springboot-Shiro框架的使用

最新推荐文章于 2025-04-02 17:25:00 发布
最新推荐文章于 2025-04-02 17:25:00 发布
阅读量245 收藏
点赞数
分类专栏: springboot 文章标签: shiro spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Java___world/article/details/116397038
版权
本文详细介绍了Apache Shiro,一个轻量级的Java安全框架,用于处理用户认证、授权、会话管理和加密。讲解了Shiro的核心组件,如UsernamePasswordToken、SecurityManager、Subject和Realm,并展示了如何在SpringBoot项目中整合Shiro,包括配置ShiroFilterFactoryBean、自定义Realm以及实现权限控制。同时,文章还提供了错误页面的处理和自定义登录页面的配置示例,以及Shiro与Thymeleaf的整合,用于展示用户权限信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是Shiro?

是一款主流的java安全框架,不依赖任何容器,可以运行在java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证,授权,会话管理,加密等操作。

  • 以上功能其实是可以用过滤器替代的,但是当遇到大型项目是在使用过滤器就会很不方便了,框架的使用更加的方便。
  • Shiro就是用来解决安全管理的系统化框架。

Shiro核心组件

  1. UsernamePasswordToken : 用来封装用户的登陆信息,使用用户的登陆信息来创建令牌Token
  2. SecurityManager : Shiro的核心部分,负责安全认证和授权。
  3. Subject : Shiro的一个抽象概念,包含了用户信息
  4. Realm : 开发者自定义的模块,根据项目的需求,验证和授权的逻辑全部写在Realm中
  5. AuthenticationInfo : 用户的角色信息集合,认证时使用
  6. AuthorzationInfo : 角色的权限信息集合,授权时使用
  7. DefaultWebSecurityDManager : 安全管理器,开发者自定义的Realm需要注入到DefaultWebSecurityDManager进行管理才能生效
  8. ShiroFilterFactoryBean : 过滤器工厂,Shiro的基本运行机制是开发者定制规则,Shiro去执行,具体的执行操作就是由ShiroFilterFactoryBean创建一个个的Filter对象去完成。其实就是把DefaultWebSecurityDManager注入到ShiroFilterFactoryBean。

springboot整合Shiro

  1. 创建工程
  • 导入这几个依赖
  <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>
        <!--mybatis插件-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.1.0</version>
        </dependency>
        <!--mysql的驱动-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

查看构建环境

在这里插入图片描述
在这里插入图片描述
2. 创建一个实体类和接口(用的是mybatis-plus插件)
在这里插入图片描述

连接数据库

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: 123456
    url: jdbc:mysql://localhost:3306/chaoge

#把输出语句打印出来
mybatis-plus:
  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
  1. 编写一个测试类来测试这个mapper接口
    在这里插入图片描述
    在这里插入图片描述
    点击运行:结果出现错误
    在这里插入图片描述
    这个错误说明mapper没有被扫描到,需要加:
    在这里插入图片描述
    运行成功
    在这里插入图片描述
  2. 编写一个测试类来测试service接口
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

上述就是根据用户名进行登陆,现在要使用Shiro这个插件进行认证和授权

  1. 自定义一个Realm(认证和授权的逻辑全写在里面)
  • 先进行认证的操作
    在这里插入图片描述
package com.chao.realm;

import com.chao.entity.Account;
import com.chao.service.AccountService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

public class AccountRealm extends AuthorizingRealm {

    @Autowired
    AccountService accountService;
    /**
     * 角色的授权处理
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 用户的的角色处理(认证)
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //把用户传过来的用户信息放到UsernamePasswordToken(里面封装很多方法)
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //把传过来的用户的名字到数据库去查
        Account account = accountService.findByUsername(token.getUsername());
        if (account != null) {
            /*
            * 验证该用户名的密码是否正确
            * account.getPwd()是根据名字查到的用户的密码它要和token里的密码进行比较
            * 如果密码不对,就会抛出密码不正确的异常
            * */
            return new SimpleAuthenticationInfo(account,account.getPwd(),getName());
        }
        return null;
    }
}

开发者自定义的Realm需要注入到DefaultWebSecurityDManager进行管理才能生效然后在把DefaultWebSecurityDManager注入到ShiroFilterFactoryBean。

  1. 创建一个config
    在这里插入图片描述
package com.chao.config;

import com.chao.realm.AccountRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {
    //把自定义的Realm放到ioc中
    @Bean
    public AccountRealm accountRealm() {
        return new AccountRealm();
    }
    /*
    * ioc容器里的类可以取出来,每一个加入到ioc容器里的类都会有一个名字,这个名字就是它的方法名
    * 当取出来的时候用@Qualifier("accountRealm")进行取
     * */
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("accountRealm") AccountRealm accountRealm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accountRealm);
        return manager;
    }
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(defaultWebSecurityManager);
        return factoryBean;
        
    }
}

编写认证和授权规则

  • 认证过滤器:

    1. anon:无需认证,游客也能进去
    2. authc:必须认证
    3. authcBasic:需要通过HTTPBasic认证
    4. user: 不一定通过认证,只要曾经被Shiro记录即可

  • 授权过滤器

    1. perms:必须拥有某个权限才能访问
    2. role:必须拥有某个角色才能访问
    3. port:请求的端口必须是指定的值才能访问
    4. rest:请求必须基于Restful风格,PUT,POST,DELETE,GET
    5. ssl:必须是安全的URL请求,协议HTTPS

    创建3个页面,main.html,manage.html,administator.html

访问权限如下:

  1. 必须登陆才能访问main.html
  2. 当前用户必须拥有manage授权才能访问manage.html
  3. 当前用户必须拥有administator角色才能访问administator.html

创建controller层
在这里插入图片描述
在这里插入图片描述
配置视图解析器
在这里插入图片描述
在templates中写:
在这里插入图片描述
里面分别写上administator , main , manage

访问main页面
在这里插入图片描述
结果:
在这里插入图片描述

这里并没有写login.jsp但是会有自动跳到这个页面是因为Shiro有默认的login.jsp

造成以上原因是:
在这里插入图片描述
在写一个index页面进行比较
在这里插入图片描述
在这里插入图片描述
当访问index时是可以正常访问的因为这个页面没有设置过滤器。
在这里插入图片描述
但是当点击超链接时还是不能正常访问的,因为它被设置了过滤器。

接下来就自定义一个login页面

在这里插入图片描述

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/login" method="post">
    <table>
        <tr>
            <td>用户名:</td>
            <td>
                <input type="text" name="username">
            </td>

        </tr>
        <tr>
            <td>密码:</td>
            <td>
                <input  type="password" name="pwd">
            </td>
        </tr>
        <tr>
            <td>
                <input type="submit" value="登陆">
            </td>
        </tr>
    </table>
</form>
</body>
</html>

自定义登陆页面配置到Shiro中
在这里插入图片描述
演示如下:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210504181912100.png
在这里插入图片描述

能正常访问了。

接下来就是写controller里的login
在这里插入图片描述
在login.html页面中加入:
在这里插入图片描述
那么就可以使用thymeleaf了:
在这里插入图片描述
这里用的数据库信息:
在这里插入图片描述
根据图可以看出zhangsan只能访问main其它的页面都不能访问,lisi可以访问main , manage 但是不能访问administator而ww全部都能访问。

如图:当lisi登进去后
在这里插入图片描述

可以访问以下两个页面

在这里插入图片描述
在这里插入图片描述

但是不能访问administator页面

在这里插入图片描述

返回错误页面的信息用户根本看不懂,为了增加用户体验,可以写一个错误页面

  • 在这里插入图片描述
  • 在这里插入图片描述
    结果:
    在这里插入图片描述
    写欢迎登陆用户和退出的代码
    在这里插入图片描述
    在这里插入图片描述
    Shiro整合thymeleaf(可以很方便的展示出登陆者拥有的权限和角色并把拥有的页面显示出来,不拥有的则不会显示)

导入依赖:

<dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

配置添加ShiroDialect。
在这里插入图片描述
加入地址:
在这里插入图片描述
index.html改写为:
在这里插入图片描述
结果:
在这里插入图片描述
它拥有main和manage
在这里插入图片描述

SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架,可以参考我的博客文章进行学习https://blog.csdn.net/sujin_/article/details/80558287
springboot-shiro
10-18
在前端页面,我们可以使用Thymeleaf等模板引擎,结合Shiro的标签库,动态展示用户权限控制的界面。例如,根据用户的角色和权限,决定按钮是否显示、链接是否可点击等。 总之,结合SpringBoot的便捷性和Shiro的强大...
springboot整和shiro安全框架的基本使用
qq_55272229的博客
10-03 988
shiro安全框架springboot的整合完成mvc'和前后端分离开发
Shiro学习(三):shiro整合springboot
最新发布
liang8999的博客
04-02 945
由 配置类 ShiroWebFilterConfiguration 初始化 ShiroFilterFactoryBean 时可以发现,过滤器。,所以需要我们手动装载 SecurityManager 去覆盖Springboot 自动装载的 SecurityManager。另外在 shiro-spring-boot-web-starter 包下的文件 spring.factores 中的配置类。只会注入 Shiro 自身默认提供的Relam,这里需要把自定义的Realm注入到 SecurityManager。
springboot整合shiro框架
醉代码的博客
01-09 388
1、这里的需要添加一个配置过滤器,shiroFilter可拦截springboot中所有的访问请求,访问设置需要在ShiroFilter中进行配置,参数为SecurityManager的类型。2、这里的securityManager是安全管理器,也需要在配置中进行设置,参数为realms自定义类。3、这里的realms自定义类为授权和认证的实现操作。
springboot使用shiro
qq_40137193的博客
07-26 270
1、springboot 默认访问路径 resources 下的 static(好像最高级别),所以静态资源文件(js,css,jpg等)的访问配置要去掉 /static (/static/js/**=anon) 2、/** 必须要放在最下面 ,注意是必须 3、shiro查询到的用户信息在控制台上输入会抛异常 ...
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
总结来说,"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"项目是一个使用Spring Boot作为基础框架,结合Shiro进行权限控制,借助MyBatis Plus简化数据库操作的示例。通过这个项目,开发者可以学习到如何...
springboot-08-shiro.rar
03-31
SpringBoot整合Shiro实战详解》 在现代Java Web开发中,SpringBoot以其简洁的配置、快速的开发效率以及强大的生态系统成为了主流框架。而Shiro则是一款轻量级的安全框架,它提供了身份验证、授权、会话管理和安全...
Springboot-Shiro-Activiti
05-14
Springboot-Shiro-Activiti 是一个基于Java的项目框架,结合了Spring Boot、Apache Shiro和Activiti三个关键组件,用于构建高效、安全且流程化的Web应用。在这里,我们将深入探讨这三个技术及其在项目中的作用。 ...
springboot-shiro权限管理系统.zip
07-05
2. **Shiro框架** Apache Shiro提供了身份认证、授权、会话管理和安全相关的API,使得开发者能够轻松地实现权限控制。它的核心组件包括Subject(主体)、SecurityManager(安全管理器)、Realms(领域)和...
springboot使用shiro
bobasyu的博客
01-08 198
shiro shiro 核心组件 名称 含义 usernamePassword shiro用来封装用户登陆信息,使用用户的登录信息来创建Token SecurityManager shiro的核心部分,负责安全认证和授权 subject shiro的一个抽象概念,包含了用户信息 authenticationInfo 用户角色信息集合,认证是使用 authorizationInfo 角色权限信息集合,授权时使用 DefaultWebSecurityDMmanager 安全管
SpringBoot使用Shiro
qq_44255146的博客
12-30 164
SpringBoot使用Shiro 1、导入maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> 2、创建配置类 config>ShiroConfig.java @C
Springboot使用shiro
qq_38345598的博客
01-28 3985
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
SpringBoot项目使用Shiro
Mr_ZTQ
04-08 272
一:添加Shiro的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.2</version...
SpringBootshiro使用
qq_45742386的博客
04-21 250
shiro使用 什么都不用说了,我们直接看代码吧!! pom.xml 导入依赖 <!-- shiro安全框架 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version> </d
SpringBootShiro使用
Daylight629博客
02-21 912
SpringBootShiro使用 一、Shiro简介 1、Shiro 是什么? Apache ShiroJava 的一个安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 下载地址 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2
SpringBoot-Shiro使用
qq_42861526的博客
12-15 2260
一、什么是Shiro 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache ShiroSpring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
ShiroSpringBoot中的使用
年轻就是资本的专栏
06-25 651
1. 添加依赖 <!-- Apache Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version&g...
SpringBoot-Shiro-Vue项目整合实践指南
Apache Shiro是一个功能强大且易于使用Java安全框架,执行用户认证、授权、加密和会话管理。Shiro可以适用于任何应用程序,从简单的命令行程序到大型网络及移动应用程序。Shiro的关键特性包括: - 用户认证:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值