SpringBoot与Shiro整合(认证、授权和密码加密)

最新推荐文章于 2023-04-16 22:27:28 发布
最新推荐文章于 2023-04-16 22:27:28 发布
阅读量227 收藏
点赞数
分类专栏: java 文章标签: spring boot mybatis java jvm 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54850825/article/details/126596536
版权

SpringBoot与Shiro整合(认证、授权和密码加密)

  • 创建SpringBoot项目,选择以下工具包:

    Lombok
    Spring Web
    Thymeleaf
    MySQL Driver

  • 添加MybatisPlus的依赖:

    com.baomidou mybatis-plus-boot-starter 3.3.1.tmp

  • 添加Shiro的依赖:

    org.apache.shiro shiro-spring 1.5.3

  • 添加Shiro控制ThymeLeaf界面按钮级权限的依赖:

    com.github.theborakompanioni thymeleaf-extras-shiro 2.0.0

  • 完整的pom文件如下:

    <?xml version="1.0" encoding="UTF-8"?>


    4.0.0

    org.springframework.boot
    spring-boot-starter-parent
    2.3.1.RELEASE


    com.blu
    springboot-shiro
    0.0.1-SNAPSHOT
    springboot-shiro
    Demo project for Spring Boot

    <properties>
	<java.version>1.8</java.version>
</properties>

<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-thymeleaf</artifactId>
	</dependency>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-web</artifactId>
	</dependency>
	<dependency>
		<groupId>mysql</groupId>
		<artifactId>mysql-connector-java</artifactId>
		<scope>runtime</scope>
	</dependency>
	<dependency>
		<groupId>org.projectlombok</groupId>
		<artifactId>lombok</artifactId>
		<optional>true</optional>
	</dependency>
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-spring</artifactId>
		<version>1.5.3</version>
	</dependency>
	<dependency>
		<groupId>com.baomidou</groupId>
		<artifactId>mybatis-plus-boot-starter</artifactId>
		<version>3.3.1.tmp</version>
	</dependency>
	<dependency>
		<groupId>com.github.theborakompanioni</groupId>
		<artifactId>thymeleaf-extras-shiro</artifactId>
		<version>2.0.0</version>
	</dependency>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-test</artifactId>
		<scope>test</scope>
		<exclusions>
			<exclusion>
				<groupId>org.junit.vintage</groupId>
				<artifactId>junit-vintage-engine</artifactId>
			</exclusion>
		</exclusions>
	</dependency>
</dependencies>
<build>
	<plugins>
		<plugin>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-maven-plugin</artifactId>
		</plugin>
	</plugins>
</build>

  • application.yml配置文件:

    spring:
    datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: 123456
    url: jdbc:mysql://localhost:3306/shirotest?useUnicode=true&characterEncoding=UTF-8

    thymeleaf:
    prefix: classpath:/templates/
    suffix: .html

    mybatis-plus:
    configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

  • Account实体类:

    package com.blu.entity;

    import com.baomidou.mybatisplus.annotation.IdType;
    import com.baomidou.mybatisplus.annotation.TableId;

    import lombok.Data;

    @Data
    public class Account {
    @TableId(value = “id”,type = IdType.AUTO)
    private Integer id;
    private String username;
    private String password;
    private String perms;
    private String role;
    private String salt;
    }

  • 实体类对应数据库:
    在这里插入图片描述

  • AccountMapper接口:

    package com.blu.mapper;

    import org.springframework.stereotype.Repository;
    import com.baomidou.mybatisplus.core.mapper.BaseMapper;
    import com.blu.entity.Account;

    @Repository
    public interface AccountMapper extends BaseMapper{

    }

  • AccountService接口:

    package com.blu.service;

    import com.blu.entity.Account;

    public interface AccountService {

    public Account findByUsername(String username);
public void createAccount(Account account);

    }

  • AccountServiceImpl实现类:

    package com.blu.service.impl;

    import org.apache.shiro.crypto.SecureRandomNumberGenerator;
    import org.apache.shiro.crypto.hash.SimpleHash;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Service;

    import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
    import com.blu.entity.Account;
    import com.blu.mapper.AccountMapper;
    import com.blu.service.AccountService;

    @Service
    public class AccountServiceImpl implements AccountService{

    @Autowired
private AccountMapper mapper;

@Override
public Account findByUsername(String name) {
	QueryWrapper<Account> wrapper = new QueryWrapper<Account>();
	wrapper.eq("username", name);
	Account account = mapper.selectOne(wrapper);
	return account;
}

@Override
public void createAccount(Account account) {
	//随机生成salt值,并通过用户注册的密码和salt值经两次md5算法生成真实存储的密码
	String salt = new SecureRandomNumberGenerator().nextBytes().toString();
	String password= new SimpleHash("md5",account.getPassword(),salt,2).toString();
	account.setPassword(password);
	account.setSalt(salt);
	mapper.insert(account);
}

    }

  • AccountRealm

    package com.blu.realm;

    import java.util.HashSet;
    import java.util.Set;

    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.AuthenticationException;
    import org.apache.shiro.authc.AuthenticationInfo;
    import org.apache.shiro.authc.AuthenticationToken;
    import org.apache.shiro.authc.SimpleAuthenticationInfo;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.authz.AuthorizationInfo;
    import org.apache.shiro.authz.SimpleAuthorizationInfo;
    import org.apache.shiro.crypto.hash.SimpleHash;
    import org.apache.shiro.realm.AuthorizingRealm;
    import org.apache.shiro.subject.PrincipalCollection;
    import org.apache.shiro.subject.Subject;
    import org.springframework.beans.factory.annotation.Autowired;

    import com.blu.entity.Account;
    import com.blu.service.AccountService;

    public class AccountRealm extends AuthorizingRealm {

    @Autowired
private AccountService accountService;

/**
 * 授权
 */

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
	//获取当前登录的用户信息
	Subject subject = SecurityUtils.getSubject();
	Account account = (Account) subject.getPrincipal();
	//设置角色
	Set<String> rolesset = new HashSet<>();
	rolesset.add(account.getRole());
	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(rolesset);
	//设置权限
	info.addStringPermission(account.getPerms());
	return info;
}

/**
 * 认证
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
	UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
	Account account = accountService.findByUsername(token.getUsername());
	if(account != null){
		//若密码不正确则返回IncorrectCredentialsException异常
		return new SimpleAuthenticationInfo(account,account.getPassword(), getName());
	}
	//若用户名不存在则返回UnknownAccountException异常
	return null;
}

    }

  • ShiroConfig配置类:

    package com.blu.config;

    import java.util.HashMap;
    import java.util.Map;

    import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
    import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
    import org.springframework.beans.factory.annotation.Qualifier;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;

    import com.blu.realm.AccountRealm;

    import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

    @Configuration
    public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier(“securityManager”) DefaultWebSecurityManager securityManager){
    ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
    factoryBean.setSecurityManager(securityManager);
    Map<String,String> map = new HashMap<String, String>();
    //登录状态下才可以访问main页面,manage权限可访问manage页面,admin角色可访问admin页面
    map.put(“/main”, “authc”);
    map.put(“/manage”,“perms[manage]”);
    map.put(“/admin”, “roles[admin]”);
    factoryBean.setFilterChainDefinitionMap(map);
    //未登录状态下访问将跳转至login页面
    factoryBean.setLoginUrl(“/login”);
    //无授限状态下访问将请求unauthor
    factoryBean.setUnauthorizedUrl(“/unauthor”);
    return factoryBean;
    }

    @Bean
public DefaultWebSecurityManager securityManager(@Qualifier("accoutRealm") AccountRealm accountRealm){
	DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
	manager.setRealm(accountRealm);
	return manager;
}

@Bean
public AccountRealm accoutRealm(){
	return new AccountRealm();
}
@Bean
public ShiroDialect shiroDialect(){
	return new ShiroDialect();
}

    }

  • AccountController:

    package com.blu.controller;

    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.IncorrectCredentialsException;
    import org.apache.shiro.authc.UnknownAccountException;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.crypto.hash.SimpleHash;
    import org.apache.shiro.subject.Subject;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Controller;
    import org.springframework.ui.Model;
    import org.springframework.web.bind.annotation.GetMapping;
    import org.springframework.web.bind.annotation.PathVariable;
    import org.springframework.web.bind.annotation.PostMapping;
    import org.springframework.web.bind.annotation.ResponseBody;

    import com.blu.entity.Account;
    import com.blu.service.AccountService;

    @Controller
    public class AccountController {

    @Autowired
private AccountService acccoutService;

@GetMapping("/{url}")
public String redirect(@PathVariable("url") String url) {
	return url;
}

@PostMapping("/login")
public String login(String username,String password,Model model) {
	Subject subject = SecurityUtils.getSubject();
	Account ac = acccoutService.findByUsername(username);
	if(ac!=null) {
		//根据salt值和用户输入的密码计算加密后的密码
		String salt = ac.getSalt();
		password = new SimpleHash("md5",password,salt,2).toString();
	}
	UsernamePasswordToken token = new UsernamePasswordToken(username,password);
	try {
		//将用户名和密码通过token传给shiro进行认证
		subject.login(token);
		Account account = (Account) subject.getPrincipal();
		subject.getSession().setAttribute("account", account);
		return "index";
	} catch (UnknownAccountException e) {
		e.printStackTrace();
		model.addAttribute("msg", "用户名不存在");
		return "login";
	} catch (IncorrectCredentialsException e) {
		e.printStackTrace();
		model.addAttribute("msg", "密码有误");
		return "login";
	}
	
}

@ResponseBody
@GetMapping("/unauthor")
public String unauthor() {
	return "权限不足,无法访问";
}

@GetMapping("/logout")
public String logout() {
	Subject subject = SecurityUtils.getSubject();
	subject.logout();
	return "login";
}

@PostMapping("/register")
public String register(Account account,Model model) {
	String username = account.getUsername();
	String password = account.getPassword();
	if(username==null||username==""){
		model.addAttribute("msg", "用户名不能为空");
		return "register";
	}else if(password==null||password=="") {
		model.addAttribute("msg", "密码不能为空");
		return "register";
	}else if(acccoutService.findByUsername(username)!=null) {
		model.addAttribute("msg", "用户名已被占用");
		return "register";
	}else {
		acccoutService.createAccount(account);
		return "login";
	}
}

    }

  • ShiroApplication启动类:

    package com.blu;

    import org.mybatis.spring.annotation.MapperScan;
    import org.springframework.boot.SpringApplication;
    import org.springframework.boot.autoconfigure.SpringBootApplication;

    @SpringBootApplication
    @MapperScan(“com.blu.mapper”)
    public class ShiroApplication {

    public static void main(String[] args) {
	SpringApplication.run(ShiroApplication.class, args);
	
}

    }

  • index页面

    Insert title here 
    <a href="/main">main</a> 
<span shiro:hasPermission="manage"> | <a href="/manage">manage</a></span>
<span shiro:hasRole="admin"> | <a href="/admin">admin</a></span>

<br>
<h1>index</h1>

  • login页面

    Insert title here
    用户名:
    密码:
    注册

  • register页面

    Insert title here
    用户名:
    密码:

  • main/manage/admin页面

    Insert title here

    main

    Insert title here

    manage

    Insert title here

    admin

项目源码:

链接:https://pan.baidu.com/s/1EA-664JRpPOpfXaR6L_kkg 
提取码:BLU0
m0_54850825
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro进行安全登录,并且进行权限验证
weixin_71787144的博客
12-12 302
笔记
Shiro:Springboot集成shiro进行认证授权加密处理
m0_63180675的博客
08-02 663
这是我学了两周整理出来的项目笔记,然后厘米有shiro认证授权、md5+salt+hash散列 进行加密处理、集成redis缓存
Shiro使用官方方法生成密钥
城南蝈蝈
07-19 1549
原文链接:这里,这里! 0.前言 平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目中shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。 本文框架SSM+shiro。 1.解决思路 (1)升级Shiro版本,为1.7.0以上 (2)自定义一个base 64 AES密钥 (3)使用官方生成的方法提供密钥 本文选择的是第三种办法: 我们在shrio新建一个类。参照下面的代码进行添加: import javax.crypto.KeyGenerator; impo
SpringBoot+Shiro+Vue实现身份验证
帅帅气气的黑猫警长
09-03 1701
SpringBoot+JWT+Shiro实现登录功能(含密码加密
springboot整合shiro 认证授权与记住密码密码错过锁定次数
xiaozhou_zi的博客
09-05 5242
                                                                       Spring Boot + Shiro总结 背景:最近领导要完成用户管理、菜单管理,角色管理等系统功能,上家公司的时候想过用了shiro来对整个系统进行权限控制,就想多一项技术,总归是好事,不过现在框架是spring boot,省去了沉于的配置,花了两天时...
springboot2.x以上整合shiro1.7.1和redis的一些注意事项
weixin_43165220的博客
08-11 971
因为之前用的shiro版本一直是1.4.0,后来我们老大跟我说版本太低了,不安全,叫我升级到1.7.1。升级后发现有些配置很不一样的,需要注意一下。 一、pom.xml <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.3<
springbootshiro密码加密,mybatis,redis的整合项目
04-02
后台在通过shiro进行授权认证,分为普通用户和管理员两种角色,普通用户只能访问商品,管理员可以访问商品和用户界面的基础上加入了密码加密。登录时利用了redis缓存。里面包含数据库文件希望能帮助到大家学习。
springbootshiro整合—登录认证和权限管理实例项目
04-16
在本文中,我们将深入探讨如何将Spring Boot与Apache Shiro整合,实现登录认证和权限管理的实例项目。这个项目对于初学者来说是一个很好的实践平台,它可以帮助开发者将理论知识转化为实际应用。 首先,Spring Boot...
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
本篇文章主要介绍了 SpringBootShiro整合,实现密码加密和登录失败次数限制的示例。该示例中,使用 Shiro 框架来实现登录失败次数限制,并使用 SpringBoot 框架来实现密码加密密码加密是指在用户注册或...
springboot整合shiro实现认证授权项目源代码
最新发布
07-16
而Apache Shiro则是一个强大且易用的Java安全框架,处理认证授权、会话管理和加密等核心安全问题。本项目结合Spring Boot与Shiro,旨在提供一个实现用户认证授权的示例。 1. **Spring Boot**: - Spring Boot...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权加密和会话管理等功能。在Spring ...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3030
Shiro1.7.1版本默认密钥的漏洞
使用shiro对数据库中的密码进行加密存储(java+springboot+shiro
jakelihua
04-16 1836
shiro加盐,加密,数据库加密存储
SpringBoot整合Shiro加密
web17886480312的博客
08-24 354
Bean// 设置加密方式// 设置散列次数// 设置开启缓存,用自己的缓存了类// 开启缓存//开启认证缓存// 设置认证缓存名字//开启授权缓存// 设置授权缓存名字}
SpringBoot整合Shiro-对密码进行MD5并加盐处理(十五)
Doge的技术小屋
11-10 408
原文:https://blog.csdn.net/qq_34021712/article/details/84571067 数据库中密码相关字段都不是明文,肯定是加密之后的,传统方式一般是使用MD5加密。 单纯使用不加盐的MD5加密方式,当两个用户的密码相同时,会发现数据库中存在相同内容的密码,这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。 下面进行shiro密码 加密加盐配置: 1.ShiroConfig中添加密码比较器 /** * 配置密码比较器 * @return
SpringBoot整合shiro之盐值加密详解
热门推荐
和我一起学习吧
04-04 1万+
盐值是什么首先我们来探讨一下关于密码安全的问题在一个系统中我们通常会将用户名和密码存在数据库中,如果我们直接将密码存入数据库,会存在很大的安全隐患,比如:数据库被盗,传输过程中被黑客拦截,这都是很常见的问题,数据库所在的服务并不是绝对的安全,传输过程中也有可能被黑客拦截得到你传输的数据获得一些隐私的数据,并篡改后发往服务器。那么针对这种问题我们如何解决呢,安全在升级,骇客的技术同样也在进步,一个网...
Shiro第三篇】SpringBoot + Shiro实现用户认证密码加密
weixiaohuai的博客
11-19 636
一、概述 前面一篇文章我们通过示例详细说明了Shiro如何进行用户身份认证的,但是我们是比对的明文密码,本篇文章将总结一下Shiro加密功能,实现密文的比对。 如果还没有阅读前面一篇Shiro实现用户身份认证的,可以通过下面的链接进行阅读: https://weishihuai.blog.csdn.net/article/details/109779347 二、调整Shiro全局配置类 【a】Shiro全局配置类中注入HashedCredentialsMatcher密码匹配凭证管理器 /**
Spring Boot Shiro 密码加密(加盐)
weixin_44335140的博客
10-17 1658
此篇文章是在Shiro整合Spring Boot入门的基础上写的,如果你没有shiro基础看不懂的话,可以去看看。 1、给Realm添加CredentialsMatcher @Bean public UserRealm userRealm() { UserRealm userRealm = new UserRealm(); // 设置加密算法 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatche
SpringBoot整合Shiro搭建权限管理组织系统.pdf
07-02
二、SpringBootShiro整合 1. **Shiro简介**:Apache Shiro是一个强大且易用的Java安全框架,处理认证授权加密和会话管理。在SpringBoot项目中,Shiro可以提供用户身份验证、权限控制和会话管理等功能。 2. **...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值