spring-boot整合shiro安全框架

最新推荐文章于 2024-02-09 12:28:26 发布
最新推荐文章于 2024-02-09 12:28:26 发布
阅读量225 收藏 1
点赞数
分类专栏: java 文章标签: spring 安全 spring boot 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402914/article/details/126505798
版权

spring-boot整合shiro安全框架

文章目录

20、Shiro安全框架

Shiro跟springSecurity一样都是安全框架。springSecurity用得多点,Shiro可定制强一点

Shiro的三个核心:

  • 1、用户:Subject
    2、管理所有用户:Shiro SecurityManager
  • 3、认证授权:Realm 【在该类里写认证授权交给2管理】

核心的操作:

  • SecurityUtils.getSubject() 【得到subject这个核心对象】
  • subject.getPrincipal() 【得到封装的用户信息】
  • UsernamePasswordToken(username, password) 【将表单提交的进行封装为一个token供认证使用】
  • subject.getSession() 【得到session】
  • currentuser.hasRole(“”) 【加权限】
  • currentuser.logout() 【当前用户退出】
  • currentuser.getPrincipal() 【得到当前用户信息】
  • subject.logout(); 【注销】

**环境:**导入相关依赖

<!--shiro 单独的导入这一个包即可-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.2.4</version>
</dependency>
<!--thymeleaf-->
<dependency>
    <groupId>org.thymeleaf</groupId>
    <artifactId>thymeleaf-spring5</artifactId>
</dependency>
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>
<!--thymeleaf  shiro-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.1.0</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
</dependency>
<!--mysql  驱动-->
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>
<!--mybatis  整合数据库使用-->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.2.2</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
</dependency>
<!--druid数据源-->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid</artifactId>
    <version>1.0.16</version>
</dependency>

20.1 userRealm 【在后面的shiroConfig配置类中会用到】

package com.qiumin.springbootshiro.config;

import com.qiumin.springbootshiro.pojo.userPojo;
import com.qiumin.springbootshiro.service.userService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

public class userRealm extends AuthorizingRealm {
    @Autowired
    //数据库接口
    private userService userService;

    @Override
    //授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        System.out.println("执行了=>授权doGetAuthorizationInfo()");
        Subject subject = SecurityUtils.getSubject();
        //得到当前用户
        userPojo currentUser = (userPojo) subject.getPrincipal();
        //添加权限
        info.addStringPermission(currentUser.getPerms());
        return info;
    }

    @Override
    //认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了=>认证doGetAuthenticationInfo()");
        //转换token
        UsernamePasswordToken usertoken = (UsernamePasswordToken)token;
        userPojo user = userService.selectUserByName(usertoken.getUsername());
        //判断是否登录时使用
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        session.setAttribute("user",user);
        if(user!=null){
            //认证
            return new SimpleAuthenticationInfo(user,user.getPassword(),"");
        }else {
            return null;
        }
    }
}
  • 结合mybatis从数据库中取的用户、密码、权限。login.user

20.2 shiroConfig

package com.qiumin.springbootshiro.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class shiroConfig{

    //ShiroFilterFactoryBean
    @Bean
    public  ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("SecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        Map<String, String> filtermap = new LinkedHashMap<>();
        //必须先写授权再写下面的拦截
        filtermap.put("/qiu/update","perms[user:update]");
        filtermap.put("/qiu/add","perms[user:add]");
        filtermap.put("/qiu/delete","perms[user:delete]");
        //拦截
        filtermap.put("/qiu/*","authc");
        bean.setFilterChainDefinitionMap(filtermap);
        //设置登录页
        bean.setLoginUrl("/tologin");
        //设置未授权页面
        bean.setUnauthorizedUrl("/noauth");
        return bean;
    }

    //DefaultWebSecurityManager,管理realm
    @Bean(name = "SecurityManager")
    public DefaultWebSecurityManager getSecurityManager(@Qualifier("userRealm") userRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建自定义的realm对象,继承AuthorizingRealm即可,交给AuthorizingRealm
    @Bean(name="userRealm")
    public userRealm userRealm(){
        return new userRealm();
    }

    //整合thymeleaf
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}

注意点:

  • 所有的授权的操作必须在拦截之前。
  • 必须注入bean。
  • @Qualifier(“userRealm”)指定bean,里面默认为方法的驼峰命名,也可配合 @Bean(name=“userRealm”)一起使用。
  • userRealm DefaultWebSecurityManager ShiroFilterFactoryBean
  • 没有默认的请求,使用的请求在controller中必须要有对应的请求。
  • map.put()填值。

20.3 shiroController

package com.qiumin.springbootshiro.controller;

import com.qiumin.springbootshiro.pojo.userPojo;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class shiroController {

    @RequestMapping("/login")
    public String login(String username, String password, Model model){
        //得到subject
        Subject subject = SecurityUtils.getSubject();
        //封装数据用户和密码
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            //登录进入认证授权,即userRealm中的认证授权方法
            subject.login(token);
            return "index";
        }catch (UnknownAccountException e){
            model.addAttribute("msg","用户名错误");
            return "login";
        }catch (IncorrectCredentialsException e){
            model.addAttribute("msg","密码错误");
            return "login";
        }

    }
	//注销请求
    @RequestMapping("/loginOut")
    private String loginOut(){
        Subject subject = SecurityUtils.getSubject();
        //注销后返回index
        subject.logout();
        return "index";
    }
    @RequestMapping("/noauth")
    public String toNoauth(){
        return "noauth";
    }

    @RequestMapping("/tologin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping({"/","/index","/index.html"})
    public String toIndex(){
        return "index";
    }

    @RequestMapping("/qiu/add")
    public String toAdd(){
        return "add";
    }

    @RequestMapping("/qiu/update")
    public String toUpdate(){
        return "update";
    }

    @RequestMapping("/qiu/delete")
    public String toDelete(){
        return "delete";
    }
}

注意点:

  • 请求需对应shiroConfig中的请求。 【例如:去登录页、注销等操作】
  • Subject subject = SecurityUtils.getSubject();
  • UsernamePasswordToken token = new UsernamePasswordToken(username, password);
  • subject.login(token); 当shiroConfig返回null时登录失败
  • subject.logout(); 注销

20.4 shiro整合thymeleaf

依赖

<!--thymeleaf  shiro-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.1.0</version>
</dependency>

导入命名空间

<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">


<!--session.user后台的数据不为空时显示注销按钮,表示已有用户登录 【subject的session】-->
<hr>
<div th:if="${session.user!=null}">
用户名:<span th:text="${session.user.getName()}"></span> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
    <a th:href="@{/loginOut}"><span>注销</span></a>
</div>
<hr>
<div th:if="${session.user==null}">
    <a th:href="@{/tologin}"><span>登录</span></a>
</div>

  • session.user后台的数据不为空时显示注销按钮,表示已有用户登录,否则显示登录按钮 【subject的session】

    add

  • shiro:hasPermission=“user:add” 用户有该权限显示

ref=“@{/tologin}”>登录

```

  • session.user后台的数据不为空时显示注销按钮,表示已有用户登录,否则显示登录按钮 【subject的session】

    add

  • shiro:hasPermission=“user:add” 用户有该权限显示

qiumin

用户昵称23
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,...
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息
qq_61592687的博客
02-09 1510
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
springboot整合shiro安全框架
heromps的博客
01-06 2389
shiro 快速开始 1.导入依赖 <dependencies> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core<
使用shiro中 工具类方法SecurityUtils.getSubject()和方法subject.getPrincipal()获取当前登录用户
weixin_52654493的博客
12-17 1628
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
Apache shiro源码解读——Realm调用过程(从SecurityUtils.getSubject().login(token)开始)
南熏门前一只喵
07-30 2612
文章目录shiro是啥shiro中的三个核心模型抽象从SecurityUtils.getSubject().login(token)开始一段源码解读自定义Realm的两种轻松实现方式方式一方式二 shiro是啥 根据官网介绍,“Apache Shiro™ is a powerful and easy-to-use Java security framework that performs auth...
shiro SecurityUtils.getSubject()深度分析
08-10 1762
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal<Map<Object, Object>>)变量中,也就是一个http请求一个subject,并绑定到当前线程。 问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那个用户的请求呢? 友情提示:本文唯一可以读一下的就是分析这个疑问,如果你已经明白就不用往下看了。 首先给出内...
Spring Boot整合 Shiro安全框架
qq_45040652的博客
01-12 2086
** Spring Boot 整合Shiro 安全框架 ** 关于Spring Boot整合Shiro安全框架的步骤,以后项目中用到 可以按照 步骤配置应用起来 1.pom文件添加依赖 1.pom文件添加依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</versio
SpringBootSpring Boot整合Shiro安全框架
zhuguang10的博客
03-16 1422
最近在由Spring Boot2.x构建的更简洁的后台管理系统,完美整合SpringMvc + Shiro + MybatisPlus + Beetl技术,项目开发完成会开源出来,希望能对大家学习道路上有所帮助。在这一篇中我将把我整合Shiro过程记录下来,希望对大家的学习这块能有所帮助。 maven依赖包 。 org.apache.shiro shiro-spring 1.4.0 &...
SpringBoot 整合Shiro框架
aCheng的博客
03-08 259
这里写目录标题前言一、Shiro 三大核心组件1 Subject 为认证主体2 SecurityManager 为安全管理员3 Realm 是一个域二、Shiro 身份和权限认证1 Shiro 身份认证2 Shiro 权限认证三、Spring Boot 集成 Shiro1 依赖导入2 数据库表的建立及初始化3 自定义 Realm4 Shiro 配置5 使用 Shiro 进行认证 前言 Shiro 是一个强大、简单易用的 Java 安全框架,可使认证、授权、加密,会话过程更便捷,并可为应用提供安全保障。本节课
Springboot整合Shiro框架入门
qq_42640067的博客
09-25 1512
Springboot中集成Shiro框架1、快速开始demo2、Springboot集成Shiro2.1、环境搭建2.2、shiro的拦截2.3、shiro的认证2.4、整合mybatis2.5、shiro进行授权2.6、shiro整合thymeleaf 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐的10分钟入门demo进行测试。 创建一
spring boot整合shiro安全框架过程解析
08-25
主要介绍了spring boot整合shiro安全框架过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
mybatisplus-spring-boot_mybatis-plus整合_shiro_plus_
09-29
mybatis-plus shiro spring mybatis整合
spring-bootspring-boot整合企业开发通用框架,按模块划分工程结构,保证每个工程都能独立运行
02-04
spring-boot脚手架地址每个模块的详细介绍在工程下的README.md文件里spring-boot官方文档地址文档写的特别详细,相关框架的集成在这里面都能找到。项目工程目录父工程spring-bootspring-boot父工程)基础入门...
SpringBoot新手篇】SpringBoot集成Shiro安全框架
输入技术、输出想法
05-03 465
SpringBoot整合Shiro简介10分钟快速入门环境准备登录 / 退出Shiro 身份认证和授权Shiro 身份验证身份验证身份认证流程Shiro 默认提供的 RealmSpringboot整合Shiropomapplication.yml启动类业务操作entitymapperServiceControllerConfigRealmShiro 默认提供的 Realm登录认证实现授权的实现原理初探授权方式Shiro 支持三种方式的授权:`Shiro`异常类型 简介 Apache Shiro 是 Java
springboot整合Shiro安全框架
珍爱飞的博客
05-25 214
springboot整合Shiro安全框架,提供身份验证、授权、密码管理、回话管理等! 1.引入Shiro依赖并使用Thymeleaf模版技术进行验证: <!-- springboot整合Shiro安全框架,提供身份验证、授权、密码管理、回话管理等(1) --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-sta
使用springboot shiro框架
FSYML
10-14 190
一、maven 配置文件 &lt;!--shiro 框架--&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring-boot-web-starter&lt;/artifactId&gt; &lt;version&gt;1.4.
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 753
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
spring boot整合shiro
最新发布
04-03
Spring Boot是一个用于快速构建Java应用程序的开发框架,而Shiro是一个强大且易于使用的Java安全框架整合Spring BootShiro可以实现对应用程序的身份验证、授权和会话管理等安全功能。 要实现Spring Boot整合Shiro,可以按照以下步骤进行: 1. 添加依赖:在Spring Boot项目的pom.xml文件中添加Shiro和相关依赖。 2. 配置Shiro:创建一个Shiro配置类,配置Shiro安全策略、Realm、会话管理等。 3. 创建自定义Realm:实现自己的Realm类,用于处理身份验证和授权逻辑。 4. 配置Spring BootShiro的集成:在Spring Boot的配置文件中配置Shiro的相关属性,如登录页面、登录成功页面等。 5. 编写Controller:编写Controller类,处理用户登录、注销等请求,并通过Shiro进行身份验证和授权。 6. 编写页面:创建相应的登录页面和其他需要进行权限控制的页面。 7. 测试:启动应用程序,并进行登录、访问受限资源等操作,验证整合是否成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值