SpringBoot框架整合Shiro

已于 2022-06-06 15:21:09 修改
阅读量622 收藏 1
点赞数 1
文章标签: spring boot java postman spring
于 2022-06-06 15:06:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happy_wang_wang/article/details/125143630
版权

Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它为开发人员提供了一个直观而全面的身份验证、授权、加密和会话管理解决方案。

shiro框架的基本使用和介绍详情可见下面这篇文章供大家了解和参考:

https://www.jianshu.com/p/9c2da6734acd?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

1.创建一个SpringBoot项目并且添加如下依赖

本文使用的SpringBoot版本如下是2.7.0

引入依赖:

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-tomcat</artifactId>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.20</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!-- shiro 注解会用到 aop -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.1.0</version>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.1.0</version>
        </dependency>


        <dependency>
            <groupId>org.apache.velocity</groupId>
            <artifactId>velocity-engine-core</artifactId>
            <version>2.0</version>
        </dependency>

    </dependencies>

2.编写自定义的Realm继承AuthorizingRealm重写两个方法

1.doGetAuthorizationInfo方法:doGetAuthorizationInfo是授权的方法,在拦截器中进行权限校验的时候会调用。

2.doGetAuthenticationInfo方法:doGetAuthenticationInfo是认证的方法,用户首次登录的时候会进入这里进行密码校验。

public class TryShiroRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Autowired
    private RoleService roleService;

    @Autowired
    private PermissionService permissionService;

    /**
     * doGetAuthorizationInfo是授权的方法,在拦截器中进行权限校验的时候会调用
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //AuthorizationInfo 接口的简单 POJO 实现,将角色和权限存储为内部属性,获取角色的信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //这个可以用来获取在登录的时候提交的其他额外的参数信息
        // HttpServletRequest request = (HttpServletRequest) ((WebSubject)(SecurityUtils
        // .getSubject())).getServletRequest();
        String username = (String) principals.getPrimaryPrincipal();
        // 受理权限
        // 角色
        Set<String> roles = new HashSet<>();
        //查找并添加角色
        Role role = roleService.getRoleByUserName(username);
        System.out.println(role.getRoleName());
        roles.add(role.getRoleName());
        //设置角色名
        authorizationInfo.setRoles(roles);
        // 权限
        Set<String> permissions = new HashSet<>();
        List<Permission> queryPermissions = permissionService.getPermissionsByRoleId(role.getId());
        for (Permission permission : queryPermissions) {
            permissions.add(permission.getPermissionName());
        }
        //设置权限
        authorizationInfo.setStringPermissions(permissions);
        return authorizationInfo;
    }



    /**
     * doGetAuthenticationInfo是认证的方法
     * 用户首次登录的时候会进入这里
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        String loginName = (String) authenticationToken.getPrincipal();
        //获取用户的密码
        User user = userService.getOne(new QueryWrapper<User>().eq("username", loginName));
        if (user == null) {
            //不存在账号
            throw new UnknownAccountException();
        }
        String password = new String((char[]) authenticationToken.getCredentials());
        String inpass = (new Md5Hash(password, user.getUsername())).toString();
        //加密后的密码与数据库中的密码进行比较
        if (!user.getPassword().equals(inpass)) {
            throw new IncorrectCredentialsException();
        }
        // 交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(loginName, user.getPassword(),
                ByteSource.Util.bytes(loginName), getName());
        return authenticationInfo;
    }
}

3.编写ShiroConfiguration

编写shiro的配置并注入。

ShiroFilterFactoryBean:定义主 Shiro 过滤器。

HashedCredentialsMatcher:HashedCredentialMatcher 在与数据存储中的 AuthenticationInfo 中的凭据进行比较之前,支持对提供的 AuthenticationToken 凭据进行散列处理。可以理解为加密方式。

SecurityManager:为单个应用程序中的所有主题(也称为用户)执行所有安全操作。也可以理解为扩展了 Authenticator、Authenticator 和 SessionManager 接口,从而将这些行为整合到一个单一的参考点中。对于大多数 Shiro 用法,这简化了配置,并且往往比分别引用 Authenticator、Authorizer 和 SessionManager 实例更方便;相反,只需要与单个 SecurityManager 实例进行交互。

@Configuration
public class ShiroConfiguration {

    /**
     * Sl4j日志输出
     */
    private static final Logger logger = LoggerFactory.getLogger(ShiroConfiguration.class);

    /**
     * shiro的web过滤器Factory 命名为:shiroFilter
     * @param securityManager
     * @return
     */
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 需要权限的请求,如果没有登录则会跳转到这里设置的url
        shiroFilterFactoryBean.setLoginUrl("/login.html");
        // 设置登录成功跳转url,一般在登录成功后自己代码设置跳转url,此处基本没用
        shiroFilterFactoryBean.setSuccessUrl("/main.html");
        // 设置无权限跳转界面,此处一般不生效,一般自定义异常
        shiroFilterFactoryBean.setUnauthorizedUrl("/error.html");
        LinkedHashMap<String, Filter> filterMap = new LinkedHashMap<>();

        shiroFilterFactoryBean.setFilters(filterMap);
        /*
         * 定义shiro过滤器链 Map结构
         * Map中key(xml中是指value的值)的第一个‘/’代表的路径是相对于HttpServletRequest.getContextPath()的值来的
         * anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种
         * authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.
         * FormAuthenticationFilter
         */
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        /*
         *  过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
         *  authc:所有url都必须认证通过才可以访问;
         *  anon: 所有url都都可以匿名访问
         */
        filterChainDefinitionMap.put("/login.html", "authc");
        filterChainDefinitionMap.put("/user/login", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean(name = "credentialsMatcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 散列算法:这里使用MD5算法
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 散列的次数
        hashedCredentialsMatcher.setHashIterations(1);
        // storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
        return hashedCredentialsMatcher;
    }

    /**
     * Shiro Realm 继承自AuthorizingRealm的自定义Realm
     * 即指定Shiro验证用户登录的类为自定义的
     * @return
     */
    @Bean
    public TryShiroRealm TryShiroRealm() {
        TryShiroRealm tryShiroRealm = new TryShiroRealm();
        tryShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return tryShiroRealm;
    }

    /**
     * 权限管理
     * @return
     */
    @Bean
    public SecurityManager securityManager() {
        logger.info("===========================shiro=========================");
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(TryShiroRealm());
        //
        return securityManager;
    }

    /**
     * 开启shiro注解(如@RequiresRoles,@RequiresPermission)
     * ,需借助SpringAOP扫描使用Shiro注解的类,并再必要时进行安全逻辑验证
     * 通过注入 Advisor 来增强一些类的和方法
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }

}

4.自定义异常类

/**
 * 自定义异常类
 * @ControllerAdvice 本质上是一个Component,因此也会被当成组建扫描
 * 是aop思想的一种实现,你告诉我需要拦截规则,我帮你把他们拦下来
 * 具体你想做更细致的拦截筛选和拦截之后的处理,
 * 你自己通过@ExceptionHandler、@InitBinder 或 @ModelAttribute这三个注解以及被其注解的方法来自定义
 */
@ControllerAdvice
public class ShiroException {
	/**
	 * 接收Throwable类作为参数,我们知道Throwable是所有异常的父类,所以说,可以自行指定所有异常
	 * 拦截异常后进行处理
	 * @return
	 */
	@ExceptionHandler(value = UnauthorizedException.class)
	@ResponseBody
	public String name() {
		return "没有权限!";
	}
}

5.控制层代码:

@RestController
@RequestMapping("/user")
@Slf4j
public class UserController {

    @PostMapping("/login")
    public String name(String username, String password) {
        String result = "已经登录";
        Subject currentUser = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        if (!currentUser.isAuthenticated()) {
            try {
                // 会触发doGetAuthenticationInfo方法
                currentUser.login(token);
                result = "登录成功";
            } catch (UnknownAccountException e) {
                result = "用户名错误";
            } catch (IncorrectCredentialsException e) {
                result = "密码错误";
            }
        }
        return result;
    }

    @GetMapping("/logout")
    public void logout() {
        Subject currentUser = SecurityUtils.getSubject();
        currentUser.logout();
    }

    @RequiresPermissions("role:update")
    @GetMapping("/role")
    public String name() {
        return "hello";
    }

    @RequiresPermissions("user:select")
    @GetMapping("/role2")
    public String permission() {
        return "hello role2";
    }
}

6.源代码以及数据库文件拉取位置:

https://gitee.com/shao-xiaowang/spring-boot-shiro

你读书了吗?
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SpringBoot整合Shiro
WDH_05的博客
12-06 338
1,前言 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 创建用户,分配权限。 用户登录,权限拦截器拦截请求,识别当前用户登录信息 从权限表中判断是否拥有权限 从以上步骤中可以提取到以下三个问题。 1.如何让Shiro拦截请求。     在web开发中,Shiro会提供一个拦截器来对请求进行拦截。 2.Shiro如何判断发起请求用户的身份?     在web开发中,会借助session来判断,如果禁用了
非starter方式实现springbootshiro集成
serdonty的博客
08-13 448
非starter方式实现springbootshiro集成Apache Shiro是什么?Apache Shiro的主要APISubjectSecurityManagerRealmApache Shiro与Spring集成依赖引入开发集成shiro的配置类注册跨域过滤器开发和配置安全数据源配置Shiro安全管理器配置shiro过滤器拦截规则定义配置shiro过滤器配置shiro生命周期管理器登录...
SpringBoot整合Shiro并实现登录
qq_40738239的博客
02-14 939
SpringBoot整合Shiro并实现登录 和 退出登录
Spring Boot集成Shiro实现和简单说明
想到哪记到哪
03-06 357
SpringBoot集成shiro,最基本的分为三个地方,自定义realm,注解shiro相关实体,登录身份验证
springboot整合shiro实现登录功能
SandorClegane1的博客
03-26 380
springboot中的shiro使用 1.首先pom文件中的依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> &
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者快速实现身份验证和授权管理。 一、...
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
SpringBoot2.0整合Shiro框架实现用户权限管理的示例 本文主要介绍了SpringBoot2.0整合Shiro框架实现用户权限管理的示例,通过详细的示例代码,展示了如何使用Shiro框架来实现用户权限管理。下面是对应的知识点: 1...
springboot 完美整合shiro脚手架demo
02-20
本项目采用 springboot mybatis 整合shiro脚手架demo,非常适合零基础学习shiro框架的人学习,入门级demo简单易懂
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证和授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
springbootshiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成...
Spring Boot快速整合Shiro
weixin_52487106的博客
03-29 1798
Spring Boot快速整合Shiro
2021-07-09 springboot 整合shiro(前后端分离解决方案)
worimadeca的博客
07-09 1624
springboot 整合shiro(前后端分离解决方案) 前言 网上大多数关于springboot整合shiro的教程是非前后端分离的,认证、授权失败的处理都是页面跳转,不是返回json数据,本文旨在解决这一问题。 目标 登录失败,不跳转页面,返回 Json 字符串 {code:xxx, msg:xxx} 权限不足时,不跳转页面,返回 Json 字符串 {code:xxx, msg:xxx} 跳转到哪里去,由前端自己判断 怎么做 创建springboot项目,引入依赖 pox.xml pom.x
Springboot整合Shiro实现登录认证
qq_42077317的博客
07-08 1033
另外,如果我们想要控制对于接口访问权限,也可以使用Shiro相关注解实现,比如像 @RequestPermissions这样的注解就可以进行控制用户的权限,这里就不做过多说明了。Realm,可以有1个或多个Realm,即安全实体数据源,即用于获取安全实体的;Shiro 是一个功能强大且易于使用的轻量级Java安全框架,包括身份验证、授权、加密及会话管理,使用Shiro易于理解的API,可以轻松地保护任何应用程序。SecurityManager即安全管理器,可以视为拦截器,拦截请求,并转至shiro中处理。
2. SpringBoot 整合 Shiro
ZL_2014的博客
04-08 122
文章目录0.版本1. 关键2. 整合2.1 创建SpringBoot项目 ...TODO2.2 引入shiro依赖2.3 配置Shiro2.3.1 常见过滤器2.4 登录认证2.4.1 流程解析2.4.1 index.jsp / login.jsp2.4.2 编写 Realm 模拟认证2.4.5 编写认证Controller2.5 退出2.6 注册 / 登录 (md5 + salt + hash + mybatis)2.6.1 引入MyBatis / Mysql 等 依赖2.6.2 SpringBoot
springboot整合shiro详细介绍
qq_19891197的博客
10-23 528
springboot整合shiro详细介绍
SpringBoot整合Shiro(超详细,适合新手学习,附有源码)
lianaozhe的博客
03-24 1284
shiro是什么呢?Shiro是一个功能强大,简单易用的 Java 安全框架,提供了用户认证、授权、加密、会话管理、缓存等功能。和目前另一款Java安全框架Spring Security相比,Shiro更加轻便,易于上手。各功能点介绍Authentication:用户身份认证/登录,即验证用户是不是合法用户Authorization:用户权限验证,即验证用户是否拥有某个角色,是否拥有某个权限。
SpringBoot学习-(二十五)SpringBoot整合Shiro(详细版本)
大白能的博客
04-25 3336
整合内容包括 自定义realm,实现认证和授权 自定义加密,实现密码加密验证 自定义Cachemanager、Cache,实现Shiro的cache管理,存储在redis中 自定义SessionManager、SessionDao、SessionIdCookie,实现Shiro的session管理,存储在redsi中 自定义RememberMeManager、RemeberMeCookie,实...
springboot整合shior
qq_15513905的博客
07-05 110
ssm整合springboot时,使用的是xml配置文件进行配置,但是在springboot中,没有xml配置文件,就需要手动创建一个配置类,来进行对shiro的配置。 1.创建一个UserRealm,继承AuthorizingRealm 类,在 重写的 doGetAuthenticationInfo 方法中实现对登录用户的认证,使用获取到的用户名从数据库中查询是否有这个用户,如果有则进行密码的比对认证,如果没有则直接返回null。 protected AuthenticationInfo doG.
学习在Springboot使用shiro过程中遇到的一些问题和解决方式
m0_67402013的博客
03-30 575
shiro部分1 Quickstart需要改动的地方 import org.apache.shiro.ini.IniSecurityManagerFactory; import org.apache.shiro.lang.util.Factory; ini,lang不存在可分别改成config,util import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.util.Factory; shiro
springboot-shiro整合集成教程
最新发布
10-12
"Spring Boot 整合 Apache Shiro 教程" Apache Shiro 是一个全面的 Java 安全框架,它负责处理身份验证、授权、密码管理和会话管理等多个安全相关任务。Shiro 的设计目标是简化安全编程,通过提供直观易用的 API,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值