SpringBoot整合Shiro(Java安全框架)案例(含源码)

最新推荐文章于 2023-12-11 08:40:26 发布
最新推荐文章于 2023-12-11 08:40:26 发布
阅读量330 收藏
点赞数
分类专栏: java 文章标签: maven spring cloud eureka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iijik55/article/details/126514964
版权

流程图

在这里插入图片描述

1.主要功能介绍

  1. Subject:主体,一般指用户。
  2. SecurityManager:Shiro的核心部分,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用,本质上就是一个工厂类似Spring中的ApplicationContext安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)
  3. Realms:用于进行权限信息的验证,一般需要自己实现,Shiro需要根据用户名和密码首先判断登录的用户是否合法,然后再对合法用户授权。而这个过程就是Realm的实现过程。
    2 详细功能
  4. Authentication:身份认证/登录(账号密码验证)。
  5. Authorization:授权,即角色或者权限验证。
  6. Session Manager:会话管理,用户登录后的session相关管理。
  7. Cryptography:加密,密码加密等。
  8. Web Support:Web支持,集成Web环境。
  9. Caching:缓存,用户信息、角色、权限等缓存到如redis等缓存中。
  10. Concurrency:多线程并发验证,在一个线程中开启另一个线程,可以把权限自动传播过去。
  11. Testing:测试支持;
  12. Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
  13. Remember Me:记住我,登录后,下次再来的话不用登录了

2.具体实现

2.1 引入依赖

在这里插入图片描述

2.2 模拟数据库信息

 /**
     * 模拟数据库查询
     *
     * @param userName 用户名
     * @return User
     */
    private User getMapByName(String userName) {
        Permissions permissions1 = new Permissions("1", "query");
        Permissions permissions2 = new Permissions("2", "add");
        Set<Permissions> permissionsSet = new HashSet<>();
        permissionsSet.add(permissions1);
        permissionsSet.add(permissions2);
        Role role = new Role("1", "admin", permissionsSet);
        Set<Role> roleSet = new HashSet<>();
        roleSet.add(role);
        User user = new User("1", "wsl", "123456", roleSet);
        Map<String, User> map = new HashMap<>();
        map.put(user.getUserName(), user);

        Set<Permissions> permissionsSet1 = new HashSet<>();
        permissionsSet1.add(permissions1);
        Role role1 = new Role("2", "user", permissionsSet1);
        Set<Role> roleSet1 = new HashSet<>();
        roleSet1.add(role1);
        User user1 = new User("2", "zhangsan", "123456", roleSet1);
        map.put(user1.getUserName(), user1);
        return map.get(userName);
    }

2.3 自定义Realm用于查询用户的角色和权限信息并保存到权限管理器

public class CustomRealm extends AuthorizingRealm {

    @Autowired
    private LoginService loginService;

    /**
     * @MethodName doGetAuthorizationInfo
     * @Description 权限配置类
     * @Param [principalCollection]
     * @Return AuthorizationInfo
     * @Author WangShiLin
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录用户名
        String name = (String) principalCollection.getPrimaryPrincipal();
        //查询用户名称
        User user = loginService.getUserByName(name);
        //添加角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        for (Role role : user.getRoles()) {
            //添加角色
            simpleAuthorizationInfo.addRole(role.getRoleName());
            //添加权限
            for (Permissions permissions : role.getPermissions()) {
                simpleAuthorizationInfo.addStringPermission(permissions.getPermissionsName());
            }
        }
        return simpleAuthorizationInfo;
    }

    /**
     * @MethodName doGetAuthenticationInfo
     * @Description 认证配置类
     * @Param [authenticationToken]
     * @Return AuthenticationInfo
     * @Author WangShiLin
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (StringUtils.isEmpty(authenticationToken.getPrincipal())) {
            return null;
        }
        //获取用户信息
        String name = authenticationToken.getPrincipal().toString();
        User user = loginService.getUserByName(name);
        if (user == null) {
            //这里返回后会报出对应异常
            return null;
        } else {
            //这里验证authenticationToken和simpleAuthenticationInfo的信息
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(name, user.getPassword().toString(), getName());
            return simpleAuthenticationInfo;
        }
    }
}

2.4 构建shiro配置类 ShiroConfig.java,把CustomRealm和SecurityManager等注入到spring容器中(主要用来加入自己的相关验证方式 对跳转路径或根据其权限进行相应的过滤)

@Configuration
public class ShiroConfig {

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

    //将自己的验证方式加入容器
    @Bean
    public CustomRealm myShiroRealm() {
        return new CustomRealm();
    }

    //权限管理,配置主要是Realm的管理认证
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new HashMap<>();
        //登出
        map.put("/logout", "logout");
        //对所有用户认证
        map.put("/**", "authc");
        //登录
        shiroFilterFactoryBean.setLoginUrl("/login");
        //首页
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

    //注入权限管理
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

2.5 创建LoginController 对相应权限信息用户进行验证

@RestController
@Slf4j
public class LoginController {

    @GetMapping("/login")
    public String login(User user) {
        if (StringUtils.isEmpty(user.getUserName()) || StringUtils.isEmpty(user.getPassword())) {
            return "请输入用户名和密码!";
        }
        //用户认证信息
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
                user.getUserName(),
                user.getPassword()
        );
        try {
            //进行验证,这里可以捕获异常,然后返回对应信息
            subject.login(usernamePasswordToken);
            subject.checkRole("admin");
            subject.checkPermissions("query", "add");
        } catch (UnknownAccountException e) {
            log.error("用户名不存在!", e);
            return "用户名不存在!";
        } catch (AuthenticationException e) {
            log.error("账号或密码错误!", e);
            return "账号或密码错误!";
        } catch (AuthorizationException e) {
            log.error("没有权限!", e);
            return "没有权限";
        }
        return "login success";
    }

    @RequiresRoles("admin")
    @GetMapping("/admin")
    public String admin() {
        return "admin success!";
    }

    @RequiresPermissions("query")
    @GetMapping("/index")
    public String index() {
        return "index success!";
    }

    @RequiresPermissions("add")
    @GetMapping("/add")
    public String add() {
        return "add success!";
    }
}

3.测试

首先先测试有相关权限的用户:
http://localhost:8080/loginuserName=wsl&password=123456
在这里插入图片描述
最后测试无权限用户:
http://localhost:8080/loginuserName=zhangsan&password=123456在这里插入图片描述

至此 本节SpringBoot整合Shiro案例完成

iijik55
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot整合Shiro实现登录认证
qq_42077317的博客
07-08 1047
另外,如果我们想要控制对于接口访问权限,也可以使用Shiro相关注解实现,比如像 @RequestPermissions这样的注解就可以进行控制用户的权限,这里就不做过多说明了。Realm,可以有1个或多个Realm,即安全实体数据源,即用于获取安全实体的;Shiro 是一个功能强大且易于使用的轻量级Java安全框架,包括身份验证、授权、加密及会话管理,使用Shiro易于理解的API,可以轻松地保护任何应用程序。SecurityManager即安全管理器,可以视为拦截器,拦截请求,并转至shiro中处理。
java之路 —— ShiroSpringboot整合开发
m0_68987535的博客
06-29 1139
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro
SpringBootShiro整合详解
Zero摄氏度的博客
08-04 2322
Apache Shiro 是一个Java安全(权限)框架 ------- 和SpringSecurity一样是安全框架 2. Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSe环境. 3. Shiro 可以完成: 认证,授权,加密,会话管理,Web集成,缓存等...
安全认证框架Shiro入门学习(shiro概述和shiro入门小案例);后续整合SpringBoot,应用程序安全
HakerDONG的博客
11-08 364
SpringBoot中间件:安全认证框架Shiro
SpringBoot整合Shiro(最详细)
m0_54852350的博客
04-08 784
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
springboot整合shiro视频
06-21
SpringBoot整合Shiro实战详解》 在Java开发领域,SpringBoot因其简洁高效的特性,已经成为构建Web应用的首选框架。而Shiro作为一款强大的安全管理框架,提供了身份验证、授权、会话管理和加密等功能,常被用于...
springboot整合shiro实现动态菜单
06-14
首先,要实现"springboot整合shiro实现动态菜单",我们需要理解这两个框架的核心概念: 1. **Spring Boot**: Spring Boot的核心特性包括自动配置、起步依赖、内嵌HTTP服务器(如Tomcat)以及健康检查等。它使得我们...
基于springboot+shiro+layui餐厅点餐系统和微信小程序源码.zip
08-29
该压缩包包的是一个基于Java技术栈的餐厅点餐系统,使用了SpringBootShiro和Layui框架,同时提供了微信小程序的源码。这个系统对于学习Java Web开发、微服务架构以及移动互联网应用的开发者来说,是一个很好的...
SpringBoot+Layui搭建的学生管理系统,加入了shiro安全框架和Ehcache缓存框架.zip
最新发布
03-23
《基于SpringBoot+Layui的学生管理系统:整合Shiro安全框架与Ehcache缓存》 本项目是一个全面展示软件开发流程的实例,通过使用Java技术栈,特别是SpringBoot框架,结合前端Layui框架,构建了一个高效的学生管理...
Springboot-Shiro-Activiti
05-14
Springboot-Shiro-Activiti 是一个基于Java的项目框架,结合了Spring Boot、Apache Shiro和Activiti三个关键组件,用于构建高效、安全且流程化的Web应用。在这里,我们将深入探讨这三个技术及其在项目中的作用。 ...
ShiroSpringBoot整合
小凯的博客
03-03 1137
Shrio整合springboot及相关案例解析
springboot整合shiro入门,实现认证和授权功能(非常详细)
沐雨橙风ιε的博客
07-02 5657
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
java shiro原理_Springboot shiro认证授权实现原理及实例
weixin_39702714的博客
02-27 97
关于认证授权,需要的数据表有:用户表,角色表,用户角色关联表,权限表,角色权限关联表,一次如下之前写过了shiro的登录认证,在自定义的realm中,我们实现AuthorizingRealm接口中的方法:package com.zs.springboot.realm;import com.zs.springboot.model.User;import com.zs.springboot.servi...
springboot整合shiro实现登录验证
c1225992531的博客
08-02 8319
springboot整合shiro实现登录验证 今天第一次接触springboot,本来是要学习springbootshiro整合的,但是由于springboot结构还不太了解,所以先来了解一下springbootspringboot可以快速创建一个机遇spring的项目,而且让这个项目跑起来只需要很少的配置就可以了,主要有以下核心功能: 1.独立运行的spring项目:springboo...
Spring Boot篇----- 集成Shiro
he123456lei的博客
12-11 1277
Spring Boot篇----- 集成Shiro
Shiro 完整教程及样例demo
web15687102624的博客
08-24 682
Apache?Shiro是?Java??的一个安全框架。我们经常看到它被拿来和?Spring??的?Security??来对比。大部分人认为?Shiro??比?Security??要简单。首先?Shiro??确实和?Security??是同类型的框架,主要用来做安全,也就是我们俗称的权限校验(控制)。居多人对?Shiro??的定义为好入门。我选型为?Shiro??,主要的原因扩展太easy了,而且我要的功能它都有。,具体配置在中。定义了5个拦截器,具体功能看代码以及代码注释。util:map在?
shiro实战案例
ITzhongzi的博客
03-07 1108
结构 概念介绍 Subject 我们把用户或者程序称为主体(如用户,第三方服务,cron作业),主体去访问系统或者资源 SecurityManager 安全管理器,Subject的认证和授权都要在安全管理器下进行 Authenticator 认证器,主要负责Subject的认证 Realm 数据域,Shiro安全数据的连接器,好比jdbc连接数据库; 通过realm获取认证授权相关信息 Authorizer 授权器,主要负责Subject的授权, 控制subject拥有的角色或者权限
Shiro使用示例
qq_58277753的博客
12-06 254
shiro初学者使用
shiro 框架使用实例
m0_66557301的博客
08-24 281
用户角色表:tom是admin和normal角色,jack是manager和normal角色,rose是normal角色。权限表:admin角色可以删除,manager角色可以添加和更新,normal角色可以查看。一个用户可以有多种角色(normal,manager,admin等等)我有一个论坛,注册的用户分为normal用户,manager用户。添加,删除,更新等对应的是权限(permission)normal,manager对应的是角色(role)添加,删除,更新,查看,回复。角色表:设置3个角色。
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用中使用 Apache Shiro 来管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值