SpringBoot整合shiro的基本使用

已于 2024-06-30 11:20:12 修改
阅读量150 收藏 5
点赞数 5
文章标签: spring boot 后端 java
于 2024-06-21 11:39:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjvvlkn/article/details/139856933
版权

1、编写一个新的认证对象继承自AuthenticationToken,当然也可以直接使用AuthenticationToken

package com.mochenli.eternalstar.shiro.token;
import com.mochenli.eternalstar.common.util.TokenUtil;
import org.apache.shiro.authc.AuthenticationToken;

/**
 * @author: MoChenLi
 * @description:
 * @createTime: 2024-06-08 12:04
 */
public class JwtToken implements AuthenticationToken {//实现shiro默认的token认证类

    private String username;
    private String token;

    public JwtToken(String token) {
        this.token = token;
        this.username = TokenUtil.analysisTokenByUserName(token);
    }
    public JwtToken(){

    }
    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    @Override
    public Object getPrincipal() {
        return username;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

2、编写一个过滤器JwtFliter继承自AuthenticatingFilter

package com.mochenli.eternalstar.shiro.filter;

import cn.hutool.core.util.StrUtil;
import cn.hutool.json.JSONUtil;
import com.mochenli.eternalstar.common.enums.ExceptionCode;
import com.mochenli.eternalstar.common.exception.BaseException;
import com.mochenli.eternalstar.common.util.ApiResponse;
import com.mochenli.eternalstar.common.util.CookiesUtil;
import com.mochenli.eternalstar.common.util.TokenUtil;
import com.mochenli.eternalstar.shiro.token.JwtToken;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.EqualsAndHashCode;
import lombok.NoArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author: MoChenLi
 * @description
 * @createTime: 2024-06-08 13:11
 */
@EqualsAndHashCode(callSuper = true)
@Slf4j
@AllArgsConstructor
@NoArgsConstructor
@Data
public class JwtFilter extends AuthenticatingFilter {

    private String token;
    private boolean enabledTest;

    /**
     * order 1
     * 判断允许进行访问   如果为true就直接跳过其他方法 所以一般设置为false直接进入下一步验证onAccessDenied
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return false;
    }
    /**
     * order 2
     * 当请求访问受限资源时会调用此方法。它是过滤器执行的核心逻辑,用于处理未授权的请求。
     * 详细解释:
     * 检查请求中是否包含有效的认证信息(如 JWT token)。
     * 如果包含有效的认证信息,调用 executeLogin 方法执行登录。
     * 如果不包含认证信息或认证信息无效,处理异常并返回适当的响应(如 401 未授权)。
     * 当执行executeLogin就会进入createToken方法
     *
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
       HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        httpServletResponse.setContentType("application/json");
        httpServletResponse.setCharacterEncoding("utf-8");
        //允许所有来源
        httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
        // 预检请求的有效期(秒)
        httpServletResponse.addHeader("Access-Control-Max-Age", "3600");
        //允许的请求头
        httpServletResponse.addHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With");
        //允许的HTTP方法
        httpServletResponse.addHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");
        //允许携带凭证
        //httpServletResponse.addHeader("Access-Control-Allow-Credentials", "true");
        return executeLogin(servletRequest, httpServletResponse);
    }
    /**
     * order3
     * 重写执行登录流程
     *
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
            try {
                HttpServletRequest httpServletRequest = (HttpServletRequest) request;
                //通过预检请求  如果是OPTIONS请求,直接返回true,表示放行
                if (httpServletRequest.getMethod().equalsIgnoreCase(OPTIONS_METHOD)) {
                    return true;
                }
                JwtToken token = this.createToken(request, response);
                if (token == null) {
                    throw  new BaseException(ExceptionCode.UNAUTHORIZED.getCode(), "没有凭证!");
                }
                Subject subject = this.getSubject(request, response);
                subject.login(token);
                return this.onLoginSuccess(token, subject, request, response);
            } catch (Exception var5) {
                return this.onLoginFailure( var5, request, response);
            }
    }
    /**
     * order 4
     * 创建token 构建token后跳转到Realm当中的doGetAuthenticationInfo认证方法对token进行认证
     *
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws Exception
     */
    @Override
    protected JwtToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        //获取请求头当中的token
        String authorToken = httpServletRequest.getHeader("Authorization");
        String tokenToCookies = CookiesUtil.tokenToCookies(httpServletRequest, "token");
        String[] tokens = {authorToken, tokenToCookies};
        String token = TokenUtil.tokenChoice(tokens, "mochenli");
        if(enabledTest&&authorToken!=null&&authorToken.equals(this.token)) {
            JwtToken jwtToken = new JwtToken();
            jwtToken.setToken("swagger");
            jwtToken.setUsername("swaggerTest");
            return jwtToken;
        }
        //判断token为空并且请求类型是Bearer
        if (StrUtil.isNotBlank(token)) {
            return new JwtToken(token);
        }
            return  null;
    }
        /**
         * 认证失败的时候,返回 401 ,认证不通过的 JSON 提示
         *
         * @param e
         * @param request
         * @param response
         * @return
         */
        protected boolean onLoginFailure (Exception e, ServletRequest
        request, ServletResponse response){
            // 设置响应 Header
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            try {
                ApiResponse apiResponse =null;
                // 处理登录失败的异常
                Throwable throwable = e.getCause() == null ? e : e.getCause();
                if(throwable instanceof BaseException){
                    BaseException baseException = (BaseException) throwable;
                    apiResponse  = new ApiResponse(baseException.getStatusCode(), baseException.getMessage(), null);
                }else{
                    apiResponse  = new ApiResponse(ExceptionCode.UNAUTHORIZED.getCode(), throwable.getMessage(), null);
                }
                throwable.printStackTrace();
                String jsonStr = JSONUtil.toJsonStr(apiResponse);
                httpResponse.setStatus(apiResponse.getStatus());
                httpResponse.getWriter().print(jsonStr);
            } catch (IOException ignored) {

            }
            return false;
        }
    }

3、自定义Realm实现授权认证

package com.mochenli.eternalstar.shiro.config;

import cn.hutool.core.date.DateUtil;
import com.mochenli.eternalstar.common.enums.ExceptionCode;
import com.mochenli.eternalstar.common.exception.BaseException;
import com.mochenli.eternalstar.shiro.token.JwtToken;
import com.mochenli.eternalstar.system.entity.SystemToken;
import com.mochenli.eternalstar.system.mapper.SystemTokenMapper;
import com.mochenli.eternalstar.system.service.SystemMenuService;
import com.mochenli.eternalstar.system.service.SystemRoleService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import java.util.Date;
import java.util.HashSet;
import java.util.Set;
import java.util.concurrent.CompletableFuture;

/**
 * @author: MoChenLi
 * @description:自定义Realm实现授权认证
 * @createTime: 2024-06-06 21:46
 */
@Component
public class ShiroRealm extends AuthorizingRealm  {
    @Autowired
    private SystemMenuService systemMenuService;

    @Autowired
    private SystemRoleService systemRoleService;

    @Autowired
    private SystemTokenMapper systemTokenMapper;



    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }
    /**
     *授权
     * 通过认证后 doGetAuthenticationInfo 传过来认证成功的用户进行授权管理 如果返回为null证明不需要权限
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获取认证成功传递过来的用户对象
        String userName = (String)principalCollection.getPrimaryPrincipal();
        Set<String> stringSet = new HashSet<>();
        if("swaggerTest".equals(userName)){
            stringSet = systemMenuService.selectMenuAll();
            info.setStringPermissions(stringSet);
            return info;
        }
        boolean rootBoolean = systemRoleService.selectByUserName(userName);
        //如果是未被禁用的超级管理员直接通过
        if(rootBoolean){
         stringSet = systemMenuService.selectMenuAll();
        }else{
            stringSet = systemMenuService.selectMenuByUserId(userName);
        }
        info.setStringPermissions(stringSet);
        return info;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        JwtToken token = (JwtToken) authenticationToken;
        if("swagger".equals(token.getToken())&&"swaggerTest".equals(token.getUsername())){
            return new SimpleAuthenticationInfo(token.getUsername(), token.getCredentials(), getName());
        }
        SystemToken systemToken = systemTokenMapper.selectOneById(token.getUsername());
        if(systemToken == null||systemToken.getExpirationTime().before(new Date())){
            throw new BaseException(ExceptionCode.UNAUTHORIZED.getCode(),"凭证过期!");
        }
        //异步更新过期时间
        CompletableFuture.runAsync(() -> {
            systemToken.setExpirationTime(DateUtil.offsetMinute(new Date(), 30));
            systemTokenMapper.insertOrUpdate(systemToken);
        });
        return new SimpleAuthenticationInfo(token.getUsername(), token.getCredentials(), getName());
    }

}

4、定义一个ShiroConfig配置类将安全管理器和过滤器工厂注册成bean,在安全管理器当中设置自定义的Realm,以及将前面定义的过滤器添加自需要授权认证的请求路径

package com.mochenli.eternalstar.shiro.config;

import com.mochenli.eternalstar.knife4j.properties.SpringdocTestProperties;
import com.mochenli.eternalstar.shiro.filter.JwtFilter;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author: MoChenLi
 * @description:
 * @createTime: 2024-06-06 21:48
 */
@Configuration
public class ShiroConfig   {
    @Autowired
    ShiroRealm shiroRealm;

    @Autowired
    SpringdocTestProperties springdocTestProperties;

    /**
     * 定义安全管理器
     * @return
     */
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm);
        // 关闭shiroDao功能
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        // 不需要将ShiroSession中的东西存到任何地方包括Http Session中)
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        //用shiroFilter工厂进行添加自定义的过滤器
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        Map<String, Filter> filerMap = new LinkedHashMap<>();
        filerMap.put("jwtFiler",new JwtFilter(springdocTestProperties.getToken(),springdocTestProperties.isEnabledTest()));
        //设置过滤器,map
        shiroFilter.setFilters(filerMap);
        //设置安全管理
        shiroFilter.setSecurityManager(securityManager);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //authc走默认授权
        //anon不用授权
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/doc.html", "anon");
        filterChainDefinitionMap.put("/v3/api-docs/**", "anon");
        filterChainDefinitionMap.put("/favicon.ico", "anon");
        filterChainDefinitionMap.put("/webjars/**", "anon");
        filterChainDefinitionMap.put("/**", "jwtFiler");
        //设置映射链的规则
        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilter;

    }


}
springboot整合shiro使用
qq_40951656的博客
11-20 281
springboot整合shiro
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
Springboot使用shiro
qq_38345598的博客
01-28 3925
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
springboot使用shiro
chenyidong521的博客
04-04 611
首先在pom文件中添加shiro的jar包 &lt;!--权限验证Shiro--&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;versio...
springboot整合shiro -shiro介绍(一)
这个名字想了很久
09-02 5676
原文地址,转载请注明出处:&amp;amp;amp;amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80294096&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;©王赛超&amp;a
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
SpringBoot整合Shiro基本使用
A9541170的博客
03-11 156
Spring整合Shiro基本使用 导入依赖 <!--shiro整合spring--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</vers...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Shiro基本使用及其与SpringBoot整合(一)
最新发布
Augenstern_QXL的博客
03-28 1026
✍、Shiro基本使用及其与SpringBoot整合(一)
springboot整合Shiro
qq_45796208的博客
03-29 484
如果了解springboot如何整合shiro可以跳过介绍 这里写目录标题什么是ShiroShiro的三大核心概念Subject:SecurityManager:Realm:Shiro功能介绍Authentication:Authorization:Session Manager:Cryptography:Caching:Concurrency:Testing:Run As:Remember Me:Shiro面试题(待补充)Springboot整合Shiro导入依赖配置javaConfig常用拦截器分类说明
SpringBoot整合Shiro实战
伍婷的专栏
03-22 212
前言单看此篇文章有些雾里看花的感觉,可以去github上进行源码下载,结合自己的理解来学习SpringBootShiro整合。本篇文章具体讲解SpringBootShiro整合操...
SpringBoot使用Shiro验证登录笔记
Damionew的博客
12-06 1933
笔记: 1.使用Authentication,验证用户登录 1、Authentication:是验证用户身份的过程。 2、Authorization:是授权访问控制,用于对用户进行的操作进行人证授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。 添加依赖: org.apache.shiro shiro-core 1.2.4
springboot + shiro快速入门,五分钟教会你如何在springboot使用shiro
m0_59485371的博客
03-21 2259
springboot整合shiro快速入门 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> </dependency>
9、SpringBootShiro
Surplus.的博客
10-13 479
文章目录8.1、Shiro快速开始8.2、Shiro快速开始8.3、Shiro的Subject分析8.4、SpringBoot整合Shiro环境搭建8.5、Shiro实现登录拦截8.6、Shiro实现用户认证8.7、Shiro整合Mybatis8.8、Shiro请求授权实现8.9、Shiro整合Thymeleaf 8.1、Shiro快速开始 8.2、Shiro快速开始 8.3、Shiro的Subject分析 8.4、SpringBoot整合Shiro环境搭建 8.5、Shiro实现登录拦截 8.6、Shir
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目...Springboot 整合 Shiro 的代码实例提供了一个基本的身份验证和授权管理示例,开发者可以根据实际需求进行修改和扩展。
springboot使用shiro
malachi95的博客
11-25 2709
使用shiro重点在于两个类 1.ShiroConfiguration 下面这个方法是设置访问时,如果想直接访问index以及后面的界面必须先登录,所以会自动跳转到login界面 @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){ System.out.println("Shi
SpringBoot基本操作(七)——SpringBoot整合Shiro权限管理(完整demo+界面)
热门推荐
zhulier1124的博客
09-01 3万+
SpringBoot2.0笔记 (一)SpringBoot基本操作——环境搭建及项目创建(有demo) (二)SpringBoot基本操作——使用IDEA打war包发布及测试 (三)SpringBoot基本操作——SpringBoot整合SpringDataJpa(有demo) (四)SpringBoot基本操作——SpringBoot使用RedisTemplate整合Redis(有dem...
SpringBoot+Shiro实现登陆拦截功能
u011972171的博客
04-21 3万+
      上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。      首先介绍下Shiro:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架:Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨辰李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值