SpringBoot集成Shiro安全框架

最新推荐文章于 2024-08-24 20:28:49 发布
最新推荐文章于 2024-08-24 20:28:49 发布
阅读量3.4k 收藏 15
点赞数 5
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/begefefsef/article/details/124423373
版权

SpringBoot集成Shiro安全框架

1.shiro的定义

1.shiro的作用
认证、授权、加密、会话管理、Web集成、缓存

2.shiro的名词
在这里插入图片描述

Authentication:身份认证/登录,验证用户是不是拥有相应的身份
Authorization:授权,即权限 管理,验证某个人已经登录的人是否拥有某些权限
Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前所有的信息都是在会话中。。
Cryptography:加密,保护数据的安全性,密码加密
Web Support:Web支持,可以非常容易的集成到web环境
Caching:缓存,比如用户登录之后,他的用户信息,权限不必每次去查
Concurrency:shiro支持多线程应用兵法验证,即如果在一个线程中开启另外一个线程,权限会自动传递过去
Testing:提供测试支持
Run AS:允许一个用户假装另一个用户(如果他们允许)的身份进行访问
Remember Me:记住我,这是一个常见的功能,即一次登录后,下次再来的话就不用登录了
记住一点,Shiro不会去维护用户、维护权限:这些需要我们自己去设计/提供,然后通过相应的接口注入给Shiro即可!

3.shiro的架构
在这里插入图片描述
Subject,Subject其实代表的就是当前正在执行操作的用户,只不过因为“User”一般指代人,但是一个“Subject”可以是人,也可以是任何的第三方系统,服务账号等任何其他正在和当前系统交互的第三方软件系统。
所有的Subject实例都被绑定到一个SecurityManager,如果你和一个Subject交互,所有的交互动作都会被转换成Subject与SecurityManager的交互。

SecurityManager。SecurityManager是Shiro的核心,他主要用于协调Shiro内部各种安全组件,不过我们一般不用太关心SecurityManager,对于应用程序开发者来说,主要还是使用Subject的API来处理各种安全验证逻辑。

Realm,这是用于连接Shiro和客户系统的用户数据的桥梁。一旦Shiro真正需要访问各种安全相关的数据(比如使用用户账户来做用户身份验证以及权限验证)时,他总是通过调用系统配置的各种Realm来读取数据。
在这里插入图片描述

2.SpringBoot集成shiro的步骤

1.添加maven依赖

 <!-- shiro整合springboot所需相关依赖-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!-- 兼容于thymeleaf的shiro -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
        <!--end.......-->

2.新建缓存文件
ehcache-shiro.xml

<ehcache updateCheck="false" name="cacheManagerConfigFile">

    <!--
       name:缓存名称。
       maxElementsInMemory:缓存最大个数。
       eternal:对象是否永久有效,一但设置了,timeout将不起作用。
       timeToIdleSeconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。
       timeToLiveSeconds:设置对象在失效前允许存活时间(单位:秒)。最大时间介于创建时间和失效时间之间。仅当eternal=false对象不是永久有效时使用,默认是0.,也就是对象存活时间无穷大。
       overflowToDisk:当内存中对象数量达到maxElementsInMemory时,Ehcache将会对象写到磁盘中。
       diskSpoolBufferSizeMB:这个参数设置DiskStore(磁盘缓存)的缓存区大小。默认是30MB。每个Cache都应该有自己的一个缓冲区。
       maxElementsOnDisk:硬盘最大缓存个数。
       diskPersistent:是否缓存虚拟机重启期数据 Whether the disk store persists between restarts of the Virtual Machine. The default value is false.
       diskExpiryThreadIntervalSeconds:磁盘失效线程运行时间间隔,默认是120秒。
       memoryStoreEvictionPolicy:当达到maxElementsInMemory限制时,Ehcache将会根据指定的策略去清理内存。默认策略是LRU(最近最少使用)。你可以设置为FIFO(先进先出)或是LFU(较少使用)。
       clearOnFlush:内存数量最大时是否清除。
   -->

    <defaultCache maxElementsInMemory="10000" eternal="false"
                  timeToIdleSeconds="120" timeToLiveSeconds="120" overflowToDisk="false"
                  diskPersistent="false" diskExpiryThreadIntervalSeconds="120"
                  memoryStoreEvictionPolicy="LRU"/>

    <!-- 登录记录程序锁定1分钟 -->
    <cache name="shiro-activeSessionCache" eternal="false"
           maxElementsInMemory="10000" overflowToDisk="false" timeToIdleSeconds="0"
           timeToLiveSeconds="0" statistics="true"/>
</ehcache>

3.重要的shiro配置类
不需要完全记住,只需要修改其中的一小部分

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @ Author     :Zgq
 * @ Date       :Created in 18:22 2019/6/11
 * @ Description:shiro的配置类
 * @ Modified By:
 * @Version: $
 */
@Configuration
public class ShiroConfig {

    /**
    唯一需要修改的地方,有注释
     * ShiroFilterFactoryBean 处理拦截资源文件问题。
     * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,
     * 因为在初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
     * Filter Chain定义说明
     * 1、一个URL可以配置多个Filter,使用逗号分隔
     * 2、当设置多个过滤器时,全部验证通过,才视为通过
     * 3、部分过滤器可指定参数,如perms,roles
     */
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        //访问的是后端url地址为 /login的接口,/未登录页面,会跳转到登录页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权界面;,基于AOP拦截,都会到登录页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/login");
        // 拦截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();

        // 配置不会被拦截的链接 顺序判断,anon放开,不会拦截,authc会拦截
        //静态资源不能被拦截
        filterChainDefinitionMap.put("/assets/**", "anon");
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/images/**", "anon");
        filterChainDefinitionMap.put("/fonts/**", "anon");

        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/userLogin", "anon");
        // 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout");
        //配置某个url需要某个权限码
        filterChainDefinitionMap.put("/hello", "perms[how_are_you]");
        // 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
       filterChainDefinitionMap.put("/**", "authc");

        //配置记住我或认证通过可以访问的地址
        filterChainDefinitionMap.put("/index", "user");
//        filterChainDefinitionMap.put("/", "user");



        System.out.println("Shiro拦截器工厂类注入成功");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }


    /**
     * 缓存
     * @return
     */
    @Bean
    public EhCacheManager getEhCacheCache() {
        EhCacheManager em = new EhCacheManager();
        em.setCacheManagerConfigFile("classpath:ehcache-shiro.xml");
        return em;
    }


    /**
     * 代理
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
        daap.setProxyTargetClass(true);
        return daap;
    }


    @Bean
    public DefaultWebSessionManager getDefaultWebSessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionDAO(getMemorySessionDAO());
        defaultWebSessionManager.setGlobalSessionTimeout(1 * 60 * 60 * 1000);
        defaultWebSessionManager.setSessionValidationSchedulerEnabled(true);
        defaultWebSessionManager.setSessionIdCookieEnabled(true);
        defaultWebSessionManager.setSessionIdCookie(getSimpleCookie());
        return defaultWebSessionManager;
    }


    @Bean
    public MemorySessionDAO getMemorySessionDAO() {
        MemorySessionDAO memorySessionDAO = new MemorySessionDAO();
        memorySessionDAO.setSessionIdGenerator(javaUuidSessionIdGenerator());
        return memorySessionDAO;
    }


    @Bean
    public JavaUuidSessionIdGenerator javaUuidSessionIdGenerator() {
        return new JavaUuidSessionIdGenerator();
    }

    /**
     * cookie对象
     * @return
     */
    @Bean
    public SimpleCookie getSimpleCookie() {
        SimpleCookie simpleCookie = new SimpleCookie();
        simpleCookie.setName("security.session.id");
        //<!-- 记住我cookie生效时间30天 ,单位秒;-->
        simpleCookie.setMaxAge(259200);
        simpleCookie.setPath("/");
        return simpleCookie;
    }

    /**
     * cookie管理对象;
     * @return
     */
    /*@Bean
    public CookieRememberMeManager rememberMeManager(){
        System.out.println("ShiroConfiguration.rememberMeManager()");
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(getSimpleCookie());
        return cookieRememberMeManager;
    }*/

    @Bean
    public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }


    /**
     * 注入 securityManager
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(
            ShiroRealm shiroRealm) {
        DefaultWebSecurityManager dwsm = new DefaultWebSecurityManager();
        // 关联realm.
        dwsm.setRealm(shiroRealm);
        //用户授权/认证信息Cache,采用EhCache缓存
        dwsm.setCacheManager(getEhCacheCache());
        dwsm.setSessionManager(getDefaultWebSessionManager());
        //注入记住我管理器;
      /*  dwsm.setRememberMeManager(rememberMeManager());*/
        return dwsm;
    }

    @Bean
    public ShiroRealm shiroRealm(EhCacheManager cacheManager) {
        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setCacheManager(cacheManager);
        return shiroRealm;
    }

    //开启shiro注解支持
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(ShiroRealm shiroRealm){
        AuthorizationAttributeSourceAdvisor aasa =new AuthorizationAttributeSourceAdvisor();
        aasa.setSecurityManager(getDefaultWebSecurityManager(shiroRealm));
        return aasa;
    }

    /**
     * 配置前台页面thymeleaf页面的标签
     * @return
     */
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

}

4.核心的授权认证类

import com.example.echart.entity.Permission;
import com.example.echart.entity.Role;
import com.example.echart.entity.User;
import com.example.echart.mapper.UserRoleMapper;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.support.DefaultSubjectContext;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

/**
 * @ Author     :Zgq
 * @ Date       :Created in 18:19 2019/6/11
 * @ Description:Shiro中最主要的代码,核心代码,用户认证授权处
 * @ Modified By:
 * @Version: $
 */
public class ShiroRealm extends AuthorizingRealm {


    @Autowired
    private SessionDAO sessionDAO;

    @Autowired
    private UserRoleMapper userRoleMapper;
    
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection auth) {
        //授权
        String username = (String)auth.getPrimaryPrincipal();
        System.out.println("进入到授权Realm中:"+username);

        List<Role> dbroleList = userRoleMapper.selectRoleList(username);
        List<String> roleList=new ArrayList<String>();
        for(Role r:dbroleList){
            roleList.add(r.getCode());
        }

        List<Permission> dbpermissions = userRoleMapper.selectPermissionList(username);
        List<String> permissionList=new ArrayList<String>();
        for(Permission p:dbpermissions){
            permissionList.add(p.getPermission());
        }



//        roleList.add("ADMIN");
//        roleList.add("USER");

//        List<String> permissionList=new ArrayList<String>();
//        permissionList.add("ADMIN:USER:UPDATA");
//        permissionList.add("ADMIN:USER:DELETE");

        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRoles(roleList);
        simpleAuthorizationInfo.addStringPermissions(permissionList);

        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        //认证
        String username = (String)auth.getPrincipal();
        System.out.println("进入到认证Realm中:"+username);

        //在认证之前判断当前登录用户,只允许一个账号登录
        Collection<Session> sessions = sessionDAO.getActiveSessions();
        for (Session session : sessions){
            String loginedUsername = String.valueOf(session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY));

            if(username.equals(loginedUsername)){
                session.setTimeout(0);
                break;
            }
        }


        //通过username在数据库中查询用户,判断密码
        User dbuser = userRoleMapper.selectByUserName(username);

        //通过用户名在数据库中拿到,判断用户名和密码对不对
        if(dbuser!=null){
            SimpleAuthenticationInfo authInfo = new SimpleAuthenticationInfo(username, dbuser.getPwd(), "userRealm");
            return authInfo;
        }

        return null;
    }
}

5.登录的Controller类,LoginController

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import java.util.Map;

/**
 * @ Author     :Zgq
 * @ Date       :Created in 10:30 2019/6/12
 * @ Description:登录层方法
 * @ Modified By:
 * @Version: $
 */

@Controller
public class LoginController {

    //登录页面
    @RequestMapping(value = {"/login"})
    public String login(Map<String,String> map) {
        map.put("msg","请登录");
        return "/shiro/login-page";
    }


    //登录成功页面
    @RequestMapping(value = {"/index"})
    public String index(Map<String,String> map) {
        map.put("msg","登录成功");
        //获取用户信息
        Subject subject = SecurityUtils.getSubject();
        String username = (String)subject.getPrincipal();
        map.put("username",username);
        return "/shiro/index";
    }

    //登录请求
    @RequestMapping(value = {"/userLogin"})
    public String userLogin(String username, String pwd,boolean rememberMe, Map<String,String> map)
    {
        Subject subject = SecurityUtils.getSubject();

        //根据自己盐加密的方式,放入密码
        String encodePwd = new Md5Hash(pwd, username).toString();

        UsernamePasswordToken auth = new UsernamePasswordToken(username, encodePwd,rememberMe);
        try {
            subject.login(auth);
            return "redirect:/index";
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","账号或密码错误");
            return "redirect:/login";
        }
    }


    //退出登录
    @RequestMapping(value = {"/loginOut"})
    public String loginOut(Map<String,String> map) {

        //获取用户信息
        Subject subject = SecurityUtils.getSubject();
        subject.logout();

        map.put("msg","退出登录");
        return "redirect:/login";
    }


    /**
     * 加密的测试
     * @param args
     */
    public static void main(String[] args) {
        //加密
        String zhouguoqing = new Md5Hash("111", "admin1").toString();
        System.out.println(zhouguoqing);
    }
}

6.因为是和数据库直接对接的,所以我也新建了一个UserRoleMapper接口,返回数据

import com.example.echart.entity.Permission;
import com.example.echart.entity.Role;
import com.example.echart.entity.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Component;

import java.util.List;

@Mapper
@Component
public interface UserRoleMapper {

    /**
     * 通过登录名查询信息
     * @param username
     * @return
     * @throws Exception
     */
    @Select("select * from t_user where username=#{username} limit 1")
    User selectByUserName(String username);


    /**
     * 通过用户名查询用户角色信息
     * @param username
     * @return
     * @throws Exception
     */
    @Select("select * from t_user u,t_role r,t_user_role ur where u.username=#{username} and ur.userId=u.id and ur.roleId=r.id")
    List<Role>  selectRoleList(String username);


    /**
     * 通过用户名查找用户权限
     * @param username
     * @return
     */
    @Select("select * from t_permission p 
" +
            "where p.id in(
" +
            "	select permissionId from t_role_permission rp 
" +
            "	where rp.roleId in (
" +
            "			select ur.roleId from t_user_role ur where userId in(
" +
            "			select u.id from t_user u where u.username=#{username}
" +
            "			)
" +
            "	)
" +
            ")")
    List<Permission> selectPermissionList(String username);



}

7.前台页面thymeleaf的展示

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml"
      xmlns:shiro="http://www.w3.org/1999/xhtml">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<span th:text="${msg}"></span>
你好:<span th:text="${username}"></span>

<form action="/loginOut" method="post">
    <input type="submit" value="退出">
</form>



<p shiro:hasRole="ADMIN">ADMIN角色</p>
<p shiro:hasRole="USER">USER角色</p>
<p shiro:hasRole="SUPERMANE">SUPERMAN角色</p>

<p shiro:hasPermission="ADMIN:USER:UPDATA">UPDATA权限</p>
<p shiro:hasPermission="ADMIN:USER:DELETE">DELETE权限</p>
<p shiro:hasPermission="ADMIN:USER:INSERT">INSERT权限</p>
<p shiro:hasPermission="ADMIN:USER:SELECT">SELECT权限</p>
</body>
</html>

3.完成的效果

在这里插入图片描述
用不同用户登录之后会自动获取登录用户的角色和权限信息

学习地址:https://www.bilibili.com/video/av44084437

begefefsef
关注
专栏目录
spring-boot集成shiro
ltx1143181624的博客
09-15 660
spring-boot集成shiro
springboot集成shiro
最新发布
Flying_Fish_roe的博客
09-11 938
自定义Realm用于从数据库中获取用户信息并进行身份验证。我们可以通过继承// 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 在这里配置用户的角色和权限信息 // authorizationInfo.addRole("admin");
springboot整合shiro
weixin_45476535的博客
08-24 519
【代码】springboot整合shiro
Shiro进行用户认证执行流程
一个有趣、有料、有内涵的地方!
08-28 142
1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager...
跟着狂神学Shiro(SpringBoot整合Shiro)
qq_40649503的博客
11-04 7702
跟着狂神学Shiro(SpringBoot整合Shiro)
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
springbootshiro安全框架的整合
08-05
SpringBootShiro是两个在Java开发中广泛使用的框架SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理和安全相关的过滤器。当我们把它们整合...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在Spring Boot项目中集成Shiro,可以方便地控制应用程序的访问权限。首先,我们需要在`pom.xml`中添加Shiro的依赖,然后配置Shiro的配置类,包括 Realm(用于处理认证和授权)和过滤器链定义,以决定哪些URL需要经过...
SpringBoot集成shiro,MyRealm中无法@Autowired注入Service的问题
08-26
总结来说,Spring Boot集成Shiro时,如果在`MyRealm`中遇到`@Autowired`注入Service的问题,需要检查是否正确地将`MyRealm`声明为Spring Bean,并通过`@Bean`注解进行管理。同时,确保所有依赖都遵循Spring的依赖...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
springBoot集成shiro
06-20
该demo实现了:spring集成shiro。 用户角色校验,用户权限校验。链接mysql。 对应文章url: https://blog.csdn.net/zhou199252/article/details/80741361
SpringBoot集成Shiro
凌北辰的博客
08-10 1502
Apache shiroJava安全(权限)框架Shiro可以可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JAVAEE环境。Shiro可以完成:认证授权、加密、会话管理,与web集成,缓存等。Authentications:身份证/ 登录,验证用户是不是拥有相应的身份Authorization:授权,即授权验证,验证某个用户是否拥有某个权限;即判断用户是否能进行什么操作,如:验证某个用户是否拥有某个角色。...
springboot 集成shiro
GSON的博客
05-17 407
一、shiro的定义 Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。 官方架构图如下: 二、主要的功能 1、shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一般需.
SpringBoot整合Shiro
AG.『Feng』的博客
02-01 789
SpringBoot整合Shiro
Spring Boot集成Shiro
weixin_52572813的博客
08-18 505
Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份 认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。本篇博客将使用Spring Boot框架集成Shiro,同时结合mybatis框架实现用户的认证以及授权功能。
springboot集成shiro框架
06-28
### 回答1: Spring Boot 集成 Shiro 框架可以实现在应用中实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件中添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 配置 Shiro 在 `application.properties` 或 `application.yml` 文件中添加 Shiro 的相关配置,如 Shiro 的过滤器、安全管理器、Realm 等。 ```yaml # 配置 Shiro 的过滤器 shiro: filter: anon: anon authc: authc # 配置 Shiro安全管理器和 Realm shiro: securityManager: realm: myRealm ``` 3. 实现 Realm Realm 是 Shiro 的核心组件之一,需要实现自己的 Realm 类,用于提供认证和授权数据。 ```java public class MyRealm extends AuthorizingRealm { // 认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现认证逻辑 } // 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现授权逻辑 } } ``` 4. 使用 Shiro 在需要进行安全认证、权限控制的地方,可以使用 Shiro 提供的 API 进行操作。 ```java // 获取当前用户的信息 Subject subject = SecurityUtils.getSubject(); Object principal = subject.getPrincipal(); // 判断当前用户是否具有某个角色 boolean hasRole = subject.hasRole("admin"); // 判断当前用户是否具有某个权限 boolean hasPermission = subject.isPermitted("user:update"); ``` 这是一个大致的 Spring Boot 集成 Shiro 的步骤,具体实现方式可以根据自己的需求进行调整。 ### 回答2: Spring Boot 是一个快速开发框架Shiro 是一个安全框架,它们的集成可以帮助开发人员快速构建安全的 Web 应用程序。 为了将 Shiro 集成到 Spring Boot 中,首先需要在 Maven POM 文件中引入 Shiro 的依赖库。例如,以下 POM 文件中添加了 Shiro Spring Boot 的 Starter 依赖库: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.0</version> </dependency> ``` 集成过程中,需要在应用程序中添加一个 Shiro 配置类,该类可以加载各种 Shiro 过滤器,用于对 URL 是否需要进行授权认证等操作,示例代码如下: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilter(@Autowired SecurityManager securityManager){ ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); bean.setSecurityManager(securityManager); Map<String, String> chains = new HashMap<>(); chains.put("/login", "anon"); chains.put("/css/**", "anon"); chains.put("/js/**", "anon"); chains.put("/**", "authc"); bean.setFilterChainDefinitionMap(chains); return bean; } @Bean public SecurityManager securityManager(@Autowired UserRealm userRealm){ DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(userRealm); return manager; } @Bean public UserRealm userRealm(){ return new UserRealm(); } } ``` 在这个例子中,我们为登录页、CSS、JS 等 URL 设置了“anon”过滤器,表示这些 URL 不需要进行认证,而其他 URL 都需要进行认证。此外,我们还提供了一个 UserRealm,用于提供用户的认证和授权。 最后,我们需要在应用程序中启用 Shiro,例如在启动主类里加入 @EnableShiro 注解: ```java @EnableShiro @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 这样,我们就完成了 Shiro集成。使用 Shiro,开发人员可以方便地进行用户认证和授权,保障 Web 应用程序的安全性。 ### 回答3: Spring Boot是一个非常流行的Java Web框架,它可以通过添加各种插件来轻松集成许多其他框架和库。Shiro是一个全面的安全框架,提供了身份验证、授权、密码编码等功能,与Spring Boot的集成也非常容易。 下面是一些简要的步骤来集成Spring Boot和Shiro框架: 1. 首先,需要在pom.xml文件中添加Shiro和Spring Boot Starter Web的依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>2.3.2.RELEASE</version> </dependency> ``` 2. 然后,在应用程序的主类中添加@EnableWebSecurity注解,启用Spring Security的Web安全性支持,同时在configure(HttpSecurity http)方法中配置Shiro安全过滤器链: ``` @Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .disable() .authorizeRequests() .antMatchers("/login").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/**").authenticated() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login").permitAll() .defaultSuccessUrl("/home.html") .and() .logout() .logoutUrl("/logout").permitAll() .deleteCookies("JSESSIONID") .logoutSuccessUrl("/login"); } @Bean public Realm realm() { return new MyRealm(); } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm()); return securityManager; } @Bean public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager()); shiroFilter.setLoginUrl("/login"); shiroFilter.setSuccessUrl("/home.html"); shiroFilter.setUnauthorizedUrl("/403.html"); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/admin/**", "authc, roles[admin]"); filterChainDefinitionMap.put("/**", "user"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; } } ``` 3. 编写自定义的Realm类,用于实现Shiro的身份验证和授权逻辑: ``` public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); for (Role role : user.getRoles()) { authorizationInfo.addRole(role.getName()); for (Permission permission : role.getPermissions()) { authorizationInfo.addStringPermission(permission.getPermission()); } } return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); User user = userService.findByUsername(username); if (user != null) { return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } else { throw new UnknownAccountException(); } } } ``` 4. 最后,在Controller中使用Shiro提供的Subject来实现身份验证和授权: ``` @Controller public class HomeController { @RequestMapping(value = "/home.html", method = RequestMethod.GET) public String home() { Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isAuthenticated()) { return "home"; } else { return "redirect:/login"; } } @RequestMapping(value = "/admin/index.html", method = RequestMethod.GET) public String admin() { Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isAuthenticated() && currentUser.hasRole("admin")) { return "admin"; } else { return "redirect:/login"; } } @RequestMapping(value = "/login", method = RequestMethod.GET) public String login() { return "login"; } } ``` 使用以上步骤实现了Spring Boot集成Shiro框架,完成了基本的身份验证和授权操作。实现后就可以进行测试,通过Shiro的身份验证和授权功能保证系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值