spring boot 使用 shiro

于 2023-10-04 10:27:04 发布
阅读量65 收藏
点赞数
文章标签: spring boot java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyayou/article/details/132468513
版权

1.引用依赖包:(官方文档:shiro-redis/docs at master · alexxiyang/shiro-redis · GitHub

         <!-- shiro 依赖包,因为我需要把Session存储在redis,所以使用了这个依赖包  -->
        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis-spring-boot-starter</artifactId>
            <version>3.3.1</version>
        </dependency>

2.配置application.yml文件

shiro-redis:
  enabled: true
  redis-manager:
    host: 127.0.0.1:6379

3.编写shiro 相关配置,有5个文件,分别是MySessionManager(自定义shiro Session管理器)、MyRealm(自定义存储用户信息)、MyCredentialsMatcher(自定义密码验证器)、MyAuthenticationFilter(自定义拦截过滤器)、ShiroConfig(shiro配置类)。以下分别贴出各个文件的代码 

MySessionManager:自定义shiro Session管理器

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.Serializable;

/*自定义shiro Session管理器*/
public class MySessionManager extends DefaultWebSessionManager {

    private static  final  String Token_Header="test_id";

    /*shiro 中的SessionId 通过header的test_id 获取 */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response){
        HttpServletRequest httpServletRequest= WebUtils.toHttp(request);
        String sessionId=  httpServletRequest.getHeader(Token_Header);
        return sessionId;
    }
}

MyRealm:自定义存储用户信息

import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

//通过重写AuthorizingRealm,自定义存储用户的信息
public class MyRealm extends AuthorizingRealm {

    @Autowired
    Service service;

    /*用户认证的方法*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        //查询数据库中的用户名信息
        User user = service.getUserByUserName(username);
        if (user == null) {
            throw new UnknownAccountException("账号/密码错误");
        }
        String pwd =user.getF_password();
        return new SimpleAuthenticationInfo(username, pwd, getName());
    }

    /*用户授权的方法*/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

        //查询数据库中的用户名信息
        UserDto user = service.getUserByUserName(username);

        // 查询数据库获取用户角色信息,并添加到授权信息中
        List<String> roles = user.getLstAccessRoles();
        authorizationInfo.addRoles(roles);

        // 查询数据库获取用户权限信息,并添加到授权信息中
        List<String> permissions =user.getLstAccessApis();
        authorizationInfo.addStringPermissions(permissions);

        return authorizationInfo;
    }
}

MyCredentialsMatcher:自定义密码验证器

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;

/*密码验证器,需要解密后匹配*/
public class MyCredentialsMatcher extends SimpleCredentialsMatcher {

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info){
        UsernamePasswordToken passwordToken=(UsernamePasswordToken) token;
        String pwd=new String(passwordToken.getPassword());
        String dbPwd=(String) info.getCredentials();
        return pwd.equals(dbPwd);
    }


}

MyAuthenticationFilter:自定义拦截过滤器

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

public class MyAuthenticationFilter extends FormAuthenticationFilter {

    /*重新请求被拦截后的响应体,返回统一格式*/
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response){
        HttpServletResponse httpServletResponse=(HttpServletResponse)response;
        ServiceResult result=new ServiceResult();
        result.isFailure("无操作权限");
        try{
        httpServletResponse.setContentType("application/json; charset=utf-8");

        PrintWriter writer = httpServletResponse.getWriter();
        String json = JSON.toJSONString(result, SerializerFeature.WriteMapNullValue);
        writer.append(json);
        writer.flush();
        writer.close();
        }
        catch (IOException ex){
            throw new RuntimeException(ex);
        }

        return false;
    }
}

ShiroConfig:shiro配置类

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/*
* 配置 shiro的过滤器
* 过滤器中配置 安全管理器
*
* */
@Configuration
public class ShiroConfig {

    @Autowired
    RedisSessionDAO redisSessionDAO;

    @Autowired
    RedisCacheManager redisCacheManager;

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();

        filterFactoryBean.setSecurityManager(securityManager());
        Map<String,String> map=new LinkedHashMap<>();

        //所有请求/login的不拦截
        map.put("/login/**","anon");//允许  需要设置login为anon
        //拦截所有,要有顺序,先设置允许访问的,再设置拦截的
        map.put("/**","authc");

        filterFactoryBean.setFilterChainDefinitionMap(map);

        Map<String, Filter> filterMap=new LinkedHashMap<>();
        //不能把Filter交给spring管理,如果是spring管理,最后都会走到这个Filter,会导致anon失效
        filterMap.put("authc",new MyAuthenticationFilter());
        filterFactoryBean.setFilters(filterMap);
        return filterFactoryBean;
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        MyRealm myRealm=myRealm();
        //把密码验证器放到Realm中
        myRealm.setCredentialsMatcher(credentialsMatcher());
        //添加域到安全管理器中
        manager.setRealm(myRealm);
        //添加会话管理器到安全管理器中
        manager.setSessionManager(webSessionManager());
        //添加缓存管理器到安全管理器中
        manager.setCacheManager(redisCacheManager);
        return manager;
    }

    /*Session管理器*/
    @Bean
    public DefaultWebSessionManager webSessionManager() {

        MySessionManager manager=new MySessionManager();
        //设置Session会话DAO
        manager.setSessionDAO(redisSessionDAO);
        //禁用cookies
        manager.setSessionIdCookieEnabled(false);
        //过期时间为1分钟
        manager.setGlobalSessionTimeout(1*60000);
        //启用会话验证调度器,会话验证调度器是一个后台线程,用于定期检查和验证会话是否过期
        manager.setSessionValidationSchedulerEnabled(true);

        return manager;
    }

    @Bean
    GDSSRealm myRealm(){return new MyRealm();};

    @Bean
    MyCredentialsMatcher credentialsMatcher(){return new MyCredentialsMatcher();}

使用:


    @Autowired
    RedisCacheManager redisCacheManager;

    @GetMapping("/login")
    public String login(){
        //传入参数false,是为了让shiro不自动创建sessionid,而是直接从header拿 
        //Session session=SecurityUtils.getSubject().getSession(false);
        
        //获取Session,会自动创建Sessionid,如果不想自动创建则传入false参数
        Session session=SecurityUtils.getSubject().getSession();
        //重新设置过期时间
        session.setTimeout(loginTimeout*60000);
        //存储
        session.setAttribute("name","test name");
        //获取
        String res = session.getAttribute("name");

        //存储cache
        redisCacheManager.getCache("ip").put("name","lyy"+ LocalDateTime.now());

        return res;
       
    }

redis存储结果:

 

liyayou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot整合Shiro
javaluckyfish的博客
07-08 852
测试(该用户没有export功能,输入地址出现这个)修改ShiroConfig(前面代码弄过了)创建LoginFilter。
详解Spring Boot 集成Shiro和CAS
08-30
本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 Java 安全框架,由 Apache 软件...
SpringBoot整合Shiro
AG.『Feng』的博客
02-01 761
SpringBoot整合Shiro
java之路 —— ShiroSpringboot整合开发
最新发布
m0_68987535的博客
06-29 1150
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro
快速掌握shiro安全框架(一)之springboot环境搭建
bigdata_dog的博客
03-04 179
1、本次教程是与springboot结合使用的,故此需要先搭建好springboot项目环境,本章教如何搭建springboot项目环境开始
Shiro 架构
mengxianglong123的博客
10-17 277
架构图: 1.1 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Secu...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
Spring BootShiro实现权限管理
11-12
Spring Boot和Apache Shiro是两个常用的技术框架,它们可以很好地协同工作,实现用户认证和授权功能。下面将详细介绍如何利用这两个工具来搭建一个强大的权限管理系统。 **Spring Boot** Spring BootSpring框架的...
spring boot集成shiro详细教程(小结)
08-28
Spring Boot 集成 Shiro 是一个常见的需求,特别是在项目中需要使用身份验证和授权机制时。下面将详细介绍 Spring Boot 集成 Shiro 的过程,并阐述相关知识点。 知识点一:Shiro 简介 Shiro 是一个开源的安全框架...
springboot使用shiro
qq_40137193的博客
07-26 231
1、springboot 默认访问路径 resources 下的 static(好像最高级别),所以静态资源文件(js,css,jpg等)的访问配置要去掉 /static (/static/js/**=anon) 2、/** 必须要放在最下面 ,注意是必须 3、shiro查询到的用户信息在控制台上输入会抛异常 ...
shiro权限验证依赖
09-02
shiro权限验证依赖,所有要用到的都在这里的,方面使用
shiro框架jar+全
04-05
shiro框架jar+全
Shiro安装需要jar
03-03
shiro-all-1.2.3.jar、shiro-cas-1.2.3.jar(单点登录需要),及 Shiro依赖的日志组件 slf4j-api-1.6.1.jar
Shiro所需jar
11-08
Shiro开发所需Jar 一次性下载使用 括单点登录所需Jar以及日志依赖Jar
shiro 1.4.0所有jar(全)
02-15
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
springBoot2集成shirospringBoot相关目录介绍
Carlson_Chis的博客
01-28 450
前段时间,花了大概三天,把我的小项目集成了shiro,刚开始我以为会很简单,毕竟springBoot可谓是开发神器啊,但是在理论与实践的突突中,难免会遇到遇到一些让人捶胸顿足的情景。 很幸运,我就踩了一些知识匮乏的坑,记录下部分,以示后猿。 主要问题记录 在集成shiro之后的登录测试中,shiro拦截器生效,但是没有调用登录验证的doGetAuthenticationInfo()方法 登录成功...
shiro介绍和使用
qq_28208093的博客
05-15 295
一、shiro 内部结构 1、shiro 含的组件 shiro主要括认证器(Authenticator),授权器(Authrizer),session会话管理(SessionManager),加密处理(Cryptography),记住我(remember me),对权限的缓存(CacheManager) 2、shiro 各组件介绍 Subject:主体,可以理解为 与应用交互的用户 subject 里含用户的所有信息 如 用户信息,用户角色,用户权限,是否登录等等; Securit...
Shiro的配置及使用
qq_45733154的博客
10-21 2875
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权,Shiro整合Thymeleaf
shiro需要的4个jar
06-12
单独练习shiro时,shiro需要的4个jar。不括ehcache缓存
spring boot 使用 shiro 1.10.0
05-24
要在 Spring Boot使用 Shiro 1.10.0,您需要执行以下步骤: 1. 添加 Shiro 依赖项 在 pom.xml 文件中添加以下依赖项: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring-boot-starter ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值