shiro简单使用配置

已于 2022-05-23 19:50:43 修改
阅读量1.5k 收藏 3
点赞数 2
文章标签: java 数据库 spring boot
于 2022-05-23 19:09:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48814910/article/details/124929371
版权

目录

SpringBoot整合shiro框架

1.引入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.7.0</version>
</dependency>

yml文件中配置拦截后默认访问首页

shiro:
  loginUrl: /login.html

2.创建realm对象,并在此类型的对象中定义认证和授权数据的获取逻辑

 2.1.获取认证信息并封装
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Set;
//AuthorizingRealm(授权)继承AuthenticatingRealm(认证)
/**
 * 创建realm对象,并在此类型的对象中定义认证和授权数据的获取逻辑
 */
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    SysUsersDao sysUsersDao;

    /** 负责获取认证信息并封装  但是具体的密码比对不在此方法 是shiro框架底层帮我们完成*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.获取用户登录时提交的用户名
        UsernamePasswordToken uToken=(UsernamePasswordToken)authenticationToken;
        //获取用户名
        String name = uToken.getUsername();
        //2.基于用户名查询用户信息并校验
        //@Select("select * from sys_users where username=#{username}")
        //SysUsers selectUserByUsername(String username);
        SysUsers sysUsers = sysUsersDao.selectUserByUsername(name);
        //未知账户异常
        if(sysUsers==null)throw new UnknownAccountException();
                                        //锁定账户异常(账号禁用)
        if(sysUsers.getValid()==0)throw new LockedAccountException();
        //3.封装查询到的用户信息并返回(交给调用者)
                                   //ByteSource对盐做一个编码处理
        ByteSource credentialsSalt = ByteSource.Util.bytes(sysUsers.getSalt());
        SimpleAuthenticationInfo info =
                new SimpleAuthenticationInfo(
                        sysUsers,//principal 表示登录用户身份
                        sysUsers.getPassword(),//hashedCredentials 数据库中已加密的密码
                        credentialsSalt,//加密盐,ByteSource对盐值对象的处理
                        this.getName()//realmName
                );
        return info;//将封装好的数据交给securityManager进行认证
    }
}
2.2 获取凭证匹配器
 /*获取凭证匹配器(加密策略),使用什么算法和策略对密码进行加密*/
    @Override
    public CredentialsMatcher getCredentialsMatcher( ) {
        //创建密码匹配器对象
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //设置加密算法
        matcher.setHashAlgorithmName("MD5");
        //设置加密次数
        matcher.setHashIterations(1);
        return matcher;
    }
2.3 获取授权信息并封装(认证功能测试完毕再实现此操作)
/** 负责获取授权信息并封装 */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1.获取登录用户信息
        SysUsers user= (SysUsers) principalCollection.getPrimaryPrincipal();
        //2.基于登录用户获取用户权限(根据用户id去数据库查询到当前用户权限)
        //@RequiresPermissions("sys:user:update")用在service实现类的方法上
        //框架会拿着set中的授权标识和注解中的参数比较
        //如果set中存在才能执行方法
        Set<String> set= sysMenuDao.selectUserPermissions(user.getId());
        //3.封装用户权限并返回
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.setStringPermissions(set);
        return info;
    }

3.创建shiro配置类

3.1返回刚刚自己创建的Realm对象
@Configuration
public class MyShiroConfig {
    /**
     * 配置ReaLm对象(org.apache.shiro.reaLm.ReaLm)
     */
    @Bean
    public Realm realm(){
        return new ShiroRealm();
    }
}
3.2 定义过滤规则 官网链接https://shiro.apache.org/web.html
 anon,logout,authc,user…这些是shiro框架指定的过滤规则
 (“/test1/**”, “anon”) anon 放行资源
 (“/test1/logout”,“logout”) logout 拦截进入退出页面
 (“/**”, “authc”); authc 对没有登录的用户拦截
 (设置记住我功能后 这里的authc改为user)
/*定义过滤规则(shiro框架中提供了很多过滤器-Filter,它会对请求中的信息进行过滤
        假如这些请求需要认证才可以访问,则需要先登录认证)
        比如订票时不用登录就能查询票信息,但是访问订单信息和订单创建时间就要登录
        可以用map设置多个过滤资源 chainDefinition.addPathDefinitions(map); */
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition(){
        //过滤链对象的定义(这个过滤链中包含了很多内置过滤器)
        DefaultShiroFilterChainDefinition chainDefinition=
                       new DefaultShiroFilterChainDefinition();
        //指定过滤链中的过滤规则,例如: (放行要在认证之前)
        //配置/test1/*开头的资源,可以匿名访问(不用登录),其中anon为shiro框架指定的认证过滤器
        chainDefinition.addPathDefinition("/test1/**", "anon");

        //配置登出,操作logout为shiro提供的一个默认的登出过滤器
        //(会默认跳转到login.html默认页面)
        chainDefinition.addPathDefinition("/test1/logout","logout");

        //配置以/**开头的资源必须都要认证,其中authc为shiro框架指定的认证过滤器
//        chainDefinition.addPathDefinition("/**", "authc");
        //设置记住我 这里的拦截配置就要把authc改为user
        chainDefinition.addPathDefinition("/**", "user");

        return chainDefinition;
    }
3.3 记住用户功能
 不配置setCipherKey是默认自己生成密钥对用户信息进行加密解密,这样的话你使用"记住我"时当你服务器重启就会再次重新生成密钥,用新的密钥解密之前cookie中的密钥就会报错无法解密
/**
     * shiro记住登录用户(记住我)
     * @return
     */
    @Bean
    public RememberMeManager rememberMeManager(){
        CookieRememberMeManager cManager=new CookieRememberMeManager();
        //默认记住用户信息 cookie的名字叫rememberMe
        SimpleCookie cookie=new SimpleCookie("rememberCGB");
        cookie.setMaxAge(7*24*60*60);//七天
        cManager.setCookie(cookie);
        //设置加密解密密钥
        //(不配置是默认自己生成密钥对用户信息进行加密解密,这样的话你使用"记住我"时当你服务器重启就会再次重新生成密钥,
        // 用新的密钥解密之前cookie中的密钥就会报错无法解密)

        //记住我的cookie会加密,加上此配置会固定用这个加密key加密和解密(Encode)
        cManager.setCipherKey(Base64.decode("6ZmI612j51+R5aSn5201AA=="));
        return cManager;

        /**生成Base64加密key(加密字符串)
         * KeyGenerator keyGenerator=KeyGenerator.getInstance("AES");
         * secretKey secretKey = keyGenerator.generateKey();
         * String key=Base64.encodeTostring( secretKey.getEncoded());
         * system.out.println(key);
         */
    }
3.4 配置session管理器对象
/**shiro配置session管理器对象*/
    @Bean
    public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();
        //session的超时时间
//        sessionManager.setGlobalSessionTimeout(1000*60*60);//1个小时
        sessionManager.setGlobalSessionTimeout(2*60*1000);//2分钟
        //删除无效session
        sessionManager.setDeleteInvalidSessions(true);
        //当客户端cookie被禁用是否要设置url重写(默认为true)
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return  sessionManager;
    }
3.5 解决@RequiresPermissions用在controller层导致@GetMapper.@PostMapper…等注解失效的问题
/**
     * 此配置解决@RequiresPermissions("sys:user:update")加在controller
     *       会使@GetMapper.@PostMapper..这些注解失效的问题
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator proxyCreator=new DefaultAdvisorAutoProxyCreator();
        //下面两个方法都可以使注解生效
        proxyCreator.setProxyTargetClass(true);//让目标对象上的注解映射生效
//        proxyCreator.setUsePrefix(true);
        return proxyCreator;
    }

4.测试认证授权功能

 4.1 认证功能
 JsonResult是自己封装的类,用于服务端响应到客户端的数据(文章最后有添加这个类的代码)
@GetMapping("/{username}/{password}")
    public JsonResult doUpdatePassword(@PathVariable String username,
                                       @PathVariable String password){
        //获取shiro中的Subject对象,基于此对象提交用户信息
        Subject subject = SecurityUtils.getSubject();
        //执行登录(将用户名和密码提交给securityManager)
        UsernamePasswordToken token =
                    new UsernamePasswordToken(username, password);
        //用户登录时通过设置token对象设置记住我
        token.setRememberMe(true);
        subject.login(token);
        return new JsonResult("登录 ok");
    }
4.2 授权功能
 为service方法加@RequiresPermissions(“sys:user:update”)
 "sys:user:update"为shiro授权信息的固定格式
 /* @RequiresPermissions注解由shiro框架定义,基于此注解定义授权切入点方法,
     * 也就是说用户访问此方法时,需要授权才可访问。shiro框架底层会基于登录用户
     * 获取登录用户权限(权限标识),然后判定用户权限中是否包含@RequiresPermissions
     * 注解中定义的权限标识.
     *
     * 这个注解如果加载controller上,会导致@GetMapper.@PostMapper..这些注解失效(启动类117行解决此问题)
    .*/
    @RequiresPermissions("sys:user:update")
    public int validById(Integer id, Integer valid) {
        int rows=sysUserDao.validById(id,valid,"admin");//这里的admin为假数据,后续为登录用户
        if(rows==0)
            throw new RestClientException("记录可能不存在了");
        return rows;
    }
5.配置全局异常处理
/**
 * 对系统抛出的各种异常进行一个处理,这个时候就可以使用@ControllerAdvice注解了
 * @RestControllerAdvice其实就是在@ControllerAdvice加了一个@ResponseBody注解,用来将返回值写入到响应体
 *
  对哪个注解做一个拦截   可以传数组*/
@RestControllerAdvice(annotations = RestController.class)
public class RestControllerExceptionHandler {
   public static final Logger log =
           LoggerFactory.getLogger(RestControllerExceptionHandler.class);

    /**@ExceptionHandler异常处理器
     * 代表在被@RestController注解修饰的类中,RuntimeException,则有该方法来处理
     */
    @ExceptionHandler(RuntimeException.class)
    public JsonResult bdoHandleRuntimeException(RuntimeException e) {
        e.printStackTrace();
        log.error("exception msg is {}",e.getMessage());
        return new JsonResult(e);
    }

    public JsonResult doShiroException(ShiroException e){
        e.printStackTrace();
        JsonResult r=new JsonResult();
        r.setState(0);
        if (e instanceof UnknownAccountException){
            r.setMessage("账户不存在");
        }else if (e instanceof IncorrectCredentialsException){
            r.setMessage("密码不正确");
        }else if (e instanceof LockedAccountException){
            r.setMessage("账户被锁定");
        }else if (e instanceof AuthorizationException){
            r.setMessage("没有权限");
        }else{
            r.setMessage("认证或授权失败");
        }

        return r;
    }
}

JsonResult代码

/**
 * 通过此对象封装服务端响应到客户端的数据,让数据以一种规范化的格式呈现给客户端.
 */
public class JsonResult {
    /**状态码*/
    private Integer state=1;//1 表示OK,0表示Error
    /**状态码信息*/
    private String message="ok";
    /**封装正确的查询结果*/
    private Object data;

    public JsonResult(){}
    public JsonResult(String message){
        this.message=message;
    }
    public JsonResult(Integer state, String message){
        this(message);
        this.state=state;
    }
    public JsonResult(Object data){//new JsonResult(list)
        this.data=data;
    }
    //当出现异常时,可以通过此构造方法对异常信息进行封装
    public JsonResult(Throwable exception){//new JsonResult(exception);
        this(0,exception.getMessage());
    }
    public Integer getState() {
        return state;
    }

    public void setState(Integer state) {
        this.state = state;
    }

    public String getMessage() {
        return message;
    }

    public void setMessage(String message) {
        this.message = message;
    }

    public Object getData() {
        return data;
    }

    public void setData(Object data) {

        this.data = data;
    }
}
安逸llllll
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro 使用手册(五) Shiro 配置说明
01-09
Apache Shiro配置主要分为四部分: 对象和属性的定义与配置URL的过滤器配置静态用户配置静态角色配置其中,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。 Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码、Sping XML、YAML、JSON、ini文件等等。下面,以Spring XML的配置方式为例,并且对其中的一些配置参数进行一些简单说明。 Shiro对象的配置: 主要是对Shiro各个组件的实现进行定义配置,主要组件在前文已做过简单介绍,这里不再一一说明。
shiro的搭建配置
01-26
搭建shiro的详细文档,及其代码实现。特别适合自学的人, 简单易学,一看就会。
Shiro使用官方方法生成密钥
m0_67391521的博客
03-28 1623
原文链接:这里,这里! 0.前言 平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目中shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。 本文框架SSM+shiro。 1.解决思路 (1)升级Shiro版本,为1.7.0以上 (2)自定义一个base 64 AES密钥 (3)使用官方生成的方法提供密钥 本文选择的是第三种办法: 我们在shrio新建一个类。参照下面的代码进行添加: import javax.crypto.KeyGenerator; impo
Springboot系列-整合shiro
Thinkao 的博客
02-14 186
Springboot系列-整合shiro 前言:项目权限管理的开发一般会主要涉及到两种方案,shiro整合以及Spring Security,但一般主流都是 Spring Security ,不过本篇博客将主要对于 整合shiro进行介绍 1.shiroSpring Security 区别 首先分析一下对于shiro这个安全框架和Spring Security有什么区别,从以下几点来分析: ...
SpringBootyml配置文件
weixin_44792849的博客
03-10 1505
spring boot yml配置文件定义基本数据类型和引用数据类型的方式
简单配置application.yml
02-22
springboot 项目 最简单yml配置完全可以连接数据库使用
shiro 配置
linj努力,奋斗
08-10 348
xml配置:http://www.cnblogs.com/fengwenzhee/p/7121175.html
shiro学习笔记四:shiro拦截器与url匹配规则
chunlulin2540的博客
08-17 1884
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
Springboot整合shiro(及yaml配置形式)
web18296061989的博客
04-08 368
1.shiro是什么 Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: 1. Subject:主体,一般指用户。 2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) 3. Realms:用于进行权限
shiro配置
max_xujw的博客
08-24 113
在之前的文章中,也使用shiro安全框架,但是使用过程中,觉得进行了大量的配置很是繁琐也不好记忆,现在在官网上有给定的配置格式,我们可以一起来试一下,地址:http://shiro.apache.org/spring-boot.html打开后不用看第一个Standalone Applications,这是配置类似本地应用类的.直接看Web Applications,首先添加依赖<depen...
简单配置 shiro + spring +springMVC+hibernate简单框架
02-20
-- shiro简单配置 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.0</version> </dependency> <dependency> <groupId>org.apache.shiro...
shiro简单控制
09-02
shiro简单控制,数据库取,没有实现动态,无配置文件,直接Config类实现。
简单的介绍,简单配置简单的扩展 shiro入门学习手册 共35页.pptx
01-08
简单的介绍,简单配置简单的扩展 Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: ? 验证用户 ? 对用户...
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 975
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 927
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Lambda表达式特点
weixin_57763462的博客
04-24 897
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
Java解决最长公共前缀
最新发布
无人罪的博客
04-28 245
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 475
待更新。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 911
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
springboot shiro 网关配置shiro
10-16
要在Spring Boot配置Shiro网关,可以使用Shiro的Filter来实现。具体步骤如下: 1. 在pom.xml文件中添加ShiroSpring Boot Starter Web依赖。 2. 创建一个ShiroFilter类,继承自org.apache.shiro.web.servlet....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值