springboot + shiro快速入门,五分钟教会你如何在springboot中使用shiro

已于 2022-03-21 15:06:44 修改
阅读量2.1k 收藏 10
点赞数 6
文章标签: spring java
于 2022-03-21 15:03:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59485371/article/details/123612049
版权

目录

一、依赖

二、配置类

三、自定义 realm 类

四、控制器中的操作

五、定义登录认证规则

六、授权

1、使用编程式进行授权

2、使用注解式进行授权

七、总结:

一、依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

二、配置类

---ShiroConfig.java

@Configuration
public class ShiroConfig{
    /**
     * ShiroFilterFactoryBean
     * 获取shiro过滤器
     * 主要配置需要拦截的路径
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();

        //关联DefaultWeSecurityManager 安全管理器对象
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        /*
            添加shiro的内置过滤器
            用于添加需要拦截的路径,并设置拦截级别
            拦截级别:,
              anon :无需认证就可以访问
              authc:必须认证了才能访问,
              user: 必须拥有 remeberMe(记住我)功能才能访问
              perms:拥有对某个资源的权限才能访问
              roles: 拥有某个角色才能访问
         */
        Map<String,String> interceptMap=new HashMap<>();

        //例如 拦截 修改个人资料 功能,设置为需要登录认证才能访问
        //interceptMap.put("/user/add","authc");

        //此处设置放行路径
        interceptMap.put("/user/*","anon");
        //使用通配符拦截所有请求
        interceptMap.put("/**","authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(interceptMap);


        return shiroFilterFactoryBean;
    }


    //DefaultWeSecurityManager
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Autowired ShiroRealm shiroRealm){
        DefaultWebSecurityManager webSecurityManager=new DefaultWebSecurityManager();

        //关联自定义realm对象
        webSecurityManager.setRealm(shiroRealm);

        return webSecurityManager;
    }

    //创建 realm 对象,需要自定义类继承 AuthorizingRealm抽象类,并实现其抽象方法
    @Bean
    public ShiroRealm getDhiroRealm(){
        return new ShiroRealm();
    }

}

三、自定义 realm 类

具体实现等后面再说

public class ShiroRealm extends AuthorizingRealm {

    /**
     * 访问授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        return null;
    }

    /**
     * 登录认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        return null;
    }
}

四、控制器中的操作

@GetMapping("/tologin")
public String toLogin(){
    //通过 SecurityUtils 工具类 获取当前的用户(Subject)
    Subject subject= SecurityUtils.getSubject();
    //封装用户的登录数据
    UsernamePasswordToken token=new UsernamePasswordToken(username,password);

    /* 
       认证用户身份,此操作将转移到 自定义 realm对象类中的认证方法中
       认证失败则会抛出如下异常
    */
    try{
        subject.login(token);
    }catch (UnknownAccountException e){
        System.out.println("用户不存在");
    }catch (IncorrectCredentialsException e){
        System.out.println("密码错误");
    }catch (LockedAccountException e){
        System.out.println("账户被锁定");
    }

    return "";
}

五、定义登录认证规则

现在我们回到 ShiroRealm 类中 制定认证规则

我们需要在 doGetAuthenticationInfo()方法中制定用户名校验规则

最终执行用户名比较的是 SimpleAccountRealm 类

而最终执行密码比较的是 SimpleAuthenticationInfo 类 

/**
     * 登录认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //数据库操作,获取用户信息,此处不演示
        String name="zs";
        String password="123456";

        //从token中获取登录方法传递过来的用户名
        String principal = (String) authenticationToken.getPrincipal();

        //判断用户是否存在
        if(!principal.equals(name)){
            //返回空则默认抛出(UnknownAccountException)用户不存在的异常
            return null;
        }
        //认证密码
        // 参数1:数据库中用户名  参数2:数据库中密码  参数3:realmName,系统运行时会自动生成,通过父类的方法获取realmName
        return new SimpleAuthenticationInfo(name,password,this.getName());
    }

六、授权

授权,即访问控制,控制谁能访问那些资源,主体(Subject)进行身份认证后需要分配权限(Permission)方可访问系统资源(Rsource),对于某些资源没有权限是无法访问的。

 授权方式:

  •     基于角色的访问控制 例:subject.hasRole("admin")
  •     基于资源的访问控制 例:subject.isPermission("user:*:create")

  权限字符串的命名规则 

        资源标识符:操作:资源实例标识符

例如:

  • 用户创建权限:user:create ,或 user:create:*
  • 用户修改实例001的权限 user:update:001
  • 用户操作实例001的所有权限 user:*:001

我们现在回到控制器中,在对用户进行认证之后,我们就可以对用户进行授权

1、使用编程式进行授权

@GetMapping("/tologin")
public String toLogin(){
    //通过 SecurityUtils 工具类 获取当前的用户(Subject)
    Subject subject= SecurityUtils.getSubject();
    //封装用户的登录数据
    UsernamePasswordToken token=new UsernamePasswordToken(username,password);

    /* 
       认证用户身份,此操作将转移到 自定义 realm对象类中的认证方法中
       认证失败则会抛出如下异常
    */
    try{
        subject.login(token);
    }catch (UnknownAccountException e){
        System.out.println("用户不存在");
    }catch (IncorrectCredentialsException e){
        System.out.println("密码错误");
    }catch (LockedAccountException e){
        System.out.println("账户被锁定");
    }

    //1、使用 基于角色的访问控制 的授权方式
    // 认证通过之后对用户进行授权
    //单角色
    if(subject.hasRole("admin")){ // 此处将进入自定义 realm对象中的doGetAuthorizationInfo方法中进行验证
    }

    //多角色
    if(subject.hasAllRoles(Arrays.asList("admin","user"))){ // 此处将进入自定义 realm对象中的doGetAuthorizationInfo方法中进行验证
    }

    //是否具有其中一个角色
    subject.hasRoles(Array.asList("admin","user")){
    }
    
    //使用 基于资源的访问控制 的授权方式
    boolean hasPermission=subject.isPermitted("user:*:*");

    return "";
}

在realm对象中定制授权操作

     /**
     * 授权(只有当需要检测用户权限的时候才会调用此方法)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //获取权限对象
        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();

        //获取用户的主身份信息,
        String userName=(String)principals.getPrimaryPrincipal();

        
        //基于角色的访问控制
        //此处查询数据库,获取当前用户的角色
        List<String> Roles=new ArrayList<>();
        //将数据库中查询出来的所有角色赋值给 simpleAuthorizationInfo 权限对象
        simpleAuthorizationInfo.addRoles(Roles);

        //基于权限的访问控制
        //此处查询数据库,获取当前用户的角色权限
        List<String> permissions=new ArrayList<>();
        //将数据库中查询出来的所有角色权限赋值给 simpleAuthorizationInfo 权限对象
        simpleAuthorizationInfo.addStringPermissions(permissions);

        
        return simpleAuthorizationInfo;
    }

2、使用注解式进行授权

注解需要加在控制器中的方法中,表示在进入该方法前判断用户是否有权限

@RequestMapping("/order")
@Controller
public class OrderController(){

    @RequiresRoles("admin")//判断角色是否有该角色
    @RequiresRoles({"admin","user"})//判断角色是否有多个角色
    @RequiresPermissions("order:save")//判断角色是否有该权限
    @GetMapping("/save")
    public String save(){
        //操作
    }
}

七、总结:

springboot中使用shiro的使用步骤简化如下:

  1. 添加依赖
  2. 配置类,需要配置三个bean
    1. ShiroFilterFactoryBean     关联 DefaultWebSecurityManager    配置拦截路径
    2. DefaultWebSecurityManager  关联 ShiroRealm 
    3. ShiroRealm  获取自定义ShiroRealm类
  3. 自定义 ShiroRealm 类 
    1. 实现 doGetAuthorizationInfo() 此方法实现授权操作规则
    2. 实现 doGetAuthenticationInfo() 此方法实现认证操作规则
  4. 控制器中操作 :
    1. 在登录方法中使用subject.login(token)方法进行用户认证
    2. 制定ShiroRealm类中的doGetAuthorizationInfo()方法
  5. 授权
    1. 基于角色的访问控制
      1. 使用subject.hasRole()方法判断是否有操作权限
      2. 在控制器中的方法中添加@RequiresRoles("")注解
    2. 基于权限的访问控制
      1. 使用subject.isPermitted()方法判断是否有操作权限
      2. 在控制器中的方法中添加@RequiresPermissions("")注解

下一章节将讲解如何实现密码加密加盐,以及整合Redis进行缓存

Cxbocs
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot3整合Shiro未生效问题
?
06-27 3064
使用 SpringBoot3.1.0 对 Shiro 进行整合后,无法生效
Spring Boot 3.0 (十四): Spring Boot 整合 Shiro安全框架
qq_2118119173的博客
08-15 1247
在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
springboot3+jdk17+shiro+jwt+redis
最新发布
hahaha的博客
05-29 1665
注意,jdk17的规范是Jakarta EE,虽然最新版本shiro适配springboot3,但是部分包要单独适配整个认证流程登录和登录之后每一次的认证是不一样的,登录后由工具类jwtUtil生成一个token,返回给前端用于之后每次请求。
Apache Shiro(三)——Spring Boot 与 Shiro的 整合
传臣、的博客
10-24 2500
在了解了Apache Shiro的架构、认证、授权之后,我们来看一下Shiro与Web的整合。下面以Spring Boot为例,介绍一下Spring Boot 与 Shiro的 整合。
springboot实战---3.集成权限框架shiro
王雪亮
05-29 447
1.搭建springboot项目,准备环境 1.1 创建springboot项目 (略) 1.2 新建ShiroTestController,代码如下 package com.xlwang.shiro_test.controller; import org.springframework.stereotype.Controller; import org.springframework....
Springboot整合Shiro框架入门
qq_42640067的博客
09-25 1553
Springboot集成Shiro框架1、快速开始demo2、Springboot集成Shiro2.1、环境搭建2.2、shiro的拦截2.3、shiro的认证2.4、整合mybatis2.5、shiro进行授权2.6、shiro整合thymeleaf 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐的10分钟入门demo进行测试。 创建一
Springboot整合shiro
chao的博客
07-10 2288
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
Shiro简单配置Springboot版(3)
qq_39390455的博客
10-22 323
6.整合SpringBoot项目实战 6.0 整合思路 6.1 创建springboot项目 6.2 引入shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.3</version> </dependency>
SpringBoot(3)整合shiro - - 认证
pzmyg的博客
09-07 574
工程代码建立在SpringBoot(2)的基础上。
SpringBoot集成Shiro的步骤
m0_50725078的博客
09-14 514
SpringBoot集成Shiro的步骤
SpringBootShiro整合
fangliangke的博客
02-01 6121
本文章介绍了Spring boot下shiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
springboot学习整理3:整合shiro部分
qq_20911371的博客
01-02 220
首先搭建shiro的登录环境 1建立对应的文件login.jsp,login.js 注意点:静态文件必须放在新建的webapp目录的WEB-INF目录下,我之前在这边栽了很多次,当你的静态文件没有放到webapp目录下,而是放到类似于resources(根目录的)目录下,springboot是找不到的,即使你在静态资源映射配置设了也不行。 2.设置视图解析器 springboot的视图解析器是...
2022.3.3 SpringBoot+Shiro+Jwt
weixin_44357065的博客
03-03 4519
SpringBoot+Shiro+Jwt 流程: 1、用户请求,不携带token,在JwtFilter处做判断,若没有token,则可以访问没有添加@RequiresAuthentication注解的方法,若有token,则如2所示 2、用户请求,携带token,就到JwtFilter获取jwt,封装成JwtToken对象。然后使用JwtRealm进行认证 3、在JwtRealm进行认证判断这个token是否有效,有效则可访问url 1、依赖 <dependency> <gr
简单版 快速掌握实践 SpringBoot继承Shiro框架详解!
SYJ的博客
08-06 6636
ApacheShiro 是一个Java的安全(权限)框架。.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。.Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。
Shiro笔记,SpringBoot整合Shiro
世上哪有什么岁月静好,不过是有人替你负重前行
05-13 376
文章目录1、Shiro简介1.1、Shiro 是什么?1.2、有哪些功能?1.3、Shiro架构(外部)1.4、Shiro架构(内部)2、Hello World2.1、快速实践3、SpringBoot集成3.1、SpringBoot整合Shiro环境搭建3.2、Shiro实现登录拦截3.3、Shiro实现用户认证3.4、Shiro整合Mybatis3.5、Shiro实现用户授权3.6、Shiro整合Thymeleaf 该学就学 1、Shiro简介 1.1、Shiro 是什么? Apache Shiro
Spring Boot3.0升级,踩坑之旅,附解决方案
m0_57042151的博客
12-07 3234
这个报错主要是Spring Boot3.0已经为所有依赖项从 迁移到 ,导致 包名的修改,Spring团队这样做的原因,主要是避免 的版权问题,解决办法很简单,两步走:1 添加 依赖 修改项目内所有代码的导入依赖 二. 附带的众多依赖包升级,导致的部分代码写法过期报警 2.1 Thymeleaf升级到3.1.0.M2,日志打印的报警 可以看出作者很贴心,日志里已经给出了升级后的写法,修改如下: 2.2 Thymeleaf升级到3.1.0.M2,后端使用 手动渲染网页
Shiro权限管理框架
一个天蝎座的程序猿!
12-11 722
Shiro 一. Shiro权限 什么是权限控制: 忽略特别细的概念,比如权限能细分很多种,功能权限,数据权限,管理权限等 理解两个概念:用户和资源,让指定的用户,只能操作指定的资源(CRUD) 初学javaweb时怎么做 Filter接口有一个doFilter方法,自己编写好业务Filter,并配置对哪个web资源进行拦截后 如果访问的路径命对应的Filter,则会执行doFilt...
SpringBoot-Shiro使用
qq_42861526的博客
12-15 2151
一、什么是Shiro 权限体系在现代软件应用有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache ShiroSpring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
使用springboot+shiro+layui实现qq聊天室功能代码
05-31
很抱歉,由于篇幅和涉及版权等问题,无法提供完整的代码实现。以下是基于springboot+shiro+layui实现qq聊天室功能的代码结构和主要实现思路供参考: 1. 后端代码结构 - controller:控制层,实现用户登录、注册等接口。 - service:服务层,实现用户管理、聊天消息管理等业务逻辑。 - dao:数据访问层,实现对数据库的增删改查操作。 - entity:实体类,包括用户信息、聊天消息等。 - config:配置类,实现Shiro安全框架的配置。 - websocket:WebSocket实现,接收消息并广播给在线用户。 2. 前端代码结构 - index.html:聊天室主页面。 - login.html:用户登录页面。 - register.html:用户注册页面。 - layui:Layui框架相关文件。 - js:前端JS代码,实现聊天室界面和逻辑。 3. 主要实现思路 - 用户登录:前端发送用户名和密码到后台,后台进行密码验证并返回登录结果。 - 用户注册:前端发送用户名和密码到后台,后台将用户信息保存到数据库。 - 聊天室界面:前端使用Layui实现聊天室界面,包括聊天消息显示和发送消息等功能。 - 实时通讯:使用WebSocket实现前后端实时通讯功能,后端接收消息并将消息广播给所有在线用户,前端接收消息并显示在聊天室界面。 - 私聊功能:在聊天室界面添加私聊功能,用户可以选择一个在线用户进行私聊,后端接收私聊消息并发送给对应的用户。 - 数据库存储:使用MySQL作为持久化存储,将用户信息、聊天记录等数据保存到数据库。 以上是springboot+shiro+layui实现qq聊天室功能的主要实现思路和代码结构,具体实现过程需要根据实际需求进行调整和改进。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值