导入依赖
<!-- Shiro整合Spring -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.5.3</version>
</dependency>
创建config
/**
* @author jim
* @version 1.0
* @date 2022/3/7 20:12
*/
@Configuration
public class ShiroConfig {
@Bean(name = "userRole")
public UserRole getUserRole() {
return new UserRole();
}
// * 设置安全管理器 2
@Bean(name = "defaultWebSecurityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRole") UserRole userRole) {
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
//关联UserRole
defaultWebSecurityManager.setRealm(userRole);
return defaultWebSecurityManager;
}
@Bean// 3 过滤请求
public ShiroFilterFactoryBean
getShiroFilterFactoryBe(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//关联安全管理器
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
//添加过滤器 -->内置的要有的
// anon 勿需认证可访问
// autnc 必须认证才能访问
// user 必须有记住我功能才能访问
// perms 拥有对某个资源的权限才能访问
// role 拥有某个角色权限才能访问
Map<String, String> map = new HashMap<>();
//放入规则 需认证才能访问的页面
map.put("/main", "authc"); //1、必须是登录状态才可以访问 main.html。
map.put("/manage", "perms[manage]");//用户必须拥有 manage 授权才可以访问 manage.html。
map.put("/administrator", "roles[administrator]");//用户必须拥有 administrator 角色才能访问 administrator.html
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
//设置未登录将要跳转的页面
shiroFilterFactoryBean.setLoginUrl("/login");
//未授权跳转的界面
shiroFilterFactoryBean.setUnauthorizedUrl("/Unauthorized");
return shiroFilterFactoryBean;
}
}
自定义shiro类
/**
* 自定义授权类
*/
public class UserRole extends AuthorizingRealm {
@Autowired
private Userservice userservice;
//授权
// 授权过滤器:
// perms:必须拥有对某个资源的访问权限(授权)才能访问。
// role:必须拥有某个角色权限才能访问。
// port:请求的端口必须为指定值才可以访问。
// rest:请求必须是 RESTful,method 为 post、get、delete、put。
// ssl:必须是安全的 URL 请求,协议为 HTTPS。
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("授权");
//获取用户对象
Subject subject = SecurityUtils.getSubject();
User user = (User) subject.getPrincipal();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//设置权限
info.addStringPermission(user.getPerms());
return info;
}
//认证
// 认证过滤器:
// anon:无需认证即可访问,游客身份。
// authc:必须认证(登录)才能访问。
// authcBasic:需要通过 httpBasic 认证。
// user:不一定已通过认证,只要是曾经被 Shiro 记住过登录状态的用户就可以正常发起请求,比如 rememberMe。
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//只要点击登录就可以进入此方法
System.out.println("认证");
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
User user = userservice.queryUserName(token.getUsername());
if (!token.getUsername().equals(user.getUserName)) {
return null;//抛出异常 UnknownAccountException
}
// 密码认证不需要做 框架来做
return new SimpleAuthenticationInfo(user, User.getPassword, getName());
}
}
controller
@Controller
public class MyLogin {
@GetMapping("login")
public String login(String name, String pass, Model model) {
//获取当前用户
Subject subject = SecurityUtils.getSubject();
//可以封装用户的登陆数据
UsernamePasswordToken token = new UsernamePasswordToken();
try {
//登录
subject.login(token);
} catch (UnknownAccountException e) {
model.addAttribute("msg", "用户名错误");
e.printStackTrace();
} catch (IncorrectCredentialsException e) {
model.addAttribute("msg", "密码错误");
e.printStackTrace();
} catch (AuthenticationException e) {
model.addAttribute("msg", "用户名或密码错误");
e.printStackTrace();
}
//成功之后进入到界面
return "user";
}
@PostMapping("logOut")
public String logOut(){
Subject subject = SecurityUtils.getSubject();
subject.logout();
return "推出成功";
}
}