SpringBoot与Shiro整合-权限管理实战视频笔记(之二)

最新推荐文章于 2025-04-15 09:42:30 发布
最新推荐文章于 2025-04-15 09:42:30 发布
阅读量3.2k 收藏 19
点赞数 5
分类专栏: Java 文章标签: springboot shiro 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fukaiit/article/details/81676485
版权

本文内容大部分来自黑马视频的SpringBoot与Shiro整合-权限管理实战视频,在此记录为个人学习笔记。
可按步骤操作,无法实操的实战blog都是耍流氓。

三、shiro认证-ShiroConfig配置类

1. shiro的核心API
  • Subject:用户主体(关联SecurityManager,把操作交给SecurityManager)
  • SecurityManager:安全管理器(关联Realm)
  • Realm:shiro连接数据库的桥梁
2. Spring整合shiro

(1)导入shiro和spring整合依赖

<!-- 导入shiro和spring整合依赖 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

(2)自定义Realm类

package com.fukaiit.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class UserRealm extends AuthorizingRealm{

    /**
     * 执行授权逻辑
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
        System.out.println("执行授权逻辑");
        return null;
    }

    /**
     * 执行认证逻辑
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
        System.out.println("执行认证逻辑");
        return null;
    }

}

(3)编写shiro配置类(基本结构)

package com.fukaiit.shiro;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * shiro的配置类
 * @author Administrator
 *
 */
@Configuration
public class ShiroConfig {
    /**
     * 创建ShiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean =new ShiroFilterFactoryBean();
//      设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        return shiroFilterFactoryBean;
    }

    /**
     * 创建DefaultWebSecurityManager
     */
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getdefaultDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //关联Realm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    /**
     * 创建Realm
     */

    @Bean(name="userRealm")
    public UserRealm getRealm(){
        return new UserRealm();
    }
}

四、shiro认证-使用shiro过滤器实现认证资源拦截

1. 在templates下新建user/add.html和user/update.html这里写图片描述
2. 在UserController中编写访问这两个页面的方法
@RequestMapping("/add")
    public String add() {
        return "user/add";
    }

    @RequestMapping("/update")
    public String update() {
        return "user/update";
    }
3. 在testThymeleaf.html页面中添加这两个页面的超链接
进入用户新增页面:<a href="add">用户新增</a>
进入用户更新页面:<a href="update">用户更新</a>

测试可访问。

4. 在getShiroFilterFactoryBean方法中添加拦截
@Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean =new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //添加shiro内置过滤器,实现权限相关的url拦截
        /**
         * 常见过滤器:
         * anon:无需认证(登录)可以访问
         * authc:必须认证才可以访问
         * user:如果使用Remember Me的功能,可以直接访问
         * perms:该资源必须得到资源权限才可以访问
         * role:该资源必须得到角色权限才可以访问
         */
        Map<String, String> filterMap=new LinkedHashMap<String, String>();
        filterMap.put("/add", "authc");
        filterMap.put("/update", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

拦截之后重启,再次访问发现:试图访问add或者update,会自动跳转到login.jsp页面

5. 修改拦截后跳转的页面

(1)在templates下新增login.html页面
(2)在ShiroConfig中shiroFilterFactoryBean方法中修改拦截后跳转的页面

//修改跳转的登录页面
        shiroFilterFactoryBean.setLoginUrl("/toLogin");

(3)在UserController中添加toLogin方法

@RequestMapping("/toLogin")
    public String toLogin() {
        return "login";
    }

测试,当没有权限跳转到该login.html页面

6. 试试用通配符拦截
filterMap.put("/testThymeleaf", "anon");
        filterMap.put("/*", "authc");

五、shiro认证-实现用户登录功能

1. 修改完善之前的login.html页面
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>登录页面</title>
</head>
<body>
    <h1>登录页面</h1>   
    <span style="color:red" th:text="${msg}"></span>
    <form method="post" action="login">
        <input type="text" name="username" /><br>
        <input type="password" name="password"><br>
        <input type="submit" name="submit" value="登录">
    </form> 
</body>
</html>
2. 在UserController中编写/login请求,编写登录的处理逻辑
@RequestMapping("/login")
    public String login(String usernam,String password,Model model) {
        /**
         * 使用shiro编写认证操作
         */
        //获取Subject
        Subject subject=SecurityUtils.getSubject();
        //封装用户数据
        UsernamePasswordToken token=new UsernamePasswordToken(usernam,password);
        //执行登录方法
        try {
            //只要执行login方法,就会去执行UserRealm中的认证逻辑
            subject.login(token);

            //如果没有异常,代表登录成功
            //跳转到textThymeleaf页面,代表主页
            return "redirect:/testThymeleaf";
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            //登录失败
            model.addAttribute("msg","用户名不存在");
            return "login";

        }catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            model.addAttribute("msg","密码错误");
            return "login";
        }
    }

测试发现,并没有进入/login请求,是因为之前写的拦截器(/*)拦截了所有请求,再对/login请求放行filterMap.put("/login", "anon");
重启测试,发现执行了认证逻辑,返回了用户名不存在异常。

3. 在UserRealm中编写shiro认证逻辑
@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
        System.out.println("执行认证逻辑");

        //先写模拟数据进行验证,下一步再连接数据库,假设数据库的用户名和密码如下
        String dbusername="fukaiit";
        String dbpassword="123456";

        //编写shiro判断逻辑,判断用户名和密码

        //1. 判断用户名
        UsernamePasswordToken token=(UsernamePasswordToken) arg0;
        if (!token.getUsername().equals(dbusername)) {
            //用户名不存在
            return null;//shiro底层会抛出UnknownAccountException
        }
        //2. 判断密码
        return new SimpleAuthenticationInfo("",dbpassword,"");//参数1:需要返回给login方法的数据;参数2:数据库密码,shiro会自动判断 

    }
4. 启动程序,进行测试

这里写图片描述

六、shiro认证-整合MyBatis完善用户登录

1. 导入Mybatis相关的依赖
<!-- druid -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.0.9</version>
        </dependency>

        <!-- mysql -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <!-- Spring的MyBatis启动器 -->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>1.1.1</version>
        </dependency>
2. 配置application.properties(src/main/resources下)

(1)创建用户表

-- 创建用户表
CREATE TABLE USER(
  id INT PRIMARY KEY AUTO_INCREMENT,
  NAME VARCHAR(20),
  PASSWORD VARCHAR(20)
);

(2)配置application.properties

spring.datasource.driverClassName=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/springboot-shiro
spring.datasource.username=root
spring.datasource.password=root

# 连接池配置
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource

# mybatis 别名扫描
mybatis.type-aliases-package=com.fukaiit.domain
3. 编写User实体类
package com.fukaiit.domain;

public class User {
    private Integer id;
    private String username;
    private String password;

    //getter and setter methods
}
4. 编写接口UserMapper.java(dao)
package com.fukaiit.mapper;

import com.fukaiit.domain.User;

public interface UserMapper {
    public User findByUsername(String username);
}
5. 编写UserMapper.xml映射文件
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
  PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
  "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.fukaiit.mapper.UserMapper">
  <select id="findByUsername" parameterType="String" resultType="User" >
    select id,username,password from user where username = #{value}
  </select>
</mapper>

Tips:
1. xml的名字必须与接口文件的名字一致;
2. mapper中的namespace必须与接口类的全名一致

6. 编写UserService.java业务接口
package com.fukaiit.service;

import com.fukaiit.domain.User;

public interface UserService {
    public User findByUsername(String username);
}
7. 编写UserServiceImpl.java业务实现类
package com.fukaiit.service.impl;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.fukaiit.domain.User;
import com.fukaiit.mapper.UserMapper;
import com.fukaiit.service.UserService;

@Service
public class UserServiceImpl implements UserService{

    @Autowired
    private UserMapper userMapper;

    @Override
    public User findByUsername(String username) {
        return userMapper.findByUsername(username);
    }

}
8. 在启动类添加@MapperScan注解,开启Mybatis的Mapper接口扫描
@MapperScan("com.fukaiit.mapper")
9. 修改UserRealm.java,调用刚编写的业务
@Autowired
    private UserService userService;

    /**
     * 执行认证逻辑
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
        System.out.println("执行认证逻辑");

        //编写shiro判断逻辑,判断用户名和密码
        //1. 判断用户名
        UsernamePasswordToken token=(UsernamePasswordToken) arg0;
        User user = userService.findByUsername(token.getUsername());
        if (user==null) {
            //用户名不存在
            return null;//shiro底层会抛出UnknownAccountException
        }
        //2. 判断密码
        return new SimpleAuthenticationInfo("",user.getPassword(),"");//参数1:需要返回给login方法的数据;参数2:数据库密码,shiro会自动判断 

    }
10. run

效果同上节最后。

Springboot整合shiro_springboot shiro,程序人生
m0_60567881的博客
04-18 570
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
shiro和spring整合
01-15
shiro和spring整合的所有有jar包
2018年SpringBootShiro整合-权限管理实战视频
11-06
一样的视频我的最便宜,明智之选的,放心啦.
Spring Boot Shiro权限管理
热门推荐
爱笑的博客
08-28 2万+
转:http://412887952-qq-com.iteye.com/blog/2299777 (1). Shiro简单介绍 Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用Java项目的的安全框架,提供了认证、授权、加密、会话管理, Spring Security 一样都是做一个权限的安全框架,但是Spring Security
SpringBoot安全框架对比:ShirovsSpringSecurity深度测评
最新发布
梵心白莲的博客
04-15 637
在当今的 Web 应用开发中,安全性是至关重要的一个方面。Spring Boot 作为流行的 Java 开发框架,为开发者提供了便捷的开发环境。而在 Spring Boot 项目中,选择合适的安全框架来保障应用的安全是一个关键决策。Shiro 和 Spring Security 是两个常用的安全框架,它们都能为应用提供身份验证、授权等安全功能。本文将对这两个框架进行深度测评,帮助开发者更好地了解它们的特点和适用场景。
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring BootShiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring BootShiro整合实现用户认证; Spring BootShiro整合实现用户授权; thymeleaf和shiro标签整合使用。
SpringBootShiro整合-权限管理实战源码.zip
05-22
SpringBootShiro整合-权限管理实战源码
SpringBootShiro整合-权限管理实战资料
08-07
在"SpringBootShiro整合-权限管理实战资料"中,我们首先会学习如何配置Spring Boot来集成Shiro。这包括在项目中引入Shiro的依赖,编写Shiro配置文件,以及设置安全拦截Shiro的配置通常会涉及到如Realm(权限...
SpringBootShiro整合-权限管理实战-课堂笔记.docx
11-14
SpringBootShiro整合-权限管理实战】的课程主要关注如何将Spring BootApache Shiro框架结合起来,实现高效的安全管理。Spring Boot是Spring框架的一个简化版本,旨在提高开发效率,减少配置工作,同时提供了很...
2.2 SpringBootShiro整合-权限管理实战-课堂笔记.docx
04-14
SpringBootShiro整合-权限管理实战】 在本文中,我们将探讨如何将Spring BootApache Shiro框架整合,以实现高效且灵活的权限管理系统。首先,我们需要了解这两个框架的基本概念。 **Spring Boot框架简介** ...
SpringBootShiro整合教程:权限管理实战解析
"该文档是关于《SpringBootShiro整合-权限管理实战》的课堂笔记,涵盖了SpringBoot快速入门,以及如何利用SpringBootShiro实现用户认证和授权的详细教程。此外,还介绍了如何将thymeleaf模板引擎Shiro权限...
SpringBootShiro整合-权限管理实战视频+源码
02-25
SpringBootShiro整合-权限管理实战视频+源码
传智播客2018年SpringBootShiro整合-权限管理实战视频
07-23
传智播客2018年SpringBootShiro整合-权限管理实战视频,老师一步一步写出代码,里面有讲和Mybatis的整合
springboot shiro权限管理
m0_67393828的博客
04-25 569
集成shiro大概分这么一个步骤: () pom.xml中添加Shiro依赖; ()注入Shiro Factory和SecurityManager。 ()身份认证 ()权限控制 一:pom.xml中添加Shiro依赖 1.1:要使用Shiro进行权限控制,那么很明显的就需要添加对Shiro的依赖包,在pom.xml中加入如下配置: <!-- shiro权限控制框架 --> <dependency> <groupId>org.apach
shirospring整合
hjh908778的博客
12-05 213
1.整合 利用maven整合,在pom中维护shiro的依赖包:<properties> <shiro.version>1.2.3</shiro.version> </properties> <!--核心包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shir
Shiro-Spring整合
BtWangZhi的博客
06-02 482
anon:不需要认证即可访问 authBasic: authc:需要认证即可访问 user:需要存在用户才可访问 logout:退出 perms授权 roles ssl安全协议 port端口号
shirospring的整合
BeiyueManzi的博客
06-14 724
shirospring的整合声明这是一篇很浅的啰嗦的混乱的可行性不确定的关于shiro-spring的文章,多多指教,(^__^) 嘻嘻……背景话说这段时间很闲的,工作得有工作的样啊,打游戏看视频又或刷淘宝可不是我能选择的,,,我想学习shiro,正好公司的架构里有用到它,于是,,,必要前提 使用maven构建的项目,额,当然这并不是真的一定必要的; 项目使用了spring-mvc框架 引入jar
shirospring集成
葵歌小妖
04-28 1676
Shiro 应用程序需要一个具有单例SecurityManager 实例的应用程序。请注意, 这不会是一个静态的单例,但应该只有一个应用程序能够使用的实例,无论它是 否是静态单例的。    在Spring 应用程序中启用应用程序单例SecurityManager的最简单配置: <bean class="org.springframework.beans.factory.confi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值