SpringBoot整合Shiro实战

最新推荐文章于 2024-07-26 19:01:04 发布
最新推荐文章于 2024-07-26 19:01:04 发布
阅读量203 收藏
点赞数
文章标签: 数据库 shiro java spring spring boot

前言

单看此篇文章有些雾里看花的感觉,可以去github上进行源码下载,结合自己的理解来学习SpringBoot 与Shiro的整合。

本篇文章具体讲解SpringBootShiro的整合操作,同时对于后端数据库中数据的获取使用到MyBatis,最后结合shiroThymeleaf完成对于不同用户的登录之际进行不同的展示信息。具体完整的学习可以参见 张开涛-Shiro,这里不对具体的原理部分进行深入学习,在学习本文章之前,默认对Shiro已经有了基础的认知,来学习与Spring的整合操作。同时也作为一个Demo性质的讲解,在遗忘之际进行回顾。

前提准备

依赖的导入

其中重要的依赖也都有相关联的注释信息。

<!--  shiro 和 thymeleaf -->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>
<!--Shiro-->
<dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-spring</artifactId>
     <version>1.4.0</version>
</dependency>
<!--MyBatis-->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.1</version>
</dependency>
<!--更多依赖可以具体查看 pom.xml-->

修改application.yml 配置文件

具体可以参看 /src/main/resources/application.yml中内容

spring:
  datasource:
    name: springboot
    type: com.alibaba.druid.pool.DruidDataSource
    #druid相关配置
    druid:
      #mysql驱动
      driver-class-name: com.mysql.cj.jdbc.Driver
      #基本属性
      url: jdbc:mysql://127.0.0.1:3306/springboot_shiro?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
      username: root
      password: 123456

SQL语句的建表

数据库名称为:springboot_shiro创建一个表名为users的表,并插入一些必要的数据。

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users`  (
  `id` int(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `perms` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of users
-- ----------------------------
INSERT INTO `users` VALUES (1, 'root', '123456', 'user:add');
INSERT INTO `users` VALUES (2, 'maycope', '123456', 'user:update');
INSERT INTO `users` VALUES (3, 'test', '123456', 'test');

主要信息讲解:

创建一个SpringBoot项目和其三层架构关系就不再进行具体的讲解,具体架构就是我们的三层架构模型controller-service-mapper

对于Shiro来说其主要的配置就是在 shiroConfigUserRealm中。

Realm

解释:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

需要我们继承AuthorizingRealm,然后强制实现两个具体的类,一个是实现授权的认证,一个是身份的认证:

@Override
// 授权认证
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    return null;
}

@Override
// 身份认证
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    return null;
}

身份认证

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
   /**
   * 1. 从token中获取到输入的用户名。
   * 2. 通过获取到的用户名和数据库根据具体信息查询到的进行对比,是否能够获取到具体的用户。
   * 3. 将成功后的user放到对应的session中(注意是shiro的session)
   */
    UsernamePasswordToken userToken = (UsernamePasswordToken)(authenticationToken);
    String username = userToken.getUsername();
    User user = userService.getUser(username);
    if(user == null) {
        return  null;
    }

    // 表示登录成功过之后将用户的信息放入到session里面
    Subject subject = SecurityUtils.getSubject();
    Session session = subject.getSession();
    session.setAttribute("loginUser",user);

    System.out.println("执行了认证=> doGetAuthenticationInfo");
    return new SimpleAuthenticationInfo(user,user.getPassword(),getName());
}

权限认证

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println("执行了授权 => doGetAuthorizationInfo");

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

    // 拿到当前登录的对象;
    Subject subject =SecurityUtils.getSubject();
    User currentUser = (User) subject.getPrincipal();// 拿到user对象
    // 从数据库中取出权限信息。将对应的权限信息使用addStringPermission 添加到权限认证中。
    info.addStringPermission(currentUser.getPerms());
    System.out.println(currentUser.getPerms());
    return info;
}

ShiroConfig

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean (@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();


    // 设置安全管理器
    bean.setSecurityManager(defaultWebSecurityManager);

    // 设置登录的请求信息。表示在未进行登录时候,需要进行登录地址。
    bean.setLoginUrl("/tologin");

    // 设置未授权页面,在访问一些需要授权的页面,但是当前用户未授权时候,会走如下请求。
    bean.setUnauthorizedUrl("/noauth");

    // 添加内置的过滤器
/**
 * anon: 不需要进行任何的验证
 * authc: 必须进行验证之后才能够访问。
 * user: 必须拥有记住我这个功能才能够访问
 * perms: 拥有对某个资源的权限才能够访问
 * role: 拥有某个角色权限才能够访问。
 */
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
/**
 * 授权操作
 */
// 为不同的页面添加具体的授权请求的信息。
filterChainDefinitionMap.put("/user/add","perms[user:add]");
filterChainDefinitionMap.put("/user/update","perms[user:update]");
// 验证未授权时候的显示(不适用shiro:hasPermission)表示有无授权都会显示,但是无授权时候会跳转到未授权页面。
filterChainDefinitionMap.put("/user/other","perms[user:update]");
//静态资源,对应`/resources/static`文件夹下的资源
filterChainDefinitionMap.put("/css/**", "anon");
filterChainDefinitionMap.put("/js/**", "anon");

bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return  bean;
}

@Bean(name="securityManager")
public DefaultWebSecurityManager getdefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){

    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 关联userRealm
    securityManager.setRealm(userRealm());
    return  securityManager;
}
@Bean
public SessionManager sessionManager() {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    sessionManager.setGlobalSessionTimeout(60 * 60 * 10); //10分钟
    sessionManager.setSessionDAO(new EnterpriseCacheSessionDAO());
    return sessionManager;
}

@Bean
public UserRealm userRealm(){
    return  new UserRealm();
}


//整合shiroDialect ;用来整合shiro和 thymeleaf
@Bean
public ShiroDialect getshiroDialect(){
    return new ShiroDialect();
}

具体实践

完成以上的基础配置之后,就可以开始具体的实践来进行具体的验证。首先来具体讲解部分的功能。

身份认证

对于身份认证系列,就是通过其帮我们封装好的系列方法,我们来对用户的登录情况进行验证,并智能能帮助我们返回具体的错误信息。

1 . 首先进行地址的拦截,对于 / 或者是 /index都拦截跳转到index页面。

2 . 对于我们已经知道的url地址例如8080/user/add,平时我们需要来设置具体的拦截器操作,在没有登录时候,跳转到登录页面,对于Shiro来说我们只需要进行 bean.setLoginUrl("/tologin")**表示在未登录时候跳转到tologin**请求。再在控制层具体接收请求进行登录表单的验证。

3 . 在输入完成用户名和密码之后,我们可以具体查看登录源码:

@RequestMapping("/login")
public  String login(String username,String password,Model model){
    // 获取到当前的用户
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken(username,password);
   try
   {
       System.out.println("Before");
       subject.login(token);// 执行登录的方法
       System.out.println("After");
       return "index";
   }catch (UnknownAccountException e){
       model.addAttribute("msg","用户名错误");
       return "/login";
   }catch (IncorrectCredentialsException e)
   {
       model.addAttribute("msg","密码错误");
       return  "/login";
   }

}

可以查看具体的控制台输出,可以得知在进行登录时候会进行身份的认证。

Before
执行了认证=> doGetAuthenticationInfo
After

具体的逻辑认证会在Realm中进行认证,在不同的错误下会打印出不同的错误信息(这些认证的信息都不需要我们具体的去管理)。

在如下的代码中,我们只需要返回null,具体的错误信息Shiro会帮我们进行处理。

User user = userService.getUser(username);
    if(user == null) {
        return  null;
    }

权限认证

对于权限认证系列,主要有我们如下配置,表示在访问到具体页面时候,需要我们添加不同的权限。

filterChainDefinitionMap.put("/user/add","perms[user:add]");
filterChainDefinitionMap.put("/user/update","perms[user:update]");

添加权限信息,通过获取到数据库中的perms信息进行具体的动态配置。

// 拿到当前登录的对象;
Subject subject =SecurityUtils.getSubject();
User currentUser = (User) subject.getPrincipal();// 拿到user对象
// 从数据库中取出权限信息。
info.addStringPermission(currentUser.getPerms());

参见我们的数据库中的perms字段,对于不同用户就会有不同的权限,我们通过如下配置:shiro:hasPermission表示在不同的权限下不同展示。

可以先行登录root用户,发现只会有add,可以跳转到add界面

然后登录maycope 用户,会发现只有update

<div shiro:hasPermission="user:add" class="color">
    <a th:href="@{/user/add}">add</a>
</div>
<div shiro:hasPermission="user:update" class="color">
    <a th:href="@{/user/update}">update</a>
</div>

未授权

对于我们的text用户而言其perms字段为test,但是对于 /user/other页面来说

需要如下权限才能够访问。

filterChainDefinitionMap.put("/user/other","perms[user:update]");

所以对于未授权的时候,我们添加如下语句,表示对未授权的信息进行拦截:

bean.setUnauthorizedUrl("/noauth");

这个时候,我们访问时候,就会跳转到未授权对应的请求,我们进行接收,就会跳转到对应未授权页面。

后记

对于Shiro来说其个性化定制的特性极强,这里主要就:

1 . 权限的不同用户添加不同的权限,并对页面进行权限的验证,来模拟对于不同的用户在登录的时候会有不同的展示效果。虽然说比较简陋,但是具体的实现逻辑是完善的。

2 . 进行与MyBatis的结合,结合身份认证,在未登录状态下访问需要登录的页面时候进行的拦截器的拦截操作(若是自己手动实现,代码量不会小于10倍,而且会有BUG)在未登录状态下直接访问已知的URL时候会进行登录的拦截操作,跳转到登录界面。同时对于用户名错误,或者是密码错误,都不需要我们手动进行判断。这里建议可以去Shirogithub源码下载下来,然后找到**/samples/quickstart进行本地的运行,查看Quickstart.java**源码部分,可以发现对可能出现的错误信息都进行了处理,也就减少了我们的工作量。

作者:Maycope
链接:https://juejin.cn/post/6860998979119742984
来源:掘金

大家小手动起来,分享、点赞、在看 刷起来

伍婷
关注
SpringBoot-Shiro整合权限管理源码
04-24
SpringBoot整合Shiro使得权限管理变得简单易行,它提供了灵活的认证和授权机制。通过阅读和理解`springboot-shiro`的源码,开发者可以快速上手,并在实际项目中实现高效的权限管理功能。记得在实际操作中,根据项目...
SpringBoot整合Shiro(最详细)
热门推荐
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
SpringBootShiro整合
fangliangke的博客
02-01 6226
本文章介绍了Spring bootshiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
SpringBoot入门实战SpringBoot整合Shiro
最新发布
qq_24428851的博客
07-26 505
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
Springboot整合shiro
chao的博客
07-10 2426
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 3847
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
ShiroSpringBoot整合
小凯的博客
03-03 1180
Shrio整合springboot及相关案例解析
springboot整合shiro
11-26
2. **Spring Boot整合Shiro的优势** - 简化配置:Spring Boot的自动配置特性可以减少大量XML或Java配置。 - 快速开发:Shiro的API易于理解和使用,使得快速实现权限控制成为可能。 - 微服务兼容:在Spring Boot的...
springboot整合shiro视频
06-21
SpringBoot整合Shiro实战详解》 在Java开发领域,SpringBoot因其简洁高效的特性,已经成为构建Web应用的首选框架。而Shiro作为一款强大的安全管理框架,提供了身份验证、授权、会话管理和加密等功能,常被用于...
项目演示:springboot整合shiro.zip
04-04
SpringBoot整合Shiro是一个常见的Java Web开发任务,用于实现用户认证和授权功能。SpringBoot以其简洁的配置和快速的启动时间受到广大开发者的喜爱,而Apache Shiro则是一个强大且易用的安全框架,能帮助开发者处理...
SpringBoot整合Shiro与Thymeleaf-权限管理实战视频
10-08
### SpringBoot整合Shiro与Thymeleaf-权限管理实战 #### 一、Spring Boot简介 Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目标是简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式(默认...
Springboot整合Shiro框架入门
web15285868498的博客
04-08 6480
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 842
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache ShiroJava 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
SpringBoot整合Shiro
初学者
03-16 1683
Shiro简介   Apache Shiro是一个开源的轻量级的Java安全框架,它提供了身份认证、授权、密码管理、会话管理等操作。我们知道在Spring中也有一个跟它功能差不多的框架Spring Security,Shiro框架可以更加直观的提供安全性操作,在SSM框架中整合Shrio的配置步骤比较多。但是争对SpringBoot,在SpringBoot官方也提供了对应的启动器。这样的话化简了S...
Springboot整合Shiro
不惧困难 顽强拼搏
07-07 839
springboot整合shiro完成登录,权限。完成前后端分离。shiro权限对象缓存到redis中+使用Swagger2接口文档测试
极简shiro入门
czhAL的博客
12-07 444
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
SpringBootShiro整合详解
Zero摄氏度的博客
08-04 2343
Apache Shiro 是一个Java的安全(权限)框架 ------- 和SpringSecurity一样是安全框架 2. Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSe环境. 3. Shiro 可以完成: 认证,授权,加密,会话管理,Web集成,缓存等...
shirospringboot整合shiro
开心博客
07-07 268
springboot整合shiro,实现用户登录认证,权限校验及rememberMe
SpringBoot整合Shiro实战:快速入门与配置详解
Spring Boot项目中整合Shiro,首先需要在项目的`pom.xml`文件中添加相应的依赖。关键的依赖是`shiro-spring`包,它提供了Spring框架与Shiro的集成支持。除此之外,还需要Spring Boot的相关启动器,如`spring-boot-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值