springboot整合shiro实现登录认证以及授权

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量304 收藏 2
点赞数
文章标签: spring boot java shiro
原文链接:https://www.cnblogs.com/red-star/p/12063735.html
版权

1.添加shiro的依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-        
         starter</artifactId>
    <version>1.4.0</version>
</dependency>

2.先创建一个Realm

public class MyShiroRealm extends AuthorizingRealm {
    @Autowired
    private RoleService roleService;//角色模模块
    @Autowired
    private UserService userService;//用户模块
    @Autowired
    private PermissionService permissionService;//权限模块
    /**
     * 用户身份识别(登录")
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken authToken = (UsernamePasswordToken) authenticationToken;
        // 获取用户输入的账号
        String userName = authToken.getUsername();     //通过账号查找用户信息
        User user= userService.selectUserOne(userName);// 将账户名,密码,盐值,getName()实例化到SimpleAuthenticationInfo中交给Shiro来管理
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                                                            user,
                                                            user.getPassWord(),                                    //这里是设置的密码盐
                                                            ByteSource.Util.bytes(user.getSalt()),
                                                            getName());
        return authenticationInfo;
    }

    /**
     * 访问控制。比如某个用户是否具有某个操作的使用权限
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        String userName  = (String) principalCollection.getPrimaryPrincipal();
        if (userName == null) {
            log.error("授权失败,用户信息为空!!!");
            return null;
        }
        try {
            //获取用户角色集
            Set<String> listRole= roleService.findRoleByUsername(userName);
            simpleAuthorizationInfo.addRoles(listRole);
            //通过角色获取权限集
            for (String role : listRole) {
                Set<String> permission= permissionService.findPermissionByRole(role);
                simpleAuthorizationInfo.addStringPermissions(permission);
            }
            return simpleAuthorizationInfo;
        } catch (Exception e) {
            log.error("授权失败,请检查系统内部错误!!!", e);
        }
        return simpleAuthorizationInfo;
    }
}

3.创建shiro的配置类

@Configuration
public class ShiroConfiguration {
   //配置自定义的Realm
    @Bean
    public MyShiroRealm myShiroRealm(HashedCredentialsMatcher matcher){
        MyShiroRealm myShiroRealm= new MyShiroRealm();
     //在这里配置密码加密
        myShiroRealm.setCredentialsMatcher(matcher);
        return myShiroRealm;
    }
   //将Realm注册到securityManager中
    @Bean
    public DefaultWebSecurityManager securityManager(HashedCredentialsMatcher matcher){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm(matcher));
        return securityManager;
    }

    //如果没有此name,将会找不到shiroFilter的Bean
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(org.apache.shiro.mgt.SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/login");         //表示指定登录页面
        shiroFilterFactoryBean.setSuccessUrl("/user/list");   // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");    //未授权页面

        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();//拦截器, 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/login","anon");                     //所有匿名用户均可访问到Controller层的该方法下
        filterChainDefinitionMap.put("/userLogin","anon");
        filterChainDefinitionMap.put("/image/**","anon");
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/fonts/**","anon");
        filterChainDefinitionMap.put("/js/**","anon");
        filterChainDefinitionMap.put("/logout","logout");
        filterChainDefinitionMap.put("/**", "authc");  //authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问
        //filterChainDefinitionMap.put("/**", "user");        //user表示配置记住我或认证通过可以访问的地址
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * SpringShiroFilter首先注册到spring容器
     * 然后被包装成FilterRegistrationBean
     * 最后通过FilterRegistrationBean注册到servlet容器
     * @return
     */
    @Bean
    public FilterRegistrationBean delegatingFilterProxy(){
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        DelegatingFilterProxy proxy = new DelegatingFilterProxy();
        proxy.setTargetFilterLifecycle(true);
        proxy.setTargetBeanName("shiroFilter");
        filterRegistrationBean.setFilter(proxy);
        return filterRegistrationBean;
    }
    //设置cookie
    @Bean
    public SimpleCookie rememberMeCookie(){
        //这个参数是cookie的名称,对应前端的checkbox的name=rememberMe
        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
        //记住我cookie生效时间3个小时(单位秒)
        simpleCookie.setMaxAge(10800);
        return simpleCookie;
    }
    //cookie管理对象,记住我功能
    @Bean
    public CookieRememberMeManager rememberMeManager(){
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        return cookieRememberMeManager;
    }
    /**
     * 密码匹配凭证管理器(密码加密需要此配置)
     * @return
     */
    @Bean(name = "hashedCredentialsMatcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        hashedCredentialsMatcher.setHashIterations(1024);// 设置加密次数
        return hashedCredentialsMatcher;
    }
    //如果没有这两个配置,可能会授权失败,所以依赖中还需要配置aop的依赖
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(HashedCredentialsMatcher matcher) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager(matcher));
        return authorizationAttributeSourceAdvisor;
    }
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
}

4.新建controller并写个登录的方法

/**
     * 登录页面 这里对应shiro中配置的shiroFilter的登录方法
     * @return
     */
    @GetMapping("/login")
    public String login() {
        return "user/login";
    }
//登录方法    @PostMapping("/userLogin")
    public String toLogin( String userName,String passWord,Model model){
        UsernamePasswordToken token =new UsernamePasswordToken(userName,passWord);
        Subject subject = SecurityUtils.getSubject();
        try {            //这里直接使用shiro的登录方法
            subject.login(token);
            return "redirect:user/list";         //登录失败时,会catch到你的异常,异常通过全局处理     //model的msg需要在页面获取才能显示具体失败信息   
        } catch (UnknownAccountException e) {
            model.addAttribute("msg","该账号不存在");              
        } catch (IncorrectCredentialsException e) {
            model.addAttribute("msg","密码错误,请重试");          
        } catch (LockedAccountException e) {
            model.addAttribute("msg","该账户已被锁定,请联系管理员");
        } catch (Exception e) {
            model.addAttribute("msg","登录失败");
        }
        return "user/login";
    }//添加
@RequestMapping("/insertUser")@ResponseBodypublic int insertUser(User user){    //将uuid设置为密码盐值    String salt = UUID.randomUUID().toString().replaceAll("-","");    SimpleHash simpleHash = new SimpleHash("MD5", user.getPassWord(), salt, 1024);   //添加用户信息    user.setPassWord(simpleHash.toHex()).setValid(1).setSalt(salt).setCreateTime(new Date()).setDel(0);    return  userMapper.insertSelective(user);}

5.创建全局异常处理类

@RestControllerAdvice
public class GlobalExceptionHandle {
    @ExceptionHandler(ShiroException.class)
    public String doHandleShiroException(ShiroException se,Model model) {
        se.printStackTrace();    //这里从登录方法抓取到异常之后会统一跳转到登录页面
    if(se instanceof UnknownAccountException){      //该账号不存在        return "redirect:user/login";    }    if(se instanceof LockedAccountException){       //该账户已被锁定,请联系管理员        return "redirect:user/login";    }    if(se instanceof IncorrectCredentialsException){//密码错误        return "redirect:user/login";    }    if(se instanceof AuthorizationException){       //没有相应权限,请联系管理员        return "redirect:user/login";    }else{                                          //登录失败        return "redirect:user/login";    }
  }}

权限需要开启权限注解才生效

@GetMapping("/userPageList")  
    @ResponseBody
    @RequiresPermissions("user:view") //这里是用户对应的权限
    public PageList listPage(HttpServletRequest request){
        PageList pageList = new PageList();
        List<User> list= userService.findAllPage(request);//查询出的条数
        int totalCount = userService.countAll();//总记录数
        pageList.setRows(list);
        pageList.setTotal(totalCount);
        return pageList;
    }

shiro用户角色和权限表

-- Table structure for `sys_permission`
DROP TABLE IF EXISTS `sys_permission`;
CREATE TABLE `sys_permission` (
  `id` int(64) NOT NULL AUTO_INCREMENT,
  `name` varchar(32) DEFAULT NULL,
  `permission` varchar(32) DEFAULT NULL,
  `url` varchar(64) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of sys_permission
-- ----------------------------
INSERT INTO `sys_permission` VALUES ('1', '用户管理', 'user:view', 'user/userPageList');
INSERT INTO `sys_permission` VALUES ('2', '用户添加', 'user:add', 'user/saveUser');
INSERT INTO `sys_permission` VALUES ('3', '用户删除', 'user:del', 'user/delById');

-- ----------------------------
-- Table structure for `sys_role`
-- ----------------------------
DROP TABLE IF EXISTS `sys_role`;
CREATE TABLE `sys_role` (
  `id` int(64) NOT NULL,
  `available` varchar(8) DEFAULT NULL,
  `description` varchar(32) DEFAULT NULL,
  `role` varchar(32) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of sys_role
-- ----------------------------
INSERT INTO `sys_role` VALUES ('1', '1', '管理员', 'admin');
INSERT INTO `sys_role` VALUES ('2', '1', 'VIP会员', 'vip');

-- ----------------------------
-- Table structure for `sys_role_permission`
-- ----------------------------
DROP TABLE IF EXISTS `sys_role_permission`;
CREATE TABLE `sys_role_permission` (
  `permission_id` int(64) NOT NULL COMMENT '权限表主键',
  `role_id` int(64) NOT NULL COMMENT '角色表主键'
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of sys_role_permission
-- ----------------------------
INSERT INTO `sys_role_permission` VALUES ('1', '1');
INSERT INTO `sys_role_permission` VALUES ('2', '1');

-- ----------------------------
-- Table structure for `sys_user_role`
-- ----------------------------
DROP TABLE IF EXISTS `sys_user_role`;
CREATE TABLE `sys_user_role` (
  `role_id` int(64) NOT NULL,
  `user_id` int(64) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of sys_user_role
-- ----------------------------
INSERT INTO `sys_user_role` VALUES ('1', '1');

-- ----------------------------
-- Table structure for `user_info`
-- ----------------------------
DROP TABLE IF EXISTS `user_info`;
CREATE TABLE `user_info` (
  `id` int(64) NOT NULL AUTO_INCREMENT,
  `name` varchar(32) DEFAULT NULL,
  `password` varchar(64) DEFAULT NULL,
  `salt` varchar(64) DEFAULT NULL,
  `state` varchar(8) DEFAULT NULL,
  `username` varchar(32) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of user_info
-- ----------------------------
INSERT INTO `user_info` VALUES ('1', '管理员', 'd3c59d25033dbf980d29554025c23a75', '8d78869f470951332959580424d4bf4f', '1', 'admin');

wibilifunnny
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot集成shiro用户登录认证
sinat_40693969的博客
06-01 334
1、创建数据库表结构 CREATE TABLE `t_user` ( `ID` int(11) NOT NULL AUTO_INCREMENT, `USERNAME` varchar(128) NOT NULL COMMENT '用户名', `PASSWD` varchar(128) NOT NULL COMMENT '密码', `CREATE_TIME` datetime DEFAULT NULL COMMENT '创建时间', `STATUS` char(1) NOT NULL ...
SpringBoot整合Shiro实现登录认证,鉴权授权
A_diligent_man的博客
08-17 455
近期对Springboot框架的学习中,为了更好的学习理解Springsecurity中间件,先学习了一下“老派”的shiro安全框架,本文章将通过注解的方式实现基础的用户认证和角色授权案例
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 432
Shiro是Java的一个安全框架,旨在简化身份验证和授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
1-Spring Boot使用Shiro
诗人不写诗
06-14 665
1、Shiro能做什么 shiro能做认证授权、加密、会话管理、web集成、其他框架集成。 shiro不仅能用在web应用中,非web应用一样能使用。 shiro认证授权都是通过检验每个接口实现的,所以通过Filter来控制是最合理的,实际上Shiro也是通过建立Filter来实现的。 附录 a、Authentication Authentication is the process of identity verification– you are trying to ...
springboot整合shiro实现用户登陆认证、用户授权
Bejpse的博客
04-08 423
简介: Apache Shiro 是Java的一个安全框架, 可以帮助我们完成:认证授权、加密、会话管理、与 Web 集成、缓存等。 目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 摘自w3cschool:https://www.w3cschool.cn/shiro/co4m1if2.html ..
springboot整合shiro实现登录认证授权以及退出
dream_follower的博客
12-03 2268
文章目录springboot整合shiro实现登录认证授权以及退出shrio简介环境准备创建一个springboot的项目导入相关的依赖springboot整合shiro的依赖thymleaf的依赖创建首页创建controllershiro重要概念拦截器拦截请求创建配置类修改首页登录页面登录认证授权退出 springboot整合shiro实现登录认证授权以及退出 shrio简介 shiro是一个权限管理框架,用于实现登录认证以及授权。 环境准备 创建一个springboot的项目 这里我创建的是最简单的we
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
SpringBoot整合Shiro实现登录认证的方法
08-27
SpringBoot整合Shiro实现登录认证的方法 SpringBoot作为一个流行的微服务框架,安全性是其重要组成部分,而Shiro作为一个功能强大、灵活的安全框架,经常被用于实现登录认证授权。下面是SpringBoot整合Shiro实现...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot整合shiro实现认证授权项目源代码
07-16
本项目结合Spring Boot与Shiro,旨在提供一个实现用户认证授权的示例。 1. **Spring Boot**: - Spring Boot基于Spring框架,通过默认配置、starter依赖和自动配置简化了Spring应用的构建。 - 应用启动器...
SpringBoot整合shiro实现登录
08-10
SpringBoot整合Shiro实现登录是一项常见的任务,尤其是在构建基于Java的Web应用时。Spring Boot以其简洁的配置和快速开发的特点,已经成为许多开发者的首选。而Apache Shiro则是一个强大且易用的安全管理框架,用于...
Spring Boot Shiro(二)用户认证(附源码)
飞奔的波大爷的博客
12-14 580
本文基于springboot2.1.1.RELEASE Spring Boot Shiro用户认证 在Spring Boot中集成Shiro进行用户的认证过程主要可以归纳为以下三点: 1、定义一个ShiroConfig,然后配置SecurityManager Bean,SecurityManager为Shiro的安全管理器,管理着所有Subject; 2、在ShiroConfig中配置ShiroF...
springboot整合shiro实现登录验证授权
灰太狼
01-25 670
springboot整合shiro实现登录验证授权 1.添加依赖: <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version&gt
spring-boot集成shiro代码解析(认证、权限控制)
weixin_52658128的博客
09-14 245
安全框架 shiro 一般可用来进行认证、权限的控制,和spring boot /mybatis plus 等工具一起使用,可快速构建javaweb项目。
Shiro的未授权页面
m0_67401499的博客
03-28 523
今天在整合shiro的时候发现,在shiro的过滤器里面配置未授权的跳转页面是无效的 <property name="unauthorizedUrl" value="/unauthorized.jsp"></property> 解决方案1 需要在springMVC的配置文件配置异常的映射解析器。当出现某个异常时跳转到相应的页面。比如下面第一个未授权的异常就跳转到你配置的视图解析器前缀+unauthorized+后缀 一般都是/WEB-INF/view/unauthorized.js
SpringBootShiro请求授权实现
qq_43880100的博客
10-22 799
SpringBootShiro请求授权实现
apache shiro 如何升级_Springboot +Shiro +VUE 前后端分离之权限管理系统
weixin_39771351的博客
11-26 1384
点击上方Java开发联盟,选择“星标公众号”优质文章,第一时间送达简介:前后端分离:要实现前后端分离,需要考虑以下2个问题:1. 项目不再基于session了,如何知道访问者是谁?2. 如何确认访问者的权限?前后端分离,一般都是通过token实现,本项目也是一样;用户登录时,生成token及 token过期时间,token与用户是一一对应关系,调用接口的...
ShiroFilterFactoryBean源码及拦截原理深入分析
热门推荐
懒人的博客
03-12 3万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。而要在Spring中使用Shiro的话,可在web.xml中配置一个DelegatingFil
springboot整合shiro登录验证
DT-TK
09-10 130
一、添加依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version...
springboot整合shiro实现登录
09-26
实现springboot整合shiro实现登录,你需要按照以下步骤进行操作: 1. 引入相关依赖:在项目的pom.xml文件中添加spring-boot-starter-web和spring-boot-starter-thymeleaf依赖。 2. 创建ShiroConfig类:在项目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值