SHIRO安全框架介绍与使用

已于 2022-11-14 15:30:18 修改
阅读量364 收藏 1
点赞数
分类专栏: JAVA项目经验 文章标签: shiro 认证 权限管理 shrio缓存
于 2019-03-26 18:06:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NicenJack/article/details/88823436
版权

Shiro:能够执行身份验证,授权,加密,会话管理(全局session)

shiro:操作中对象与方法

  • Subject : 当前操作用户,即当前与shiro进行交互的应用

  • SecurityManager:Shiro通过该方法来管理内部组件实例,并提供安全管理的各种服务

  • Realm:安全数据源(认证和授权数据),配置Shiro时,至少指定一个Realm,用户认证授权(Shiro内置了可连接大量安全数据源的Realm,若默认Realm不满足需求,则可以自动以Realm)

SpringBoot 集成 Shiro

引入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>版本号</version>
</dependency>
<!-- 版本号根据项目设计管理更改 1.4.0 -->

application.properties中配置shiro

#shiro配置
#默认初始路径
shiro.loginUrl=/safty/login/toLogin
#shiro 的 记住我 功能开启后的默认路径
shiro.successUrl=/safty/home/toHome
#认证失败后跳转路径
shiro.unauthorizedUrl=/safty/login/toLogin
#使用shiro本地session非HttpSession shiro会自动同步
shiro.userNativeSessionManager=true
#日志级别设置
#logging.level.全类名=debug

自定义Realm

package com.johe.scgcxx.base;

import java.text.MessageFormat;
import java.util.List;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.util.StringUtils;

import com.johe.scgcxx.dto.Curr_User;
import com.johe.scgcxx.dto.Menu;
import com.johe.scgcxx.model.Sys_Module;
import com.johe.scgcxx.model.Sys_User;
import com.johe.scgcxx.service.base.ShiroService;

@Configuration
public class DefaultShiro {
        //日志对象
	private static final Logger LOG = LoggerFactory.getLogger(DefaultShiro.class);

	/**
	 * Bean注解名 必须为 authorizer
	 */
	@Bean("authorizer")
	@Autowired
	public AuthorizingRealm saftyRealm(ShiroService shiroService) {
		return new AuthorizingRealm() {
			/**
			 * 获取当前用户授权信息,shiro检查需要通过该方法获取授权信息 参数为 当前用户集合
                         * 该方法会在shiro 过滤方法中 配置的路径 进行权限认证时执行
			 */
			@Override
			protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
				// 获取用户账号
				Curr_User currUser = (Curr_User) principals.getPrimaryPrincipal();// 获取首要当事人
				// 创建授权信息对象
				SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
				// 查询用户权限,并放入授权对象
				List<Menu> menuList = shiroService.getModuleByCurrUserID(currUser.getU_id());
				for (Menu menu : menuList) {
					simpleAuthorizationInfo.addStringPermission(String.valueOf(menu.getMenu_id()));
				}
				return simpleAuthorizationInfo;

			}

			/**
			 * 授权认证信息(当前用户信息,账号,密码) shiro在登录认证时需要通过该方法获取认证信息, 参数认证令牌,(一组用户名和密码)
			 */
			@Override
			protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
					throws AuthenticationException {
				String u_id = (String) token.getPrincipal();
				Sys_User user = shiroService.getCurrUser(u_id);
				if (user == null) {
					return null;
				}
				// 若该用户存在,创建当前用户
				Curr_User currUser = new Curr_User(user.getU_id(), user.getU_name());
				/**
				 * 创建认证信息 参数 1 当前用户 2认证凭证 3realm名称
                                 * 该操作会将 当前用户存储到shiro内置对象principal中
				 */
				SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(currUser, user.getU_pwd(), this.getName());
				return info;
			}

		};
	}

	// 设置Shiro默认过滤器(应用启动时执行路径的权限过滤)
	@Bean
	@Autowired
	public ShiroFilterChainDefinition shiroFilterChainDefinition(ShiroService shiroService) {
		DefaultShiroFilterChainDefinition shiroFilter = new DefaultShiroFilterChainDefinition();
		shiroFilter.addPathDefinition("/css/**", "anon");
		shiroFilter.addPathDefinition("/elementui/**", "anon");
		shiroFilter.addPathDefinition("/js/**", "anon");
		shiroFilter.addPathDefinition("/safty/login/**", "anon");
		// 加载动态权限
		List<Sys_Module> moduleList = shiroService.getAllSubModules();

		String PREMISSION_FORMAT = "authc,perms[{0}]";

		// 由注入的资源管理对象获取所有资源数据,并且资源的authorities的属性是EAGER的fetch类型
		for (Sys_Module sys_Module : moduleList) {
			if (StringUtils.isEmpty(sys_Module.getM_url())) {
				continue;
			}
			shiroFilter.addPathDefinition(sys_Module.getM_url().replace("toList", "**"),
					MessageFormat.format(PREMISSION_FORMAT, String.valueOf(sys_Module.getM_id())));
		}

		// 其他资源必须经过认证
		shiroFilter.addPathDefinition("/**", "authc");

		LOG.debug("===========shiro校验==============");
		LOG.debug(shiroFilter.getFilterChainMap().toString());
		LOG.debug("===========shiro校验==============");

		return shiroFilter;
	}

}

登录与退出(ResultUtils为 自定义MAP结果返回,**Service为 自定义业务操作)

package com.johe.scgcxx.controller.safty;

import java.util.List;

import javax.servlet.http.HttpSession;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.DeleteMapping;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.johe.scgcxx.base.Constants;
import com.johe.scgcxx.base.ResultUtils;
import com.johe.scgcxx.dto.Curr_User;
import com.johe.scgcxx.dto.Menu;
import com.johe.scgcxx.dto.Sys_User;
import com.johe.scgcxx.service.safty.SaftyLoginService;

//安全管理-用户登录
@Controller
public class SaftyLoginController {
	@Autowired
	private SaftyLoginService saftyLoginService;
	
	
	@RequestMapping("/safty/login/doLogin")
	@ResponseBody
	public ResultUtils toLogin(@RequestBody Sys_User user,HttpSession session) {
		try {
		Subject subject = SecurityUtils.getSubject();
		//创建登录令牌
		UsernamePasswordToken token = new UsernamePasswordToken(user.getU_id(), user.getU_pwd());
		//登录(该操作会执行realm中授权认证的方法)
		subject.login(token);
		//是否通过认证
		if (subject.isAuthenticated()) {
			//获取当前用户信息
			Curr_User currUser = (Curr_User)subject.getPrincipal();
			//将当前用户放入session
			subject.getSession().setAttribute(Constants.SESSION_CURR_USER_ATTR, currUser);
			
			System.out.println(user.getU_id()+":登录====进入");
			
			return ResultUtils.successResult();
		}
		return ResultUtils.failResult("登录失败!!!");
		
		} catch (UnknownAccountException e) {
			return ResultUtils.failResult("用户名不存在!");
        	
        } catch (IncorrectCredentialsException e) {
        	return ResultUtils.failResult("账户密码 不正确!");
        } catch (LockedAccountException e) {
        	return ResultUtils.failResult("用户名 被锁定 !");
        }catch (Exception e) {
			e.printStackTrace();
			return ResultUtils.failResult("系统错误!");
		}
		
	}
	
	
	@DeleteMapping("/safty/home/doLogout")
	@ResponseBody
	public ResultUtils toLogout() {
		try {
                        //清除shiro内置session信息
			SecurityUtils.getSubject().logout();
			return ResultUtils.successResult();
		} catch (Exception e) {
			return ResultUtils.failResult("退出异常!!!");
		}
	}
	
	
}

shiro权限缓存设置 (无需对每次路由进行权限查询验证(相同路由只需首次进入时验证))

	//该 权限缓存代码 位置 : Shiro自定义realm类中

    //用于设置shiro缓存管理器
    @Bean
	protected CacheManager shiroCacheManager() {
		return new MemoryConstrainedCacheManager();
	}

NicenJack
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6059
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
springsecurity实现原理_不用 Spring Security 可否?试试这个小而美的安全框架
weixin_39881387的博客
11-26 252
写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Session,如何缓存认证和授权数据应对高并发访问都迫切需要我们解决。Shiro的出现让我们可以快速和简单的应对我们应用的数据安全问题Shiro介绍...
shirosessionManager配置
拒绝熬夜啊的博客
10-18 1898
shirosessionManager配置 1.使用session Subject currentUser = SecurityUtils.getSubject(); Session session = currentUser.getSession(); session.setAttribute("someKey", someValue); //subject.getSession()方法是调用 currentUser.getSubject(true)的快捷方式
Shiro安全框架——【快速入门、登录拦截、用户认证,2024年最新你还看不明白
最新发布
2401_83973943的博客
04-14 874
/退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
springboot开启自动部署devtools
勇心在馨
10-02 620
1、在pom.xml中添加如下配置 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <scope>runtime</scope> <optional>true</optional> </dependenc
授权 - Spring Security简单案例
个人纪录、总结!
10-21 557
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
spring boot整合shiro安全框架过程解析
08-25
下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括shiro-spring和shiro-core两个依赖项。这两个依赖项是shiro框架的核心组件,分别负责shiro和spring的整合以及shiro...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
springboot 与shiro安全框架的整合
08-05
SpringBoot和Shiro是两个在Java开发中广泛使用框架,SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理和安全相关的过滤器。当我们把它们整合...
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4781
Shiro入门概述与基本使用
Shiro安全框架基础入门使用
lx5210521的博客
01-02 903
获取当前登录用户的角色、权限信息,返回给shiro用来进行授权认证myRealm继承AuthorizingRealm并重写doGetAuthorizationInfo(PrincipalCollection principalCollection)方法创建对象,封装当前登录用户的角色、权限信息获取当前用户的身份信息调用业务层从数据库查询用户的角色信息调用业务层从数据库查询用户的角色信息存储角色存储权限返回信息@Autowired。
shiro(一)
遥是此间桃花庵
11-29 168
文章目录1.shiro的简介:2.在应用程序角度来观察如何使用Shiro完成工作3.shiro架构Shiro入门案例 1.shiro的简介: shiro是apache的一个开源框架,是一个权限管理框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于s...
关于shiro session失效报错问题
热门推荐
小牛的成长史
08-03 4万+
最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生,经过多天的研究,终于得以解决 登录的时候异常信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e] at org.apache.shi
Shiro 分布式架构下 Session 的共享实现
zcyhappy1314的专栏
05-06 2万+
参考资料:http://blog.csdn.net/lishehe/article/details/45223823 说在前面: 共享的方式有很多,传统的做法是通过配置 web 容器,通过容器间 session 的复制达到共享的目的(不推荐),现在常用的做法是通过单独存储session达到共享目的,将session存储到 Mysql 、Memcache、Redis中,等到使用的时候再从中取
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2802
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiro入门
trasewell的博客
09-25 843
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
Shiro框架从入门到实战
04-24
本教程讲解了Shiro权限验证框架的基本应用,学习本教程,可以掌握常规的网站权限管理操作,完成web网站的动态权限管理
通过自定义 @CurrentUser 获取当前登录用户
stanWang的博客
03-21 1万+
自定义 @CurrenUser注解/
shiro框架总结1
08-08
shiro框架总结1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值