SpringBoot中Shiro的应用

最新推荐文章于 2023-02-15 15:34:25 发布
最新推荐文章于 2023-02-15 15:34:25 发布
阅读量170 收藏
点赞数
分类专栏: Springboot 文章标签: java shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyyrhf/article/details/114928323
版权

Shiro

1. 什么是Shiro

  • Apache Shiro是一个fava的安全(权限)框架。
  • Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。
  • Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。



2. Shiro有哪些功能

在这里插入图片描述

  • Authentication:身份认证、登录,验证用户是不是拥有相应的身份
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作,如:验证某个用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限
  • **Session Manager:**会话管理,即用户登录后就是第一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的JavaSE环境,也可以是Web环境
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库中,而不是明文存储
  • WebSupport:Web支持,可以非常容易的集成到Web环境;
  • Caching:缓存,比如用户登录后,其用户信息,拥有的角色、权限不必每次去查,这样可以提高效率
  • Concurrency:Shiro支持多线程应用的并发验证,即,如在一个线程中开启另一个线程,能把权限自动的传播过去
  • Testing:提供测试支持
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了





3. Shiro内部架构

在这里插入图片描述




4. HelloShiro

  • 导入依赖

        <!-- configure logging -->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>jcl-over-slf4j</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>log4j</groupId>
        <artifactId>log4j</artifactId>
        <version>1.2.17</version>
    </dependency>
</dependencies>

  • 配置log4j日志

    log4j.rootLogger=INFO, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

# General Apache libraries
log4j.logger.org.apache=WARN

# Spring
log4j.logger.org.springframework=WARN

# Default Shiro logging
log4j.logger.org.apache.shiro=INFO

# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

  • 配置shiro.ini

    [users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc
# -----------------------------------------------------------------------------
[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5

  • QuickStart

    import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


/**
 * Simple Quickstart application showing how to use Shiro's API.
 *
 * @since 0.9 RC2
 */
class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);


    public static void main(String[] args) {

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);




        //获取当前的用户对象
        Subject currentUser = SecurityUtils.getSubject();

        //通过当前用户得到session
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("通过currentUser得到 [" + value + "]");
        }

        //判断当前的用户是否被认证
        if (!currentUser.isAuthenticated()) {
            //Token:令牌,没获取,随机设置
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true); //设置记住我
            try {
                currentUser.login(token);//执行登录操作
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }


        //打印身份认证
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //测试角色
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        //测试粗粒度权限
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //测试细粒度权限
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        //注销
        currentUser.logout();

        //退出系统
        System.exit(0);
    }
}

大致流程:

//获取当前的用户对象
	Subject currentUser = SecurityUtils.getSubject();
//通过当前用户得到session
	Session session = currentUser.getSession();
//判断当前的用户是否被认证
	if (!currentUser.isAuthenticated());
//打印身份认证
	log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
//测试角色
	if (currentUser.hasRole("schwartz"));
//测试粗粒度权限
	if (currentUser.isPermitted("lightsaber:wield"));
//测试细粒度权限
	if (currentUser.isPermitted("winnebago:drive:eagle5"));
//注销
	currentUser.logout();
//退出系统
	System.exit(0);



5. SpringBoot整合Shiro

  • 导入thymeleaf依赖

    <dependency>
    <groupId>org.thymeleaf</groupId>
    <artifactId>thymeleaf-spring5</artifactId>
</dependency>

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>

  • 编写Controller、实现跳转到首页index.html

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sUJZ3D1b-1615961366008)(E:\学习笔记\图片\image-20200826101622958.png)]

  • 导入shiro-spring

    <!--shiro整合spring的包-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.1</version>
</dependency>

  • 编写配置类

    package com.kung.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {

    //3.ShiroFilterBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        return bean;
    }

    //2.DefaultWebSecurityManager
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm
        securityManager.setRealm(userRealm);

        return securityManager;
    }

    //1.创建 realm 对象
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

}

三个bean各自需要,传参过去,然后@Qualifier指定一下方法名即可指定到它需要的!

  • 自定义UserRealm

    package com.kung.config;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

//自定义UserRealm
public class UserRealm  extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了=>授权doGetAuthorizationInfo");
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了=>认证doGetAuthorizationInfo");
        return null;
    }
}



6. 登录拦截

  • 添加过滤器过滤普通用户

    //添加shiro的内置过滤器
    /*
    anno:无需认证即可访问
    authc:必须认证才可访问
    user:必须拥有 记住我 功能才可访问
    perms:拥有对某个资源的权限才可访问
    role:拥有某个角色权限才可访问
     */
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

Map<String, String> filterMap=new LinkedHashMap<>();

filterMap.put("/user/add","authc");
filterMap.put("/user/update","authc");

//设置登录请求
bean.setLoginUrl("/toLogin");
 bean.setFilterChainDefinitionMap(filterMap);

  • 登录页面的设计和跳转实现即可




7. 用户认证

  • 执行登录

    @RequestMapping("/login")
public String login(String username,String password,Model model){
    //获取当前用户
    Subject subject = SecurityUtils.getSubject();
    //封装用户登录数据
    UsernamePasswordToken token = new UsernamePasswordToken(username,password);

    try {
        subject.login(token);//执行登录方法,如果没有异常就ok
        return "index";
    }catch(UnknownAccountException e){
        //用户名不存在
        model.addAttribute("msg","用户名错误");
        return "login";
    }
    catch(IncorrectCredentialsException e){
        //密码错误
        model.addAttribute("msg","密码错误");
        return "login";
    }
}

  • 实现用户认证

    在登录执行之后会直接跳转到执行认证,更新执行认证:

    //用户名 密码
String name="root";
String password="123456";

UsernamePasswordToken userToken = (UsernamePasswordToken) token;
if(!userToken.getUsername().equals(name)){
    return null;//抛出异常 UnknowAccountException
}


//密码认证 shiro做
return  new SimpleAuthenticationInfo("",password,"");



8. 整合Mybatis

  • 导入依赖

    <dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.0</version>
</dependency>

  • yaml配置

    spring:
  datasource:
    username: root
    password: admin
    url:  jdbc:mysql://localhost:3306/rahiafeng?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
    driver-class-name: com.mysql.jdbc.Driver

  • properties配置

    mybatis.type-aliases-package=com.kuang.pojo
mybatis.mapper-locations=classpath:mapper/*.xml

  • UserRealm连接真实数据库

    UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//连接真实数据库
User user = userService.queryUserByName(userToken.getUsername());

if(user==null){
    //没有这个人
    return null;
}

//可以加密 MD5 MD5盐值加密
//密码认证 shiro做
return  new SimpleAuthenticationInfo("",user.getPwd(),"");



9. 授权实现

  • 先给未授权的拦截

    //授权,正常情况下未授权会跳转到未授权页面
filterMap.put("/user/add","perms[user:add]");

//未授权页面
bean.setUnauthorizedUrl("/noauth");

  • 添加数据库字段,权限

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YkIfaa4a-1615961366011)(E:\学习笔记\图片\image-20200826152110562.png)]·

  • 实现不同权限看不同东西

    //拿到当前登录对象
Subject subject = SecurityUtils.getSubject();
User currentUser = (User) subject.getPrincipal();

//设置当前用户的权限
info.addStringPermission(currentUser.getPerms());

return  new SimpleAuthenticationInfo(user,user.getPwd(),"");



10. 整合thymeleaf

  • 导入依赖

    <!--shiro和thymeleaf整合-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

  • 配置shiroDialect

    //整合ShiroDialect:用来整合shiro和thymeleaf
public ShiroDialect getShiroDialect(){
    return new ShiroDialect();
}

  • 获取登录session以改变登录之后无登录按钮

    Subject currentSubject =SecurityUtils.getSubject();
Session session = currentSubject.getSession();
session.setAttribute("loginUser",user);

//可以加密 MD5 MD5盐值加密
//密码认证 shiro做
return  new SimpleAuthenticationInfo(user,user.getPwd(),"");

  • 增加约束并前端修改

    <!DOCTYPE html>
<html lang="en"  xmlns:th="https://www.thymeleaf.org"
      xmlns:shiro="https://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h1>首页</h1>
<!--从session中判断值-->
<div th:if="${session.loginUser==null}">
    <a th:href="@{/toLogin}">登录</a>
</div>
<p th:text="${msg}"></p>
</hr>


<div shiro:hasPermission="user:add">
<a th:href="@{/user/add}">add</a>
</div>

<div shiro:hasPermission="user:update">
<a th:href="@{/user/update}">update</a>
</div>

</body>
</html>
你的笑只是保护色
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot-Shiro整合权限管理源码
04-24
SpringBoot整合Shiro进行权限管理入门demo源码,可整合到实际项目应用,简单易容。。
springboot整合shiro的demo.zip
03-10
springboot整合shiro的demo Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和...
Spring Boot学习笔记(三)
爱写博客的小菜鸟的博客
10-25 240
十、SpringSecurity security——安全 web开发,安全第一~过滤器,拦截器 功能性需求 做网站什么时候考虑安全? 设计之初就要进行考虑 漏洞,隐私泄露 安全框架: shiroSpringSecurity、认证和授权 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring应用程序的事实标准。 功能权限 访问权限 菜单权限 简介 SpringSecurity是针对Spring项目的安全框架,也是SpringBoot底层安全
Spring Boot Shiro 用户认证
fangye1的博客
11-12 125
参考源码 Spring-Boot-Shiro 1,添加引用 <?xml version="1.0" encoding="UTF-8"?> <project xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://maven.apache.org/POM/4.0.0" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://mav
极简shiro入门
czhAL的博客
12-07 388
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC的DispatcherServlet) Realms:用于进行权限信息的验证,一
Springboot_Shiro
qq_42102911的博客
04-08 487
一、shiro简介 1. shiro是啥? Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 深入学习: 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2. Shiro 基本功能
SpringBoot--Shiro
qq_43430343的博客
08-25 175
Shiro 什么是Shiro? Apache Shiro是一个Java的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成, 认证,授权,加密,会话管理,Web集成,缓存等。 1、pom.xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId&gt
SpringBoot+Shiro权限管理系统脚手架.zip
05-10
项目基于Rest ful风格的接口开发,属于前后端分离,该项目属于后端部分,主要应用Shiro框架,结合SpringBoot,基于对用户,角色,权限开发的权限系统脚手架 技术应用: 项目管理工具:Maven 3.3; jdk:jdk1.8; ...
springboot整合shiro讲解
04-14
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。相对于SpringSecurity简单的多,也没有Spring...
springboot整合Shiro与Jwt并封装统一返回值
11-15
son web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和...
shirospringboot的使用
shisannnn的博客
10-08 95
1.log4j文件编写 # # Licensed to the Apache Software Foundation (ASF) under one # or more contributor license agreements. See the NOTICE file # distributed with this work for additional information # regarding copyright ownership. The ASF licenses this file #
springboot--shiro
qy132的博客
07-05 116
1.引入shiro综合嫁包 <!-- shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.0</version>
springboot+shiro应用
ldcaws的专栏
05-09 197
后期更新
Springboot使用shiro
m0_59042299的博客
08-03 677
首先在Spring使用shiro首先要导入shiro的依赖
SpringBoot 04 —— Shiro
zcy的博客
03-31 197
系列文章 SpringBoot 01 —— HelloSpringBoot、yaml配置、数据校验、多环境切换 SpringBoot 02 —— Web简单探究、员工管理系统 SpringBoot 03 —— Spring Security SpringBoot 04 —— Shiro 文章目录系列文章十二、Shiro12.1、介绍12.2、快速体验12.3、SpringBoot集成Shiro1、配置Shiro2、MyBatis3、前端 十二、Shiro 12.1、介绍 Apache Shiro 是一
springbootshiro(入门)
Bernie_7的博客
07-26 142
使用shiro搭建一个简单的系统搭建一个简单的系统框架shiro环境搭建导包三个 Bean和一个自定义的Realm拦截,认证和授权拦截认证授权整合thyemleaf 搭建一个简单的系统框架 shiro环境搭建 导包 注意是整合soringboot的包 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <dependency> <groupId>org.apache.shir
Springboot使用shiro
qq_38345598的博客
01-28 3708
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存“临时”生成Aop动态代理类,被称为运行时增强。 ...
SpringBoot08:Shiro
qq_55137734的博客
02-15 390
什么是Shiro? 一个Java的安全(权限)框架,可以完成认证、授权、加密、会话管理、Web集成、缓存等
SpringBoot使用Shiro
qq_44255146的博客
12-30 115
SpringBoot使用Shiro 1、导入maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> 2、创建配置类 config>ShiroConfig.java @C
springboot整合 shiro
最新发布
09-03
1. 在application.properties文件配置Shiro相关的属性,比如服务器端口号、应用名称、视图前缀和后缀等。 2. 在pom.xml文件引入Shiro的依赖,使用shiro-spring-boot-starter的版本为1.5.3。 3. 自定义Realm,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值