springboot 集成shiro框架

已于 2024-06-18 10:55:38 修改
阅读量798 收藏 22
点赞数 17
文章标签: spring boot java 后端
于 2024-06-18 10:17:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a360284634/article/details/139765269
版权

目录

一、Shiro简介

二、架构体系与专业术语

三、Shiro与SpringSecurity的对比

四、Shiro优缺点

五、spring boot 集成 Shiro

一、Shiro简介

        Apache Shiro是一个功能强大且易于使用的Java安全(权限)框架。Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。借助Shiro可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web和企业应用程序。

二、架构体系与专业术语

        Subject:主体,可以看到主体可以是任何可以与应用交互的 “用户”;

        SecurityManager:安全管理器,是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。

        Authenticator:认证器,负责主体登录认证,验证用户是否拥有相应身份,可以自定义实现;需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

        Authorizer:授权器,用来决定主体是否有权限进行相应的操作,能访问应用中的哪些功能;

        Realm:域,Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源;

        SessionManager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;

        SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD,比如我们想把 Session 保存到数据库,那么可以实现自己的 SessionDAO,通过如 JDBC 写到数据库;比如想把 Session 放到 Memcached 中,可以实现自己的 Memcached SessionDAO;另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能;

        CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

        Cryptography:密码模块,可以对数据进行加密,如存储数据库的密码。

三、Shiro与SpringSecurity的对比

        SpringSecurity基于Spring开发,项目若使用Spring作为基础,配合SpringSecurity做权限更加方便,而Shiro需要和Spring进行整合开发;

        SpringSecurity功能比Shiro更加丰富,例如安全维护方面;

        SpringSecurity社区资源相对比Shiro更加丰富;

        Shiro的配置和使用比较简单,SpringSecurity上手复杂些;

        Shiro依赖性低,不需要任何框架和容器,可以独立运行。SpringSecurity依赖Spring容器;

        Shiro不仅仅可以使用Web中,它可以工作在任何应用环境中。在集群会话时Shiro最重要的一个好处或许就是它的会话独立于容器的。

四、Shiro优缺点

优点:

        简单易用:代码结构简单,易于理解和使用,能够快速集成到项目中。

        轻量级:Shiro是一个轻量级的框架,对外部依赖较少,容易集成与部署,可独立运行。

        扩展性:Shiro采用模块化的设计结构,可以方便地扩展和定制。

        功能完备:Shiro支持多种认证方式、多种数据源、多种Session管理方式等,可以满足大部分项目的安全需求。

缺点:

        社区支持:与Spring Security相比,Shiro的社区相对较小,这可能导致在某些特定问题上获取帮助的难度增加。

        与Spring框架的集成:Shiro虽然可以与Spring框架集成,但其原生支持并不如Spring Security那样深入和无缝。

五、spring boot 集成 Shiro

1.pom.xml引入依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.18.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.springboot</groupId>
    <artifactId>springboot</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springboot</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

2.新建ShiroRealm类

package com.springboot.common.shiro;

import com.springboot.repository.bean.UserBean;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * Description 自定义realm
 * 在登录接口使用下面代码进行认证
 * Subject subject = SecurityUtils.getSubject();
 * UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("userName", "password");
 * subject.login(usernamePasswordToken);
 *
 * 登录成功后,可使用下面代码获取当前登录用户信息
 * Object principal = SecurityUtils.getSubject().getPrincipal();
 */
public class ShiroRealm extends AuthorizingRealm {

    /**
    * @description 权限认证
    * @param principalCollection
    * @return AuthorizationInfo
    **/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取到doGetAuthenticationInfo方法return第一个参数传递的对象
        UserBean userBean = (UserBean) principalCollection.getPrimaryPrincipal();
        //此处可以查询数据库获取用户对应的权限 与 角色
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //根据查询的结果,设置权限 与 角色
//        info.addStringPermission("xxx");
//        info.addRole("xxx");
        return info;
    }

    /**
    * @description 登录认证方法
    * @param token
    * @return AuthenticationInfo
    **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken user = (UsernamePasswordToken) token;
        String username = user.getUsername();
        //此处userBean可以通过username查询数据库获取用户信息
        UserBean userBean = new UserBean();
        userBean.setUserName("zhangsan");
        userBean.setPassword("123456");
        if (userBean == null) {
            return null;
        }
        //传递第一个参数,可以在doGetAuthorizationInfo授权方法获取到
        return new SimpleAuthenticationInfo(userBean, userBean.getPassword(), "");
    }
}

3.新建ShiroConfig配置类

package com.springboot.common.shiro;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Description shiro配置类
 */
@Configuration
public class ShiroConfig {

    /**
    * @description 自定义认证realm
    * @return ShiroRealm
    **/
    @Bean
    public ShiroRealm shiroRealm() {
        return new ShiroRealm();
    }

    /**
    * @description shiro安全管理器
    * @return SecurityManager
    **/
    @Bean(name = "securityManager")
    public SecurityManager securityManager() {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(shiroRealm());
        return defaultWebSecurityManager;
    }

    /**
    * @description siro过滤工程
    * @param securityManager
    * @return ShiroFilterFactoryBean
    **/
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        /*
        * anon      不认证
        * authc     登录认证
        * perms     资源权限认证
        * role      角色权限
        **/
//        filterChainDefinitionMap.put("/user/**", "perms[user]");
        filterChainDefinitionMap.put("/user/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
}

4.新建LoginController登录接口

package com.springboot.controller;

import com.springboot.common.utils.ResultVO;
import com.springboot.vo.request.UserReq;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;
import java.io.IOException;

/**
* @description 登录控制层
**/
@RestController
public class LoginController {

    /**
    * @description 登录接口
    * @param userReq
    * @return ResultVO
    **/
    @RequestMapping("/login")
    public ResultVO login(UserReq userReq) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userReq.getUserName(),userReq.getPassword());
        subject.login(usernamePasswordToken);
        return ResultVO.success();
    }
}

天道酬勤-L
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
springboot集成freemarker和shiro框架
03-14
**SpringBoot集成Freemarker与Shiro框架详解** 在现代Web开发中,SpringBoot因其简洁、高效的特性,已经成为很多开发者的选择。而FreeMarker和Shiro则分别是常用的模板引擎和安全框架,它们能帮助我们构建出功能...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 2832
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
springboot3+jdk17+shiro+jwt+redis
hahaha的博客
05-29 1622
注意,jdk17的规范是Jakarta EE,虽然最新版本shiro适配springboot3,但是部分包要单独适配整个认证流程登录和登录之后每一次的认证是不一样的,登录后由工具类jwtUtil生成一个token,返回给前端用于之后每次请求。
Springboot集成shiro框架
weixin_35654814的博客
03-17 907
Shiro是一个功能强大且易于使用的Java安全框架,可以运行在JavaSE和JavaEE项目中,可执行身份验证、授权、加密和会话管理。
SpringBoot集成Shiro框架
weixin_48293310的博客
07-29 266
添加依赖 官网上的最新版本 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> 配置Shiro,在config中增加S..
Springboot集成shiro框架
Li_582258的博客
12-03 2316
shiro整合springboot项目
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot整合Shiro框架集成权限管理
06-17
1、SpringBoot框架的优秀整合能力结合Shrio轻量安全高适用的权限框架,可以将权限运用到实质,方便高效 2、该文件中包含有shiro的介绍及整合过程 3、SpringBoot整合Shiro的相关教程视频
Spring Boot中的多租户架构实现
微赚淘客开发者博客
07-06 1427
在多租户系统中,每个租户都能够安全且有效地使用相同的应用程序,同时确保数据隔离和性能独立性。通过合理的设计和实施,开发人员可以有效地管理和运行支持多个租户的应用程序,从而提升系统的灵活性和扩展性。每个租户是一个逻辑上独立的客户,拥有自己的数据、配置、用户界面等资源,而这些资源又可以在同一个应用程序实例中共享。在Spring Boot中配置多租户数据源,可以使用AbstractRoutingDataSource实现动态数据源切换,根据不同的租户标识动态选择数据源。
项目实战--Spring Boot + GraphQL实现实时数据推送
qq_40623672的博客
07-10 446
GraphQL是一种用于API的查询语言,核心思想是让客户端能够根据自身需求精确地获取所需的数据,而不是像传统的RESTful API那样只能获取整个资源对象。(1)灵活性:客户端可以精确指定所需的数据字段,而不是被限制于服务器端提供的固定数据结构。(2)效率:减少了不必要的数据传输和处理,提高了数据获取效率。(3)类型系统:GraphQL具有严格的类型系统,能够在编译阶段检测出潜在的错误,提高了开发效率。
Spring Boot集成pf4j实现插件开发功能
HBLOG
07-10 556
一个插件框架,用于实现插件的动态加载,支持的插件格式(zip、jar)。
Spring Boot单体服务之间用feign调用
木槿
07-09 161
会定义路径和url等信息,用于指定服务调用服务调用启动feign配置调用url。
Spring Boot中的 6 种API请求参数读取方式
最新发布
恒安软件
07-13 137
使用Spring Boot开发API的时候,读取请求参数是服务端编码中最基本的一项操作,Spring Boot中也提供了多种机制来满足不同的API设计要求。接下来,就通过本文,为大家总结6种常用的请求参数读取方式。如果你发现自己知道的不到6种,那么赶紧来查漏补缺一下。如果你知道的不止6种,那么告诉大家,一起互相学习一下吧~
Memcached 介绍与详解及在Java Spring Boot项目中的使用与集成
招风的黑耳CSDN
07-09 656
Memcached 是一种高性能的分布式内存对象缓存系统,主要用于加速动态Web应用以减少数据库负载,从而提高访问速度和性能。作为一个开源项目,Memcached 被广泛应用于许多大型互联网公司,如Facebook、Twitter 和 YouTube 等。Memcached 通过将数据存储在内存中,并使用高效的哈希算法来进行数据存取,提供了极高的读写性能。
Spring boot 更改启动LOGO
qq_45523857的博客
07-02 717
在resources目录下创建banner.txt文件,然后编辑对应的图案即可。
Spring Boot实战:无缝对接OpenAI
德乐懿的博客
07-09 956
通过本文的介绍,你应该已经了解了如何使用Spring Boot无缝对接OpenAI,并在你的应用中实现AI功能。你可以通过探索OpenAI的官方文档来了解更多关于这些功能的信息,并按照类似的方式在你的Spring Boot应用中实现它们。要使用OpenAI的API,首先需要注册一个OpenAI账号,并在Dashboard中获取你的API密钥。这个密钥将用于后续的API调用中,以验证你的身份。此外,你还可以考虑使用Spring Boot的其他特性来增强你的应用,如异步处理、安全性、数据库集成等。
springboot集成shiro框架
06-28
Spring Boot 集成 Shiro 框架可以实现在应用中实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件中添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天道酬勤-L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值