shiro安全框架

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量4.1k 收藏 5
点赞数 3
分类专栏: 小黄学shiro 文章标签: 安全 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yellow_Star___/article/details/122727384
版权

shiro安全框架

简介

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

shiro整合springboot

例子

这篇文章主要实现以下这么个例子:

index页面中有三个超链接,分别对应add、login、update页面,我们需要完成以下需求

  • 进入add、update页面必须有用户登录,如果用户没有登录跳转到login页面
  • 用户认证:登录时,需要经过数据库信息比对
  • 用户授权:进入add页面的用户必须拥有add页面的权限,同理update也是
  • 如果用户没有add权限,则在index页面不显示add超链接,同理update也是

在这里插入图片描述

添加依赖

<!--springboot整合shiro-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.8.0</version>
</dependency>

创建shiro配置类

@Configuration
public class ShiroConfig {
    //创建realm对象,自定义类继承AuthorizingRealm
    @Bean
    public UserRealm getRealm(){
        return new UserRealm();
    }
    //配置defaultSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("getRealm") Realm realm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //关联realm
        defaultWebSecurityManager.setRealm(realm);
        return defaultWebSecurityManager;
    }

    //配置shiro过滤器(设置拦截写在这里)
    @Bean(name = "shiroFilterFactoryBean") //必须设置name为shiroFilterFactoryBean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        return bean;
    }
}

//设置授权、认证的操作写在这里
public class UserRealm extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }
}

实现登录拦截

    //配置shiro过滤器
    @Bean(name = "shiroFilterFactoryBean") //必须设置name为shiroFilterFactoryBean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        /**登录拦截
         * anon:无需认证就可以访问
         * authc:必须认证了才能访问
         * user:必须拥有 记住我 功能才能使用
         * perms:拥有对某个资源的权限才能访问
         * role:拥有某个角色权限才能访问
         */
        Map<String, String> filterChainDefinitionMap = new HashMap<>();
        //认证(可以使用通配符,也可以一一设置)
        filterChainDefinitionMap.put("/user/*","authc");
//        filterChainDefinitionMap.put("/user/add","authc");
//        filterChainDefinitionMap.put("/user/update","authc");
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        //设置跳转登录页,认证失败的话会跳转到登录页
        bean.setLoginUrl("/user/login");
        return bean;
    }

实现用户认证

用户认证就等同于用户登录

@Slf4j
public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        log.info("----调用认证接口----");
		//authenticationToken存放着用户登录信息
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;

        User user = userService.getOne(new QueryWrapper<User>().eq("username",userToken.getUsername()));

        if (user == null){
            return null;
        }

        //密码认证,shiro自己做,第二个参数将用户真实密码传进来,shiro会自动进行比对
        return new SimpleAuthenticationInfo("",user.getPassword(),"");
    }
}

controller层

@PostMapping("/login")
public String login(String username,String password,Model model){
    //获取用户数据
    Subject currentUser = SecurityUtils.getSubject();
    //封装用户登录信息
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    try {
        //将用户的登录信息进行认证
        currentUser.login( token );
        return "index";
    } catch ( UnknownAccountException uae ) {
        //用户没有在系统中
        model.addAttribute("loginMsg","用户不存在");
        return "user/login";
    } catch ( IncorrectCredentialsException ice ) {
        //密码错误
        model.addAttribute("loginMsg","密码错误");
        return "user/login";
    }
}

实现用户授权

首先我们需要添加过滤器,设置用户必须有哪些权限才能访问页面

    //配置shiro过滤器
    @Bean(name = "shiroFilterFactoryBean") //必须设置name为shiroFilterFactoryBean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        /**登录拦截
         * anon:无需认证就可以访问
         * authc:必须认证了才能访问
         * user:必须拥有 记住我 功能才能使用
         * perms:拥有对某个资源的权限才能访问
         * role:拥有某个角色权限才能访问
         */
        Map<String, String> filterChainDefinitionMap = new HashMap<>();
        //授权(设置add页面必须有user:add权限,update页面必须有user:update权限)
        filterChainDefinitionMap.put("/user/add","perms[user:add]");
        filterChainDefinitionMap.put("/user/update","perms[user:update]");
        //认证
        filterChainDefinitionMap.put("/user/*","authc");
//        filterChainDefinitionMap.put("/user/add","authc");
//        filterChainDefinitionMap.put("/user/update","authc");
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        //设置跳转登录页
        bean.setLoginUrl("/user/login");
        //跳转到未授权页面
        bean.setUnauthorizedUrl("/noauth");
        return bean;
    }

完成以上操作我们发现无论谁登录都直接被拦截了,这时候我们要设置哪些用户可以拥有权限

@Slf4j
public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        log.info("----调用授权接口----");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		//获取subject
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();
		//user.getPerms(),数据库有设置对应的值为user:add或其他
        info.addStringPermission(user.getPerms());

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        log.info("----调用认证接口----");

        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;

        User user = userService.getOne(new QueryWrapper<User>().eq("username",userToken.getUsername()));

        if (user == null){
            return null;
        }

        //密码认证,shiro自己做,将符合登录条件的user查出来放到第一个参数,就可以将user传入到subject中
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }
}

shiro整合thymeleaf

以上大部分需求我们都已经完成了,还剩最后一个需求,要求没有权限的用户就不显示该按钮,这里我们需要整合thymeleaf

引入依赖

<!--shiro整合thymeleaf-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.1.0</version>
</dependency>

修改shiro配置文件

//整合thymeleaf
@Bean
public ShiroDialect shiroDialect(){
    return new ShiroDialect();
}

前端页面的使用

<!DOCTYPE html>
<!--引入shiro命名空间-->
<html lang="en" xmlns:th="http://www.thymeleaf.org"
                xmlns:shiro="http://www.thymeleaf.org/thmeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}"></p>
<hr>
<div th:if="${session.loginUser==null}">
    <a th:href="@{/user/login}">登录</a>
</div>
<!--shiro:hasPermission判断是否有该权限-->
<div shiro:hasPermission="user:add">
    <a th:href="@{/user/add}">add</a>
</div>

<div shiro:hasPermission="user:update">
<a th:href="@{/user/update}">update</a>
</div>

<div th:if="${session.loginUser!=null}">
<a th:href="@{/user/logout}">登出</a>
</div>
</body>
</html>
贼爱学习的小黄
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-starter:一个spring boot shiro starter的轮子 2.x版本
05-14
简介 由于官方的提供的功能过于简单,因此这里又造了一个加强版的轮子。 为什么选择shiro-starter 对比官方的starter,shiro-starter: 是在官方starter的基础上扩展的,兼容官方starter 将更多的参数配置化,使用起来更方便、灵活 提供两种运行模式 SESSION模式[默认]:与Shiro官方提供的starter无二 STATELESS模式:无状态模式,也是现在许多大型系统喜欢采用的认证模式 提供了一些常见的认证方案支撑(如JWT),通过简单配置即可集成 版本信息 spring-boot: 1.5.9.RELEASE shiro-spring: 1.4.0-RC2 关于Spring Boot 2.x 该starter没有刻意针对Spring Boot 2.x做兼容,不过就实际使用反馈来说,在2.x环境下也暂时并没有出现什么兼容性问题,因此2.x用户也可以
Shiro基础:简单用户认证+权限测试+自定义安全策略+MD5加密
逆天的博客
09-28 451
目录1.简介1.1什么是Shiro1.2Shiro整体架构图2.测试代码2.1.目录结构2.2pom.xml2.3application.yml3.简单的用户认证3.1 shiro_first.ini3.2TestShiro4.拥有权限的简单测试4.1shiro_permission.ini4.2TestShiroPermissions5.自定义安全策略的shiro应用案例:5.1shiro_myrealm.ini5.2MyRealm5.3 TestShiroMyRealm6.自定义安全策略并凭证MD5加密
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 271
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBootShiro 整合包的依赖SpringBootShiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
Java安全框架shiro(一)
qq_65647788的博客
01-31 484
shiro是一个功能强大且易于使用的Java安全框架,用于执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。
【基础框架Shrio安全框架
博客包含书籍、B站、其他博主博客等内容,只为了记录笔记,作业,问题,软件配置等,为了以后方便查阅,如有侵权,请联系删除
03-16 2370
基于主页的权限管理(不同用户使用不同的主页,权限通过主页功能菜单进行限制)基于用户和权限的权限管理基于角色的访问控制认证:对用户的身份进行检查(登录验证)授权:对用户的权限进行检查(是否有对应的操作权限)流程示意图: 认证,验证用户是否有相应的身份—登录认证; 授权,即权限验证;对已经通过认证的用户检查是否具有某个权限或者角色,从而控制是否能够进行某种操作;会话管理,用户在认证成功之后创建会话,在没有退出之前,当前用户的所有信息都会保存在这个会话中;可以是普通的JavaSE应用,也可以是web应用;加密
Shiro安全框架入门学习
辰兮要努力
03-17 6151
Shiro安全框架入门学习
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Shiro 安全框架 详解
共勉
06-07 4922
Shiro简介 Apache ShiroJava的一个安全(权限)框架Shiro可以非常容易的开发出足够好的应用,不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro的下载 在官网上进行下载:http://shiro.apache.org/ 选择Download跳转到下载界面: 选择版本,(当前稳定版本,源代码分发,单击进入) 之后可以在单击zip进行直接下载 或者使用Git项目管理工具进行克隆源代码:Gi
一个Java的权限框架-Shiro
奔走的王木木Sir的博客
06-14 3274
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
Shiro介绍与入门
weixin_57504000的博客
04-14 2055
一、Shiro简介 1.基本功能点 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示: Authentication 身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角
Shrio 微服务权限控制方案,完美实现!
架构文摘
03-10 1003
来自:blog.csdn.net/to10086/article/details/109573948一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security,看了下对比,都说shrio比较轻量,比较好用。本文我们也选择了shrio来做整个项目的权限框架,同时结合...
初步了解shrio(笔记)
weixin_44801940的博客
04-17 2702
初步了解shrio
SpringBoot-30-shrio介绍、结构和快速实践
时光
08-23 1045
SpringBoot-30-shrio介绍、结构和快速实践
Shrio 权限管理
songbing_的博客
04-17 181
Shrio 权限管理原理及使用过程中遇到的一些问题
springmvc整合shiro权限控制
日拱一卒
12-11 9140
一、什么是Shiro  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro要简单的多。
Shrio安全框架简介
青藤的博客
08-20 1144
②从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。配置多个Realm是可以的,但是至少需要一个。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Shiro安全框架的理解
06-01
Shiro是一个强大的Java安全框架,可以很方便地实现身份认证、授权、加密、会话管理等安全机制。Shiro的核心是Subject,它代表了当前用户,可以进行身份认证和授权操作。Shiro的认证过程包括身份验证和权限验证,身份验证是指验证用户的身份,如用户名和密码;权限验证是指验证用户是否具有访问某些资源的权限。Shiro提供了多种身份验证和权限验证的方式,如基于表单的身份认证、基于注解的权限控制等。此外,Shiro还提供了加密和解密、会话管理、RememberMe等功能,可以很方便地实现Web应用的安全需求。总之,Shiro是一个功能强大、易于使用的安全框架,可以大大简化Java Web应用的安全开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值