springboot整合shiro 配置详解及原理分析

最新推荐文章于 2024-05-09 11:12:43 发布
最新推荐文章于 2024-05-09 11:12:43 发布
阅读量1.7k 收藏 5
点赞数 1
文章标签: shiro jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fl8545/article/details/120343824
版权

springboot整合shiro+jwt实现前后端分离认证授权

前言

最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中,并且避开一些小坑,由浅入深,从最基本的配置开始,一步一步加入新的功能。这样理解起来也稍微简单点
参考链接:我是你妹他哥 SpringBoot2.0集成Shiro

问题

首先我们要明白为什么使用shiro,以及需要用shiro实现哪些功能,毫无疑问我们需要使用它的认证功能和授权功能,那么如何实现认证及授权?

什么是shiro这个问题我们不多做解释,这里默认大家已经对shiro的基本概念有了一些了解。我们主要关心的是如何使用及为什么这么使用,这里先还是要介绍一下shiro的核心流程,例如下图,当用户发起请求的时候,shiro是如何处理请求并实现授权或认证?
在这里插入图片描述

当浏览器发起请求,首先是进入到ShiroFilter,那么什么是ShiroFilter?它是干什么的?我们来分析一下:

ShiroFilter

什么是ShiroFilter

ShiroFilter,它是在整个 Shiro Web 应用中请求的门户,所有的请求都会被 ShiroFilter 拦截并进行相应的链式处理。ShiroFilter 往上有五层,最上层是 Filter(即 javax.servlet.Filter),它是 Servlet 规范中的 Filter 接口。
在这里插入图片描述

那么分析完我们发现,ShiroFiler是要依赖SecurityManager,那么什么又是SecurityManager?

SecurityManager

参考 杨白云-001 shiro securityManager分析

什么是SecurityManager?

SecurityManager是Shiro核心,主要协调Shiro内部的各种安全组件,这个我们不需要太关注,只需要知道可以设置自定的Realm。
我们来看看shiro中都有哪些帮我们实现好了的SecurityManager

接口SecurityManager,继承了接口Authorizer,SessionManager,Authenticator,定义了三个方法分别是login、logout、createSubject,
在这里插入图片描述
在这里插入图片描述
我们再来看看该接口的实现类都有哪些
在这里插入图片描述
通过上图我们发现,SecurityManager的实现类有很多,分别是:

  • CachingSecurityManager:接口CachingSecurityManager增加了缓存和日志功能和设置 EventBus
    在这里插入图片描述

  • RealmSecurityManager:RealmSecurityManager增加设置读取realm方法
    在这里插入图片描述

  • AuthenticatingSecurityManager :抽象类AuthenticatingSecurityManager 支持使SecurityManager封装一个Authenticator实例,把对验证的操作都委托给该实例。
    在这里插入图片描述

  • AuthorizingSecurityManager:抽象类AuthorizingSecurityManager支持使SecurityManager封装一个authorizer实例,把对权限验证的操作都委托给该实例
    在这里插入图片描述

  • sesseionSecurityManager支持使SecurityManager封装一个sessionManager实例,把对session的操作都委托给该实例
    在这里插入图片描述

  • 最后是DefaultSecurityManager和DefaultWebSecurityManager,通过这个结构我们能发现,shiro提供给我们的默认的SecurityManager只有这两个,因此通常我们在配置文件中会加入默认该组件(怎么加入?为什么要加入?)。

最后我们再看一下这张图:
在这里插入图片描述
通过这个图我们能发现,SecurityManager组件中的各个子组件都是我们刚才介绍的,那么我们大胆假设一下,既然SecurityManager已经有了默认的实现,还需要我们做什么?是不是只需要new 一个SecurityManager给他加入spring容器中就可以了呢?还是根据我们以往的经验猜测一下,是不是可以自定义认证器?授权器?session管理器?以及缓存管理器?大概率是可以的,那么怎么实现呢?我们查看一下例如CachingSecurityManager的源码就会发现,只需要替换其中的CacheManager 即可(关于为什么只需要替换CacheManager即可的原因,就需要了解spring或者springboot中关于缓存的管理)。

了解完上面这些我们大概对shiro的运行流程有了一点了解,那么接下来我们将shiro组件注册配置进springboot中,来实现认证及授权

ShiroConfig

写在前面的话:

springboot中集成shiro相对简单,只需要两个类:一个是shiroConfig类,一个是CustonRealm类。

ShiroConfig类:

顾名思义就是对shiro的一些配置,相对于之前的xml配置。包括:过滤的文件和权限,密码加密的算法,启用注解等相关功能。

CustomRealm类:

自定义的CustomRealm继承AuthorizingRealm。并且重写父类中的doGetAuthorizationInfo(权限相关)、doGetAuthenticationInfo(身份认证)这两个方法。

OK,下面我们从配置类开始介绍

shiroConfig

原理

在登录接口中传入username和password构建UsernamePasswordToken,然后调用subject的login方法,继而调用realm中的认证和授权

shiroConfig

自定义Realm

十夫长
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot整合Shiro
javaluckyfish的博客
07-08 846
测试(该用户没有export功能,输入地址出现这个)修改ShiroConfig(前面代码弄过了)创建LoginFilter
shiro学习笔记四:shiro拦截器与url匹配规则
chunlulin2540的博客
08-17 1903
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
2024年最新Spring Boot 整合 Shiro ,两种方式全总结!,linux知识点总结
最新发布
2301_79099416的博客
05-09 416
创建一个 Spring Boot 项目,只需要添加 Web 依赖即可:项目创建成功后,加入 Shiro 相关的依赖,完整的 pom.xml 文件中的依赖如下:shiro-web1.4.01.4.0接下来我们来自定义核心组件 Realm:@Override@Overrideif (!throw new UnknownAccountException(“账户不存在!”);在 Realm 中实现简单的认证操作即可,不做授权,授权的具体写法和 SSM 中的 Shiro 一样,不赘述。
spring-boot集成shiro步骤
kka1299的博客
09-15 220
shiro使用
ShiroSpringboot集成Shiro
专注于Java领域开发 关注我 带你玩转Java
06-22 1636
Springboot集成Shiro
Shiro安全框架详解springboot使用示例
weixin_46822367的博客
12-28 2840
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
springboot如何配置使用shiro
爱酷码的博客
01-25 457
其他路径需要认证后才能访问。授权逻辑可以根据实际需求进行修改。完成以上步骤后,就可以通过访问。接口进行登录认证,通过访问。
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
SpringBoot整合Shiro的代码详解
08-29
SpringBoot 整合 Shiro 代码详解 SpringBoot 是一个基于 Java 的开源框架,提供了快速构建生产级别的应用程序的能力。Shiro 是一个权限框架,提供了很方便的权限认证和登录的功能。本文将详细介绍如何将 ...
SpringBoot2整合shiro
11-05
SpringBoot2整合
SpringBoot整合Shiro+JWT
05-15
在本文中,我们将深入探讨如何将SpringBoot与Apache Shiro及JSON Web Tokens(JWT)进行集成,以构建一个安全的用户认证系统。首先,我们来理解这三个关键组件: 1. **SpringBoot**:SpringBoot是Spring框架的一个...
Spring Boot 3.1.2版本使用javax.servlet.Filter时,发现Filter不起作用
Machel_的博客
08-24 2395
在学习Filter的过程中,我实现了Filter的init和destory方法以及doFilter方法后,运行SpringBoot程序发现,我的控制台中并没有输出ini和destory中的调试信息。利用postman发送http请求发现access Filter也没有输出,并且数据很快就获取到了(说明Filter根本没有起阻塞作用)可以看到控制台中并没有输出initialize Filter和destory Filter等信息。二:如果你的spring boot是3及以上版本,要使用。
springBoot整合Shiro(详细教程分析
ggjklncffd的博客
04-18 2931
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
使用springboot 整合 shiro
weixin_47847063的博客
03-08 199
getUser方法和updateUser方法分别对应获取用户和更新用户两个操作,而在这两个方法上,我们使用了@RequiresPermissions注解来进行权限控制。在getUser方法中,我们使用了@PathVariable注解将{id}占位符绑定到方法参数中的id变量上,以获取URL中的动态参数。而在updateUser方法中,我们使用了@RequestBody注解将请求体中的JSON数据绑定到方法参数中的user对象上,以获取更新后的用户信息。当然,具体的实现方式还会因项目需求而异。
Spring-shiro-Boot-1 整合shiro配置文件1-ShiroConfig
良之才的专栏
03-04 1207
shiro是纯java的权限管理框架,可以处理认证、权限、加密等标准需求。 shiro的思路就是给控制处理。封装处理的其实很不错,使用起来很方便。 但是,使用shiro得了解一些它的基本特点。 ======================================= 一、shiro权限模型 (1)配置之前,需要知道基本的权限控制概念。这里使用数据库模型控制。【用户-角色-权限】 (2)权限表--sys_permission (3)角色表-sys_role (4)角色...
Spring Boot整合Shiro详细配置
毛豆的博客
03-26 280
创建你自己的Realm,用于用户的身份验证和授权。@Override// 授权逻辑@Override// 认证逻辑。
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 6246
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
springboot 整合 shiro
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值