Springboot整合Shiro 学习笔记

已于 2022-04-07 15:23:22 修改
阅读量781 收藏
点赞数
分类专栏: shiro 文章标签: spring
于 2022-04-07 15:18:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kay523393/article/details/124017538
版权

环境搭建

1.引入依赖

<dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-spring</artifactId>
     <version>1.4.0</version>
 </dependency>

2.编写配置类 自定义Realm

shiro需要我们提供doGetAuthenticationInfo和doGetAuthorizationInfo的实现,已完成登录认证和权限信息。
自定义Realm,继承与AuthorizingRealm

public class MyRealm extends AuthorizingRealm {
	//授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

	//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }
}

3.ShiroConfig shiro配置

@Configuration
public class ShiroConfig {
    //当前用户 第三步
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        return shiroFilterFactoryBean;
    }
    //安全管理器 第二步
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getSecurityManager(@Qualifier("userRealm") MyRealm myRealm){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        return  securityManager;
    }
    //获取安全数据 第一步
    @Bean(name="userRealm")
    public MyRealm getRealm(){
        return new MyRealm();
    }
}

实现登录拦截

常用的过滤器如下:

authc:所有已登陆用户可访问
roles:有指定角色的用户可访问,通过[ ]指定具体角色,这里的角色名称与数据库中配置一致
perms:有指定权限的用户可访问,通过[ ]指定具体权限,这里的权限名称与数据库中配置一致
anon:所有用户可访问,通常作为指定页面的静态资源时使用

//认证失败、未认证 设置登录请求 
shiroFilterFactoryBean.setLoginUrl("/login");
//跳转未授权页面
shiroFilterFactoryBean.setUnauthorizedUrl("/unauthc");
shiroFilterFactoryBean.setSuccessUrl("/home/index");

Map<String,String> filterMap=new LinkedHashMap<>();
filterMap.put("/*", "anon");
filterMap.put("/authc/index", "authc");
filterMap.put("/authc/admin", "roles[admin]");
filterMap.put("/authc/renewable", "perms[Create,Update]");
filterMap.put("/authc/removable", "perms[Delete]");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

实现用户认证

//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证=============");
        //从数据库查到用户
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;//类型转换
        User user = userService.getUserByName(token.getUsername());
        if(user==null){
            return null;//会自动抛出异常
        }
        //shiro帮我们做密码认证
        return new SimpleAuthenticationInfo(user,user.getPwd(),"");
    }

//登录Controller
@RequestMapping("/login")
public String login(String username, String password, Model model){
    //获取当前用户
    Subject sub = SecurityUtils.getSubject();
    //封装用户的登录数据
    UsernamePasswordToken token =new  UsernamePasswordToken(username,password);
    //登录
    try {
        sub.login(token);//执行登录方法
        return "index";
    }catch (UnknownAccountException e){//用户名不存在
        model.addAttribute("msg","用户名不存在");
        return "login";
    }catch (IncorrectCredentialsException e){//密码不正确
        model.addAttribute("msg","密码不正确");
        return "login";
    }
}

##实现权限拦截
###配置类ShiroConfig ==>方法
​```java
getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager)
filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","perms[user:update]");
shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");//未授权 跳转显示未授权

授权

//授权

类 MyRealm==>方法doGetAuthorizationInfo

  @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权=============");
        SimpleAuthorizationInfo info =new SimpleAuthorizationInfo();
        Subject sub = SecurityUtils.getSubject();
        User currentUser = (User) sub.getPrincipal();
        info.addStringPermission(currentUser.getPerms());
        return info;
    }

页面权限控制展示—整合Thymeleaf

1.依赖

<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

2.在ShiroConfig中配置ShiroDialect

/**
     * shiro方言  支持shiro标签
     * @return
     */
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

3.命名空间

<html lang="zh_CN" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
//作为属性控制
<button  type="button" shiro:authenticated="true" class="btn btn-outline btn-default">
    <i class="glyphicon glyphicon-plus" aria-hidden="true"></i>
</button>
//作为标签
<shiro:hasRole name="admin">
    <button type="button" class="btn btn-outline btn-default">
        <i class="glyphicon glyphicon-heart" aria-hidden="true"></i>
    </button>
</shiro:hasRole>

4.标签说明

guest标签
  shiro:guest
  </shiro:guest>
  用户没有身份验证时显示相应信息,即游客访问信息。

user标签
  shiro:user  
  </shiro:user>
  用户已经身份验证/记住我登录后显示相应的信息。

authenticated标签
  shiro:authenticated  
  </shiro:authenticated>
  用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的。

notAuthenticated标签
  shiro:notAuthenticated
  
  </shiro:notAuthenticated>
  用户已经身份验证通过,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。

principal标签
  <shiro: principal/>
  
  <shiro:principal property=“username”/>
  相当于((User)Subject.getPrincipals()).getUsername()。

lacksPermission标签
  <shiro:lacksPermission name=“org:create”>
 
  </shiro:lacksPermission>
  如果当前Subject没有权限将显示body体内容。

hasRole标签
  <shiro:hasRole name=“admin”>  
  </shiro:hasRole>
  如果当前Subject有角色将显示body体内容。

hasAnyRoles标签
  <shiro:hasAnyRoles name=“admin,user”>
   
  </shiro:hasAnyRoles>
  如果当前Subject有任意一个角色(或的关系)将显示body体内容。

lacksRole标签
  <shiro:lacksRole name=“abc”>  
  </shiro:lacksRole>
  如果当前Subject没有角色将显示body体内容。

hasPermission标签
  <shiro:hasPermission name=“user:create”>  
  </shiro:hasPermission>
  如果当前Subject有权限将显示body体内容

验证当前用户是否拥有指定权限
添加

具体实现可参考如下文章

https://blog.csdn.net/u012796085/article/details/79900936

鄂东男孩
关注
专栏目录
Springboot + Vue + shiro 实现前后端分离、权限控制
KHOST的博客
05-19 5233
本文总结自实习中对项目的重构。原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelAndView,逐渐有了前后端分离的想法,由于之前,没有接触过,主要参考的还是网上的一些博客教程等,初步完成了前后端分离,在此记录以备查阅。 一、前后端分离思想 前端从后端剥离,形成一个前端工程,前...
Springboot整合shiro_springboot shiro,程序人生
最新发布
m0_60567881的博客
04-18 480
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
Shiro概念
小杜的博客
03-10 300
ShiroFilter的工作原理 浏览器发送过来的请求。分为两种处理。 1.ShiroFilterFactoryBean中设置的loginUrl,可以不经过认证直接访问。 2.ShiroFilterFactoryBean中设置的filterChainDefinitions,通过它的配置,可以访问经过认证或者不被拦截的页面。 Shiro常用的过滤器 anon:无需认证就可以访问 authc:必须认证了才能访问 user:必须存在用户 perms:必须拥有对某个资源的权限才能访问 roles:必须拥
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
ShiroShiroFilterFactoryBean
baidu_28610773的博客
03-10 2万+
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager...
ShiroShiroFilterFactoryBean(*)
weixin_42408447的博客
11-16 2522
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { # 创建ShiroFilterFactoryBean对象 ShiroFilterFactor
SpringBootShiro整合-权限管理实战资料
08-07
在课程中,我们将学习如何在Thymeleaf模板引擎中整合Shiro的权限标签库,实现动态的页面元素展示,如隐藏或显示按钮、链接等,根据用户的权限状态决定其可见性。 此外,我们还会讨论Shiro的会话管理,如如何实现...
mybatis、springspringmvc、ssm整合springbootshiro、maven文档笔记面试题zip
03-11
shiro,sping,spingmvc,spingboot,restful,ssm整合资料,还有一些mybatis和springmvc的面试题部分,主要就是这些课件,我觉得还算可以,就分享一下,自己可以按照这些课件进行ssm或者springboot学习。...
2.2 SpringBootShiro整合-权限管理实战-课堂笔记.docx
04-14
SpringBootShiro整合-权限管理实战】 在本文中,我们将探讨如何将Spring Boot与Apache Shiro框架整合,以实现高效且灵活的权限管理系统。首先,我们需要了解这两个框架的基本概念。 **Spring Boot框架简介** ...
SpringBootShiro整合-权限管理实战-课堂笔记.docx
11-14
SpringBootShiro整合-权限管理实战】的课程主要关注如何将Spring Boot与Apache Shiro框架结合起来,实现高效的安全管理。Spring Boot是Spring框架的一个简化版本,旨在提高开发效率,减少配置工作,同时提供了很...
shiro
taiguolaotu的博客
12-01 212
喝水不忘跳水人 // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面 shiroFilterFactoryBean.setLoginUrl("/login"); 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!!
权限管理系统之集成Shiro实现登录、url和页面按钮的访问控制
MarkerHub的博客
09-01 827
小Hub领读:SpringBoot整合Shiro,如何做按钮级别的控制,看完就懂了!作者:小崔笔记本https://www.cnblogs.com/5ishare/p/10461073....
shiro授权拦截器的重写
lanlansir的博客
12-01 1451
shiro整合前后端分离的springboots,Vue项目真的是有很多大坑啊。 直接进总结: 先看总结 今天我的主题是:如何设置shiro过滤器。 遇到问题:我的项目是前后端分离的,shiro里面有一个shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函数 这是什么意思呢:这表示如果你访问了一个需要权限的url,但是目前你登陆的角色没有权限,那么页面默认跳转的地址。 看着似乎是没啥毛病。 但是!!! 如果是前后端分离怎么办呢?后端shiro让项目
shiro框架配置免单点登录--初学版
我的博客
06-28 997
spring shiro 免单点登录
SpringBoot+Shiro实现免密登录
qq_38410795冰淇淋的博客
09-07 1926
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
最简单的Shiro免密登陆(springboot
yuer629
04-19 2496
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
SpringBoot Shiro免密登录
化名三爷
04-11 4043
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是免密登录。 4,新增Logi...
springboot应用跳过shiro拦截直接访问服务器上的文件资源
weixin_41720239的博客
12-06 2472
场景简述:从本地向远程服务器写入文件后,点直接查看会自动跳到登录页!除非系统登录状态才能访问到。 思考分析:远程linux服务器是阿里云的,不能用ip+物理路径直接访问,因为阿里云做了很多安全拦截。只能通过服务器开放的端口号来访问,而端口号又被应用占用。所以就成了通过应用来访问服务器上的资源。 而应用是springboot+shrio框架,shrio做了访问路径拦截。虽然地址能请求到资源,但是被s...
springMVC springBoot shiro 自定义shiro授权注解,自定义授权解析器
mxywxwk的博客
10-22 722
  shiro支持注解式的授权控制,共有5个: @RequiresAuthentication:当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。 @RequiresUser:当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest:当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles:当前 Subject 需要的角色。 @RequiresPermi
SpringBoot整合Shiro实战:快速入门与配置详解
springboot结合shiro.pdf”是一个关于如何在Spring Boot项目中集成Apache Shiro进行权限管理和认证的实战教程。资源包含了必要的依赖配置、配置文件设置以及相关的页面示例。 在Spring Boot项目中整合Shiro,首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值