shiro spring boot starter 集成

已于 2022-10-10 18:14:14 修改
阅读量671 收藏 1
点赞数
文章标签: shiro spring boot sdk
于 2020-12-21 15:06:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luhaichuan88/article/details/111475270
版权

因为shiro是一个集合了认证授权的框架,因此既可以用来做登陆认证,也可以用来做用户授权,本次已经将shiro结合spring boot 做成了一个可配置的sdk,方便以后其他项目的使用。

使用时只需配置4步即可完成授权认证的相关功能

1、pom.xml 文件引入相关sdk

<dependency>
<groupId>com.shiro.authorization</groupId>
<artifactId>shiro-spring-boot-starter</artifactId>
<version>1.0.1-SNAPSHOT</version>
</dependency>


2、用户登陆时调用shiro的用户认证api,用例如下
 

@RequestMapping(value = "login", method = RequestMethod.POST)
public Response<String> login(String username, String password){
    String token = new JwtUtil(jwtProperties).sign(username, password);
    JwtAuthenticationToken jwtAuthenticationToken = new JwtAuthenticationToken(token);
    Subject subject = SecurityUtils.getSubject();
    try {
        subject.login(jwtAuthenticationToken);
        return new Response<String>().success(token);
    } catch (Exception e) {
        e.printStackTrace();
        log.error("登录失败,用户名[{}]", username, e);
        return new Response<String>().fail("登录失败", e.getMessage());
    }
}

具体与shiro有交互的代码有四行

//使用jwtUtil生成一个token(这里可以是jwt也可以是其他的)
String token = new JwtUtil(jwtProperties).sign(username, password);

//将生成的token封装为一个JwtAuthenticationToken参数供shiro在认证时使用
JwtAuthenticationToken jwtAuthenticationToken = new JwtAuthenticationToken(token);

//调用 SecurityUtils 获取一个subject(可以理解为与shiro交互的api接口类,与我们的service类似)

Subject subject = SecurityUtils.getSubject();

//调用 subject.login;进行认证

subject.login(jwtAuthenticationToken)


3、具体的用户认证实现与相关权限实现
 

/**
 * Shiro-权限相关的业务处理
 */
@Slf4j
@Service
public class ShiroServiceImpl extends JwtAuthorizingRealm implements ShiroService {

    @Resource
    private JwtProperties jwtProperties;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        if (log.isDebugEnabled()) {
            log.debug("进入授权 doGetAuthorizationInfo");
            log.debug("the toke is  {}", principals.toString());
            log.debug("realmName = {}", getName());
        }

        // 该用户具有哪些权限,这里需要从数据库查数据,为了测试方便造了条数据
        String username = new JwtUtil(jwtProperties).getUsername(principals.toString());
        //HashSet<String> permissionsSet = permissionService.get(username)

        HashSet<String> permissionsSet = new HashSet();
        permissionsSet.add("edit");
        authorizationInfo.addStringPermissions(permissionsSet);

        // 该用户具有哪些角色,这里需要从数据库查数据,为了测试方便造了条数据
        //HashSet<String> roleSet = roleService.get(username)
        HashSet<String> roleSet = new HashSet();
        roleSet.add("admin");
        authorizationInfo.addRoles(roleSet);

        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) {
        String token = (String) auth.getCredentials();
        // 解密获得username,用于和数据库进行对比
        String username = new JwtUtil(jwtProperties).getUsername(token);

        if (username == null) {
            throw new AuthenticationException("token invalid");
        }

        //这里需要从数据库查出用户,为了测试方便所以造了条数据
        //User userBean = userService.getUser(username);
        User userBean = new User();
        userBean.setUserName("zhangsan");
        userBean.setPassword("123456");
        if (userBean == null) {
            throw new AuthenticationException("User didn't existed!");
        }
        boolean checkTokenResult = false;
        try {
            checkTokenResult = new JwtUtil(jwtProperties).verify(token, username, userBean.getPassword());
        }catch (TokenExpiredException e){
            throw new UnauthenticatedException("token 已失效");
        }catch (Exception e){
            throw e;
        }
        if (! checkTokenResult) {
            throw new AuthenticationException("Username or password error");
        }
        return new SimpleAuthenticationInfo(token, token, "jwtAuthorizingRealm");
    }
}


首先需要定义一个bean 实现 JwtAuthorizingRealm 这个类中的 doGetAuthorizationInfo,doGetAuthenticationInfo 这两个方法

doGetAuthorizationInfo 这个方法是用来加载当前用户所拥有的权限(通常是需要根据当前用户从数据库中查出来)

doGetAuthenticationInfo 这个方法是用来做具体的用户登录认证

最后需要将 定义好的bean加入spring容器,这里使用的是 spring @Service 注解,其他只要能加载到spring中的方式也都可以


4、业务方法中如果有相关接口需要做权限控制,直接使用shiro相关权限控制注解,用例如下
 

@Slf4j
@RestController
@RequestMapping("/")
public class IndexController {
    @Resource
    private JwtProperties jwtProperties;

    @RequestMapping(value = "login", method = RequestMethod.POST)
    public Response<String> login(String username, String password){
        String token = new JwtUtil(jwtProperties).sign(username, password);
        JwtAuthenticationToken jwtAuthenticationToken = new JwtAuthenticationToken(token);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(jwtAuthenticationToken);
            return new Response<String>().success(token);
        } catch (Exception e) {
            e.printStackTrace();
            log.error("登录失败,用户名[{}]", username, e);
            return new Response<String>().fail("登录失败", e.getMessage());
        }
    }

    /**
     * 无需做权限控制的接口
     * */
    @RequestMapping(value = "anon", method = RequestMethod.POST)
    public Response<String> anon(){
        return new Response<String>().success(null);
    }

    /**
     * 需要登录才能访问的接口
     * */
    @RequiresAuthentication
    @RequestMapping(value = "/require", method = RequestMethod.POST)
    public Response<String> require(){
        return new Response<String>().success(null);
    }

    /**
     * 需要相关角色才能访问的接口
     * */
    @RequiresRoles(value = {"user"})
    @RequestMapping(value = "/role", method = RequestMethod.POST)
    public Response<String> role(){
        return new Response<String>().success(null);
    }

    /**
     * 需要相关权限才能访问的接口
     * */
    @RequiresPermissions(value = {"edit"})
    @RequestMapping(value = "/permission", method = RequestMethod.POST)
    public Response<String> permission(){
        return new Response<String>().success(null);
    }
}
@RequiresAuthentication 此注解表示此接口只有登录用户才能访问


@RequiresRoles(value = {"user"}) 此注解表示此接口只有拥有user角色的用户才能访问 value是一个数组说明可以设置多个角色,他们之间默认是且的关系


@RequiresPermissions(value = {"edit"}) 此注解表示只有拥有edit权限的用户才能访问 value是一个数组说明可以设置多个权限,他们之间默认是且的关系

shiro-spring-boot-starter 已提交到码云

shiro-spring-boot-test  已提交到码云

请大家关注下博客谢谢

luhaichuan88
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro-spring-boot-starter:该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成SpringBoot应用中
05-14
简介 该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成SpringBoot应用中 源码地址 Github: 码云: 我的博客: 自制的小工具,欢迎使用和Star,如果使用过程中遇到问题,可以提出Issue,我会尽力完善该工具 功能介绍 修改Shiro默认Authc过滤器,增加在前后台分离项目架构下,配置未登录时跳转路径功能,做未登录时的提示信息之用。 注: Shiro默认过滤器相关路径跳转都采用重定向,导致在前后台分离的项目架构下,前台不能正确获取未登录的提示验证信息,故将相关路径跳转功能修改为转发跳转。 增加默认过滤器配置功能,可通过配置文件灵活修改Shiro的11个默认过滤器及其属性。 增加11种过滤器过滤规则配置功能 默认使用开源库org.crazycake:shiro-redis:3.2.2集成redis 增加shiro的redis独立配置功能,可
shiro-spring-boot-starter
warrah 南极狼
12-10 1209
springboot shiro
shiroSpring Boot 整合
一个菜鸡的博客
05-20 903
认证策略的另外一项工作就是聚合所有 Realm 的结果信息封装至一个 AuthenticationInfo 实例中,并将此信息返回,以此作为 Subject 的身份信息。FirstSuccessfulStrategy ==》第一个 Realm 验证成功,整体认证将视为成功,且后续 Realm 将被忽略。AtLeastOneSuccessfulStrategy ==》只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功。(1)在所有 Realm 被调用之前。(4)在所有 Realm 被调用之后。
java 使用shiro样例_SpringBoot - 安全框架Shiro的整合与使用教程(附样例)
weixin_42168230的博客
03-07 475
Apache Shiro 是一个开源的轻量级的 Java安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。相对于 Spring Security,Shiro框架更加直观、易用,同时也能提供健壮的安全性。在传统的 SSM框架中,手动整合 Shiro的配置步骤还是比较多的,针对 Spring BootShiro官方提供了shiro-spring-boot-web-starter用来简化 S...
SpringBoot整合shiro-spring-boot-starter
xiyafei122的博客
08-12 1177
shiro
SpringBoot【整合Shiro
Vinjcent
07-31 902
Apache Shiro 是 Java 的一个安全(权限)框架,可以非常容易的开发出足够好的应用,其不仅可以在Java SE环境,也可以用在Java EE环境Shiro可以完成,认证、授权、加密、会话管理,Web集成,缓存等源码下载地址:http://shiro.apache.org/Authentication:身份认证、登录,验证用户是不是拥有相应的身份Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么提作,如:验证某个用户是否拥有某个角色,或者细
shiro-spring-boot-starter针对不同Spring Boot版本
最新发布
伟夫子的博客
07-10 1376
对于Spring Boot 2.4.10,无法找到shiro-spring-boot-starter的2.7.2版本,这是一个错误的版本号。需要注意的是,不同Spring Boot版本,要选择匹配的shiro-spring-boot-starter版本,才能保证兼容性。所以2.7.2版本无法与Spring Boot 2.4.10匹配使用。而不是2.7.2版本。
shiro整合Springboot
syh_IT
07-04 343
shiro整合Springboot 1、创建Springboot项目(集成环境的搭建) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G7cNEryd-1625388439618)(/ pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <ar
spring boot 集成 shiro权限控制框架
luhaichuan88的博客
01-19 433
本文主要是使用spring boot 集成shiro 实现shiro-spring-boot-starter 1、首先创建相关配置文件有两个ShiroProperties,JwtProperties package com.shiro.sdk.properties; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.boot.context...
Shiro(一) Shiro整合SpringBoot快速开发
Hello World!
09-01 583
Shiro是apache旗下的一个开源的java安全框架,它将软件系统的安全认证和权限管理相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等,组成了一个通用的安全认证框架。记住一点,Shiro 不会去维护用户、维护权限,这些需要我们自己去设计 / 提供,然后通过相应的接口注入给 Shiro 即可。...
shiro-starter:一个spring boot shiro starter的轮子 2.x版本
05-14
简介 由于官方的提供的功能过于简单,因此这里又造了一个加强版的轮子。 为什么选择shiro-starter 对比官方的startershiro-starter: 是在官方starter的基础上扩展的,兼容官方starter 将更多的参数配置化,使用起来更方便、灵活 提供两种运行模式 SESSION模式[默认]:与Shiro官方提供的starter无二 STATELESS模式:无状态模式,也是现在许多大型系统喜欢采用的认证模式 提供了一些常见的认证方案支撑(如JWT),通过简单配置即可集成 版本信息 spring-boot: 1.5.9.RELEASE shiro-spring: 1.4.0-RC2 关于Spring Boot 2.x 该starter没有刻意针对Spring Boot 2.x做兼容,不过就实际使用反馈来说,在2.x环境下也暂时并没有出现什么兼容性问题,因此2.x用户也可以
spring-boot-shiro:Apache ShiroSpring Boot集成
01-30
Apache ShiroSpring Boot集成 GitHub: : 用法 首先安装到本地仓库。 双向v2.0下为2.0.0版本,主要将Spring Boot升级到2.0.4.RELEASE,Shiro升级到1.4.0 mvn clean install pom.xml < groupId>...
shirojwt-spring-boot-starter-master.zip
09-01
shiro jwt springboot 统一认证 授权,自己封装了为 spring-boot-starter,大家一起可以参考学习 https://github.com/dwhgygzt/shirojwt-spring-boot-starter 记得查看 README.md
shiro-spring-boot-web-starter-1.4.0.jar
02-26
java运行依赖jar包
shiro-spring-boot-starter-1.4.0.jar
02-26
java运行依赖jar包
ShiroSpringBoot整合
小凯的博客
03-03 1010
Shrio整合springboot及相关案例解析
基于springbootshiro安全框架实例
yesterdayseventy的博客
09-15 1322
基于springbootshiro安全框架实例
Springboot整合Shiro
javaluckyfish的博客
07-08 831
测试(该用户没有export功能,输入地址出现这个)修改ShiroConfig(前面代码弄过了)创建LoginFilter
springboot2 集成shiro-spring-boot-web-starter
热门推荐
天行健
09-02 2万+
shiro是web开发中常用的使用安全管理框架,通过shiro-spring-boot-web-starter方式集成Shirospringboot2可以简化配置。 1.引包 maven方式在项目pom.xml中引入shiro starter包的坐标,这里引用了1.4.1版本 <dependency> <groupId>org.ap...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值