SpringSecurity和Shiro---权限设置

于 2023-05-13 17:24:51 发布
阅读量831 收藏
点赞数
分类专栏: SpringBoot 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JEREMY_GYJ/article/details/130656344
版权

在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。

Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!

1.SpringSecurity

一、依赖:

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

二、主要的类:

  • WebSecurityConfigurerAdapter:自定义Security策略

  • AuthenticationManagerBuilder:自定义认证策略

  • @EnableWebSecurity:开启WebSecurity模式(开启其他的配置,就是加@EnableWebSecurity这个注解)

Spring Security 主要的目标:认证和授权;

“授权” (Authorization):定义权限

“认证”(Authentication):给用户拥有的权限;

三、配置类:

SpringSecurity基础配置类:

package com.example.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author Lenovo
 * @date 2023/5/13
 * @time 13:25
 * @project springboot_mybatis
 **/

@EnableWebSecurity //开启springsecurity;
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    //SpringSecurity定义的类:自己进行方法的重写

    //定义授权规则:
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
    }


    //进制权限认证:
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        super.configure(auth);
    }
}

SpringSecurity自己定义配置类:

package com.example.config;

import ch.qos.logback.core.joran.spi.DefaultNestedComponentRegistry;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * @author Lenovo
 * @date 2023/5/13
 * @time 13:25
 * @project springboot_mybatis
 **/

@EnableWebSecurity //开启springsecurity;
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //SpringSecurity定义的类:自己进行方法的重写


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //定义授权规则:给rule1、rule2 、rule3分别对应的权限:
        http.authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/rule1/**").hasRole("vip1")
                .antMatchers("/rule2/**").hasRole("vip2")
                .antMatchers("/rule3/**").hasRole("vip3");

        //开启自动配置的登录
        http.formLogin()
                .usernameParameter("username")//登录时的参数
                .passwordParameter("password")
                .loginPage("/toLogin") //去登录页
                .loginProcessingUrl("/login"); //登录成功后的页面

        //退出的配置:
        http.logout().logoutSuccessUrl("/");//退出后返回index页面;

        //记住我配置
        http.rememberMe().rememberMeParameter("remeber");
    }

    //进制权限认证:
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //连接数据库中进行用户权限认证: BCryptPasswordEncoder()进行密码的加密;
        auth.jdbcAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("jack").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");

//注释,分别对不同的用户不同的权限:
    }
}

2.Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

主要功能:

Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到 Web 环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我。

1.主要组件:

三个核心组件:Subject, SecurityManager 和 Realms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager它是Shiro框架的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm:
①Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
②从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
③Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

2.配置依赖:

<dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>1.7.25</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.25</version>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
    </dependencies>

3.配置类:

(1)配置log4j.properties:

log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
log4j.logger.org.apache=WARN
log4j.logger.org.springframework=WARN
log4j.logger.org.apache.shiro=INFO
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

(2)配置shrio.ini文件:

[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darkload, schwartz
lonestarr = veespa, goodguy, schwartz
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

(3)快速开始:

第一步:获取当前的对象subject

第二步:通过当前用户拿到Session

第三步:判断当前用户是否被认证并且设置记住我和执行登录操作

第四步:测试角色

第五步:检测有什么样子的权限:粗粒度和细粒度

public class QuickStart {
    private static final transient Logger log = (Logger) LoggerFactory.getLogger(QuickStart.class);
    public static void main(String[] args) {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("claspath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //获取当前的对象subject
        Subject currentUser = SecurityUtils.getSubject();
        //通过当前用户拿到Session
        Session session = currentUser.getSession();
        session.setAttribute("someKey","aValue");
        String value = (String) session.getAttribute("someKey");
        if(value.equals("aValue")){
            log.info("Subject**>session["+value+"]");
        }
        //判断当前用户是否被认证
        if (!currentUser.isAuthenticated()){
            //Token:令牌
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr","vespa");
            token.setRememberMe(true);//设置记住我
            //执行登录操作
            try {
                currentUser.login(token);
            }catch (UnknownAccountException uae){
                log.info("没有"+token.getPrincipal()+"这个用户名");
            }catch (IncorrectCredentialsException ice){
                log.info(token.getPrincipal()+"的密码错误");
            }catch (LockedAccountException lae){
                log.info(token.getPrincipal()+"被锁定");
            }
        }
        //测试角色
        if (currentUser.hasRole("schwartz")){
            log.info("角色通过");
        }else{
            log.info("角色有误");
        }
        //检测有什么样子的权限:粗粒度
        if (currentUser.isPermitted("lightsaber:*")){
            log.info("你可以用lightsaber");
        }else{
            log.info("你不可以用lightsaber");
        }
        //检测有什么样子的权限:细粒度
        if (currentUser.isPermitted("winnebago:drive:eagle5")){
            log.info("你可以drive eagle5");
        }else{
            log.info("你不可以drive eagle5");
        }
        //注销
        currentUser.logout();
        //关闭系统
        System.exit(0);
    }
}

(4):SpringBoot整合Shiro:

1): 导入依赖:

      <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.11.0</version>
        </dependency>

2):创建Shiro中三个Bean对象:

package com.example.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author Lenovo
 * @date 2023/5/13
 * @time 16:24
 * @project springboot_mybatis
 **/


/**
 * Shiro的三个组件:subject、SecurityManager、Realm
 */

@Configuration
public class ShiroConfig {

    //3.ShiroFilterFactoryBean对象;
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        return shiroFilterFactoryBean;
    }


    //2.DefaultWebSecurityManager
    @Bean(name = "securityManager") //自定义Bean的名字
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        //关联UserRealm:
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //1.创建Realm对象;
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
    

}

创建UserRealm对象:

package com.example.config;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * @author Lenovo
 * @date 2023/5/13
 * @time 16:34
 * @project springboot_mybatis
 **/

/**
 * 自定义Realm对象
 */
public class UserRealm  extends AuthorizingRealm {

    //授权的过程
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权。。。");
        return null;
    }

    //认证的过程:
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证。。。");

        return null;
    }
}

3):认证与授权:后面补充

认证:

授权:

灰太狼家的小鸭子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro入门
trasewell的博客
09-25 842
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
安全框架 ShiroSpring Security 如何选择?
热门推荐
良月柒
09-25 4万+
点击上方"程序员的成长之路",选择"置顶或星标"你关注就是我关心的!安全框架安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)...
Spring Security实现类似shiro权限表达式的RBAC权限控制
码农小胖哥
04-19 818
昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制。我以前有一个小框架用的就是shiro权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Security中我并没有使用过它,不过我认为Spring Security可以实现这一点。是的,我找到了实现它的方法。再看、点赞、转发、关注来一波!资源权限表达式说了这么多,我觉得应该解...
Shiro动态修改权限部分
zzhao114的博客
02-20 5586
简介 通过修改shiroFilter的class来实现。通过继承org.apache.shiro.spring.web.ShiroFilterFactoryBean类,并把继承类配置到shiro的配置文件中既可。 FilterChainDefinitionsService.java package com.shiro; import java.util.Map; import
Shiro系列-Shiro的怎么进行授权操作
初学者
10-31 2739
导语   之前的分享中,提到了Shiro的简单介绍,知道了Shiro是什么,作用是什么,以及用户身份认证。那么完成用户身份认证之后又需要干点啥呢?在用户身份认证之后接下来就要要根据用户身份角色信息进行授权操作,也就是说那些资源或者那些操作是用户可以访问的,那些资源是不可以使用的。那么接下来就来看看Shiro授权怎么实现 文章目录Shiro授权概念主体(Subject)资源(Resource)权...
spring-shiro-demo
03-10
【标题】"spring-shiro-demo" 是一个基于Spring和Apache Shiro框架的示例项目,旨在展示如何在Java Web应用中整合这两个强大的安全框架来实现用户认证和授权。 【描述】"spring-shiro-demo" 提供了实际操作的代码,...
shiro-jwt-oauth权限认证
11-11
- OAuth2.0的客户端库,如Spring Security OAuth2,帮助处理与授权服务器的交互。 通过这两个模块,开发者可以学习如何在实际项目中集成和配置Shiro、JWT以及OAuth2.0,以实现安全且灵活的权限认证。这不仅有助于...
Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制
最新发布
06-14
本项目以"Spring Boot-Shiro-Vue"为技术栈,构建了一套完整的权限管理系统,虽然最新版本已移除Shiro,但我们可以探讨基于Shiro权限管理思路,以及Spring Boot和Vue.js如何协同实现这一目标。 **Spring Boot** 是...
Java 安全框架-security+shiro-源码
11-16
Java安全框架Security(原名Spring Security)和Apache Shiro是两个广泛使用的权限管理和认证框架,它们为Java应用程序提供了强大的安全防护。这两个框架在现代企业级应用中扮演着至关重要的角色,确保用户数据的...
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
shiro进行权限控制的四种方式
m0_67402026的博客
04-07 6400
我们使用shiro进行权限控制 有以下几种方式 1. URL拦截权限控制:基于filter过滤器实现 我们在spring配置文件中配置shiroFilter时配置 /css/ = anon /js/ = anon /images/ = anon /validatecode.jsp = anon /login.jsp = anon /userActionlogin.action = anon /pagebasestaff.action = perms\["staff-
认证鉴权之Spring SecurityShiro
lonely_baby的博客
02-23 276
Spring Security 是一个基于 Spring 框架的安全框架,它提供了全面的安全性支持,包括身份认证、授权、攻击防范和安全通信等功能。强大的身份认证和授权功能:Spring Security 提供了灵活的身份认证和授权机制,支持多种身份认证方式和授权策略,可以根据应用程序的需求进行定制。可扩展性和灵活性:Spring Security 提供了许多可扩展的 API 和插件,可以方便地对其进行定制和扩展,以适应应用程序的需求。它还支持密码加密和解密的支持,可以保护用户密码的安全性。
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1622
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
【第七篇】SpringSecurity中的权限管理
m0_67403272的博客
05-15 3477
SpringSecurity中的权限管理 SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。 一、权限管理的实现 服务端的各种资源要被SpringSecurity权限管理控制我们可以通过注解和标签两种方式来处理。 放开了相关的注解后我们在Controller中就可以使用相关的注解来控制了 /** * JSR250 */ @Controller @RequestMapping("/user") pu.
ShiroSpring Security的简单对比
xingyingz的博客
09-05 1894
ShiroSpring Security的简单对比
springsecurityshiro权限控制
ice-wee的专栏
05-20 1834
原文链接:http://blog.csdn.net/shadowsick/article/category/1342575
SpringSecurity创建角色和设置权限
JayVergil的博客
12-06 6358
一.创建角色在之前创建完项目后,可以在SpringSecurityConfig类中重写configure方法并进行自定义创建角色 public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationM...
你需要具备这些条件才能更好的学习Spring Security 和Apache Shiro
码农小胖哥
10-08 1565
前言 web应用达到生产需要就必须有安全控制。java web领域经常提及的两大开源框架主要有两种选择Spring Security和Apache Shiro 。所以学习这两种框架也是java开发者提高水平的必经之路。从今天开始连续一段时间内,研究一下Spring Security。如果想学习的同学可以关注一下公众号:Felordcn 或者通过https://felord.cn来及时获取相关的干...
springsecurity shiro sa-token 的区别和核心架构 ,以及简单使用。
07-11
Spring SecurityShiro和Sa-Token都是用于身份验证和访问控制的安全框架,但它们有不同的特点和核心架构。 1. Spring Security: - 核心架构:Spring Security是基于过滤器链(Filter Chain)的安全框架,通过一系列的过滤器来对请求进行安全验证和访问控制。 - 特点:Spring Security提供了全面的安全解决方案,包括身份验证、授权、记住我等功能。它与Spring框架无缝集成,并且具有灵活性和可扩展性。 - 使用示例:在Spring Boot项目中,您可以通过添加Spring Security的依赖并配置相关的安全规则来实现身份验证和授权功能。 2. Shiro: - 核心架构:Shiro是一个轻量级的Java安全框架,使用一组过滤器和拦截器来处理身份验证和授权。 - 特点:Shiro提供了简单易用的API,可以轻松地实现身份验证、授权、加密等功能。它具有灵活性和可扩展性,并且可以与任何Java应用程序集成。 - 使用示例:在Java应用程序中,您可以使用Shiro的API来实现身份验证和授权。配置Shiro的INI文件或编程方式来定义安全规则。 3. Sa-Token: - 核心架构:Sa-Token是一个基于Token的轻量级Java安全框架,使用Token进行身份验证和授权。 - 特点:Sa-Token具有简单易用、高性能和低侵入性的特点。它使用Token来管理用户身份,支持多种Token生成和存储方式,并提供了丰富的权限控制功能。 - 使用示例:在Java应用程序中,您可以使用Sa-Token的API来生成和验证Token,并通过注解或编程方式定义访问控制规则。 总结来说,Spring Security是一个全面的安全框架,Shiro是一个灵活易用的安全框架,而Sa-Token是一个基于Token的轻量级安全框架。您可以根据项目需求和个人偏好选择适合的框架进行使用。具体的使用方法和示例可以参考它们的官方文档或相关教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值