SpringBoot整合Shiro的基本使用

最新推荐文章于 2023-07-14 10:25:58 发布
最新推荐文章于 2023-07-14 10:25:58 发布
阅读量139 收藏
点赞数
分类专栏: # Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a9541170/article/details/104806724
版权

Shiro的三大对象

2.1.1 Subject
Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(Daemon Account)、定时作业(Corn Job)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
在程序中你都能轻易的获得Subject,允许在任何需要的地方进行安全操作。每个Subject对象都必须与一个SecurityManager进行绑定,你访问Subject对象其实都是在与SecurityManager里的特定Subject进行交互。

2.1.2 SecurityManager
Subject的“幕后”推手是SecurityManager。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。它是Shiro框架的核心,充当“保护伞”,引用了多个内部嵌套安全组件,它们形成了对象图。但是,一旦SecurityManager及其内部对象图配置好,它就会退居幕后,应用开发人员几乎把他们的所有时间都花在Subject API调用上。
那么,如何设置SecurityManager呢?嗯,这要看应用的环境。例如,Web应用通常会在Web.xml中指定一个Shiro Servlet Filter,这会创建SecurityManager实例,如果你运行的是一个独立应用,你需要用其他配置方式,但有很多配置选项。
一个应用几乎总是只有一个SecurityManager实例。它实际是应用的Singleton(尽管不必是一个静态Singleton)。跟Shiro里的几乎所有组件一样,SecurityManager的缺省实现是POJO,而且可用POJO兼容的任何配置机制进行配置 - 普通的Java代码、Spring XML、YAML、.properties和.ini文件等。基本来讲,能够实例化类和调用JavaBean兼容方法的任何配置形式都可使用。

2.1.3 Realms
Shiro的第三个也是最后一个概念是Realm。Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当与像用户帐户这类安全相关数据进行交互,执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件 等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
象其他内部组件一样,由SecurityManager来管理如何使用Realms来获取安全的身份数据。

Spring整合Shiro的基本使用

导入依赖

<!--shiro整合spring-->
<dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring-boot-web-starter</artifactId>
      <version>1.5.3</version>
</dependency>

Security.java

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    //三大核心

    //3 ShiroFileterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("webSecurityManager") DefaultWebSecurityManager webSecurityManager){//需要SecurityManager
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(webSecurityManager);

        //添加过滤器
        /*
            anno:无需认证
            authc: 必须认证
            user: 必须拥有 记住我功能 才能用
            perms: 拥有对某个资源的权限才能访问
            role: 拥有某个角色权限才能访问
         */
        Map<String, String> filterChainDefinitionMap = new HashMap<>();

        //设置资源的访问权限   请求路径 和  权限级别
        /*filterChainDefinitionMap.put("/user/m1","authc");
        filterChainDefinitionMap.put("/user/m2","authc");*/
        filterChainDefinitionMap.put("/user/*","authc");

        //设置没有权限时 跳转到的登陆页面
        bean.setLoginUrl("/tologin");

        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }

    //2 DefaultWebSecutityManager
    @Bean(name = "webSecurityManager")                             //需要UserRealm
    public DefaultWebSecurityManager getdefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }

    //1 创建 realm 对象 需要自定义
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
}

UserRealm.java
Reaml对象必须继承 AuthorizingRealm 这个类并且覆写两个方法(授权,认证),这是shiro的核心

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

//自定义的UserRealm
public class UserRealm extends AuthorizingRealm {

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }
}
一阵雄风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro的核心概念
m0_61754040的博客
06-23 339
shiro简介,shiro优势,核心概念,典型安全场景,shiro与web集成
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Apache Shiro 核心概念
王浩的技术博客
09-25 382
Shiro框架有三个核心概念:Subject ,SecurityManager和Realms。 2.1.1 Subject Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(Daemon Account)、定时作业(Corn Job)或其他类似事...
Shiro实战(一) Shiro核心概念
weixin_34061042的博客
07-22 121
1、Shiro是什么 Shiro是功能强大、简单易用的Java安全框架,核心功能包括:认证、授权、加密以及Session管理。Shiro的应用范围很广泛,小型移动端应用、大型Web应用以及企业级应用都能够胜任。 2、Shiro的核心概念 Subject 主题 刚开始看到这个词时确实有点摸不着头脑,但是我们可以将其简单理解为‘the cur...
Shiro概述以及核心概念
weixin_43478300的博客
10-25 331
Shiro概述以及核心概念 Shiro概述 Apache Shiro是Java的一个安全框架 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证、授权、加密、会话管理、与Web集成、缓存等 Shiro使用起来小而简单 spring有spring security ,是一个权限框架,它和spring依赖过于紧密,没有shiro使用简...
Shiro<简介+核心概念>
程序员小陶的大数据分享
09-01 170
image.png 看博主系列 开涛的博客 以下是学习笔记: image.png Authentication:身份认证,验证用户是不是已经拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限:也就是判断用户能不能做这个事情; Session Manager:会话管理,即用户登录一...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目...Springboot 整合 Shiro 的代码实例提供了一个基本的身份验证和授权管理示例,开发者可以根据实际需求进行修改和扩展。
Shiro安全框架的三大核心
m0_59092234的博客
04-25 505
1.Subject(主体) 应用代码的直接交互对象就是Subject,也就是说Shiro对外的核心API就是Subject,Subject代表了当前“用户”,这个用户不是指具体的某一个人,可以说与当前应用交互的任何东西都是Subject,与Subject的所有交互都会委托给SecurityManager来执行,可以理解为Subject只是一个充当门面的,真正的幕后老大是SecurityManager,SecurityManager才是实际的执行者。 2.SecurityManager(安全管理器) 所有与安
Shiro的核心概念
e_watermelons的博客
07-14 640
Apache Shiro™ 是一个功能强大且易于使用的 Java 安全框架,用于执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的 Web 和企业应用程序。Apache Shiro(发音为“shee-roh”,日语“城堡”的意思)是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序的安全 -从命令行应用程序、移动应用程序到最大的 Web 和企业应用程序。
Springboot安全框架】Shiro 核心概念
韩旭051的博客
05-04 647
Shiro 核心概念 关于 Shiro,需要理解三个核心概念:Subject、SecurityManager 和 Realms。 Vue + Spring Boot 项目实战(十三):使用 Shiro 实现用户信息加密与登录认证 https://learner.blog.csdn.net/article/details/102690035 学习笔记 这里我特意去查了官方文档,因为感觉市...
Shiro-Subject
ZP_2019_07_18的博客
06-29 165
目的 代表当前的交互对象,存储相关的信息 获取Subject流程 从当前线程的ThreadLocalMap获取Subject 不存在,则用请求创建出SubjectContext 从SubjectContext解析出SessionKey 从SubjectContext解析出权限 用SubjectContext创建Subject 将Subject保存在Session ...
Shiro源码分析之Subject和SecurityManager
chengtaopai5214的博客
07-22 185
Subject 毫无疑问,Subject是Shiro最重要的一个概念。 “Subject”只是一个安全术语,意味着应用程序用户的特定于安全性的“视图”。Shiro Subject实例代表单个应用程序用户的安全状态和相关操作。 创建 初次创建是在AbstractShiroFilter#doFil...
shiro框架的三大核心
ABzqy的博客
07-30 427
1.Subject(主体) 应用代码的直接交互对象就是Subject,也就是说Shiro对外的核心API就是Subject,Subject代表了当前“用户”,这个用户不是指具体的某一个人,可以说与当前应用交互的任何东西都是Subject,与Subject的所有交互都会委托给SecurityManager来执行,可以理解为Subject只是一个充当门面的,真正的幕后老大是SecurityManager,SecurityManager才是实际的执行者。 2.SecurityManager(安全管理器) 所有与
Shiro————核心设计思想
Morty的技术乐园
09-14 2万+
引言 以此篇博客为引,开启一个新的专栏分类——Shiro。 之前在工作有比较快速的学习过Shiro安全框架,但经过一年的荒废,已经不是很熟悉了,通过这个系列,深入研究和学习Shiro的一些知识,填补安全管理方面的知识漏洞。使我们在web 开发领域更具竞争力,不做只会CRUD的程序员! 一、Shiro介绍 Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是A...
shiro简单配置
热门推荐
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
dubbo和shiro整合,在服务端做权限验证
08-09 549
dubbo和shiro整合,在服务端做权限验证 基于dobbo做服务开发后通常会遇上这样一些问题,举个例子:用户的笔记,涉及到CRUD 4个接口,是每一个接口都要把用户传进去么?比如:删除接口定义为 noteService.deleteById(Long not...
springboot整合 shiro
最新发布
09-03
为了在Spring Boot整合Shiro,需要进行以下几个步骤: 1. 在application.properties文件配置Shiro相关的属性,比如服务器端口号、应用名称、视图前缀和后缀等。 2. 在pom.xml文件引入Shiro的依赖,使用shiro-spring-boot-starter的版本为1.5.3。 3. 自定义Realm,Realm是Shiro的核心组件之一,用于验证用户身份和授权。可以自定义一个类继承自org.apache.shiro.realm.Realm,并实现相应的方法,如doGetAuthenticationInfo和doGetAuthorizationInfo等。 4. 可以选择使用Redis作为缓存实现,在pom.xml文件引入spring-boot-starter-data-redis依赖,并在application.properties文件配置Redis的连接信息,如端口号、主机名和数据库等。然后启动Redis服务。 通过以上步骤,就可以完成Spring Boot与Shiro整合,实现身份验证和授权的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值