SpringBoot集成Shiro

已于 2024-09-27 15:51:02 修改
阅读量371 收藏 1
点赞数 10
文章标签: spring boot shiro 权限验证
于 2024-09-27 15:49:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guzhangyu12345/article/details/142594629
版权

目录

maven依赖

代码配置

登录/退出/权限验证

Shiro是一个对用户登录与访问权限进行校验的框架,可以方便地与Spring进行集成。本文讲解如何使用Shiro进行登录和权限校验,因为项目中需要获取所有活跃的session,使用了SessionDAO来存储session。

maven依赖

 <dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.13.0</version>
</dependency>
<!-- shiro 整合sping -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.13.0</version>
</dependency>

代码配置

AuthorizingRealm


import java.util.concurrent.TimeUnit;

import javax.annotation.Resource;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AccountException;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;

import com.alibaba.fastjson2.JSON;
import com.alibaba.fastjson2.JSONObject;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.baomidou.mybatisplus.core.toolkit.StringUtils;
import com.digitelectric.network_manage.entity.po.User;
import com.digitelectric.network_manage.mapper.UserMapper;
import com.google.common.collect.Sets;

import lombok.extern.slf4j.Slf4j;

@Slf4j
public class CustomRealm extends AuthorizingRealm {
	
	@Resource
	UserMapper userMapper;
	
	@Resource
	ValueOperations<String, String> valueOperations;
	
	@Resource
	RedisTemplate redisTemplate;
	
	@Resource
	SessionDAO sessionDAO;
	
	@Value("${shiro.session-timeout}")
	private Long timeout;

    //获取当前用户的权限 
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String token = (String) principals.getPrimaryPrincipal();
		String userStr = valueOperations.get(token);
		if (StringUtils.isBlank(userStr)) {
			throw new AccountException("登录失效,请重新登录");
		}
		
		User user = JSONObject.parseObject(userStr, User.class);
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.setRoles(Sets.newHashSet(user.getRole()));
		return info;
	}
    
    //登录
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
		String name = (String) authenticationToken.getPrincipal();
		String password = new String((char[]) authenticationToken.getCredentials());
		
		User user = userMapper.selectOne(new QueryWrapper<User>().eq("name", name));
		if (user==null || !password.equals(user.getPassword())) {
			throw new AuthenticationException("用户名或密码错误");
		}

		Session session = SecurityUtils.getSubject().getSession();
		String token = (String)SecurityUtils.getSubject().getSession().getAttribute(WebConstants.LOGIN_USER_TOKEN);
		if (StringUtils.isBlank(token)) {
			for(Session activeSession:sessionDAO.getActiveSessions()) {
				if(user.getId().equals(activeSession.getAttribute(WebConstants.LOGIN_USER_ID)) && !activeSession.getId().equals(session.getId())) {//用户单点登录控制
					String tmpToken = (String)activeSession.getAttribute(WebConstants.LOGIN_USER_TOKEN);
					if(StringUtils.isNotBlank(tmpToken)) {
						redisTemplate.delete(tmpToken);
					}
					sessionDAO.delete(activeSession);
				}
			}
			
			token = System.currentTimeMillis() + "-" + user.getId();
			user.setToken(token);
			valueOperations.set(token, JSON.toJSONString(user), 1, TimeUnit.DAYS);
			session.setAttribute(WebConstants.LOGIN_USER_ID, user.getId());
	    	session.setAttribute(WebConstants.LOGIN_USER_NAME, user.getName());
	    	session.setAttribute(WebConstants.LOGIN_USER_TOKEN, token);
	    	session.setAttribute(WebConstants.LOGIN_USER, user);
	    	session.setTimeout(timeout);
	    	
		} else {
			log.warn("token不为空");
		}
		
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(token, password, getName());
		return simpleAuthenticationInfo;
	}

}

FormAuthenticationFilter,校验过滤器,在session过期之后,通过请求头中的token来获取登录信息。

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.session.Session;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.springframework.data.redis.core.ValueOperations;

import com.alibaba.fastjson2.JSON;
import com.alibaba.fastjson2.JSONObject;
import com.baomidou.mybatisplus.core.toolkit.StringUtils;
import com.digitelectric.network_manage.entity.po.User;
import com.digitelectric.network_manage.entity.vo.R;

import lombok.extern.slf4j.Slf4j;

@Slf4j
public class MyAuthenticationFilter extends FormAuthenticationFilter {
	
	public MyAuthenticationFilter(Long timeout, ValueOperations<String, Object> valueOperations) {
		this.timeout = timeout;
		this.valueOperations = valueOperations;
	}

	private ValueOperations<String, Object> valueOperations;
	
	private Long timeout;

	/**
	 * 未获取到登录用户时
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		HttpServletRequest httpServletRequest = (HttpServletRequest) request;
		HttpServletResponse httpServletResponse = (HttpServletResponse) response;
		httpServletResponse.setStatus(200);
		httpServletResponse.setContentType("application/json;charset=utf8");
		Session session = this.getSubject(httpServletRequest, httpServletResponse).getSession();
        User user = (User)session.getAttribute(WebConstants.LOGIN_USER);
        String token = httpServletRequest.getHeader("token");
        
        if (user==null) {
        	log.debug("没有获取到登录信息,当前token值:{}", token);

        	//通过头部的token,从缓存中获取用户,并写入到session中
            if(StringUtils.isNotBlank(token)) {
            	String userStr = (String)valueOperations.get(token);
            	if (StringUtils.isBlank(userStr)) {
            		writeNeedLoginInfo(httpServletResponse);
            		return false;
            	}
            	user = JSONObject.parseObject(userStr, User.class);
            	session.setAttribute(WebConstants.LOGIN_USER_ID, user.getId());
            	session.setAttribute(WebConstants.LOGIN_USER_NAME, user.getName());
            	session.setAttribute(WebConstants.LOGIN_USER_TOKEN, token);
            	session.setAttribute(WebConstants.LOGIN_USER, user);
            	session.setTimeout(timeout);
            	log.debug("没有获取到登录信息2,当前token值:{}", token);

                return true;
            }
        } else {
        	log.debug("获取到登录信息,当前token值:{}", token);
        	session.setAttribute(WebConstants.LOGIN_USER_ID, user.getId());
        	session.setAttribute(WebConstants.LOGIN_USER_NAME, user.getName());
        	session.setAttribute(WebConstants.LOGIN_USER_TOKEN, token);
        	session.setAttribute(WebConstants.LOGIN_USER, user);
        	session.setTimeout(timeout);
            return true;
        }
		
        writeNeedLoginInfo(httpServletResponse);
        return false;
    }

	/**
	 * 返回需要登录的json结果
	 * @param httpServletResponse
	 * @throws IOException
	 */
	private void writeNeedLoginInfo(HttpServletResponse httpServletResponse) throws IOException {
        PrintWriter out = httpServletResponse.getWriter();
        out.println(JSON.toJSONString(R.failWithCode(7777, "请先登录")));
        out.flush();
        out.close();
    }
	
	
}

WebConstants

public interface WebConstants {

	String LOGIN_USER_ID = "loginUserId", LOGIN_USER_TOKEN = "loginUserToken", LOGIN_USER_NAME = "loginUserName", LOGIN_USER = "loginUser";
}

Shiro相关Bean注入配置类

import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.data.redis.core.ValueOperations;

@Configuration
public class ShiroConfig {

	@Bean("shiroFilter")
	public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager, @Value("${shiro.session-timeout}") Long sessionTimeout, ValueOperations<String, Object> valueOperations) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon");
        
        //swagger相关的请求,放行
        filterChainDefinitionMap.put("/webjars/**", "anon");
        filterChainDefinitionMap.put("/swagger-ui.html", "anon");
        filterChainDefinitionMap.put("/swagger-resources/**", "anon");
        filterChainDefinitionMap.put("/v2/**", "anon");
        filterChainDefinitionMap.put("/doc.html", "anon");
        filterChainDefinitionMap.put("/ws/**", "anon");

        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        Map<String, Filter> filters = new HashMap<>();
        filters.put("authc", new MyAuthenticationFilter(sessionTimeout, valueOperations));
        shiroFilterFactoryBean.setFilters(filters);
        return shiroFilterFactoryBean;
    }
	
	@Bean 
	public SessionDAO sessionDAO() {
		return new MemorySessionDAO();
	}

	/**
	 * 设置sessionDAO
	 * @param sessionDAO
	 * @return
	 */
	@Bean
	public SecurityManager securityManager(SessionDAO sessionDAO) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

		DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
		sessionManager.setSessionDAO(sessionDAO);
		sessionManager.setGlobalSessionTimeout(2 * 3600000);
		securityManager.setSessionManager(sessionManager);
		securityManager.setRealm(customRealm());
		return securityManager;
	}
	
	@Bean
	public CustomRealm customRealm() {
		return new CustomRealm();
	}
	

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 以下两个bean(其中DefaultAdvisorAutoProxyCreator可选)
     * 用于启用 @RequiresRoles 和 @RequiresPermissions 注解
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SessionDAO sessionDAO) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager(sessionDAO));
        return authorizationAttributeSourceAdvisor;
    }
}

application.yml配置

shiro:
  session-timeout: 999999

登录/退出/权限验证

登录

	@PostMapping("login")
	@ApiOperation(value = "登录")
	public R<User> login(String name, String password) {
		Subject subject = SecurityUtils.getSubject();
		User user = userMapper.selectOne(new QueryWrapper<User>().eq("name", name));
		if (user==null) {
			throw new AuthenticationException("用户名或密码错误");
		}
		UsernamePasswordToken token = new UsernamePasswordToken(name, MD5SecurityUtil.encryptMD5(password));
		subject.login(token); // 登录动作
		return R.ok(getCurrentLoginUser());
	}

    public User getCurrentLoginUser() {
		 User user = (User)         
         SecurityUtils.getSubject().getSession().getAttribute(WebConstants.LOGIN_USER);
		 if(user==null) {
			 throw new AccountException();
		 }
		 return user;
	 }

退出

	@PostMapping("logout")
    @ApiOperation(value = "登出")
    public R<User> logout() {
        Subject subject = SecurityUtils.getSubject();
        subject.getSession().removeAttribute(WebConstants.LOGIN_USER);
        subject.getSession().removeAttribute(WebConstants.LOGIN_USER_ID);
        String token = (String)subject.getSession().removeAttribute(WebConstants.LOGIN_USER_TOKEN);
        redisTemplate.delete(token);
        subject.getSession().removeAttribute(WebConstants.LOGIN_USER_NAME);
        
        subject.logout();
        return R.ok();
    }

权限校验,注意logical,表示校验权限时是包含所有权限,还是包含其中一个权限即可。

	@RequiresRoles(value = {"ADMIN", "NORMAL"}, logical = Logical.OR)
	@ApiOperation("添加")
	@PostMapping
	public R add(@RequestBody District district) {
		if (districtMapper.selectCount(new QueryWrapper<District>().eq("name", district.getName())) > 0) {
			return R.fail("区域名重复");
		}
		districtMapper.insert(district);
		return R.ok(district);
	}

智慧的牛
关注
Spring Bootshiro整合(中)
实践求真知
11-08 476
一 配置 1 MyShiroRealm类 package com.wzq.shiro.config; import javax.annotation.Resource; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; impor...
springboot集成shiro
IT_10000
10-09 433
第一步. pom依赖 &amp;amp;lt;!--shiro--&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;shiro-spr
SpringBoot_shrio_集成shrio
啤酒就辣条
05-17 563
shrio概念学习:张开涛老师讲shrio下面集成一下shrio1、jar包 &lt;!--shiro依赖--&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;...
SpringBoot3 集成 Shiro
最新发布
同步云
08-05 1270
是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、桌面应用、RESTful服务、移动应用和大型企业级应用。没有 Spring Security 那么多晦涩的概念和术语,其原理非常清晰易懂,也非常容易集成到自己的项目中。
SpringBoot整合Shiro(超详细,适合新手学习,附有源码)
lianaozhe的博客
03-24 1394
shiro是什么呢?Shiro是一个功能强大,简单易用的 Java 安全框架,提供了用户认证、授权、加密、会话管理、缓存等功能。和目前另一款Java安全框架Spring Security相比,Shiro更加轻便,易于上手。各功能点介绍Authentication:用户身份认证/登录,即验证用户是不是合法用户Authorization:用户权限验证,即验证用户是否拥有某个角色,是否拥有某个权限
Springboot集成shiro框架:
Li_582258的博客
12-03 2343
shiro整合springboot项目
SpringBoot集成shiro,MyRealm中无法@Autowired注入Service的问题
08-26
总结来说,Spring Boot集成Shiro时,如果在`MyRealm`中遇到`@Autowired`注入Service的问题,需要检查是否正确地将`MyRealm`声明为Spring Bean,并通过`@Bean`注解进行管理。同时,确保所有依赖都遵循Spring的依赖...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
springBoot整合shiro,mybatis
06-25
springBoot整合shiro,mybatis源码。。。。。。。。。
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 4143
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
Springboot整合Shiro框架入门
qq_42640067的博客
09-25 1775
Springboot集成Shiro框架1、快速开始demo2、Springboot集成Shiro2.1、环境搭建2.2、shiro的拦截2.3、shiro的认证2.4、整合mybatis2.5、shiro进行授权2.6、shiro整合thymeleaf 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐的10分钟入门demo进行测试。 创建一
SpringBoot3 + Vue3 学习 Day 3
2401_83694336的博客
07-21 1151
而更新文章分类需要 id 、tegoryName 和 categoryAlias 都不为空,这就出现了一个问题,如果满足 更新文章分类的要求的话,给 id 加上 @ NotNull 的注解,那就 新增不了文章分类了,因为add 是没有id的,全靠数据库自动生成。处理 category 参数校验时, 新增文章分类 add( ),只需要categoryName 和 categoryAlias 不为空就行,id 由数据库自动生成。他是有脑子的,而 mapper层 是真正的体力层,不需要有脑子。
shiro 之退出登录
分享日常bug
11-11 969
这样当我们退出以后,会再次跳转到首页,我们再点击add标签的时候,会提示你重新登录,但是如果我logout函数里的redirect 给去掉,改成return "index;我就发现,它还可以直接进入到add页面,似乎注销并没有起作用,关于redirect我还不是特别清楚,暂时先这样写吧。
shiro整合springboot的登录与退出
虾米大王的学习历程
10-07 226
在src/main/java下,新键shiro配置类。新建springboot项目,导入依赖。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值