springboot集成shiro

最新推荐文章于 2024-07-17 21:38:50 发布
最新推荐文章于 2024-07-17 21:38:50 发布
阅读量357 收藏
点赞数
文章标签: spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blnmdv/article/details/121357451
版权

记录一下简单学习shiro的过程,希望对小伙伴们有效。
所有整合代码已更新到码云,对上次sprinboot+layui的练习进行了优化,加入了shiro安全框架,链接:
码云链接
1.shiro外部结构
在这里插入图片描述
2.shiro内部结构
在这里插入图片描述
3.快速开始shiro
官网教程Apache Shiro | Simple. Java. Security.
github:GitHub - apache/shiro: Apache Shiro
3.1导入maven

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>
        <!-- Shiro uses SLF4J for logging.  We'll use the 'simple' binding
             in this example app.  See http://www.slf4j.org for more info. -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-simple</artifactId>
            <version>1.7.21</version>
           
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>1.7.21</version>
           
        </dependency>
        
        <!-- https://mvnrepository.com/artifact/log4j/log4j -->
		<dependency>
    		<groupId>log4j</groupId>
    		<artifactId>log4j</artifactId>
    		<version>1.2.17</version>
		</dependency>

3.2 log4j.properties

##apache日志
log4j.logger.org.apache=WARN

##spring日志
log4j.logger.org.springframework=WARN

##shiro日志
log4j.logger.org.apache.shiro=INFO
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

3.3 shiro.ini

# =============================================================================
# Tutorial INI configuration
#
# Usernames/passwords are based on the classic Mel Brooks' film "Spaceballs" :)
# =============================================================================

# -----------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -----------------------------------------------------------------------------
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -----------------------------------------------------------------------------
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

3.4官方案例分析(Quickstart)

@SuppressWarnings("deprecation")
public class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);


    public static void main(String[] args) {

        
        //固定代码,获取配置文件信息,利用工厂模式创建对象(与mybatis一样)
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        //设置单例模式
        SecurityUtils.setSecurityManager(securityManager);
        
        

        // 用户subject
        // 重点:获取当前用户
        Subject currentUser = SecurityUtils.getSubject();
        // 重点:获取当前用户session,存取值
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("Retrieved the correct value! [" + value + "]");
        }

        // 判断当前用户是否被验证
        if (!currentUser.isAuthenticated()) {
            //Token:令牌,没有获取,随机
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);//记住我
            
            try {
                currentUser.login(token);//执行了登录
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

        //say who they are:
        //print their identifying principal (in this case, a username):
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //test a role:权限判断
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        //粗粒度
        //test a typed permission (not instance-level)
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }
        //细粒度
        //a (very powerful) Instance Level permission:
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        //all done - log out!注销
        currentUser.logout();

        System.exit(0);
    }
}

3.5 重要代码总结

// 重点:获取当前用户
Subject subject = SecurityUtils.getSubject();
subject.getPrincipal()
// 重点:获取当前用户shiro中的session(不是http里面session),存取值
Session session = currentUser.getSession();
//判断当前用户是否被验证
currentUser.isAuthenticated()
//权限判断
currentUser.hasRole()

4.springboot集成shiro
4.1导入坐标

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.8.0</version>
		</dependency>
  <!-- thymeleaf-整合-shiro -->
		<!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->
		<dependency>
    		<groupId>com.github.theborakompanioni</groupId>
    		<artifactId>thymeleaf-extras-shiro</artifactId>
    		<version>2.1.0</version>
		</dependency>

4.2针对shiro三个重要类,编写配置类

@Configuration
public class ShiroConfig
{
    
    @Autowired
    DefaultWebSessionManager defaultSessionManager;
    
    /*
     * 固定代码(对应三个主要对象) Suject:用户    SecurityManager:管理所有用户    Realm:连接数据
     */
    //ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
                
        //关联DefaultWebSecurityManager,设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        
        
        //添加shiro的内置过滤器
        /*
         * anon: 无需认证就可以访问
         * authc: 必须认证才能访问
         * user: 必须拥有 记住我 功能才能用
         * perms: 拥有对某个资源的权限才能访问
         * role: 拥有某个角色权限才能访问
         * 
         */
        //创建条件集合
        Map<String, String> filterMap = new LinkedHashMap<>();
        
        
        //授权:必须是user且拥有add权限
        filterMap.put("/role/role-list", "perms[role:list]");
        
        //授权:必须是user且拥有update权限
        filterMap.put("/admin/admin-list", "perms[admin:list]");
        
        //添加条件
//        filterMap.put("/user/add", "authc");
//        filterMap.put("/user/update", "authc");
        filterMap.put("/role/*", "authc");
        filterMap.put("/admin/*", "authc");
        //设置登入请求
        bean.setLoginUrl("/");
        
        //设置未授权请求
        bean.setUnauthorizedUrl("/noauth");
        
        
        //添加条件集合
        bean.setFilterChainDefinitionMap(filterMap);
        return bean;
    }
    
   //DefaultWebSecurityManager @Qualifier("userRealm")绑定下面的userRealm()
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDafaultWebSecurityManage(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        defaultWebSecurityManager.setRealm(userRealm);
      //设置DefaultWebSecurityManager的SessionManager,解决jsessionid问题
        defaultWebSecurityManager.setSessionManager(defaultSessionManager);
        
        return defaultWebSecurityManager;
    }
    
    //创建realm对象,需要自定义类
    @Bean(name="userRealm")
    public UserRealm userRealm() {
        return new UserRealm();
    }
    
  //创建DefaultWebSessionManager类,并DI注入到IOC容器中,解决jsessionid问题
    @Bean
    public DefaultWebSessionManager mySessionManager(){
        DefaultWebSessionManager defaultSessionManager = new DefaultWebSessionManager();
        //将sessionIdUrlRewritingEnabled属性设置成false
        defaultSessionManager.setSessionIdUrlRewritingEnabled(false);
        return defaultSessionManager;
    }
    
    //注册ShiroDialect:thymeleaf-整合-shiro
    @Bean
    public ShiroDialect getShiroDialect() {
        return new ShiroDialect();
    }


}

public class UserRealm extends AuthorizingRealm
{
    
    @Autowired
    AcgUserServiceImpl acgUserService;
    
    @Autowired
    AcgRoleServiceImpl acgRoleService;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("执行了:授权doGetAuthenticationInfo");
        
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //授权
        //info.addStringPermission("user:add");
        
        //从认证拿到当前用户
       Subject subject=SecurityUtils.getSubject();
       AcgUser currentUser = (AcgUser)subject.getPrincipal();
       
        //授权
       AcgRole acgRole = acgRoleService.getAcgRoleById(currentUser.getRole_id());
       String[] roleList = acgRole.getRole_hasrole().split(";");
       for(int i=0;i<roleList.length;i++) {
           info.addStringPermission(roleList[i]);
       }
       
        return info;
    }
    
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了:认证doGetAuthenticationInfo");
        
        //这里的token就是前端传值封装的token,token是全局的
        UsernamePasswordToken userToken=(UsernamePasswordToken) token;
        
        //用户名 密码 ,数据库中取
        AcgUser user = acgUserService.getAcgUserByUsername(userToken.getUsername());
              
        
        if(user==null) {
            return null;//抛出异常,UnknownAccountException
        }
        
        
        //密码认证,shiro做,避免密码泄露(这里密码默认加密了,也可以更换加密算法),第一个参数:传递对象授权,第二个参数:验证密码
        return new SimpleAuthenticationInfo(user,user.getUser_password(),"");
    }

}

4.3登录判断,注销判断,未授权

    public String login(@RequestParam("username") String username, @RequestParam("pass") String pass, Model model,
            HttpSession session) {
      //shiro获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //token封装用户登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username,pass);
        //执行登录:没有异常就登录成功
        try {
            subject.login(token);
            session.setAttribute("username", username);
            return "firstpage";
        }
        catch (UnknownAccountException e) {
            model.addAttribute("msg", "用户名不存在!");
            return "index";
        }
        catch (IncorrectCredentialsException e) {
            model.addAttribute("msg", "密码错误!");
            return "index";
        }

    }
      @RequestMapping("/outlogin")
    public String outLogin(HttpSession session) {
        if (session != null) {
            session.removeAttribute("username");
        }
        //单例模式
        Subject currentUser = SecurityUtils.getSubject();
        //all done - log out!注销
        //关闭shiro
        currentUser.logout();
        return "index";
    }
     //跳转未授权页面
    @RequestMapping("/noauth")
    @ResponseBody
    public String Noauth() {
        return "页面未授权!";
        
    }

4.4前端页面
引入

<html  xmlns:th="http://www.thymeleaf.org"
       xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">

判断
在这里插入图片描述

大数据白白白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合shiro(超详细,你想要的都在这了)
m0_67402914的博客
08-02 550
●subject应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject,Subject代表了当前的用户,这个用户不-定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等,与Subject的所有交互都会委托给SecurityManager;这里要设置cookie加密的密钥是为了给他指定一种加密方式,否则会出现关闭浏览器后再打开记住我失效,得刷新网页后才正常,因为两次加密后不一样,就像拿密钥b去匹配上次的密钥a,会导致失效。...
SpringBoot整合Shiro
Korbin的博客
08-01 280
目录 1.Shiro的介绍 Shiro的简介: Shiro是Apache公司开发的一套关于JAVA的安全(权限)框架。 Shiro可以让我们非常轻松的开发出足够好的应用,其不仅可以在JAVASE环境中使用,还可以在JAVAWEB中使用。 Shiro的主要功能是:认证、授权、加密、会话管理、缓存等。 Shiro的功能: Authentication:身份认证。验证用户是不是拥有相应的身份,即是否登录。 Auhorization:授权,即权限验证。验证某个已经认证的用户是否拥
spring boot 2.1.3 打开 druid 连接池监控报错 Sorry, you are not permitted to view this page.
sense的专栏
05-07 2万+
一、问题描述 在使用 阿里的 Druid 连接池的时候,遇到一个奇怪的问题,在本地(localhost)可以直接打开 Druid连接池监控,在其他机器上打开会报错: Sorry, you are not permitted to view this page. 配置如下: ##### druid #### # JDBC 配置(驱动类自动从url的mysql识别,数据源类型自动识别) s...
SpringBoot之整合Shiro(最详细)
热门推荐
Java追求者的博客
05-31 4万+
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
Shiro+springboot快速入门(狂神学习,集成mybatis)
qq_51269815的博客
04-01 1183
Shiro+springboot菜鸟入门(狂神学习) 一:10分钟开始shiro入门 1.进入shiro官网shiiro官网 找到10分钟快速入门 在前往githubgithub的shiro地址 建立一个maven项目 pom.xml导入以下配置: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifa
springboot 整合 shiro
愿世界和平
05-14 469
配置文件 /** * Copyright 2018 人人开源 http://www.renren.io * &lt;p&gt; * Licensed under the Apache License, Version 2.0 (the "License"); you may not * use this file except in compliance with the Lic...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
springBoot集成shiro
06-20
该demo实现了:spring集成shiro。 用户角色校验,用户权限校验。链接mysql。 对应文章url: https://blog.csdn.net/zhou199252/article/details/80741361
springboot 集成shiro代码实例
08-28
SpringBoot集成Shiro是Java开发中常见的权限管理实践,它结合了SpringBoot的便捷性和Apache Shiro的安全特性,为Web应用程序提供了用户认证和授权的解决方案。以下是对这一主题的详细阐述: 1. **SpringBoot简介**...
springboot+shiro使用权限注解问题_无法使用注解_使用注解无法跳转无权限页面
JieZhongBa的博客
10-03 606
环境 springboot:2.5.5 shiro:1.8.0 (shiro-spring-boot-web-starter) idea 常用注解 一些小问题 1. 无法使用权限注解 实测使用shiro-spring-boot-web-starter没有这个问题,其他版本可能遇到。 解决办法:shiro配置类中添加bean @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(Sec
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 3010
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
SpringBoot整合Shiro安全框架完整实现
欢迎来到 Baret~H 的博客
11-04 4423
目录一、环境搭建1. 导入shiro-spring依赖2. 编写首页及其controller3. 编写shiro配置类二、Shiro实现登录拦截1. 编写页面及其controller2. 实现登录拦截3. 编写拦截后的登录页面三、Shiro实现用户认证四、整合MyBatis1. 导入依赖2. 创建数据库&连接3. 配置数据源4. 编写pojo实体类5. 编写Mapper层6. 编写service层(可省略)7. 测试8. 更改伪造数据为真实数据五、Shiro请求授权实现1. 添加授权2. 编写未授.
极简shiro入门
czhAL的博客
12-07 405
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
Spring Bootshiro整合(中)
实践求真知
11-08 458
一 配置 1 MyShiroRealm类 package com.wzq.shiro.config; import javax.annotation.Resource; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; impor...
springmvc集成shiro后,session、request姓汪还是姓蒋?
weixin_34150830的博客
06-18 374
2019独角兽企业重金招聘Python工程师标准>>> ...
spring boot】初学者项目快速练手
最新发布
m0_67357141的博客
07-17 999
快速生成一个初始的项目代码,会生成一个demo文件打开intellj idea,导入demo文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值