Springboot2集成Shiro框架(三)自定义Realm

最新推荐文章于 2022-09-21 15:39:31 发布
最新推荐文章于 2022-09-21 15:39:31 发布
阅读量1.6k 收藏 7
点赞数 1
分类专栏: shiro 文章标签: Springboot2集成Shiro框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/New_Yao/article/details/100535165
版权

目录

1、realm的作用

Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
  Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

2、数据库设计

下图是一个简单的权限关系库,主要是有三个表,用户角色权限,为了容易管理,用户只关联角色,而不同的角色对应不同的权限,shiro框架允许我们随意配置权限粗细度,可以精确到角色,也可以细微至某个权限(比如:用户添加权限等),我们需要了解的是用户和角色是一对多的关系(一个用户对应多个角色),而权限和角色关系亦是一对多的关系。
在这里插入图片描述

3、创建自定义realm

即使shiro提供了如jdbcrealm,jndiRealm,和使用配置文件的realm,但是实际开发中,大部分情况仍需要我们根据实际情况定制适合自己项目的realm处理器,shiro提供了 AuthorizingRealm 抽象类,创建 MyShiroRealm 类继承 AuthorizingRealm 抽象类,重写 doGetAuthorizationInfo 方法,和 doGetAuthenticationInfo 方法,完成自定义realm,下面是我配置的realm。

需要注意的是,doGetAuthenticationInfo 是每次登录会调用,而 doGetAuthorizationInfo 方法则是访问到需要权限、角色的接口的时候才会调用!

import java.util.Set;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import cn.junengxiong.bean.User;
import cn.junengxiong.service.UserService;

/**
 * 自定义登录权限认证
 * 
 * @ClassName: MyShiroRealm
 * @Description TODO
 * @version
 * @author jh
 * @date 2019年8月27日 下午4:12:40
 */

public class MyShiroRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;

    /**
     * 权限设置
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (userService == null) {
            userService = (UserService) SpringBeanFactoryUtil.getBeanByName("userServiceImpl");
        }
        System.out.println("进入自定义权限设置方法!");
        String username = (String) principals.getPrimaryPrincipal();
        // 从数据库或换村中获取用户角色信息
        User user = userService.findByUsername(username);
        // 获取用户角色
        Set<String> roles = user.getRole();
        // 获取用户权限
        Set<String> permissions = user.getPermission();
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 设置权限
        simpleAuthorizationInfo.setStringPermissions(permissions);
        // 设置角色
        simpleAuthorizationInfo.setRoles(roles);

        return simpleAuthorizationInfo;
    }

   /**
     * 身份验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("进入自定义登录验证方法!");
        if (userService == null) {
            userService = (UserService) SpringBeanFactoryUtil.getBeanByName("userServiceImpl");
        }
        // 通过username从数据库中查找 User对象,如果找到,没找到.
        // 实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String username = usernamePasswordToken.getUsername();
        String pwd = String.valueOf(usernamePasswordToken.getPassword());// 获取用户输入的密码
        User user = userService.findByUsername(username);
        if (user == null) {
            throw new UnknownAccountException();// 用户不存在
        }
        String password = user.getPassword();// 数据库获取的密码
        // 此处对用户输入密码进行加密,对比数据库查询出来加密后的密码,自定义加密方式
        // ............................
        // password = new SimpleHash("MD5", password, username, 1024).toString();
        if (!password.equals(pwd)) {
            throw new IncorrectCredentialsException();// 凭证错误
        }
        // 主要的(可以使用户名,也可以是用户对象),资格证书(数据库获取的密码),区域名称(当前realm名称)
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, password, getName());
        // 加盐,使用每个用户各自的用户名加盐,保证密码相同时但是加密后密码仍然不同,如果不适用shiro自带凭证比较器,或者自定义凭证比较器,可以不设置加盐
        // simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(username));
        return simpleAuthenticationInfo;
    }


}

3.1 userService为null问题

  1. 可以查看此文章,若解决则无需使用下面方式
  2. 解决service事务失效问题

因为springboot的bean注入机制,会导致在此realm生成的时候userService不会被注入,所有需要我们手动把UserService注入进来,用到了SpringBeanFactoryUtil工具类:


import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.stereotype.Component;
/**
 * 
 * @ClassName:  SpringBeanFactoryUtil   
 * @Description 手动bean注入工具类,用于解决filter中注入service为null问题
 * @version 
 * @author jh
 * @date 2019年8月28日 上午10:29:37
 */
@Component
public class SpringBeanFactoryUtil implements ApplicationContextAware {
    private static ApplicationContext applicationContext;

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        if (SpringBeanFactoryUtil.applicationContext == null) {
            SpringBeanFactoryUtil.applicationContext = applicationContext;
        }
    }

    private SpringBeanFactoryUtil() {
        // TODO Auto-generated constructor stub
    }

    public static ApplicationContext getApplicationContext() {
        return applicationContext;
    }

    // 根据名称-------@Resource 注解
    public static Object getBeanByName(String name) {
        return getApplicationContext().getBean(name);
    }

    // 根据类型-------@Autowired 注解
    public static <T> T getBeanByType(Class<T> clazz) {
        return getApplicationContext().getBean(clazz);
    }

    // 根据名称和类型--------@Autowired+@Qualifier
    public static <T> T getBeanByNameAndType(String name, Class<T> clazz) {
        return getApplicationContext().getBean(name, clazz);
    }
}

4、把自定义的Realm交给SecurityManager

我们声明好了自定义的realm后,需要把它交给SecurityManager来管理,需要在ShiroConfig类中,添加如下代码

  • 返回自定义realm,放入SecurityManager
    /**
     * 自定义身份认证 realm;
     * <p>
     * 必须写这个类,并加上 @Bean 注解,目的是注入 MyShiroRealm, 否则会影响 MyShiroRealm类 中其他类的依赖注入
     */
    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        return myShiroRealm;
    }
  • SecurityManager 配置
    /**
     * 注入 securityManager
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

5、user类

上面已经讲过了,一个用户对应着多个角色,而一个角色对应多个权限,
为了方便,不进行数据库的操作,在service中伪造三个用户,而每个用户拥有n个角色和n个权限,我们用set集合表示,可以根据情况随意拓展。


import java.util.Set;

public class User {
    private String username;
    private String password;
    private Set<String> role;
    private Set<String> permission;
    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public Set<String> getRole() {
        return role;
    }

    public void setRole(Set<String> role) {
        this.role = role;
    }

    public Set<String> getPermission() {
        return permission;
    }

    public void setPermission(Set<String> permission) {
        this.permission = permission;
    }

    @Override
    public String toString() {
        return "User [username=" + username + ", password=" + password + ", role=" + role + ", permission=" + permission
                + "]";
    }


}

6、 业务层

6.1service

public interface UserService {
    User findByUsername(String username);
}

6.2serviceImpl


import java.util.HashSet;
import java.util.Set;

import org.springframework.stereotype.Service;

import cn.junengxiong.bean.User;
import cn.junengxiong.service.UserService;

@Service
public class UserServiceImpl implements UserService {

    @Override
    public User findByUsername(String username) {
        User user = new User();
        user.setUsername(username);
        Set<String> roleList = new HashSet<>();
        Set<String> permissionsList = new HashSet<>();
        switch (username) {
        case "admin":
            roleList.add("admin");
            user.setPassword("admin");
            permissionsList.add("user:add");
            permissionsList.add("user:delete");
            break;
        case "consumer":
            roleList.add("consumer");
            user.setPassword("consumer");
            permissionsList.add("consumer:modify");
            break;
        default:
            roleList.add("guest");
            user.setPassword("guest");
            break;
        }
        user.setRole(roleList);
        user.setPermission(permissionsList);
        return user;
    }

}

7、controller


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.ExcessiveAttemptsException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.Logical;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.junengxiong.bean.ReturnMap;

@RestController
public class ShiroController {

    @RequestMapping("/consumer/{str}")
    @RequiresRoles(value = { "admin", "consumer" }, logical = Logical.OR)
    public ReturnMap getMessage(@PathVariable(value = "str") String str) {
        return new ReturnMap().success().data(str);
    }

    @RequestMapping("/admin/{str}")
    @RequiresRoles("admin")
    public ReturnMap getMessageAdmin(@PathVariable(value = "str") String str) {
        return new ReturnMap().success().data(str);
    }

    @RequestMapping("/guest/{str}")
    public ReturnMap getMessageGuest(@PathVariable(value = "str") String str) {
        return new ReturnMap().success().data(str);
    }

    @RequestMapping("/login")
    public ReturnMap login(String username, Boolean rememberMe, String password) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        if (rememberMe != null) {
            token.setRememberMe(rememberMe);
        }
        try {
            // 登录
            subject.login(token);
        } catch (UnknownAccountException uae) {
            // 用户名未知...
            return new ReturnMap().fail().message("用户不存在!");
        } catch (IncorrectCredentialsException ice) {
            // 凭据不正确,例如密码不正确 ...
            return new ReturnMap().fail().message("密码不正确!");
        } catch (LockedAccountException lae) {
            // 用户被锁定,例如管理员把某个用户禁用...
            return new ReturnMap().fail().message("用户被锁定!");
        } catch (ExcessiveAttemptsException eae) {
            // 尝试认证次数多余系统指定次数 ...
            return new ReturnMap().fail().message("尝试认证次数过多,请稍后重试!");
        } catch (AuthenticationException ae) {
            // 其他未指定异常
            return new ReturnMap().fail().message("未知异常!");
        }
        return new ReturnMap().success().data("登录成功!");
    }

    @RequestMapping("/loginout")
    public ReturnMap getMessageGuest() {
        Subject subject = SecurityUtils.getSubject();
        // 登出
        subject.logout();
        return new ReturnMap().success().message("登出成功!");
    }

    /**
     * 无权限访问时
     * 
     * @return
     */
    @RequestMapping("/unauthorized")
    public ReturnMap unauthorized() {
        return new ReturnMap().invalid();
    }
}

8、添加对权限注解支持

这一步卡了我一些时间,刚开始接触shiro框架,但是加入权限控制注解,每次只会在登录的时候调用登录验证接口,但是访问有权限的接口时,并不会进入自定义realm中的 doGetAuthorizationInfo 方法,经查询,该方法只会在用户访问到需要权限的接口的时候才会调用,如果未使用缓存,则每次访问权限接口均会调用一次 doGetAuthorizationInfo 方法,另外权限注解需要加入两个配置项来支持,在shiroConfig配置类中添加如下代码,启动对权限注解的支持。

class ShiroConfig
....................
 /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * 
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    /**
     * 开启aop注解支持
     * 
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

9、补充

在学习shiro中查看了很多资料,博客,发现一些教学中会在ShiroConfig配置中添加如下配置

    /**
     * 配置Shiro生命周期处理器
     * 
     * @return
     */
//    @Bean(name = "lifecycleBeanPostProcessor")
//    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
//        return new LifecycleBeanPostProcessor();
//    }

但是,如果配合spring食用时,是无需配置此项的,可以查看
* shiro-spring-config.ShiroBeanConfiguration文件,此配置已经帮我们配置好了

10、测试页面

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>登录</title>
</head>

<body>
	<table>
		<tr>
			<td>请输入姓名</td>
			<td><input type="text" name="username" id="username" /></td>
		</tr>
		<tr>
			<td>请输入密码</td>
			<td><input type="password" name="password" id="password" /></td>
		</tr>
		<tr>
			<td>记住我</td>
			<td><input type="checkbox" name="rememberMe" id="rememberMe" /></td>
		</tr>
	</table>
	<button type="button" onclick="login()">登录</button>
	<button type="button" onclick="loginout()">登出</button>
	<table>
		<tr>
		  <td><button onclick="authority('/admin/可以访问admin')">admin 管理员接口</button></td>
		  <td><button onclick="authority('/consumer/可以访问consumer')">consumer 用户接口</button></td>
		  <td><button onclick="authority('/guest/可以访问guest')">guest 访客接口</button></td>
		</tr>
	</table>
	<textarea rows="5" cols="60" id="textarea"></textarea>
	<script src="https://cdn.bootcss.com/jquery/3.1.1/jquery.min.js"></script>
</body>
<script type="text/javascript">
	function login() {//登录
		var username = $('#username').val();
		var password = $('#password').val();
		var flag = $('#rememberMe').prop('checked');
		console.log(flag)
		$.ajax({
			url : '/login',
			data : {
				'username' : username,
				'password' : password,
				'rememberMe' : flag
			},
			success : function(res) {
				console.log(res)
				$('#textarea').val(JSON.stringify(res));
			}
		})
	}
	function loginout() {//登出
		$.ajax({
			url : '/loginout',
			success : function(res) {
				$('#textarea').val(JSON.stringify(res));
			}
		})
	}
	//权限测试
	function authority(url){
		$.ajax({
            url : url,
            success : function(res) {
                $('#textarea').val(JSON.stringify(res));
            }
        })
	}
</script>
</html>

11、进行测试

下面是这次的controller配置,可以看到

  • admin可以访问所有接口
  • consumer可以访问本身和guest接口
  • guest只可以访问自己的接口
    在这里插入图片描述

11.1测试结果

1.admin登录,进入登录认证方法,登录成功!
在这里插入图片描述
2. 测试管理员接口,进入权限验证方法,权限验证通过在这里插入图片描述
3. consumer接口测试,可以看到,因为此接口设置了允许两种角色访问,shiro访问了两次权限认证方法在这里插入图片描述
4. guest接口测试,可以看到,在没有加权限注解时,shiro是不会访问权限认证方法的在这里插入图片描述
5. 换一个角色尝试一下,首先登录成功!在这里插入图片描述
6. 访问admin接口,得到无权限访问,可以看到后台进行权限验证后抛出了 org.apache.shiro.authz.UnauthorizedException: Subject does not have role [admin] 权限验证异常:缺少角色admin,成功拦截访问!在这里插入图片描述
7. 访问自己的consumer接口,可以访问,并且仍然进行了两次权限认证方法,即使我在注解上面填写所需角色为or关系也不行,有点像 非短路与 的意思,这里猜想如果填写三个是不是访问三次。。。。。。在这里插入图片描述
8. 马上更改代码尝试,在consumer接口新增可访问角色‘superman’,直接点击访问执行了三次权限认证,猜想成功!在这里插入图片描述在这里插入图片描述

12、源码

如果需要源码可以在下面地址得到,如果帮助到了你可以

      ."`".
  .-./ _=_ \.-.
 {  (,(oYo),) }}
 {{ |   "   |} }
 { { \(---)/  }}
 {{  }'-=-'{ } }
 { { }._:_.{  }}
 {{  } -:- { } }
 {_{ }`===`{  _}
((((\)     (/))))

springboot 整合Shiro

New_Yao
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
shiro整合springboot实战:二、Shiro配置类和自定义Realm
qq_31587795的博客
10-15 499
1.写几个登录接口和测试接口 @RestController public class LoginController { /** * 登录接口 * @param loginDTO * @param request * @param response * @return */ @PostMapping("login")...
springboot集成freemarker和shiro框架
03-14
**SpringBoot集成Freemarker与Shiro框架详解** 在现代Web开发中,SpringBoot因其简洁、高效的特性,已经成为很多开发者的选择。而FreeMarker和Shiro则分别是常用的模板引擎和安全框架,它们能帮助我们构建出功能...
Shiro学习2----spring boot整合(自定义Realm
mymk的博客
09-21 429
Shiro学习2----spring boot整合(自定义Realm
Shiro笔记SpringBoot2.x整合Shiro
公子&小白的博客
05-10 303
Shiro笔记SpringBoot2.x整合Shiro springBoot2.x整合shiro 引入依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
SpringBoot:集成Shiro自定义Realm实现认证授权
得不到的永远是骚栋.
01-21 1112
前言 前面的两篇博客使用了INI的形式完成了用户的认证授权操作.我曾经多次在博客中提到过INI文件形式进行认证授权只适用于用户较少的情况下,但是,当用户较多的情况下,我们可能需要数据库来管理,这时候,我们就需要自定义Realm了. 接下来,我们来看一下如何使用自定义Realm实现认证授权操作. 自定义Realm的继承与创建 前面我们说到我们要自定义Realm,首先我们需要先确定我们定义的Realm类中所需要的功能都需要什么,我们需要缓存功能,认证功能,授权功能,大功能 .我们首先看一下INiR..
Spring Boot 使用自定义 Realm 进行认证授权(五)
深入Java世界:探索编程之美与技术深度
09-16 436
Spring Boot 使用自定义 Realm 进行认证授权概述自定义 Realm创建 CustomRealm创建 testCustomRealm 方法测试 概述 虽然 jdbcRealm 已经实现了从数据库中获取用户的验证信息,但是jdbcRealm灵活性也是稍差一些的,如果要实现自己的一些特殊应用时将不能支持,这个时候可以通过自定义realm来实现身份的认证功能。 通常自定义Realm只需要继承:AuthorizingRealm重写doGetAuthenticationInfo(用户认证)、doGetA
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
SpringBoot2整合shiro
11-05
#### 3.3 自定义Realm 根据实际需求,创建自定义Realm,实现`AuthorizingRealm`接口,处理认证和授权逻辑。 ```java @Service public class CustomRealm extends AuthorizingRealm { @Autowired private ...
springbootshiro安全框架的整合
08-05
SpringBootShiro是两个在Java开发中广泛使用的框架SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理和安全相关的过滤器。当我们把它们整合...
springboot 1.5 集成 shiro 1.4
12-05
SpringBoot 1.5 集成 Shiro 1.4 案例详解 SpringBoot 是一个基于 Spring 框架的简化启动工具,它提供了自动配置、内嵌服务器、依赖管理和运行时指标等功能,使得开发 Java 应用程序变得更加便捷。而 Apache Shiro ...
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
springboot+mybatis+shiro整合demo
06-21
本项目使用springboot+mybatis+shiro整合的shiro权限案例,使用idea开发,比较简单,就不写操作手册了
Springboot2集成Shiro框架(九)配置多个realm
New_Yao的博客
01-14 2792
目录
shiro+springboot:MyRealm(自定义Realm)
qq_597950687的博客
07-27 1232
import com.sinochem.erp.common.entity.Permissions; import com.sinochem.erp.common.entity.Role; import com.sinochem.erp.common.entity.User; import com.sinochem.erp.common.exception.MoreUsersExceptio...
Spring集成Shiro框架实战
u011047968的专栏
09-06 272
文章目录一:什么是Shiro框架二:Shiro框架简介1、Shiro基础功能点介绍2、Shiro的工作原理3、Shiro的内部工作结构4、Shiro的身份认证流程![图3](https://img-blog.csdnimg.cn/20200905230140780.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTEwNDc5Njg=,size
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1558
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
Springboot整合Shiro进行权限认证-两种获取realm的方式
规则中找出不规则,挫折中找出突破点
07-12 1140
Shiro安全框架 在学习之前先了解了解shiro,防止掉坑。 1. 什么是Shiro? 1.1 Shiro的官网解释 Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序 特点:属于Apache开源组织的一个产品,功能强大并且易用的Java安全框架 可以完成用户认证、授权、密码以及会话管理 可以在任何的应用系统中使用(主要针对单体项
SpringBoot整合Shirorealm登录配置,另外附俩个教程
qq_35238997的博客
02-20 2158
SpringBoot整合Shiro,通过用户、角色、权限者关联实现权限管理 本篇文章主要介绍 Shirorealm,根据不同的登录类型指定不同的 realm。 所谓免密登录,就是区别正常的密码登录。比如,我现在要实现第方登录,当验证了是李四,现在要让他通过 shiro 的 subject.login(),但是不知道他的密码(密码加密了),我们不能拿数据库里的密码去登录,除非重新写 Rea...
Apache Shiro 使用手册(四)Realm 实现
kdboy的专栏
09-09 206
在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. [size=large][b][color=darkblue]一、认证实现[/color][/b][/size] 正...
springboot集成shiro权限管理
最新发布
07-08
### 回答1: Spring Boot是基于Spring框架的快速开发应用程序的工具,而Shiro则是一个强大且灵活的Java安全框架。将Spring Boot与Shiro结合使用可以实现权限管理的功能。 首先需要在Spring Boot项目中引入相关依赖,包括Spring Boot的依赖和Shiro的依赖。可以在pom.xml文件中添加如下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> ``` 接下来,需要配置Shiro的配置类。可以创建一个继承自org.apache.shiro.web.mgt.DefaultWebSecurityManager的类,并在该类中配置Shiro的相关信息,包括认证器和授权器。 认证器负责验证用户的身份,可以使用Shiro提供的Realm来实现自定义的身份验证逻辑。授权器负责判断用户是否有权限执行某个操作,可以使用Shiro提供的Permission类来实现权限的控制。 然后,需要为Spring Boot应用程序配置Shiro过滤器链。可以使用Shiro的FilterChainDefinitionMap类来配置URL与权限的映射关系。可以在一个继承自org.apache.shiro.web.env.AbstractWebEnvironment的类中配置这些过滤器链。 最后,在Spring Boot应用程序的入口类中启动Shiro配置。在main()方法中,可以使用org.apache.shiro.SecurityUtils类的setSecurityManager()方法来设置Shiro的安全管理器。 完成以上步骤后,Spring Boot应用程序就集成Shiro权限管理功能。可以通过编写相应的Controller和页面来测试权限管理的效果。 总之,通过将Spring Boot与Shiro结合使用,可以实现权限管理的功能。通过配置Shiro的相关类和过滤器链,以及编写自定义Realm和Permission,可以实现身份验证和权限控制的逻辑。 ### 回答2: Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架Shiro是一个强大的Java安全框架,提供了身份认证、授权、加密等安全功能。下面是使用Spring Boot集成Shiro权限管理的步骤和注意事项。 1. 添加依赖:在Maven或Gradle中添加Spring Boot和Shiro的依赖项。 2. 创建Shiro配置类:创建一个继承自`org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration`的配置类。在该类中配置Shiro的安全相关属性,比如加密算法、身份认证方式等。 3. 创建用户实体类:创建表示用户的实体类,并为其添加相关属性,如用户名、密码等。 4. 创建用户服务类:创建一个用户服务类,用于处理用户相关的操作,如用户注册、查询用户等。 5. 创建Realm类:创建一个继承自`org.apache.shiro.realm.AuthorizingRealm`的自定义Realm类。在该类中,实现身份认证和授权的逻辑。 6. 配置Shiro过滤器:在`application.properties`文件中配置Shiro的过滤器链,指定URL与权限之间的对应关系。 7. 创建Controller类:创建一个Controller类,用于处理用户请求。在该类中,通过`@RequiresRoles`和`@RequiresPermissions`等注解为方法添加授权需求。 8. 启动应用程序:使用Spring Boot的注解启动应用程序,让Spring Boot自动配置并启用Shiro。 注意事项: - 在配置Shiro时,需要根据实际需要选择适当的安全策略、加密算法和认证方式。 - 在自定义Realm类中,需要根据实际需求进行身份认证和授权的实现。 - 在通过Shiro注解为方法添加授权需求时,需要确保用户已经成功登录。 - 需要根据实际业务需求,合理配置Shiro的过滤器链,以获得所需的权限控制效果。 总之,使用Spring Boot集成Shiro权限管理可以方便地实现应用程序的安全认证和授权功能。通过配置Shiro的相关属性和自定义Realm类,可以实现灵活的权限管理,保护应用程序的安全。 ### 回答3: Spring Boot集成Shiro权限管理是一种常用的方式,可以实现安全的身份验证和授权功能。以下是一个简单的步骤,来演示如何实现这个集成。 第一步,导入相关依赖。在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 第二步,编写Shiro的配置文件。创建一个类,命名为ShiroConfig,并使用@Configuration注解将其声明为一个配置类。在配置类中,使用@RequiresPermissions注解来定义URL的访问权限,使用@Bean注解来创建ShiroFilterFactoryBean和DefaultWebSecurityManager等Bean。 第步,创建一个自定义Realm类。这个类需要继承自AuthenticatingRealm,并实现其中的认证和授权方法。在认证方法中,需要根据用户名和密码来进行验证用户的身份。在授权方法中,需要判断用户是否具有访问某个URL的权限。 第四步,在Spring Boot的启动类中,添加@EnableCaching注解来启用缓存功能。这样可以提高系统的性能。 第五步,编写Controller类。在Controller中,使用@RequiresPermissions注解来定义URL的访问权限。在方法中,可以使用Subject进行身份验证和授权操作。 最后,启动应用程序。通过访问配置的URL,可以验证是否成功实现了Shiro权限管理功能。 通过以上步骤,我们可以实现Spring Boot集成Shiro权限管理。这样就可以在应用程序中实现安全的身份验证和授权功能,确保只有具备相应权限的用户可以访问指定的URL。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值