SpringBoot中Shiro的应用

最新推荐文章于 2024-09-17 20:33:20 发布
最新推荐文章于 2024-09-17 20:33:20 发布
阅读量189 收藏
点赞数
分类专栏: Springboot 文章标签: java shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyyrhf/article/details/114928323
版权

Shiro

1. 什么是Shiro

  • Apache Shiro是一个fava的安全(权限)框架。
  • Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。
  • Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。



2. Shiro有哪些功能

在这里插入图片描述

  • Authentication:身份认证、登录,验证用户是不是拥有相应的身份
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作,如:验证某个用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限
  • **Session Manager:**会话管理,即用户登录后就是第一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的JavaSE环境,也可以是Web环境
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库中,而不是明文存储
  • WebSupport:Web支持,可以非常容易的集成到Web环境;
  • Caching:缓存,比如用户登录后,其用户信息,拥有的角色、权限不必每次去查,这样可以提高效率
  • Concurrency:Shiro支持多线程应用的并发验证,即,如在一个线程中开启另一个线程,能把权限自动的传播过去
  • Testing:提供测试支持
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了





3. Shiro内部架构

在这里插入图片描述




4. HelloShiro

  • 导入依赖

        <!-- configure logging -->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>jcl-over-slf4j</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>log4j</groupId>
        <artifactId>log4j</artifactId>
        <version>1.2.17</version>
    </dependency>
</dependencies>

  • 配置log4j日志

    log4j.rootLogger=INFO, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

# General Apache libraries
log4j.logger.org.apache=WARN

# Spring
log4j.logger.org.springframework=WARN

# Default Shiro logging
log4j.logger.org.apache.shiro=INFO

# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

  • 配置shiro.ini

    [users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc
# -----------------------------------------------------------------------------
[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5

  • QuickStart

    import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


/**
 * Simple Quickstart application showing how to use Shiro's API.
 *
 * @since 0.9 RC2
 */
class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);


    public static void main(String[] args) {

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);




        //获取当前的用户对象
        Subject currentUser = SecurityUtils.getSubject();

        //通过当前用户得到session
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("通过currentUser得到 [" + value + "]");
        }

        //判断当前的用户是否被认证
        if (!currentUser.isAuthenticated()) {
            //Token:令牌,没获取,随机设置
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true); //设置记住我
            try {
                currentUser.login(token);//执行登录操作
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }


        //打印身份认证
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //测试角色
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        //测试粗粒度权限
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //测试细粒度权限
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        //注销
        currentUser.logout();

        //退出系统
        System.exit(0);
    }
}

大致流程:

//获取当前的用户对象
	Subject currentUser = SecurityUtils.getSubject();
//通过当前用户得到session
	Session session = currentUser.getSession();
//判断当前的用户是否被认证
	if (!currentUser.isAuthenticated());
//打印身份认证
	log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
//测试角色
	if (currentUser.hasRole("schwartz"));
//测试粗粒度权限
	if (currentUser.isPermitted("lightsaber:wield"));
//测试细粒度权限
	if (currentUser.isPermitted("winnebago:drive:eagle5"));
//注销
	currentUser.logout();
//退出系统
	System.exit(0);



5. SpringBoot整合Shiro

  • 导入thymeleaf依赖

    <dependency>
    <groupId>org.thymeleaf</groupId>
    <artifactId>thymeleaf-spring5</artifactId>
</dependency>

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>

  • 编写Controller、实现跳转到首页index.html

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sUJZ3D1b-1615961366008)(E:\学习笔记\图片\image-20200826101622958.png)]

  • 导入shiro-spring

    <!--shiro整合spring的包-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.1</version>
</dependency>

  • 编写配置类

    package com.kung.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {

    //3.ShiroFilterBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        return bean;
    }

    //2.DefaultWebSecurityManager
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm
        securityManager.setRealm(userRealm);

        return securityManager;
    }

    //1.创建 realm 对象
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

}

三个bean各自需要,传参过去,然后@Qualifier指定一下方法名即可指定到它需要的!

  • 自定义UserRealm

    package com.kung.config;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

//自定义UserRealm
public class UserRealm  extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了=>授权doGetAuthorizationInfo");
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了=>认证doGetAuthorizationInfo");
        return null;
    }
}



6. 登录拦截

  • 添加过滤器过滤普通用户

    //添加shiro的内置过滤器
    /*
    anno:无需认证即可访问
    authc:必须认证才可访问
    user:必须拥有 记住我 功能才可访问
    perms:拥有对某个资源的权限才可访问
    role:拥有某个角色权限才可访问
     */
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

Map<String, String> filterMap=new LinkedHashMap<>();

filterMap.put("/user/add","authc");
filterMap.put("/user/update","authc");

//设置登录请求
bean.setLoginUrl("/toLogin");
 bean.setFilterChainDefinitionMap(filterMap);

  • 登录页面的设计和跳转实现即可




7. 用户认证

  • 执行登录

    @RequestMapping("/login")
public String login(String username,String password,Model model){
    //获取当前用户
    Subject subject = SecurityUtils.getSubject();
    //封装用户登录数据
    UsernamePasswordToken token = new UsernamePasswordToken(username,password);

    try {
        subject.login(token);//执行登录方法,如果没有异常就ok
        return "index";
    }catch(UnknownAccountException e){
        //用户名不存在
        model.addAttribute("msg","用户名错误");
        return "login";
    }
    catch(IncorrectCredentialsException e){
        //密码错误
        model.addAttribute("msg","密码错误");
        return "login";
    }
}

  • 实现用户认证

    在登录执行之后会直接跳转到执行认证,更新执行认证:

    //用户名 密码
String name="root";
String password="123456";

UsernamePasswordToken userToken = (UsernamePasswordToken) token;
if(!userToken.getUsername().equals(name)){
    return null;//抛出异常 UnknowAccountException
}


//密码认证 shiro做
return  new SimpleAuthenticationInfo("",password,"");



8. 整合Mybatis

  • 导入依赖

    <dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.0</version>
</dependency>

  • yaml配置

    spring:
  datasource:
    username: root
    password: admin
    url:  jdbc:mysql://localhost:3306/rahiafeng?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
    driver-class-name: com.mysql.jdbc.Driver

  • properties配置

    mybatis.type-aliases-package=com.kuang.pojo
mybatis.mapper-locations=classpath:mapper/*.xml

  • UserRealm连接真实数据库

    UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//连接真实数据库
User user = userService.queryUserByName(userToken.getUsername());

if(user==null){
    //没有这个人
    return null;
}

//可以加密 MD5 MD5盐值加密
//密码认证 shiro做
return  new SimpleAuthenticationInfo("",user.getPwd(),"");



9. 授权实现

  • 先给未授权的拦截

    //授权,正常情况下未授权会跳转到未授权页面
filterMap.put("/user/add","perms[user:add]");

//未授权页面
bean.setUnauthorizedUrl("/noauth");

  • 添加数据库字段,权限

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YkIfaa4a-1615961366011)(E:\学习笔记\图片\image-20200826152110562.png)]·

  • 实现不同权限看不同东西

    //拿到当前登录对象
Subject subject = SecurityUtils.getSubject();
User currentUser = (User) subject.getPrincipal();

//设置当前用户的权限
info.addStringPermission(currentUser.getPerms());

return  new SimpleAuthenticationInfo(user,user.getPwd(),"");



10. 整合thymeleaf

  • 导入依赖

    <!--shiro和thymeleaf整合-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

  • 配置shiroDialect

    //整合ShiroDialect:用来整合shiro和thymeleaf
public ShiroDialect getShiroDialect(){
    return new ShiroDialect();
}

  • 获取登录session以改变登录之后无登录按钮

    Subject currentSubject =SecurityUtils.getSubject();
Session session = currentSubject.getSession();
session.setAttribute("loginUser",user);

//可以加密 MD5 MD5盐值加密
//密码认证 shiro做
return  new SimpleAuthenticationInfo(user,user.getPwd(),"");

  • 增加约束并前端修改

    <!DOCTYPE html>
<html lang="en"  xmlns:th="https://www.thymeleaf.org"
      xmlns:shiro="https://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h1>首页</h1>
<!--从session中判断值-->
<div th:if="${session.loginUser==null}">
    <a th:href="@{/toLogin}">登录</a>
</div>
<p th:text="${msg}"></p>
</hr>


<div shiro:hasPermission="user:add">
<a th:href="@{/user/add}">add</a>
</div>

<div shiro:hasPermission="user:update">
<a th:href="@{/user/update}">update</a>
</div>

</body>
</html>
海也是风
关注
专栏目录
springbootshiro应用
weixin_41650839的博客
09-09 855
apache shiro 是一个简单便捷的安全框架,也是官方推荐的安全框架,作用和spring scurity一样,但是却比scurity 轻便,灵活,由于spring boot 没有整合shiro 所以如果我们要在项目使用shiro需要自己配置一些东西 接下来开始介绍shiro 的使用   千里之行始于足下,先来认识shiro,上面这张图就是shiro官网的介绍图,可以很清楚的看出来...
springboot-shiro
10-18
SpringBoot项目集成Shiro,可以充分利用其提供的安全功能,实现用户登录、权限控制等功能。 Shiro的核心概念包括Subject(主体)、Realm(领域)、Session管理和Cryptography(加密)等。Subject代表了系统的...
Spring Boot学习笔记(三)
爱写博客的小菜鸟的博客
10-25 282
十、SpringSecurity security——安全 web开发,安全第一~过滤器,拦截器 功能性需求 做网站什么时候考虑安全? 设计之初就要进行考虑 漏洞,隐私泄露 安全框架: shiroSpringSecurity、认证和授权 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring应用程序的事实标准。 功能权限 访问权限 菜单权限 简介 SpringSecurity是针对Spring项目的安全框架,也是SpringBoot底层安全
SpringBoot学习笔记(十六:Shiro
最新发布
2401_87167645的博客
09-17 1078
Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。还有其他的功能来支持和加强这些不同应用环境下安全领域的关注点。特别是对以下的功能支持:Web支持:Shiro 提供的 Web 支持 api ,可以很轻松的保护 Web 应用程序的安全。
Spring Boot Shiro 用户认证
fangye1的博客
11-12 149
参考源码 Spring-Boot-Shiro 1,添加引用 <?xml version="1.0" encoding="UTF-8"?> <project xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://maven.apache.org/POM/4.0.0" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://mav
极简shiro入门
czhAL的博客
12-07 478
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC的DispatcherServlet) Realms:用于进行权限信息的验证,一
Springboot_Shiro
qq_42102911的博客
04-08 520
一、shiro简介 1. shiro是啥? Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 深入学习: 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2. Shiro 基本功能
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring BootShiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目引入相关依赖项,包括: * ...
springboot整合shiro
03-30
在实际应用,我们还需要创建相应的Controller来处理用户的登录、登出、权限验证等请求。同时,为了实现权限控制,我们需要在每个需要权限校验的Controller方法上添加注解,如`@RequiresPermissions`或`@...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
在Web应用,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许在运行时根据用户角色动态分配和更新权限。 **SpringBoot** 是一个简化Spring应用初始搭建以及开发过程的框架,它...
SpringBoot--Shiro
qq_43430343的博客
08-25 222
Shiro 什么是Shiro? Apache Shiro是一个Java的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成, 认证,授权,加密,会话管理,Web集成,缓存等。 1、pom.xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId&gt
shirospringboot的使用
shisannnn的博客
10-08 126
1.log4j文件编写 # # Licensed to the Apache Software Foundation (ASF) under one # or more contributor license agreements. See the NOTICE file # distributed with this work for additional information # regarding copyright ownership. The ASF licenses this file #
springboot--shiro
qy132的博客
07-05 140
1.引入shiro综合嫁包 <!-- shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.0</version>
springboot+shiro应用
ldcaws的专栏
05-09 212
后期更新
Springboot使用shiro
m0_59042299的博客
08-03 699
首先在Spring使用shiro首先要导入shiro的依赖
SpringBoot 04 —— Shiro
zcy的博客
03-31 370
系列文章 SpringBoot 01 —— HelloSpringBoot、yaml配置、数据校验、多环境切换 SpringBoot 02 —— Web简单探究、员工管理系统 SpringBoot 03 —— Spring Security SpringBoot 04 —— Shiro 文章目录系列文章十二、Shiro12.1、介绍12.2、快速体验12.3、SpringBoot集成Shiro1、配置Shiro2、MyBatis3、前端 十二、Shiro 12.1、介绍 Apache Shiro 是一
springbootshiro(入门)
Bernie_7的博客
07-26 173
使用shiro搭建一个简单的系统搭建一个简单的系统框架shiro环境搭建导包三个 Bean和一个自定义的Realm拦截,认证和授权拦截认证授权整合thyemleaf 搭建一个简单的系统框架 shiro环境搭建 导包 注意是整合soringboot的包 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <dependency> <groupId>org.apache.shir
Springboot使用shiro
qq_38345598的博客
01-28 3911
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存“临时”生成Aop动态代理类,被称为运行时增强。 ...
SpringBoot集成Shiro实现Web应用权限管理
资源摘要信息:"本文档详细介绍了如何使用Apache Shiro框架对基于...通过本文档,读者应能对如何在Spring Boot应用整合和使用Apache Shiro进行有效的权限认证有一个全面的理解,并能够应用所学知识到实际项目
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值