通读本文带你掌握Shiro安全认证框架

最新推荐文章于 2022-01-25 15:28:58 发布
最新推荐文章于 2022-01-25 15:28:58 发布
阅读量216 收藏
点赞数
分类专栏: Java 文章标签: shiro spring boot sso 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wang________/article/details/106650192
版权

shiro依赖  shiro-all 及 thymeleaf-extras-shiro

 ShiroConfig配置类

package com.qust.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.mgt.SecurityManager;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.DelegatingFilterProxy;

import java.util.HashMap;

import java.util.Map;

/**
 * springboot支持注解注入bean,往往用于springboot不集成的第三方组件
 *
 */
@Configuration
public class ShiroConfiguration {
    /**
     * 配置拦截器 请求认证权限 都是靠拦截器
     * @param securityManager
     * @return
     */
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean getShiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //登录的url
        shiroFilterFactoryBean.setLoginUrl("/loginPage");
        //成功后的请求
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //未授权页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");
        //过滤器
        Map<String,String> map = new HashMap<>();
        map.put("/loginPage","anon");
        map.put("/login","anon");
        //anon 无需认证
        map.put("/register","anon");
        //authc 必须要认证
        map.put("/**","authc");
        map.put("/addUser","roles[role1]");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

    /**
     * 配置SecurityManager
     * @param myRealm
     * @return
     */
    @Bean(name = "securityManager")
    public SecurityManager getSecurityManager(MyRealm myRealm){
        SecurityManager securityManager = new DefaultWebSecurityManager(myRealm);
        return securityManager;
    }

    /**
     * 创建自定义realm
     * @return
     */
    @Bean(name = "myRealm")
    public MyRealm getMyRealm(){
        return new MyRealm();
    }

    /**
     * 配置shiro和thymelf进行整合
     * @return
     */
    @Bean
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }
}

 

 自定义MyRealm

package com.qust.config;

import com.qust.entity.Role;
import com.qust.service.TeacherService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.Permission;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

public class MyRealm extends AuthorizingRealm {

    @Autowired
    private TeacherService teacherService;

    public TeacherService getTeacherService() {
        return teacherService;
    }

    public void setTeacherService(TeacherService teacherService) {
        this.teacherService = teacherService;
    }

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //只有通过认证后 才可以考虑授权的问题    获取到认证后返回的信息
        SimpleAuthorizationInfo sai = new SimpleAuthorizationInfo();
        //获取用户名
        String username = getAvailablePrincipal(principalCollection).toString();
        //通过用户名 获取该用户有的角色
        List<Role> roles = teacherService.getRoleByName(username);
        for (Role role1 : roles) {
            sai.addRole(role1.getRname());
        }
        //通过用户名获取拥有的权限
        List<Permission> permission = userService.getPermissionByName(username);
        for (Permission permission1 : permission) {
            sai.addStringPermission(permission1.getPname());
        }
        return sai;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取令牌
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //username是肯定相同的 比较密码
        String account = teacherService.queryPwdByName(token.getUsername());
        if(account != null){
            //三个参数(用户名、密码、本realm名字)
            return new SimpleAuthenticationInfo(token.getUsername(),account,getName());
        }
        return null;
    }
}

 

Controller层

@PostMapping("/login")
    public String login(String username, String password, Model model){
        String pass = new Md5Hash(password).toString();
        //创建令牌 将前端传过来的用户名、密码放进令牌
        UsernamePasswordToken token = new UsernamePasswordToken(username,pass);
        try {
            //通过SecurityUtils 获取用户主体
            Subject subject = SecurityUtils.getSubject();
            //将登录交给SecurityManager进行管理
            subject.login(token);
            //将信息存入session
            // subject.getSession().setAttribute("account",account);
            //判断登录的主体是否有user角色
            boolean user = subject.hasRole("user");
            //判断登录的主题是否有该权限
            boolean add = subject.isPermitted("add");
            return "index";
        } catch (UnknownAccountException e) {
            model.addAttribute("msg","用户名错误");
            return "login";
        } catch (IncorrectCredentialsException e) {
            model.addAttribute("msg", "密码错误");
            return "login";
        }
    }

认证流程图  

授权流程图 

ShawnWang04
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6345
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
shiro动态配置过滤器
yaoct的博客
05-14 3592
在创建AbstractShiroFiltershiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
spring-boot(八) springboot整合shiro-登录认证和权限管理
weixin_34376986的博客
01-17 394
学习文章:springboot(十四):springboot整合shiro-登录认证和权限管理 Apache Shiro What is Apache Shiro? Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是Shiro却...
Shiro动态修改权限部分
zzhao114的博客
02-20 5582
简介 通过修改shiroFilter的class来实现。通过继承org.apache.shiro.spring.web.ShiroFilterFactoryBean类,并把继承类配置到shiro的配置文件中既可。 FilterChainDefinitionsService.java package com.shiro; import java.util.Map; import
spring boot整合shiro安全框架过程解析
08-25
在学习spring boot整合shiro安全框架的过程中,我们需要掌握shiro的核心概念,包括realm域、认证和授权等。我们需要了解shiro的工作原理,掌握shiro的配置文件和自定义realm的编写方法。 spring boot整合shiro安全...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
基于Java的Apache Shiro安全框架设计源码
最新发布
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
Shiro权限控制(一):Spring整合Shiro
kity9420的专栏
03-30 3万+
1.介绍如何在SpringMVC中整合Shiro权限框架 2.介绍如何使用Shrio进行身份验证,如常见的登录 3.介绍如何控制哪些服务登录后才能访问,哪些服务不需要登录就可以访问
学习笔记之spring整合shiro框架
810cheng
11-21 275
一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 shiro包含三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。 Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的
Apache shiro配置与使用(Spring整合)
走在设计的道路上的博客
04-23 1万+
1、权限概述(正确理解认证、授权的基本概念) 2、常见的shiro框架权限控制的方式(URL拦截的方式、方法注解的方式) 3、shiro框架涉及到的数据表以及模型关系 4、Apache shiro框架 5、shrio框架整合Spring,Struts到项目中
java web项目里ehcache.xml的参数说明
涂作权的博客
02-23 1562
name:缓存名称。        maxElementsInMemory:缓存最大个数。        eternal:对象是否永久有效,一但设置了,timeout将不起作用。        timeToIdleSeconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。        t
SpringBoot+Shiro实现登陆拦截功能
u011972171的博客
04-21 3万+
      上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。      首先介绍下ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架:Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主...
在前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
springboot Shiro 配置类
01-25 1039
ckage org.fh.config; import org.apache.shiro.cache.ehcache.EhCacheManager; import org.apache.shiro.spring.LifecycleBeanPostProcessor; import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring..
springboot集成shiro 实现权限控制
哎幽的成长
02-26 4万+
shiroapache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西。springboot暂时没有集成shiro,这得自己配。shiro 内置过滤器请看博文: http://blog.csdn.net/hxpjava1/article/details/70357
Springboot+shiro单点登录实现
chenjiazhu的专栏
09-05 5万+
Springboot+shiro单点登录实现
请你简述Apache Shiro 框架认证流程。
02-06
Apache Shiro 框架认证流程主要分为以下几步: 1. 用户登录,提交用户名和密码。 2. Shiro 框架使用 AuthenticationInfo 对象来验证用户名和密码是否正确。 3. 如果用户名和密码验证通过,则 Shiro 框架会创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值