryWrapper);
                for (SysMenuPermissions sysMenuPermissions : sysMenuPermissionsList) {
                    if(!CheckUtil.isNull(sysMenuPermissions.getSysMenuPermissionsShirokey())) {
                        //simpleAuthorizationInfo.setStringPermissions(sysMenuList);
                        simpleAuthorizationInfo.addStringPermission(sysMenuPermissions.getSysMenuPermissionsShirokey());//添加权限标识
                    }
                }
            }
        }
        return simpleAuthorizationInfo;
    }

    /*登录认证*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        log.info("pc登录认证");
        //获取用户的输入的账号.
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String username = usernamePasswordToken.getUsername();
        String password = String.valueOf(usernamePasswordToken.getPassword());

        //根据用户名查询,用户名必须是唯一
        QueryWrapper<SysUser> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("sys_user_name", username);
        SysUser sysUser = iSysUserService.getOne(queryWrapper);

        //校验密码
        //加密方式
        String algorithmName = "MD5";
        //加密次数
        int hashIterations = 2000;
        //加密盐值 username作为颜值必须为唯一值 注册时需要注意
        Object salt = ByteSource.Util.bytes(sysUser.getSysUserName());;
        /*md5Result:9ec808d39c36c800591f1ee14f5f3175*/
        String md5Result = new SimpleHash(algorithmName, password, salt, hashIterations).toHex();
        //判断用户密码是否正确,状态等
        if (sysUser != null) {
            if (md5Result.equals(sysUser.getSysUserPassword())) {
                /*session用户*/
                Session session = Jurisdiction.getSession();
                session.setAttribute(username + Const.SESSION_USER,sysUser);
                /*通过身份验证*/
                /*principal:认证信息,可以是username,也可以是整个实体*/
                Object principal = sysUser;
                /*credentials:密码*/
                Object credentials = sysUser.getSysUserPassword();
                /*credentialsSalt:盐值*/
                ByteSource credentialsSalt = ByteSource.Util.bytes(sysUser.getSysUserName());
                /*realmName:当前realm对象的name,调用父类getName()*/
                String realmName = getName();

                SimpleAuthenticationInfo simpleAuthorizationInfo  = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
                return simpleAuthorizationInfo;
            }
        }
        return null;
    }
}

Controller

@Slf4j
@Controller
public class HomeController{

    @Autowired
    private UserInfoMapper userInfoMapper;

    @Autowired
    private TUserMapper tUserMapper;

    @RequestMapping({"/","/index"})
    public String index(){

        Wrapper<UserInfo> wrapper=new QueryWrapper<>();
        ((QueryWrapper<UserInfo>) wrapper).eq("user_name","admin");

        UserInfo userInfo = userInfoMapper.selectOne(wrapper);
        log.info(userInfo.toString());
        return"/login";
    }

    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public String login(HttpServletRequest request, @RequestParam Map<String, Object> map) throws Exception{
        UsernamePasswordToken token = new UsernamePasswordToken("admin", "123");
        Subject subject = SecurityUtils.getSubject();
        String msg = "";
        try {
            subject.login(token);
        } catch (IncorrectCredentialsException ice) {
            msg = "捕获密码错误异常";
        } catch (UnknownAccountException uae) {
            msg = "捕获未知用户名异常";
        } catch (ExcessiveAttemptsException eae) {
            msg = "重复多次登录";
        }

        map.put("msg", msg);
        // 此方法不处理登录成功,由shiro进行处理
        return "/userInfo";
    }

    @RequestMapping("/403")
    public String unauthorizedRole(){
        System.out.println("------没有权限-------");
        return "403";
    }

    @RequiresPermissions("userInfo")
    @RequestMapping("/userInfo")
    public String userInfo(){
//        Subject subject = SecurityUtils.getSubject();
//        subject.hasRole("user");
        return "userInfo";
    }
    @RequiresPermissions("userInfoAdd")
    @RequestMapping("/userInfoAdd")
    public String userInfoAdd(){
        return "userInfoAdd";
    }

    @RequestMapping("/userInfoDel")
    public String userInfoDel(){
        return "userInfoDel";
    }

}

**大功告成,下面是演示 **
http://127.0.0.1:9001/index
在这里插入图片描述
在这里插入图片描述
返回通过身份验证的simpleAuthorizationInfo,登录成功
在这里插入图片描述
访问 http://127.0.0.1:9001/userInfo
authorizationInfo.addStringPermission(“userInfoAdd”);
因为只加了authorizationInfo只加了 userInfoAdd 权限,没有 addStringPermission(“userInfo”);
而userInfo方法 又加了 @RequiresPermissions(“userInfo”)
所以只会跳转到 403 页面
在这里插入图片描述
在这里插入图片描述
访问 http://127.0.0.1:9001/userInfoAdd
authorizationInfo.addStringPermission(“userInfoAdd”);
userInfoAdd 又加了 @RequiresPermissions(“userInfoAdd”)
所以只跳转到 userInfoAdd 页面
在这里插入图片描述
请求都会进入 doGetAuthorizationInfo 进行权限校验
在这里插入图片描述
没有
@RequiresPermissions("请求)
或者
Subject subject = SecurityUtils.getSubject();
subject.hasRole(“user”);

则视为无须权限
http://127.0.0.1:9001/userInfoDel
也可以访问
且无需进入 doGetAuthorizationInfo
在这里插入图片描述
当我们登录成功后,其他操作
Request.Headers
将自动带上凭证
Cookie: JSESSIONID=ABD4BED200D6ACF452AB2373F916C93D
在这里插入图片描述
一个简单的微服务网站就搭建成功了。配合 Mubatis-Plus 使用,其他就是业务 上的问题了。

神奇的网友
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot整合shiro
11-27
使用springboot整合shiro制作的登录例子。密码做了加密处理
springboot集成shiro
IT_10000
10-09 388
第一步. pom依赖 &amp;amp;lt;!--shiro--&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;shiro-spr
SpringBoot集成shiro
libiao1994libiao的博客
06-14 174
springboot集成shiro 参考博文 1:shiro简介 shiro是Apache的一个安全框架。提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Sessi
springboot 集成shiro
qianhuan_的博客
07-17 116
springboot集成shiro只需要两个类:一个是shiroConfig类,一个是CustonRealm类。 ShiroConfig类: package com.cj.shirodemo.config; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.mgt.
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
主要介绍了Spring Boot 整合 Shiro+Thymeleaf过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring boot整合shiro安全框架过程解析
08-25
主要介绍了spring boot整合shiro安全框架过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring boot整合 Shiro实现RBAC权限控制
06-21
本项目基于Spring整合Apache Shiro框架,实现用户管理和权限控制,主要内容如下: 1.登录(带验证码),包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码123; 3.session管理:使用shiro默认的...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
详解Spring Boot 集成Shiro和CAS
08-30
主要介绍了详解Spring Boot 集成Shiro和CAS,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot整合Shiro
08-15
SpringBoot整合Shiro实现RestFul风格API接口、前后端分离、JWT签发Token、Redis管理Token刷新、日志工厂、AES对称算法
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
springboot-shiro认证系统框架--成型框架
09-17
springboot-shiro认证系统框架--成型框架,认证中心服务,分布式框架,可以直接使用,配置多元化,组件化,只需修改配置文件,达到相应需求,适合生产开发,开发学习
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBootShiro 密码加密,登录验证,权限控制demo
Spring Boot(十四)整合 Nginx
好好学习 天天向上
08-10 3227
下载地址:http://nginx.org/en/download.html 上线的nginx.conf Nginx 1.16.0 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info;...
Spring Boot(一) 整合 Quick Start
好好学习 天天向上
03-18 371
Spring Boot 搭载你的网站框架(本次demo演示 使用工具 idea) 使用springboot优点,简单快速便捷,只需要管理好pom文件,构建一个新项目是非常快的。 而且内置tomcat,用命令 java -jar jar包路径 的形式启动网站,不管是Win还是Linux都非常方便,省去配置环境的步骤。 我先用一个 helloworld 程序 来展示 springboot 的便...
Spring Boot(十一)Shiro 整合 配置多 Realm
好好学习 天天向上
07-08 342
import java.util.ArrayList; import java.util.Collection; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authent...
spring boot整合shiro
最新发布
04-03
要实现Spring Boot整合Shiro,可以按照以下步骤进行: 1. 添加依赖:在Spring Boot项目的pom.xml文件中添加Shiro和相关依赖。 2. 配置Shiro:创建一个Shiro配置类,配置Shiro的安全策略、Realm、会话管理等。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

神奇的网友

day day up

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值