Springboot学习 shiro

最新推荐文章于 2024-07-21 20:57:36 发布
最新推荐文章于 2024-07-21 20:57:36 发布
阅读量219 收藏
点赞数
分类专栏: SpringBoot 文章标签: shiro spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nail_candy/article/details/107775525
版权

1. Shiro

什么是shiro?官网

是一款主流的java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目里面,主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作

Shiro就是用来解决安全管理的系统化框架

2. Shiro核心组件

用户、角色、权限的关系

会给角色赋予权限,然后给用户赋予角色

2.1 UsernamePasswordToken

用来封装用户登录信息,使用用户的登录信息来创建令牌Token.(封装了用户名和密码的token)

2.2 SecurityManager

Shiro的核心部分,赋值安全认证和授权

2.3 Subject

Shiro的一个抽象概念,包含了用户信息

2.4 Realm

开发者自定义的模块,根据项目的需求,验证和授权的逻辑全部写在Realm中

2.5 AuthenticationInfo

用户的角色信息集合,认证时使用

2.6 AuthorzationInfo

角色的权限集合,授权时使用

2.7 DefaultWebSecurityManager

安全管理器,开发者自定义的Realm,需要注入到DefaultWebSecurityManager进行管理才能生效

2.8 ShiroFilterFactoryBean

过滤器工厂,shiro基本运行机制是开发者定制规则,Shiro去执行,具体的执行操作就是由ShiroFilterFactoryBean创建的一个个Filter对象来完成

3. Springboot整合Shiro

3.1 maven

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.3</version>
</dependency>

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>5.1.47</version>
</dependency>

<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
    <version>3.3.1.tmp</version>
</dependency>

3.2 自定义shiro过滤器

Realm

package com.hong.realm;

import com.hong.entity.Account;
import com.hong.service.AccountService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.Set;

/**
 * @Author : KongJHong
 * @Date : 2020-08-02 17:39
 * @Version : 1.0
 * Description     :
 */
public class AccountRealm extends AuthorizingRealm {

    @Autowired
    private AccountService accountService;
    /**
     * 配置角色信息(授权)
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 获取当前登录的用户信息
        Subject subject = SecurityUtils.getSubject();
        Account account = (Account) subject.getPrincipal();

        //设置角色
        Set<String> roles = new HashSet<>();
        roles.add(account.getRoles());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);

        //设置权限
        info.addStringPermission(account.getPerms());
        return info;
    }

    /**
     * 配置用户信息(登录,认证)
     * @param authenticationToken 传入的username和password,封装而成的token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        Account account = accountService.findByUsername(token.getUsername());
        if (account == null)return null;

        // 把查到的password和token中的密码进行认证
        return new SimpleAuthenticationInfo(account, account.getPassword(), getName());
    }
}

Config

import com.hong.realm.AccountRealm;
import com.hong.realm.TestRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

/**
 * @Author : KongJHong
 * @Date : 2020-08-02 17:49
 * @Version : 1.0
 * Description     :
 */
@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);

        // 授权设置
        Map<String,String> map = new HashMap<>();
        map.put("/main","authc"); // 请求main.html 必须是 登录状态
        map.put("/manager","perms[manager]"); // 访问/manager.html 必须有用manager授权
        map.put("/administrator","roles[administrator]"); // 访问/administrator.html 必须有用administrator角色
        factoryBean.setFilterChainDefinitionMap(map); //设置过滤器


        // 修改登录页面
        factoryBean.setLoginUrl("/login");

        // 设置未授权页面
        factoryBean.setUnauthorizedUrl("/unauth");

        return factoryBean;
    }

    /*
    * 为什么要写@Qualifier("accountRealm")?
    * 因为要指定spring 从ioc中先把accountRealm捞出来,避免重复创建,同时要求bean创建的先后顺序
    * */
    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm
                                                     ){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accountRealm);
//        manager.setRealm(testRealm);
        return manager;
    }

    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }

    @Bean
    public TestRealm testRealm(){
        return new TestRealm();
    }
}

3.3 编写认证和授权规则

3.3.1 认证过滤器

anno: 无需认证

authc: 必须认证

authcBasic: 需要通过HTTPBasic认证

user: 不一定通过认证,只要曾经被shiro记录即可,比如:记住我

3.3.2 授权过滤器

perms: 必须拥有某个权限才能访问

role: 必须拥有某个角色才能访问

port: 请求的端口必须是指定值才可以

rest: 请求必须基于Restful

ssl: 必须是安全的URL请求,协议HTTPS

3.3.3 操作逻辑

创建3个页面,main.html、 manager.html、 administrator.html

访问权限如下:

  1. 必须登录才能访问main.html
  2. 当前用户必须拥有manager授权才能访问manager.html
  3. 当前用户必须拥有administrator角色才能访问administrator.html
害你加班的BUG都是我写的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+shiro.zip
05-08
通过解压并研究这些文件,开发者可以学习到如何在SpringBoot项目中集成Shiro进行权限控制,并理解Shiro的内在机制。 总的来说,SpringBootShiro的结合使用可以大大提高开发效率,同时也使得应用程序的安全管理...
shirospringboot整合原理
u013995395的博客
05-31 1164
首先在我们之前的chapter1文章中讲到shiro配置类中有这个方法: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { System.out.println("ShiroConfiguration.shirFilter()"); S...
shiro Filter加载和执行 源码解析
曾令胜的博客
12-10 1069
在使用若依框架(前后端不分离包含shiro安全框架)时,发现作者添加了验证码、登录帐号控制等自定义过滤器,于是对自定的过滤器加载和执行流程产生疑问。下面以验证码过滤器为例,对源码解析。
ShiroFilterFactoryBean_示例代码
maqingbin8888的专栏
10-12 369
关于代码里的 JWTFilter(authService) --&gt;JWTFilter_BasicHttpAuthenticationFilter的代码的详细说明 如下连接 @Bean ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager, AuthService authService) { ShiroFi...
shiro filter在基于spring的web中的执行流程
sinat_33472737的博客
06-19 612
概述 我们知道filter都是通过doFilter方法处理相关逻辑。通过源码可以发现,shiro所有的filter的doFilter方法只有OncePerRequestFilter中有。OncePerRequestFilter也是我们平时所用到的shiro的filter的抽象父类。且该方法是final的。 public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChai
SpringBoot学习-(十七)SpringBoot整合Shiro
大白能的博客
10-10 3623
基本步骤: 添加pom文件依赖 书写自定义的realm 配置shiro 控制层使用 项目目录结构: 1.添加pom文件依赖 &lt;!-- spring整合shiro --&gt; &lt;!-- maven会自动添加shiro-core,shiro-web依赖 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apach...
springboot+shiro入门学习(一)
java_chegnxuyuan的博客
06-03 480
其实关于shiro的博客介绍特别多,这里记录一下自己的学习过程。 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。先简单的学习一下它的认证和授权。 shiro的认证过程 先使用测试类的方式来验证: SimpleAccountRealm 认证过程 SimpleAccountRealm realm = new SimpleAccountR...
springboot_shiro.zip
11-06
SpringBoot整合Shiro实战详解》 在当前的IT领域,SpringBoot因其简洁的配置、快速的开发效率以及丰富的生态支持,已经成为企业级应用开发的首选框架。而Apache Shiro作为一款强大的安全管理框架,用于处理身份...
SpringBoot基于Shiro处理ajax请求代码实例
08-19
本文将详细介绍SpringBoot基于Shiro处理ajax请求代码实例,通过示例代码,详细地介绍了Shiro的配置和使用方法,对大家的学习或者工作具有一定的参考学习价值。 Shiro框架简介 Shiro是一个开源的Java安全框架,由 ...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
springboot_shiro
09-29
SpringBoot整合Shiro实战详解》 在现代Java Web开发中,SpringBoot以其简洁的配置、快速的开发体验,已经成为主流框架。同时,为了实现权限管理和用户认证,Apache Shiro作为一个轻量级的安全框架,也得到了广泛...
Shiro实战1-介绍
老徐的博客只有干货
03-02 271
什么是 Shiro 官网:http://shiro.apache.org/ shiro是一款主流的 Java 安全框架,不依赖任何容器,可以运行在 Java SE和 Java EE 项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。 Shiro 就是用来解决安全管理的系统化框架。 总体架构 核心功能 认证Authentication 授权Authorization 会话管理 加密 缓存 用户信息、角色、权限等缓存到如redis等缓存中 Web集成支持 测试支持
SpringBoot学习-(二十五)SpringBoot整合Shiro(详细版本)
大白能的博客
04-25 3350
整合内容包括 自定义realm,实现认证和授权 自定义加密,实现密码加密验证 自定义Cachemanager、Cache,实现Shiro的cache管理,存储在redis中 自定义SessionManager、SessionDao、SessionIdCookie,实现Shiro的session管理,存储在redsi中 自定义RememberMeManager、RemeberMeCookie,实...
SpringBootShiro快速入门(精讲)
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-18 1224
Apache Shiro 是一个java的安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaEE环境中,也可以用在JavaSE环境中 Shiro可以完成认证、授权、加密、会话管理、web集成、缓存等。 ...
【spring boot】初学者项目快速练手
m0_67357141的博客
07-17 1071
快速生成一个初始的项目代码,会生成一个demo文件打开intellj idea,导入demo文件。
Spring Boot配置文件的语法规则
2301_77053417的博客
07-21 1060
名字是很固定的,必须是:application.properties或者application.yml,这两个都是配置文件的格式,一般我们使用其中一个即可(一般yml使用的较多)。(3)当项目中properties和yml都存在,并且里面的内容冲突时,会以properties中的为配置项,也就是其优先级更高。一般双引号里面的东西不会被被转义,单引号里面的会被转义,也就是\n在单引号下就只是一个串,在双引号下是换行。=左边的就是key,=右边的是value,在获取配置文件时,需要填入完整的key。
使用AOP优化Spring Boot Controller参数:自动填充常用字段的技巧
最新发布
todoitbo的博客
07-21 876
本篇博客将深入介绍如何利用AOP技术,在Spring Boot应用中实现对Controller保存方法参数的重写。我们将重点讨论如何利用AOP切面,自动填充常用字段(如创建时间、修改时间、创建人、修改人),以提高代码的重用性和可维护性。
spring boot 实现token验证登陆状态
WenZhengshi的博客
07-18 405
3、启动服务器测试下,写个controller和html,客户端请求获取token。1、添加maven依赖到pom.xml。html (请求token)
SpringBootShiro整合教程:权限管理实战解析
课程适合对Shiro有一定了解但希望在SpringBoot环境下实践权限管理的开发者学习。" 在现代Web应用开发中,安全性是至关重要的,SpringBoot和Apache Shiro框架的结合为开发者提供了强大的用户身份验证和授权功能。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值