整合Shiro

最新推荐文章于 2023-05-20 07:53:40 发布
最新推荐文章于 2023-05-20 07:53:40 发布
阅读量230 收藏 4
点赞数 1
分类专栏: 聪酱带你学Spring Boot 文章标签: spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackball1998/article/details/118077308
版权

整合Shiro

Shiro是一款开源的轻量的权限管理框架,他能实现用户的认证和授权功能,也可以实现密码加密功能

基本使用

使用Shiro,首先需要导入starter依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.7.0</version>
</dependency>

然后我们创建一个实体类用户来承载认证信息

@Data
public class User{
    private Integer id;
    private String username;
    private String password;
}

在数据库中添加两个用户

在这里插入图片描述

自定义一个Realm类来实现认证和授权,需要继承AuthorizingRealm类并重写doGetAuthorizationInfo方法和doGetAuthenticationInfo方法

doGetAuthorizationInfo方法用于授权,我们这里还不需要,先返回一个null

doGetAuthenticationInfo方法用于认证,也就是实现登录认证和拦截的关键,这里注入mapper从数据库中查询登录信息的用户名,如果没有则返回null,Realm类会抛出UnknownAccountException异常,然后使用一个SimpleAuthenticationInfo类对用户的密码进行校验,如果校验不匹配,则会抛出AuthenticationException异常

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserMapper userMapper;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = authenticationToken.getPrincipal().toString();
        User user = userMapper.selectOne(new QueryWrapper<User>().eq("username", username));
        if (user == null) {
            return null;
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }

}

下一步配置Shiro的拦截规则,依次注入自定义Realm类,securityManager类和ShiroFilterFactoryBean类,并且使用一个LinkedHashMap类设置拦截路径,注意这里不能使用HashMap类,因为HashMap类是无序的,拦截的时候需要按照map中的元素顺序进行拦截,常见的拦截的规则有以下:

  • anon:可匿名访问
  • authc:需要认证才能访问
  • perms[xxx]:用户必需拥有xxx权限才访问
  • roles[xxx]:用户必需拥有xxx角色才访问
  • perms[“1,2,3”]:用户必需拥有所有权限才访问
  • roles[“1,2,3”]:用户必需拥有所有角色才访问
  • logout:登出请求

并且可以使用通配符来匹配路径,?匹配一个字符,*匹配一级url或任意多个字符,**匹配多级url或任意多个字符

@Configuration
public class ShiroConfig {
    // 配置自定义Realm
    @Bean
    public UserRealm userRealm() {
        return new UserRealm();
    }

    // 配置securityManager并设置userRealm
    @Bean
    public DefaultWebSecurityManager securityManager(UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    // 设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new LinkedHashMap<>();
        // 放行login请求
        map.put("/login","anon");
        // 设置登出url
        map.put("/logout", "logout");
        // 拦截其他请求
        map.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        // 配置登录拦截跳转url
        shiroFilterFactoryBean.setLoginUrl("/login_page");
        return shiroFilterFactoryBean;
    }
}

编写三个接口来测试登录认证,login为登录请求,test为测试请求,login_page为登录页面跳转请求

在登录逻辑中,使用Shiro的UsernamePasswordToken类和SecurityUtils类来进行登录验证,这样登录逻辑会跳到自定义Realm类中的doGetAuthenticationInfo方法,然后捕获可能抛出的UnknownAccountException异常和AuthenticationException异常既可

@Controller
public class MyController {

    @ResponseBody
    @PostMapping("/login")
    public String login(@RequestBody User user) {
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
        try {
            SecurityUtils.getSubject().login(token);
        } catch (UnknownAccountException e) {
            return "unknown user";
        } catch (AuthenticationException e) {
            return "password error";
        }
        return "success";
    }

    @ResponseBody
    @GetMapping("/test")
    public String test() {
        return "login";
    }


    @GetMapping("/login_page")
    public String loginPage(){
        return "login_page.html";
    }
}

编写一个简单的拦截跳转登录页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Login</title>
</head>
<body>
<form action="/login" method="post">
    username:<div><input type="text" name="username"/></div>
    password:<div><input type="password" name="password"/></div>
    <div><input type="submit" value="login"/></div>
</form>
</body>
</html>

最后测试一下,正常登录时:

在这里插入图片描述

客户端也获取到了Cookie

在这里插入图片描述

可以正常访问test接口

在这里插入图片描述

密码错误时:

在这里插入图片描述

用户名错误时:

在这里插入图片描述

如果未登录就访问test接口则会跳到登录页面

在这里插入图片描述

密码加密

以上的认证过程,密码是通过明文校验的,而且密码在数据库中也是使用明文保存,这样会很不安全

像密码这样的敏感数据,可以使用不可逆加密后再保存到数据库中,校验密码的时候只需要将明文密码通过相同的加密规则加密后再与数据库中的密文密码比对即可

Shiro为我们提供了几种密码加密规则,我们以Sha256作为示例

创建一个新建用户的接口,然后把密码加密之后再保存到数据库中,加密的时候需要一个盐值以防止彩虹表破解,我们用用户名作为加密的盐值

@Controller
public class MyController {

    @Autowired
    UserMapper userMapper;

    @ResponseBody
    @PostMapping("/addUser")
    public String addUser(@RequestBody User user) {
        String password = new Sha256Hash(user.getPassword(), user.getUsername(), 1024).toBase64();
        user.setPassword(password);
        userMapper.insert(user);
        return "success";
    }

}

调用接口添加两个用户

在这里插入图片描述

可以看到数据库中的密码都是加密后的密文数据

在这里插入图片描述

然后修改自定义Realm类中doGetAuthenticationInfo方法的校验密码逻辑,在使用SimpleAuthenticationInfo类进行校验是,将密码的盐值也传入构造方法

重写AuthorizingRealm类的setCredentialsMatcher方法

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserMapper userMapper;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = authenticationToken.getPrincipal().toString();
        User user = userMapper.selectOne(new QueryWrapper<User>().eq("username", username));
        if (user == null) {
            return null;
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(username), getName());
    }

    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        // 设置加密类型
        matcher.setHashAlgorithmName(Sha256Hash.ALGORITHM_NAME);
        // 设置加密方式为base64
        matcher.setStoredCredentialsHexEncoded(false);
        // 设置散列迭代次数
        matcher.setHashIterations(1024);
        super.setCredentialsMatcher(matcher);
    }
}

这样就能与数据库中的密文密码进行比对校验

在这里插入图片描述

权限分离

除了认证之外,Shiro还可以做授权的功能,也就是权限分离,除了管理账号之外,其他的用户只拥有一部分功能,可以访问一部分接口

Shiro的授权功能分为角色和权限两种维度,以下示例以角色维度演示

首先修改用户实体类和数据库,添加角色属性

@Data
public class User{
    private Integer id;
    private String username;
    private String password;
    private String role;
}

在这里插入图片描述

实际中也可以将角色单独分离成一张表,然后用一张中间表关联用户和角色的关系

然后重写自定义Realm类中的doGetAuthorizationInfo方法,将对应的角色授权给当前用户

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserMapper userMapper;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        User currentUser = (User) principalCollection.getPrimaryPrincipal();
        info.addRole(currentUser.getRole());
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = authenticationToken.getPrincipal().toString();
        User user = userMapper.selectOne(new QueryWrapper<User>().eq("username", username));
        if (user == null) {
            return null;
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(username), getName());
    }

    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName(Sha256Hash.ALGORITHM_NAME);
        matcher.setStoredCredentialsHexEncoded(false);
        matcher.setHashIterations(1024);
        super.setCredentialsMatcher(matcher);
    }
}

在拦截规则中设置/test请求只有root角色可以访问,并且设置未授权的角色被拦截后的跳转url

@Configuration
public class ShiroConfig {
    // 配置自定义Realm
    @Bean
    public UserRealm userRealm() {
        return new UserRealm();
    }

    // 配置securityManager并设置userRealm
    @Bean
    public DefaultWebSecurityManager securityManager(UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new LinkedHashMap<>();
        map.put("/logout", "logout");
        map.put("/login","anon");
        // 只放行root角色
        map.put("/test","roles[root]");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        shiroFilterFactoryBean.setLoginUrl("/login_page");
        // 设置未授权跳转url
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
        return shiroFilterFactoryBean;
    }

}

添加一个接口作为未授权的角色被拦截后的跳转接口

@Controller
public class MyController {

    @ResponseBody
    @GetMapping("/unauthorized")
    public String unauthorized() {
        return "unauthorized";
    }

}

测试使用普通用户登录,之后访问/test接口,可以被Shiro拦截,并且跳转到指定的url

在这里插入图片描述

王耳总丶
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro教程(二):Springboot整合Shiro全网最全教程
WwLK123的博客
07-12 1495
Apache Shiro是一个Java的安全权限框架。Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。- Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等。这里是SpringBoot整合Shiro最完整最详细教程。
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
SpringBoot整合Shiro(最详细)
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Springboot整合Shiro框架入门
web15285868498的博客
04-08 5538
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
springboot整合shiro
11-26
2. **Spring Boot整合Shiro的优势** - 简化配置:Spring Boot的自动配置特性可以减少大量XML或Java配置。 - 快速开发:Shiro的API易于理解和使用,使得快速实现权限控制成为可能。 - 微服务兼容:在Spring Boot的...
spring整合shiro
07-14
Spring 整合 Shiro 主要是为了实现更高效、灵活的安全管理,包括身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)。下面我们将详细探讨这个整合过程及其...
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 3058
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
shiroSpring Boot 整合
一个菜鸡的博客
05-20 1083
认证策略的另外一项工作就是聚合所有 Realm 的结果信息封装至一个 AuthenticationInfo 实例中,并将此信息返回,以此作为 Subject 的身份信息。FirstSuccessfulStrategy ==》第一个 Realm 验证成功,整体认证将视为成功,且后续 Realm 将被忽略。AtLeastOneSuccessfulStrategy ==》只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功。(1)在所有 Realm 被调用之前。(4)在所有 Realm 被调用之后。
SSM整合shiro
BUG专业户
08-05 1516
SSM整合shiro安全框架
前后端分离的项目整合shiro安全框架
Dumpling_skin的博客
08-09 1925
前置路由守卫:就是在路由跳转前加上自己的一些业务代码,未登录之前输入其他路径,不放行,跳转至登录页面。在main.js文件中加入以下代码。
SpringCloud整合Shiro或Security等安全框架的处理方法
weixin_53690059的博客
09-09 2182
SpringCloud整合Shiro或Security等安全框架的处理方法
Shiro权限控制(一):Spring整合Shiro
kity9420的专栏
03-30 3万+
1.介绍如何在SpringMVC中整合Shiro权限框架 2.介绍如何使用Shrio进行身份验证,如常见的登录 3.介绍如何控制哪些服务登录后才能访问,哪些服务不需要登录就可以访问
一.springbootshiro整合(示例)
热门推荐
u014203449的博客
02-16 4万+
地址: 演示地址:http://47.98.153.30:8080 账号:melo 密码:12345678 github地址:点击打开链接https://github.com/MeloFocus/focus 前端水平有限见谅 第一个整合目标: (1)用springboot整合shiro (2)完成简单的登录功能 (3)对url进行权限控制,当前登录用户拥有此ur...
shiro框架示例--springshiro框架的整合
方圆几里的博客
06-27 1644
一 maven添加jar包依赖 &lt;!-- shiro --&gt; &lt;!-- shiro整合spring jar包 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&...
Shiro实战系列--整合shiro-redis
IT利刃出鞘的博客
10-18 1万+
本文用实例介绍shiro通过引入shiro-redis来缓存权限。使用SpringBoot整合Shiro
Shiro+SSM整合,认证授权
hans的博客
06-16 1万+
   环境 :     Shiro+SSM整合基于你已经拥有一个可运行的ssm环境,jar包管理这里使用的Maven。   主体 :    1. 导入shiro相关jar包    2. web.xml配置shiro的代理过滤器,shiro的入口,相当于建立起servlet与shiro的联系    3. 配置shiro的xml文件    步骤 :    1. pom.xml导入相关jar包     ...
Spring Boot 中集成 Shiro
taojin12的博客
03-08 3万+
Shiro 是一个强大、简单易用的 Java 安全框架,可使认证、授权、加密,会话过程更便捷,并可为应用提供安全保障。本节课重点介绍下 Shiro 的认证和授权功能。 文章目录16.1 Shiro 三大核心组件16.1.1 Subject 为认证主体16.1.2 SecurityManager 为安全管理员16.1.3 Realm 是一个域16.2 Shiro 身份和权限认证16.2.1 Shir...
ssm整合shiro
最新发布
10-07
SSM整合Shiro是指在使用Spring+SpringMVC+MyBatis框架的基础上,将Apache Shiro安全框架集成到项目中。下面是整合Shiro的步骤: 1. 引入Shiro的依赖,可以在pom.xml文件中添加如下代码: ```xml <!-- Shiro --> ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值