SpringBoot整合Shiro

最新推荐文章于 2022-04-26 10:55:15 发布
最新推荐文章于 2022-04-26 10:55:15 发布
阅读量90 收藏
点赞数
分类专栏: SpringBoot 文章标签: shiro java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a416951514/article/details/115919744
版权

SpringBoot整合Shiro
步骤
1、导入shiro整合spring的包:

org.apache.shiro
shiro-spring
1.4.0

2、自定义类ShiroConfig,使用注解@Config修饰,在该配置类中注册Shiro的realm和securityManager对象为容器中的bean,并配置过滤器

@Configuration
public class ShiroConfig {

    //shiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(securityManager);
        //添加shiro的内置过滤器
        /*
        anon:无需认证就可以访问
        authc:必须认证才能访问
        user:必须拥有 记住我功能才能用
        perms:拥有对某个资源的权限才能访问
        role:有用某个角色权限才能访问
        **/
        //拦截
        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();

        //授权,拦截/user/add ,必须有指定的权限user:add权限才能访问
        filterMap.put("/user/add","perms[user:add]");
        filterMap.put("/user/update","perms[user:update]");
        //拦截/user/下的所有请求,并指定必须登录认证才能访问
        filterMap.put("/user/*","authc");


        bean.setFilterChainDefinitionMap(filterMap);
        //设置登录页面,
        bean.setLoginUrl("/toLogin");
        //默认情况下,没有授权会跳转到错误页面Unauthorized:401 未授权,
        bean.setUnauthorizedUrl("/noauth");//定制未授权跳转的请求页面
        return bean;
    }


    //DefaultWebSecurityManager
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("realm") UserRealm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(realm);
        return securityManager;
    }

    //创建realm对象,需要自定义1
    @Bean(name="realm")
    public UserRealm userRealm(){

        return new UserRealm();
    }

    /*如果需要对密码进行散列算法和加盐验证,才需要配置该凭证Bean*/
//    @Bean
//    public HashedCredentialsMatcher credentialsMatcher(){
//
//        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
//        credentialsMatcher.setHashAlgorithmName("md5");//散列算法
//        credentialsMatcher.setHashIterations(2);//散列次数
//        return credentialsMatcher;
//    }


    //ShiroDialect:用来整合shiro和thymeleaf,方言类,配置后可以在html页面使用shiro方言
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}

3、配置自定义的Realm类,继承AuthorizingRealm类,并实现doGetAuthenticationInfo和doGetAuthorizationInfo方法:

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("执行了=》授权doGetAuthorizationInfo");
        //验证密码正确后跳转到此处,
        //创建授权类
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();


        //拿到当前登录的对象
        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User) subject.getPrincipal();//拿到User



        info.addStringPermission(currentUser.getPermission());//添加验证

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了=》认证doGetAuthorizationInfo");
        //控制器负责通过获取请求参数的username和password将其封装成token,
        //UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //获取当前的用户Subject subject = SecurityUtils.getSubject();
        //使用subject的login方法传入token登录:subject.login(token),该方法会调用
        //SecurityManager.login(this,token)将token传入到该认证方法。交给realm执行认证

        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        //用户名,密码,数据中取
        User user = userService.queryUserByName(userToken.getUsername());
        if (user==null){
            return null;//实际会抛出异常UnknownAccountException用户名不存在
        }


        //将用户存放到session中,该session是shiro提供的,不是servlet的session
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        session.setAttribute("loginUser",user);

        //密码认证,由shiro做
        //根据用户名找到对应的正确密码,传入SimpleAuthenticationInfo中,SimpleAuthenticationInfo会自动
        //将用户登录传来的token与创建实例时传入的password匹配
        //可以使用多种散列算法方式加密:如:MD5、SHA加密后不可逆,但是只要密码相同,通过算法加密后的值一致,容易被破解
        // 采用MD5盐值加密,即MD5加盐

        //如果希望使用散列算法加密,需要4个参数:正确的验证主体。正确的密码,盐,当前realm名称,还需要配置一个凭证Bean:
//        return new SimpleAuthenticationInfo(user,user.getPwd(), ByteSource.Util.bytes("addSalt"),this.getName());
        //若不使用加密,只需要3个参数:正确的验证主体principal。正确的密码,当前realm名称
        //传递参数principle后,就可以通过当前用户subject.getPrincipal()获取到用户实际主体user
        return new SimpleAuthenticationInfo(user,user.getPwd(),this.getName());
    }
}
4、Shiro整合Thymeleaf,导入依赖包:

```xml
<dependency>
			<groupId>com.github.theborakompanioni</groupId>
			<artifactId>thymeleaf-extras-shiro</artifactId>
			<version>2.0.0</version>
		</dependency>

5、在HTML页面导入命名空间:
xmlns:shiro=“http://www.thymeleaf.org/thymeleaf-extras-shiro”
然后就可以在页面使用标签判断用户的情况:
th:if="${session.loginUser==null}" 判断session中loginUser是否为空,如果为空,则不显示该标签,loginUser为自己添加shiro的session中的属性,为用户属性。
shiro:hasPermission=“user:add” 判断用户是否有user:add这个权限,如果没有则不显示该标签
shiro:hasRole=“xxxx” 判断是否有这个角色

在页面中直接

**整合springboot后:**
在用户注册操作或者登录操作时:对用户的密码进行加盐加密:
//通过如下代码对用户注册或登录的密码进行加盐加密,散列两次,并转换成字符串
Md5Hash md5Hash= New Md5Hash(String password,‘addSalt’,2);
String newPassword=md5Hash.toString();
则添加到数据当中的密码就是加密后的密码。
a416951514
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring bootshiro 的配置以及配合thymeleaf的简单快速使用
m0_46667956的博客
05-01 249
spring bootshiro 的配置以及配合thymeleaf的使用一、spring boot 配置 shiro1.导入依赖2. 自定义 Realm3.编写配置类 ShiroConfig.java二、配置thymeleaf1.导入thymeleaf 相关依赖2. 在html页面添加引入三、整合thymeleaf 与shiro1.导入相关依赖2.在ShiroConfig 中添加相关配置3.在html页面中进行引入4.常见的shiro权限控制标签 一、spring boot 配置 shiro 1.导入
springboot整合shiro
12-28
SpringBoot整合Shiro是将Apache Shiro安全框架与SpringBoot微服务框架相结合,用于实现应用程序的安全管理和权限控制。Shiro是一个轻量级的安全框架,它提供了身份认证、授权(权限控制)、会话管理和加密等功能,...
springboot整合shiro完整配置
rightkk的博客
01-13 1203
springboot整合shiro完整配置 springboot整合shiro的maven依赖: springboot版本为2.1.7,shiro版本为1.5.3 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro_v
shiro
a416951514的博客
04-20 108
shiro 概述: Apache ShiroJava的一个安全框架,Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等 shiro不依赖于spring,shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,可以单独使用。 shiro的整体类图: shiro包括了以下核心类: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认
Apache Shiro 是什么?
王浩的技术博客
09-19 538
Apache Shiro 是ASF旗下的一款开源软件(Shiro发音为“shee-roh”,日语“堡垒(Castle)”的意思),提供了一个强大而灵活的安全框架。可为任何应用提供安全保障— 从命令行应用、移动应用到大型网络及企业应用。 Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目...
Shiro 架构
mengxianglong123的博客
10-17 277
架构图: 1.1 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Secu...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot 配置 shiro
weidong_y的博客
10-18 1964
目录 一、引入 shiro 的包 二、自定义 realm  三、shiro 配置 四、写一个 controller 测试 五、无权限的时候直接报错的错误方式 前提: 先准备一个 springboot+mybatis 的环境:https://blog.csdn.net/weidong_y/article/details/81709391 一、引入 shiro 的包 &lt;!--...
SpringBoot2整合shiro
11-05
SpringBoot2整合
Apache_Shiro
03-14
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用Apache Shiro 所做的事情: . 验证用户来核实他们的身份 . 对用户执行访问控制,如: . 判断用户是否被分配了一个确定的安全角色 . 判断用户是否被允许做某事 . 在任何环境下使用Session API,即使没有Web 或EJB 容器。 . 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。 . 聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。 . 启用单点登录(SSO)功能。 . 为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的API 中。
SpringbootShiro配置
qq_41343166的博客
03-05 294
Shiro 安全认证 1.导入jar 这个包是shiro的核心包 org.apache.shiro shiro-spring 1.4.0 这个jar是页面设置有权限才显示的jar com.github.theborakompanioni thymeleaf-extras-shiro 2.0.0 2.配置类 import at.pollux.thymeleaf.shiro.dialect.S...
什么是 Apache Shiro
web15085599741的博客
03-29 5740
什么是Apache Shiro Apache Shiro 是一种功能强大且易于使用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
SpringBoot配置shiro安全框架
m0_55070913的博客
04-26 336
首先引入pom <!--SpringBoot 2.1.0--> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.0.RELEASE</version> </parent> <!--shi..
spring boot 集成shiro的配置
qq_33535433的博客
05-09 944
spring boot提供了一个自带的认证框架,同时也提供自定义的javaconfig配置扩展,spring-sercurity同样也是优秀的框架,但是习惯了用apache shiro框架,而且原项目就是集成的shiro框架,到网上找了一下配置方式,没找到完全配置的方法,因此决定自己动手,丰衣足食!要在spring boot上集成其他框架,首先要会spring javaconfig方法,利用此方法同
springboot整合shiro 配置详解及原理分析
fl8545的博客
03-23 1757
springboot整合shiro+jwt实现前后端分离认证授权前言问题ShiroFilter什么是ShiroFilterSecurityManager什么是SecurityManager?ShiroConfig写在前面的话:ShiroConfig类:CustomRealm类:shiroConfig原理 前言 最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合SpringBoot
手把手教你用SpringBoot整合ShiroShiro的前世今生)
程序猿小龙的博客
07-09 277
文章目录手把手教你用SpringBoot整合Shiro1、shiro的前世今生1.1、shiro是什么?1.2、为什么要使用shiro?2、Shiro的运作流程3、实战--SpringBoot如何整合Shiro3.1、准备数据库3.2、引入依赖3.3、编写底层的CRUD方法3.4、设置CustomRealm3.5、设置ShiroConfig配置类3.6、设置CustomSessionManager3.7、编写对应的Controller3.8、测试 手把手教你用SpringBoot整合Shiro 1、shir
springboot 整合 shiro
最新发布
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值