程序员都在用的Shiro框架,快来看看!!!

最新推荐文章于 2024-05-06 21:32:45 发布
最新推荐文章于 2024-05-06 21:32:45 发布
阅读量458 收藏 1
点赞数
文章标签: shiro java spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HouXinLin_CSDN/article/details/107761835
版权

何为Shiro

Apache Shiro 是一个开源、轻量级的 Java 安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。相对于 Spring Security,Shiro 框架更加直观、易用,同时也能提供健壮的安全性。

在传统的 SSM 框架中,手动整合 Shiro 的配置步骤还是比较多的,针对 Spring Boot,Shiro 官方提供了 shiro-spring-boot-web-starter 用来简化 Shiro 在 Spring Boot 中的配置。也就是可以引入以下依赖。

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.4.0</version>
</dependency>

为什么要使用Apache Shiro?

自2003年以来,框架格局发生了很大变化,因此今天仍然有充分的理由使用Shiro。实际上有很多原因。Apache Shiro特点如下:

  1. 易于使用 :易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和沮丧,并被视为“必要的邪恶”。如果您使它易于使用,以使新手程序员可以开始使用它,那么就不必再痛苦了。
  2. 全面 :没有其他安全框架可以达到Apache Shiro宣称的广度,它可以为你的安全需求提供“一站式”服务。
  3. 灵活 :Apache Shiro可以在任何应用程序环境中工作。Shiro也不要求任何规范,甚至没有很多依赖性。
  4. 具有Web功能 :Apache Shiro具有出色的Web应用程序支持,允许您基于应用程序URL和Web协议(例如REST)创建灵活的安全策略。

示例程序

application.properties 中配置

Shrio基本的配置信息如下,有些使用默认就好了。

# 配置登录地址,默认为"login.jsp"
shiro.loginUrl=/login
# 配置登录成功地址,默认为"/"
shiro.successUrl=/index
# 配置未获授权默认跳转地址
shiro.unauthorizedUrl=/unauthorized
# 是否允许通过 URL 参数实现会话跟踪,默认为 true。如果网站支持 Cookie,可以关闭次选项。
shiro.sessionManager.sessionIdUrlRewritingEnabled=true
# 是否允许通过 Cookie 实现会话跟踪,默认为 true。
shiro.sessionManager.sessionIdCookieEnabled=true

接下来配置Realm,Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息。从这个意义上讲,Realm 实质上是一个安全相关的 DAO,它封装了数据源的连接细节,并在需要时将相关数据提供给 Shiro。

有两个重要的方法需要介绍:

  1. 身份验证(getAuthenticationInfo 方法)验证账户和密码,并返回相关信息

  2. 权限获取(getAuthorizationInfo 方法) 获取指定身份的权限,并返回相关信息

public class MyRealm extends AuthorizingRealm {
    /**
     * 系统存在的用户列表
     */
    private List<String> userList= Stream.of("user1","user2","user3","user3").collect(Collectors.toList());


    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());


        if (!userList.contains(username) || !password.equals("123456")){
            throw new UnknownAccountException("用户名或密码错误");
        }
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}

配置Shiro,关于addPathDefinition参数的第二个参数取值如下:

anon: 无需认证即可访问
authc: 需要认证才可访问
user: 点击“记住我”功能可访问
perms: 拥有权限才可以访问
role: 拥有某个角色权限才能访问

也就是我们让doLogin接口可以无需认证即可访问,其余的需要认证才能访问。

@Configuration
public class ShiroConfig {
    @Bean
    public  MyRealm myRealm() {
        return new MyRealm();
    }
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(myRealm());
        return manager;
    }
    @Bean
    public  ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
        definition.addPathDefinition("/doLogin", "anon");
        definition.addPathDefinition("/**", "authc");
        return definition;
    }
}

在控制器中通过接收到的用户名和密码构造一个 UsernamePasswordToken,然后获取到Subject对象,调用login执行登录操作。

@RestController
public class LoginController {
    /**
     * 登录
     *
     * @param username
     * @param password
     */
    @PostMapping("/doLogin")
    public void doLogin(String username, String password) {
        Subject subject = SecurityUtils.getSubject();
        subject.login(new UsernamePasswordToken(username, password));
        System.out.println("登录成功!");

    }

    @GetMapping("/index")
    public String hello() {
        return "hello";
    }

    @GetMapping("/login")
    public String login() {
        return "{\"message\":\"请登录\"}";
    }
}

全局异常

@RestControllerAdvice
public class ErrorController {

    @ExceptionHandler(Exception.class)
    public R handlerException(Exception e){
        return  new R(-1,e.getMessage(),"{}");
    }
    @ExceptionHandler(UnknownAccountException.class)
    public R handlerUnknownAccountException(Exception e){
        return  new R(-1,e.getMessage(),"{}");
    }
}

运行效果

在这里插入图片描述

在这里插入图片描述

扩展

如果此时某个接口只允许有指定角色的人才能方法的话,可以这样做。

首先使用RequiresRoles注解标明需要具有admin角色的用户才能访问。

@GetMapping("listUser")
@RequiresRoles(value = {"admin"})
public List<String> listUser(){
    return Stream.of("1","2","2").collect(Collectors.toList());
}

在doGetAuthorizationInfo中处理逻辑,如果用户是admin1、admin2,则将他们赋予admin角色,也就是只有他两才具有访问listUser的权限。

public class MyRealm extends AuthorizingRealm {
    /**
     * 系统存在的用户列表
     */
    private List<String> userList= Stream.of("user1","user2","user3","user3","admin1","admin2").collect(Collectors.toList());


    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String userName = (String) principals.getPrimaryPrincipal();

        if ("admin1".equals(userName)||"admin2".equals(userName)){
            Set<String> rol =new HashSet<>();
            rol.add("admin");
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(rol);
            return simpleAuthorizationInfo;
        }
        return null;
    }
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());


        if (!userList.contains(username) || !password.equals("123456")){
            throw new UnknownAccountException("用户名或密码错误");
        }
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}

首先这是普通用户登录后访问的提示。
在这里插入图片描述
在使用admin1用户名进行登录后的截图。
在这里插入图片描述
另外RequiresRoles注解中Logical的值默认是Logical.AND。这个值表明用户要具有指定所有角色才允许访问,如果我们想只要满足其中一个角色即可访问的话需要更改为Logical.OR。

@GetMapping("listUser")
@RequiresRoles(value = {"admin","teacher"},logical = Logical.OR)
public List<String> listUser(){
    return Stream.of("1","2","2").collect(Collectors.toList());
}

类似还有其他注解
@RequiresAuthentication
要求当前Subject 已经在当前的session 中被验证通过才能被注解的类/实例/方法访问或调用

@RequiresGues
要求当前的Subject 是一个“guest”,也就是他们必须是在之前的session中没有被验证或记住才能被注解的类/实例/方法访问或调用

@RequiresPermissions
要求当前的Subject 被允许一个或多个权限,以便执行注解的方法。

@RequiresUser
需要当前的Subject 是一个应用程序用户才能被注解的类/实例/方法访问或调用。要么是通过验证被确认,或者在之前session 中的’RememberMe’服务被记住

HouXinLin_CSDN
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
中高级程序员必看之shiro框架应用
02-24
简单介绍完毕shiro的作用后,接下来我们就直接进入shiro授权的入门,由于我们学习shiro重点是在使用,所以我们涉及到shiro源码的部分我们就不做过多的关注。2.1:首先我们需要创建一个maven的web项目,导入shiro相关...
Java 程序员如何使用 Shiro 框架
程序员小乐
01-07 235
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文There shing road difficult to heart, the ...
黑马程序员-由浅入深掌握Shiro权限框架(3)Shiro入门
weixin_61594803的博客
01-23 8898
目录第三章 Shiro入门1、身份认证【1】基本流程【2】案例演示【2.1】需求【2.2】实现【2.2.1】新建项目【2.2.2】导入依赖【2.2.3】编写shiro.ini【2.2.4】编写HelloShiro【2.3】小结2、Realm【1】Realm接口【2】自定义Realm【2.1】需求【2.2】实现【2.2.1】创建项目【2.2.2】定义SecurityService【2.2.3】定义DefinitionRealm【2.2.4】编辑shiro.ini【3】成功认证源码跟踪3、编码、散列算法【1】编
Java程序员如何使用 Shiro 框架
程序IT圈
06-26 93
再见,Eclipse...链接:www.cnblogs.com/learnhow/p/5694876.html一、架构要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shi...
纯干货,中高级程序员必看之shiro框架应用
黑马程序员官方博客
07-25 830
一、Shiro 简介 Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 二、Shiro 授权入门 简单介绍完毕 shiro 的作用后,接下来我们就直接进入 shiro 授权的入门,由于我们学习 shiro 重点是在使...
如何配置Shiro安全框架
李斯特的博客
09-11 410
Shrio安全框架使用方法 除非是下载源码,可以去Shiro官网下载,如果是在项目中使用,直接pom.xml文件中引入下方的依赖就可以使用,提取版本号(下方依赖统一使用这个版本,也方便后期更换版本),放到项目属性配置中 <properties> <shiro.version>1.7.1</shiro.version> </properties> <!--------------------------------------假装有条分割线---
使用 Shiro,从架构谈起,到框架集成!
爱是与世界平行
07-07 278
使用 Shiro,从架构谈起,到框架集成!一、架构1、使用用户的登录信息创建令牌2、执行登陆动作3、判断用户4、两条重要的英文二、实现Realm1、缓存机制2、散列算法与加密算法3、用户注册4、匹配5、获取用户的角色和权限信息6、会话三、与SpringMVC集成1、配置前端过滤器 一、架构 Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登...
Java 程序员必备的 15 个框架
关启培的博客
12-07 187
1.Spring 毫无疑问,Spring 框架现在是 Java 后端框架家族里面最强大的一个,其拥有 IOC 和 AOP 两大利器,大大简化了软件开发复杂性。并且,Spring 现在能与所有主流开发框架集成,可谓是一个万能框架SpringJAVA 开发变得更多简单。 官网: https://spring.io/projects/spring-framework 源码: ht...
黑马程序员-由浅入深掌握Shiro权限框架(1)权限概述
weixin_61594803的博客
01-22 145
第一章 权限概述 1、什么是权限 ​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。 权限管理在系统中一般分为: 访问权限 一般表示你能做什么样的操作,或者能够访问那些资源。例如:给张三赋予“店铺主管”角色,“店铺主管”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时张三能够进入系统,则可以进行这些操作 数据权限 一般表示某些数据你是否属于你,或者属于你可以操作
Java 程序员必备的 15 个框架,前 3 个地位无可动摇!
u012045045的博客
11-23 172
  Java 程序员方向太多,且不说移动开发、大数据、区块链、人工智能这些,大部分 Java 程序员都是 Java Web/后端开发。那作为一名 Java Web 开发程序员必须需要熟悉哪些框架呢? 今天,栈长我给大家列举了一些通用的、必须掌握的框架,学会这些,20K+ 不是问题。 1.Spring 毫无疑问,Spring 框架现在是 Java 后端框架家族里面最强大的一个,其拥有 IOC...
Shiro安全框架【快速入门】
03-01
照例又去官网扒了扒介绍:ApacheShiroisapowerfulandeasy-to-useJavasecurityframeworkthatperformsauthentication,authorization,cryptography,andsessionmanagement.WithShiro’seasy-to-understandAPI,...
公司培训的shiro框架 可以下载看一下
12-01
公司培训的案例,没有mapper可以添加几个mapper,有一定的学习价值。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 1194
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1073
介绍了Java泛型中的重要知识点——通配泛型及其应用。
Java---类和方法的再学习
m0_74012211的博客
05-05 1111
Java类与对象
Java基础】三大特性——多态
qq_43714449的博客
05-05 407
它的作用是测试它左边的对象是否是它右边的类的实例,返回 boolean 的数据类型。实现一个功能时,功能的一部分是确定的,一部分是不确定,确定的部分还会用到不确定的部分,那么就把不确定的部分暴露出去,让子类去实现。通常通过重写toString方法,来返回有用的数据。instanceof 是 Java 的一个二元操作符,类似于 ==,>,< 等操作符。确定的部分:记录一个开始时间,记录一个结束时间,结束时间 - 开始时间。对类存在的语法,对接口也存在。,返回对象的字符串表示形式。判断两个人是否是同龄人。
Kubernetes基础(二十九)-资源预留
sre救赎之路
05-05 912
如果还设置了对应的 --system-reserved-cgroup 和 --kube-reserved-cgroup参数,Pod能实际使用的资源上限不会改变(即kubepods.limit_in_bytes不变),但系统进程与kube进程也会受到资源上限的限制。比如某个节点的内存的allocatable为10Gi,有三个Pod(requests.memory=3Gi)已经调度到该节点上,那么第4个Pod就无法调度到该节点上,即使该Node上的空闲内存大于3Gi。
如何用Jmeter压测
最新发布
howard1209a的博客
05-06 386
可以从清华源下载,我下的是 5.6.3 版本。bin 目录打开终端,输入 Jmeter 运行Options 点 Choose language 选择中文。
如何使用Shiro框架springboot vue商城中实现用户账户注册
05-12
Shiro 是一个强大易用的Java安全框架,可以帮助我们实现身份认证、授权、会话管理等安全相关功能。在 Spring Boot + Vue 商城中,我们可以使用 Shiro 框架来实现用户账户注册功能。 下面是一些实现步骤: 1. 添加 Shiro 相关依赖 在 pom.xml 文件中添加 Shiro 相关依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 配置 Shiro 在 application.yml 文件中添加 Shiro 的配置: ``` # Shiro 配置 shiro: # 登录 URL login-url: /login # 登录成功 URL success-url: / # 未授权 URL unauthorized-url: /unauthorized # 过滤器链定义 filter-chain-definition-map: /login: anon /register: anon /logout: logout /static/**: anon /**: authc ``` 其中,filter-chain-definition-map 定义了 URL 的访问权限,anon 表示该 URL 可以匿名访问,authc 表示该 URL 需要登录后才能访问。 3. 实现用户注册功能 在用户注册的 Controller 中,我们可以使用 Shiro 的 Subject 对象来进行身份认证和授权操作。具体代码如下: ``` @PostMapping("/register") public Result register(@RequestBody User user) { // 创建用户信息 User newUser = new User(); newUser.setUsername(user.getUsername()); newUser.setPassword(user.getPassword()); newUser.setRoles("user"); // 对用户密码进行加密 String salt = UUID.randomUUID().toString(); String passwordHash = new SimpleHash("md5", newUser.getPassword(), salt, 2).toHex(); newUser.setPassword(passwordHash); newUser.setSalt(salt); // 保存用户信息 userRepository.save(newUser); // 登录用户 UsernamePasswordToken token = new UsernamePasswordToken(newUser.getUsername(), newUser.getPassword()); Subject subject = SecurityUtils.getSubject(); subject.login(token); // 返回结果 return Result.success("注册成功"); } ``` 在上述代码中,我们通过 Shiro 的 Subject 对象进行了用户登录操作,登录成功后,用户就可以访问需要登录才能访问的 URL 了。 以上就是使用 Shiro 框架Spring Boot + Vue 商城中实现用户账户注册的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值