笔记:shiro和springboot整合流程及注意事项

最新推荐文章于 2023-07-02 23:11:17 发布
最新推荐文章于 2023-07-02 23:11:17 发布
阅读量256 收藏
点赞数 1
文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FelixZFJ/article/details/126859132
版权

1.新建一个springboot项目

2.导入依赖

  1. shiro-spring-boot-starter
  2. spring-web
  3. lombok

和shiro依赖

3.新建一个配置类 SecurityConfig

a.将Realm注入到容器中,方法返回一个继承AuthorizingRealm的类对象(自定义名称,如:MyRealm)

编写MyRealm:

a1:编写jdbc静态代码块

a2:编写认证和授权逻辑

认证:获取token里存储的用户名,然后编写sql返回一个实体类对象,判断实体类是否为空,为空则抛出异常

授权:认证通过之后,获取认证返回的用户对象,然后通过对象中的id属性编写sql,联表查询出对应的角色集合,再通过遍历角色集合返回一个只有角色Id的字符串,编写sql查询出对应的权限信息

 

b.自定义shiro的过滤器链(注意:自定义路径有先后顺序)

4.在properties/yml中声明登录/未登录转到的路径或页面

5.编写Controller和前端页面

注:Controller方法中需要用subject来接收前端传递的参数

附加:

mybatisplus 实现 shiroRealm

1.导入依赖

2.编写Realm

注:单表可以直接由mapper/service搞定,多表查询还是需要写到xml中,然后调用对应的方法,返回需要的值

3.测试授权

可以在对应Controller的方法名上用@RequirePermissions("XXX")注解来限制权限

只有拥有XXX权限的用户才可以访问

4.最后需要添加全局异常,需要分别添加认证和授权两个异常,认证需要根据具体的异常设定不同的返回信息

 

FelixZFJ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Spring-Boot-ShiroShiro基于SpringBoot + JWT构建简单的restful服务
02-03
Shiro + JWT + Spring Boot Restful简易教程GitHub项目地址: : 。序言我也是半路出家的人,如果大家有什么好的意见或批评,请重新issue 。如果想要直接体验,直接clone项目,运行mvn spring-boot:run命令可以进行...
教你 Shiro 整合 SpringBoot,避开各种坑
sweetfire的博客
07-30 255
最近搞了下 Shiro 安全框架,找了一些网上的博客文章,但是一到自己实现的时候就遇到了各种坑,需要各种查资料看源码以及各种测试。 那么这篇文章就教大家如何将 Shiro 整合SpringBoot 中,并避开一些小坑,这次实现了基本的登陆以及角色权限,往后的文章也讲解了其他的功能,如 《教你 Shiro + SpringBoot 整合 JWT》 附上源码:https://github.co...
guns shiro 升级
weixin_46008168的博客
11-12 844
背景 之前使用guns做的项目中,由于使用的是shiro,并且使用的是它默认的AES加密公共密钥,所以,存在安全性问题。 解决 首先,需要先对shiro的版本进行升级,如果之前使用的是shiro 1.2.4之前的版本,那么会存在反序列化安全性问题。 在1.2.4版本之前,shiro问题如下。 当浏览器发送remember Me Cookie的请求时,服务端的流程如下。 读取cookie -> base64解码 -> AES解密 -> 反序列化。 在1.2.4版本之前,这个AES加密的密钥是
shiro1.2.4反序列化漏洞(CVE-2016-4437)的问题分析(一)
donggongai的博客
07-26 1303
在某个项目中依赖了shiro1.2.4,结果收到了网警的一纸警告,警告上明确写道存在CVE-2016-4437以及造成此漏洞的罪魁祸首是使用了
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6797
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shirospring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
Spring Boot框架升级指南
zj_yzy的博客
05-15 2088
因为安全加固需要,要将业务使用的框架从升级到2.7.0版本,升级过程中遇到了很多坑,特此记录,供后面遇到的同学参考。
springboot2.x以上整合shiro1.7.1和redis的一些注意事项
weixin_43165220的博客
08-11 1097
因为之前用的shiro版本一直是1.4.0,后来我们老大跟我说版本太低了,不安全,叫我升级到1.7.1。升级后发现有些配置很不一样的,需要注意一下。 一、pom.xml <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.3<
shiro-springboot:小D课堂shirospringboot整合项目实战
03-01
2. 配置Shiro:创建Shiro配置类,定义Realm并配置SecurityManager。 Realm需要实现AuthenticationInfo和AuthorizationInfo的获取,以连接数据库或其他数据源。 3. 自定义过滤器:根据需求,我们可以自定义Shiro的...
shiroDemo:Shiro整合springboot,freemaker,redis(含权限系统完整源码)
03-24
shiroDemo:Shiro整合springboot,freemaker,redis(含权限系统完整源码)
spring-shiro:springboot+shiro简单整合
05-14
总结来说,"spring-shiro:springboot+shiro简单整合"是一个Java开发中的常见任务,涉及到Spring Boot的自动配置、Shiro的安全管理以及两者之间的融合。通过以上步骤,我们可以创建一个具备基本认证和授权功能的系统...
权限管理(项目和源码):springbootshiro整合
11-02
Spring Boot 和 Apache Shiro整合为开发者提供了一种便捷的方式来实现这一目标。本项目旨在帮助开发者理解和实践如何将Shiro框架与Spring Boot相结合,用于权限控制和用户认证。下面将详细介绍这个实践项目中的...
shiro1.2.4升级报错 org/owasp/encoder/Encode或者是org.owasp.encoder.Encode
11-16 2626
ApacheShiro反序列化远程代码执行 漏洞处理 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookierememberMe字段内容分别进行序列化、AES加密、Base64编码操作。但是,AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能漏洞描述拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将r
shiro-jar-1.4版本升级到1.6版本问题探讨
weixin_38215472的博客
10-30 4055
最近公司领导用阿里云的工具扫描服务器上的项目,发现很多的高危漏洞; 其中有一个是shiro-jar-1.4版本存在高风险漏洞,所以赶紧解决它: 项目情况:这个项目是公司以前的旧项目,没有源代码,只有服务器上面的 war 包文件。 开始干活: 在官网下载了shiro-1.6的相关jar包文件: 然后把项目服务停掉,把shiro-1.4的jar 包删除了,上传1.6的版本jar 包,重启服务器; 呃,启动正常访问不了,查看错误日志: 提示项目jdk的版本不一致!!!!!! shiro-1.4
Shiro学习2----spring boot整合(自定义Realm)
mymk的博客
09-21 435
Shiro学习2----spring boot整合(自定义Realm)
spring-boot+shiro升级shiro1.6错误
m0_67391521的博客
04-25 629
最近HW行动报告指出了shiro的鉴权漏洞,根据网上的方法把shiro升级到1.6就可以解决漏洞了 做了这步修改后,运行项目出现了报错,提示shiro的过滤器无法创建bean经过反复查看项目,发现1.6还要引入一个shiro-web的jar包 引入后成功解决。 ...
Spring Boot 使用自定义 Realm 进行认证授权(五)
深入Java世界:探索编程之美与技术深度
09-16 442
Spring Boot 使用自定义 Realm 进行认证授权概述自定义 Realm创建 CustomRealm创建 testCustomRealm 方法测试 概述 虽然 jdbcRealm 已经实现了从数据库中获取用户的验证信息,但是jdbcRealm灵活性也是稍差一些的,如果要实现自己的一些特殊应用时将不能支持,这个时候可以通过自定义realm来实现身份的认证功能。 通常自定义Realm只需要继承:AuthorizingRealm重写doGetAuthenticationInfo(用户认证)、doGetA
Spring Boot Shiro权限控制
笙箫的博客
07-17 867
在《Spring-Boot-shiro用户认证》中,我们通过继承AuthorizingRealm抽象类实现了doGetAuthenticationInfo()方法完成了用户认证操作。接下来继续实现doGetAuthorizationInfo()方法完成Shiro的权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用户的权限判断其是否有访问相应资源的权限。在Shiro中,权限控制有三个核心的元素:权限,角色和用户。 库模型设计 在这里,我们使用RBAC(Role-Based Acces
springboot整合shiro入门,实现认证和授权功能(非常详细)
最新发布
沐雨橙风ιε的博客
07-02 6496
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
Spring Boot 整合 Shiro ,两种方式全总结!
weixin_33810006的博客
06-11 144
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。 一般来说,Spring Security 和 Shiro 的比较如下:Spring Security 是一个重量级的安全管理框架;Shiro 则是一个轻量级的安全管理框架Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值