shiro讲解,以及SpringBoot微框架集成shiro完成登录拦截器功能。

最新推荐文章于 2024-04-17 01:18:53 发布
最新推荐文章于 2024-04-17 01:18:53 发布
阅读量1.2k 收藏 5
点赞数 2
分类专栏: 【框架篇】SpringCloud分布式框架详解和技术搭建 文章标签: shiro SpringBoot 登录拦截器
未经原作者允许不得转载本文内容,否则将视为侵权。转载或者引用本文内容请注明来源及原作者。谢谢!
本文链接:https://blog.csdn.net/SpringCYB/article/details/88965243
版权

一:shiro是什么?

1.shiro是什么

    shiro是apache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。

2.shiro与传统权限的区别

shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限之间的关系。

3.shiro的原理(运行流程)

   securityManager  安全管理中心(shiro的所有操作都由它来完成)

   Authenticator  认证 (登录)

   Authorizer 授权(使用当前登录用户的id到数据库中查询用户所拥有的权限)

   Realm 域  用来连接关系型数据库 执行对应的sql语句

   Subject 主体 当前的登录用户 相当于五表权限中的session

认证流程:

二:SpringBoot微框架集成shiro完成登录拦截器功能。

认证流程:

1.首先在pom.xml配置文件中引入shiro所需要的jar包

    <!--shiro所需要的jar包-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

2.包结构下创建子包shiro,创建类为ShiroConfig

ShiroConfig:

package com.jk.shiro;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration//把当前类 作为spring配置文件使用
public class ShiroConfig {


    /**
     * shiro 的过滤器链
     *       shiro的核心总入口
     *
     * */
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {

        System.out.println("ShiroConfiguration.shirFilter()");
        // shiro过滤器工厂
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager 如果不设置就无法完成认证和授权
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 过滤器链
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

        // 配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
        // logout shiro定义好的过滤器名字 /logout访问路径
        // 浏览器访问的地址栏路径中以/logout结尾的路径 走logout过滤器
        // logout会清除session 退出登录
        //第一个参数是前台发送的路径
        filterChainDefinitionMap.put("/logout", "logout");
        // 所有的css文件走  anon过滤器 此过滤器代表放过拦截 不需要权限也能访问
        filterChainDefinitionMap.put("/css/**", "anon");
        // 放过登录页面拦截
        filterChainDefinitionMap.put("/toLogin", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        /// **代表所有路径 除以上路径外都拦截 authc代表权限拦截过滤器
        filterChainDefinitionMap.put("/**", "authc");
        // perms权限过滤器 必须拥有某项权限才能访问对应路径
        // filterChainDefinitionMap.put("/add", "perms[user:query]");
        // 登录请求路径 登录页面提交form表单时 表单的action写此路径
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功跳转到登录成功页面
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权界面;
        //shiroFilterFactoryBean.setUnauthorizedUrl("/warning");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        // 最终返回过滤器链
        return shiroFilterFactoryBean;

    }



    @Bean // 在xml文件中配置一个bean标签 相当于<bean class="
    // org.apache.shiro.mgt.SecurityManager"
    // name="securityManager"></bean>
    public SecurityManager securityManager() {

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        // 设置realm. 域(数据源 用来连接数据库完成认证和授权)
        // 把自己创建的Realm 注入到securityManager中
        securityManager.setRealm(myShiroRealm());

        // 注入缓存管理器;
        //securityManager.setCacheManager(ehCacheManager());//
        // 这个如果执行多次,也是同样的一个对象;
        // securityManager.setRememberMeManager(rememberMeManager());

        return securityManager;

    }

    @Bean
    public MyRealm myShiroRealm(){
        return new MyRealm();
    }
}

3.接着在shiro包中手动创建realm,MyRealm类

package com.jk.shiro;

import com.jk.model.UserBean;

import com.jk.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;


public class MyRealm extends AuthorizingRealm {

    //注入Servie层
    @Autowired
    private UserService userService;

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取到输入框输入的用户名
        String userName = (String)token.getPrincipal();
        //去后台查是否有此账号
        UserBean user = userService.queryUserByName(userName);
        //判断账号是否存在
        if(user == null){
            //如果用户对象为空 抛出用户名错误异常
            throw new UnknownAccountException();
        }
        //认证器 第一个参数为用户名或用户对象 第二个参数为密码 第三个参数为当前real名称
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName,user.getPassword(),this.getName());
        return simpleAuthenticationInfo;
    }

    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }
}

4.创建LoginController写自己的登录逻辑

package com.jk.controller;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;

@Controller
public class LoginController {

    /**
     * 当用户名密码不正确时
     * 跳转到此方法
     * 认证失败之后会进入此方法 提示用户失败原因
     * @return
     */
    @RequestMapping("login")
    public String login(HttpServletRequest request, ModelMap map){
        //认证器会根据对应的错误 返回对应的异常 根据异常判断对应错误
        String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");

        if(UnknownAccountException.class.getName().equals(exceptionClassName)
                || AuthenticationException.class.getName().equals(exceptionClassName)){
            System.out.println("request = [ 用户名异常]");
            map.put("message","用户名错误");
        }else{
            System.out.println("request = [密码异常]");
            map.put("message","密码错误");
        }
        return "login";
    }
    @RequestMapping("toLogin")
    public String toLogin(){
        //登陆页面
        return "login";
    }
    @RequestMapping("index")
    public String toIndex(){
        //主页面
        return "main";
    }
}

5.templates文件夹下创建login登录页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8"/>
<title>Insert title here</title>
</head>
<body>
      <!--action="login" 写配置文件中的LoginUrl中内容  -->
      <form action="login" method="post">
           <!--username shiro默认的用户名属性  -->
           <input type="text" name="username"/><br/>
           <!--password shiro默认的密码属性 -->
           <input type="password" name="password"/><br/>
           <input type="submit" value="登录"/><br/>
      </form>
</body>
</html>

6.访问http://localhost:8080(你的端口号)/tologin 完成登录

完毕!

Springboot Shiro集成
简简单单Onlinezuozuo
04-24 4361
Springboot Shiro集成 1.添加依赖 &lt;shiro.version&gt;1.4.0&lt;/shiro.version&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artif...
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 739
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权】
最新发布
2401_83329718的博客
04-17 495
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
29.0、springboot-Shiro整合,以及shiro整合mybatis实现登录拦截器
m0_52433668的博客
03-16 1047
29.0、springboot-Shiro整合,以及shiro整合mybatis实现登录拦截器 先在pom.xml文件中导入相关依赖,后面也会用到thymeleaf所以也顺便导入吧 <!-- Subject 用户 SecurityManager 管理所有用户 Realm 连接数据 --> <!--shiro整合Spring的包--> <dependency> <groupId>org.apache.shiro</groupId&
Shiro-登录拦截
weixin_46858088的博客
09-21 194
在整合的基础上添加shiro的内置过滤器 权限标识 anon: 无需认证就可以访问 authc:必须认证了才能访问 user:必须拥有 “记住我” 功能才能访问 perms:拥有某个角色权限才能访问 ShiroConfig.java package com.star.config; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org.
Shiro登录拦截器解析(七)
qq_37431224的博客
01-10 583
authc登录拦截器工作原理 authc拦截器有2个作用: 1>登录认证 请求进来时,拦截并判断当前用户是否登录了,如果已经登录了放行, 如果没有登录,跳转到authc.loginUrl属性配置的路径,注意:默认是/login.jsp 2>执行登录认证 请求进来时,如果请求的路径为authc.loginUrl属性配置的路径(没配置,默认是/login.jsp)...
SpringBoot+Shiro实现登陆拦截功能
u011972171的博客
04-21 3万+
      上一章讲到使用自定义的方式来实现用户登录功能,这章采用shiro来实现用户登陆拦截的功能。      首先介绍下Shiro:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架:Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro,可以方便地进行用户权限的管理,包括登录验证、权限校验等功能。 **Vue.js** 是一个用于构建用户界面的渐进式框架,常用于前端开发。在这里,Vue可以用来动态渲染前端界面,根据后端返回...
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
在实现登录失败次数限制时,我们需要使用 Shiro 框架提供的拦截器来判断用户的登录失败次数。当用户登录失败时,Shiro 框架将记录用户的登录失败次数,并在达到一定限制时禁止用户登录。 在实现密码加密时,我们...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
spring+mybatis+springMVC+shoir框架整合jar包
12-06
spring+mybatis+springMVC+shoir框架整合jar包,避免框架搭建的尴尬
SpringBoot(39) —— Shiro实现登陆拦截
Jzandth的博客
10-04 735
1.实现登陆拦截 实现登陆拦截其实就是使用shiro拦截没有经过认证的用户的请求,当用户在没有认证的情况下就请求资源时,就将其重定向到登陆认证页面,这一点和spring security一样 要实现认证+授权,本质上还是在使用过滤器/拦截器,而spring security只是把这些都封装好了,我们直接调用封装之后的方法就可以使用;而Shiro对于过滤器/拦截器的封装没有spring security那么彻底,所以我们需要在刚刚创建的config中的ShiroFilterFactoryBean中配置
shiro实现登录拦截
Java修炼者的博客
12-22 347
shiro实现登录拦截 /* *anon:无需认证就可以访问 * authc:必须认证了才能访问 * user:必须拥有 记住我 功能才能访问 * perms:拥有对某个资源的权限才能访问 * role:拥有某个角色权限才能访问 * */
6.Shiro 拦截器机制
plumblum的博客
07-04 387
Shiro 拦截器机制 # 1、NameableFilter NameableFilter 给 Filter 起个名字,如果没有设置默认就是 FilterName;还记得之前的如 authc 吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例; 2、OncePerRequestFilter OncePerRequestFilter 用于防止多次执行 Filter 的;也就是说...
shiro
sinat_34814635的博客
12-11 805
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
shiro入门
trasewell的博客
09-25 937
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
FilterChainDefinitionMap_参数说明
热门推荐
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
Shiro 身份验证流程
weixin_42146345的博客
03-19 112
Shiro 用户身份验证过程介绍
Day41项目saas-export项目-shiro认证***
翁老师的教学团队
11-09 606
Shiro过滤器&标签简介 判断 sesion中是否有 user 判断账户密码是否正确 (1)分析 需要过滤器控制 没有权限下访问链接 需要标签控制 没有权限下 界面元素的隐藏 》anon代表不认证也可以访问,通常对静态资源进行放行 》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证Shiro会自动跳转到login.jsp页面 Shiro登陆认证-判断session中的user (1)过滤器 在项目中使用认证过滤器拦截资源(该
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

听风动

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值