06SpringBoot 集合Shiro

最新推荐文章于 2023-10-06 22:24:12 发布
最新推荐文章于 2023-10-06 22:24:12 发布
阅读量128 收藏
点赞数
分类专栏: SpringBoot 文章标签: shiro spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niannujiao6/article/details/111615200
版权

Shiro安全框架

  1. Apache Shiro是一个Java的安全(权限)框架
  2. Shiro可以非常容易的开发出足够好的应用,不仅可以应用在JavaSE的环境,也可以用在JavaEE的环境
  3. Shiro可以完成认证,授权,加密,会话管理,Web集成,缓存等
  4. 下载地址:Shiro官方描述

框架结构
在这里插入图片描述Subject:当前用户

Shiro SecurityManager:作用是管理所有的用户,也就是管理Subjet

Realm:保证数据访问控制,相当于数据层,与数据打交道

实战测试

准备工作

准备工作包括创建实体类,创建Mapper,对应的xml文件,连接数据库,配置mybatis基本连接属性等基础操作。
在这里插入图片描述

User实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private int id;
    private String name;
    private String password;
    private String perms;
}

Mapper层以及对应的xml文件
记得加上对应的注解

@Mapper
@Repository
public interface UserMapper {
    User queryBy(String name);
}

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.wang.mapper.UserMapper">
    <select id="queryBy" parameterType="String" resultType="User">
        select * from user where name=#{name};
    </select>
</mapper>

Service层以及其实现类

public interface UserService {
    User queryBy(String name);
}

@Service
public class UserServiceImpl implements UserService{
    @Autowired
    UserMapper userMapper;
    @Override
    public User queryBy(String name) {
        return userMapper.queryBy(name);
    }
}

新建yml文件,配置参数

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mybatis?useSSL=true&useUnicode=true&characterEncoding=utf-8
    username: root
    password: 123456
mybatis:
  type-aliases-package: com.wang.pojo
  mapper-locations: classpath:mapper/*.xml
1.依赖导入
<!--        thymeleaf 和shrio的整合-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
        <!--        thymeleaf-->
 <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
 <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
         <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.0</version>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.21</version>
        </dependency>
2.自定义UserRealm
public Class UserRealm extends AuthorizingRealm{
 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权操作");
        }
        @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证操作");
        }
}
3.配置ShiroConfig

配置ShiroConfig有三步:

  1. 创建Realm,返回自己定义的UserRealm
  2. 创建默认的DefaultWebSecurityManager
  3. 创建ShiroFilterFactoryBean
  4. 加入注解交由SpringBoot接管

(从下往上会顺一点)

@Configuration
public class ShiroConfig {
    //第三步:ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
            ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
            //管理setSecurityManager
            bean.setSecurityManager(securityManager);
           return bean;
}
//第二步:DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //与自定义的Realm建立联系
        securityManager.setRealm(userRealm);
        return securityManager;
    }
 //第一步:创建realm,返回自定义realm,
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
}
4.编写页面的跳转

在这里插入图片描述

@Controller
public class PageController {
    @RequestMapping({"/","/index"})
    public String index(Model model){
        model.addAttribute("message","Hello,Shiro");
        return "index";
    }

    @RequestMapping("/add")
    public String add(){
        return "add";
    }

    @RequestMapping("/update")
    public String update(){
        return "update";
    }
    @RequestMapping("/toLogin")
    public String login(){
        return "login";
    }

测试各个页面跳转是否正常

5.实现登陆的拦截

我们需要设计这样一个需求:如果用户未登录,点击访问各个页面,则会被Shiro拦截无法访问,必须要先实现用户的登录。
可以在shiroFilterFactoryBean()方法中设置Shiro的内置过滤器

  //添加Shiro的内置过滤器
            Map<String,String> map=new LinkedHashMap<>();
 //认证
            map.put("/add","authc");
            map.put("/update","authc");
            bean.setFilterChainDefinitionMap(map);
//设置登录的请求
            bean.setLoginUrl("/toLogin");

测试结果:
未登录状态时,点击add页面,无法进入,随后弹出登录的页面。
在这里插入图片描述

6.实现用户认证

为了便于方便理解,将用户认证的代码放于controller层。用户进行登陆的时候,若用户名或密码输入错误,则会出现相应的提示信息,并且要求要重新输入。

 @RequestMapping("/login")
    public String login(String username,String password,Model model){
        //获得用户
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        try {
            //执行登陆方法,无异常返回首页
            subject.login(token);
            return "index";
        }
        catch (UnknownAccountException e){
            model.addAttribute("message","用户名输入不正确");
            return "login";
        }
        catch (IncorrectCredentialsException e){
            model.addAttribute("message","密码输入不正确");
            return "login";
        }
    }

在自定义的UserRealm的doGetAuthenticationInfo()方法中获取数据库中传入的用户名和密码。请记得要注入UserService

 @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证操作");
        //转型
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //连接真实数据库
        User user = userService.queryBy(token.getUsername());
        //匹配数据库中的数据
        if (user==null) {
            //抛出异常:UnknownAccountException
            return null;
        }
        //shiro自己做相关密码的匹配工作
        return new SimpleAuthenticationInfo(user, user.getPassword(), "");
    }

测试:
在这里插入图片描述在这里插入图片描述
测试完成,符合要求。

7.请求授权的实现

向LinkedHashMap中添加权限的限制

//授权
            map.put("/add","perms[user:add]");
            map.put("/update","perms[user:update]");

向controller层添加若没有权限访问页面时返回的情况

 @RequestMapping("/noPrivate")
    @ResponseBody
    public String noAuthorized(){
        return "没有权限访问进行此操作";
    }

向shiroFilterFactoryBean()方法添加

 //设置无访问权限后要跳转的页面
            bean.setUnauthorizedUrl("/noPrivate");

这样访问页面的时候若该用户没有对应的权限的时候,就无法访问,会出现以上的提示信息了。

在自定义的UserRealm的doGetAuthorizationInfo()方法中完善授权操作的代码

  1. 向认证的方法中拿到当前登录的用户
  2. 获取你存储的principal,可以进行强制转型
  3. 向数据库中读取当前用户的相关权限
  4. 注意返回info
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权操作");

        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.addStringPermission("user:add");
        info.addStringPermission("user:update");
        //拿到当前登录这个对象
        Subject subject = SecurityUtils.getSubject();
        //强制转型
        User currentUser = (User) subject.getPrincipal();
        //设置当前用户权限
        info.addStringPermission(currentUser.getPerms());
        System.out.println(currentUser);
        //注意返回info
        return info;

    }

测试:
测试结果显示,当用户只有访问add页面的权限时,不能访问update的页面,反之亦然。

8.整合Thymeleaf

需求:整合,用于thymeleaf和shiro标签整合使用

在ShiroConfig类里添加

@Bean
    public ShiroDialect getShiroDialect(){
        return  new ShiroDialect();
    }

需求:当前用户只能访问add页面时,当他登陆后,只出现进入add的页面按钮,没有出现进入其他页面的按钮。若已登录,则不会再出现登录按钮。

先在doGetAuthenticationInfo()的方法中编写获取登录的loginUser.session,然后再传给前端进行对比。

 Subject currentSubject = SecurityUtils.getSubject();
        Session session = currentSubject.getSession();
        session.setAttribute("loginUser",user);

index页面的修改,导入shiro与thymeleaf结合的命名空间

在这里插入图片描述

完整配置代码如下

UserRealm:

public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权操作");

        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
//        info.addStringPermission("user:add");
//        info.addStringPermission("user:update");
        //拿到当前登录这个对象
        Subject subject = SecurityUtils.getSubject();
        //强制转型
        User currentUser = (User) subject.getPrincipal();
        //设置当前用户权限
        info.addStringPermission(currentUser.getPerms());
        System.out.println(currentUser);
        //注意返回info
        return info;

    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证操作");
        //转型
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //连接真实数据库
        User user = userService.queryBy(token.getUsername());
        //匹配数据库中的数据
        if (user==null) {
            //抛出异常:UnknownAccountException
            return null;
        }
        Subject currentSubject = SecurityUtils.getSubject();
        Session session = currentSubject.getSession();
        session.setAttribute("loginUser",user);
        //shiro自己做相关密码的匹配工作
        return new SimpleAuthenticationInfo(user, user.getPassword(), "");
    }
}

ShiroConfig:

package com.wang.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    //第三步:ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
            ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
            //管理setSecurityManager
            bean.setSecurityManager(securityManager);

            //添加Shiro的内置过滤器
            Map<String,String> map=new LinkedHashMap<>();
            //授权
            map.put("/add","perms[user:add]");
            map.put("/update","perms[user:update]");

            //认证
            map.put("/add","authc");
            map.put("/update","authc");
            bean.setFilterChainDefinitionMap(map);
            //设置登录的请求
            bean.setLoginUrl("/toLogin");
            //设置无访问权限后要跳转的页面
            bean.setUnauthorizedUrl("/noPrivate");
    return bean;
}

//第二步:DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //与自定义的Realm建立联系
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //第一步:创建realm,返回自定义realm,
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    @Bean
    public ShiroDialect getShiroDialect(){
        return  new ShiroDialect();
    }
}

至此Shiro的集合基础 基本完成

念奴娇6
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-boot集成shiro的步骤及代码解析
xiguabobo2的博客
09-15 1155
安全框架 shiro a. 功能 ⅰ. authc 认证 验证用户是否为合法用户 ⅱ. authz 授权 验证某个用户是否有权限访问某个资源 ⅲ. session management 会话管理 管理特定用户的会话,在普通java项目中模拟httpsession的效果 ⅳ. Cryptography 加解密 使用加密算法确保数据安全,同时仍然易于使用。 ⅴ. 支持web ⅵ. 支持缓存 ⅶ. 并发支持 ⅷ. 支持测试
springboot+shiro+redis整合
03-12
在IT行业中,SpringBootShiro和Redis是三个非常重要的技术组件,它们分别在不同的领域发挥着关键作用。本文将详细讲解如何将这三个组件整合在一起,实现一个高效、安全的Web应用。 首先,SpringBoot是Spring框架...
spring boot check/token Principal 如何注入
weixin_35753431的博客
01-06 389
在 Spring Boot 中使用 Principal 注入的方法如下: 在 Controller 类的方法参数中加入 Principal 类型的参数,Spring Boot 会自动将当前用户的 Principal 注入进来。 例如: @GetMapping("/user") public String getUser(Principal principal) { return "He...
SpringBoot集成Security,getAllPrincipals为空的问题
aroudy1的博客
08-27 2580
SpringBoot基于注解的形式集成Security,sessionRegistry.getAllPrincipals()方法获取到的已经登录的用户信息集合为空,试了网上说的各种方法都无法解决。最终找到了解决办法,如下所示: http.seesionManagemant().sessionAuthenticationStrategy(new ...) .maximumSessions(1) .expiredUrl("/login") .sessionRefistry(sessi
Spring-boot-security中principal和credientials的含义
weixin_37841024的博客
10-06 1045
当用户经过身份验证后,系统将创建一个Principal对象来表示该用户的身份,并使用Credentials来验证其身份。Principal代表当前与系统交互的用户或实体的身份信息。在Spring Boot Security中,Principal通常代表经过身份验证的用户。需要注意的是,这些术语可能在不同的上下文中有不同的含义,具体取决于系统的实现方式和配置。在Spring Boot Security中,"principal"(主体)和"credentials"(凭据)是两个重要的概念。
SpringBoot - 安全管理框架Spring Security使用详解(11)-获取当前用户的用户名、id
Andy's Blog
06-07 5304
有时我们需要获取当前登录的用户信息(比如用户名),通常有如下几种方式来实现。 方法1:通过 Authentication.getPrincipal() 获取用户信息 (1)通过Authentication.getPrincipal()可以获取到代表当前用户的信息,这个对象通常是UserDetails的实例。通过UserDetails的实例我们可以获取到当前用户的用户名、密码、角色等信息。 Spring Security使用一个Authentication对象来描述当...
springbootshiro,mybatis的整合项目
03-15
SpringBootShiro和MyBatis是Java开发中常用的三大技术框架,它们分别在不同的领域发挥着关键作用。SpringBoot简化了Spring应用的初始搭建以及配置过程,Shiro则是一款强大的安全框架,负责用户认证和授权,而...
SpringBoot整合shiro、redis集成mybatis
03-22
1. **Shiro配置**:在SpringBoot项目中,我们需要引入Shiro的依赖,并创建一个Shiro配置类。配置类中会包括安全过滤器链的设置,如anon(匿名访问)、authc(身份验证)等,以及Realm的实现,用于处理用户认证和授权...
管理系统系列--SpringBoot+Shiro权限管理系统脚手架.zip
最新发布
02-25
SpringBoot+Shiro权限管理系统脚手架】是基于Spring Boot和Apache Shiro框架构建的高效、便捷的企业级权限管理解决方案。Spring Boot以其简洁的配置和快速开发的特点,已经成为Java Web开发的主流选择,而Shiro则...
Springboot 整合shiro权限控制
03-28
nInfo() - 开始进行身份认证"); String username = (String) token.getPrincipal();..."); } SysUser user = ...这样,我们就完成了SpringBootShiro、Thymeleaf的整合,实现了从用户登录认证到权限控制的完整流程。
spring如何实现权限实时生效,如何获取在线用户,getAllPrincipals()为空
TingSty小z的博客
10-27 1324
spring security的权限修改后无法实时更新,由于使用的spring security做权限控制,并且在用户登录时,将该时刻用户的权限(authority)读到用户的UserDetails(org.springframework.security.core.userdetails.UserDetails)类中,如果用户不主动重新登录,那么这个写入到session中的类无法刷新。需要获取当前spring服务的登录用户,哪些用户在登录状态,我大致思路和这个类似,也是用。
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
daTou
08-24 918
前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证 核心组件 SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等
springboot获取登录用户的个人信息
weixin_39868387的博客
02-18 9471
在Spring Boot中,获取登录用户的个人信息通常需要使用Spring Security框架来进行身份认证和授权。Spring Security提供了一个名为SecurityContextHolder的上下文对象,它包含了当前请求的身份认证信息。通过SecurityContextHolder,可以访问当前已认证的用户的信息。
Shiro配置
asscwf的博客
05-19 632
【代码】Shiro配置。
Shiro学习(3)shiroConfig配置类
m0_67403240的博客
08-24 1895
配置原理:对SecurityManager来说他管理了所有的Realm,通过这些代码获取了Realm管理信息。注意SecurityManager导包,是shiro的SecurityManager。可以直接创建CustonRealm这个对象,也可以通过Realm创建。在web程序中,shiro进行权限控制是通过一组过滤器集合进行的操作。3、通用配置(跳转登录页面,为授权跳转的页面)4、开启对shiro注解的支持。3、配置shiro过滤器工厂。
Shiro权限控制+整合shiro
热门推荐
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2852
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiroConfig配置
chuanxuzheng1943的博客
11-27 959
安全管理器设置 /** * shiro 安全管理器设置 * @return SecurityManager */ @Bean public SecurityManager securityManager() { DefaultWebSecurityManager secu...
springboot整合shiro (一) ShiroConfig配置类编写
m0_67402731的博客
04-08 549
shiro实现用户登录认证需要三个核心api Subject 用户主体 SecurityManager 安全管理器 Realm 连接数据的桥梁 1. 导入shiro的maven依赖 导入shiro和spring整合的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
springboot集合shiro 入门
04-01
Shiro 是 Apache 软件基金会的一个开源安全框架,提供了一整套安全管理的解决方案,包括认证、授权、加密和会话管理等功能。Shiro 的目标在于提供简单易用的 API,同时支持高度定制化的需求。 Spring Boot 是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值