springboot-shiro

最新推荐文章于 2023-01-28 17:12:27 发布
最新推荐文章于 2023-01-28 17:12:27 发布
阅读量169 收藏
点赞数
分类专栏: Java及框架 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nzgry_csdn/article/details/112071980
版权

springboot-shiro

目录

简介

shiro是apache下的一个轻量级开源项目,相对于springSecurity简单的多。

三大功能模块:

  • Subject:主体,一般指用户;
  • SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件;
  • Realms:用于进行权限信息验证,一般需要自己实现。

细分功能:

  • Authentication:身份认证/登录;
  • Authorization:授权;
  • Session Manager:会话管理,即登录后的session;
  • Cryptography:加密,密码加密登;
  • Web Support:web支持;
  • Caching:缓存,用户信息、角色、权限等缓存redis等缓存中;
  • Concurrency:多线程并发验证;
  • Testing:测试支持;
  • Run As:允许一个用户假装另一个用户(如果允许);
  • Remember Me:记住密码;

开始

添加依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>${spring.shiro.version}</version>
</dependency>

密码比较器

这个Bean定义了密码的加密方式、加密盐值和加密次数;当然也可以自己写个类继承HashedCredentialsMatcher类,从而进一步自定义密码匹配(例如:添加密码错误次数限制);

public static String md5 = "md5";
public static int md5Time = 1;
@Bean
public CredentialsMatcher credentialsMatcher() {
    // 如果要用redis,可以将RedisCacheManager作为构造参数
    HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
    //加密方式
    credentialsMatcher.setHashAlgorithmName(md5);
    //加密迭代次数
    credentialsMatcher.setHashIterations(md5Time);
    //true加密用的hex编码,false用的base64编码
    credentialsMatcher.setStoredCredentialsHexEncoded(true);
    return credentialsMatcher;
}

认证和授权

这里其实就是配置一个认证域,

  • 认证:可以获取用户输入的用户名和密码、token类型,可以设置密码匹配规则,最后需要返回一个AuthenticationInfo交给shiro处理(这里是可以进行很大程度上的自定义认证操作,例如:免密登录,丰富用户信息到session等);
  • 授权:主要是给用户设置角色和权限,需要注意的是,授权方法是在第一次访问授权的地址时才会执行;
public static String md5Salt = "1234";
@Bean
public AuthorizingRealm pwdAuthorizingRealm(CredentialsMatcher credentialsMatcher) {
    return new AuthorizingRealm(credentialsMatcher) {
        // 认证
        @Override
        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
            // 用户输入的用户名和密码
            String userName = token.getPrincipal().toString();
            // String userPwd = new String((char[]) token.getCredentials());
            // todo: 根据用户名从数据库获取密码,这里固定为:5678
            String password = "25d55ad283aa400af464c76d713c07ad";
            if (userName == null) {
                return null;
            }
            // 自定义密码加密盐值,可以不要,默认没有加密。也可以在这里自定义密码匹配。
            ByteSource credentialsSalt = ByteSource.Util.bytes(md5Salt);
            return new SimpleAuthenticationInfo(userName, password, credentialsSalt, getName());
        }

        // 授权
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
            // todo: 可以根据登录名称查询角色、权限信息、同时还可以将角色信息缓存起来
            String username = (String) principals.getPrimaryPrincipal();
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            // 设置角色
            Set<String> roles = new HashSet<>();
            roles.add(username);
            roles.add("role_xxx");
            info.setRoles(roles);
            // 直接设置权限
            Set<String> stringSet = new HashSet<>();
            stringSet.add(username);
            info.setStringPermissions(stringSet);
            return info;
        }
    };
}

redis

开始

使用redis管理缓存和会话(可以不要);

  • 参考springboot在项目中引入redis;

  • 添加依赖

<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis</artifactId>
    <version>3.2.3</version>
</dependency>

Bean

配置好这些Bean并不代表就成功整合redis了,还要在后面的会话管理器、权限管理器中注入这些Bean;

@Bean
public RedisManager redisManager(RedisProperties redisProperties) {
    RedisManager redisManager = new RedisManager();
    redisManager.setHost(redisProperties.getHost() + ":" + redisProperties.getPort());
    redisManager.setPassword(redisProperties.getPassword());
    redisManager.setTimeout(1800);
    return redisManager;
}

@Bean
public RedisSessionDAO redisSessionDAO(RedisManager redisManager) {
    RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
    redisSessionDAO.setRedisManager(redisManager);
    return redisSessionDAO;
}

@Bean
public RedisCacheManager redisCacheManager(RedisManager redisManager) {
    RedisCacheManager cacheManager = new RedisCacheManager();
    cacheManager.setRedisManager(redisManager);
    return cacheManager;
}

会话管理器

可以设置一些会话管理器的参数,例如是否使用redis;

@Bean
public DefaultWebSessionManager defaultWebSessionManager() {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    // 这两行用于整合redis
    // sessionManager.setSessionDAO(sessionDAO);
    // sessionManager.setCacheManager(cacheManager);
    return sessionManager;
}

权限管理器

可以设置一些会话管理器的参数,例如是否使用redis缓存,配置一个或者多个Realm域

@Bean
public DefaultWebSecurityManager securityManager(AuthorizingRealm pwdAuthorizingRealm, DefaultWebSessionManager sessionManager) {
    DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    // 这行用于整合redis
    // defaultSecurityManager.setCacheManager(cacheManager);
    defaultSecurityManager.setSessionManager(sessionManager);
    defaultSecurityManager.setRealm(pwdAuthorizingRealm);
    // 记住密码功能,需要结合登录参数RememberMe使用
    defaultSecurityManager.setRememberMeManager(new CookieRememberMeManager());
    return defaultSecurityManager;
}

自定义filterMap

这其实就是个Map,可以在这个map中自定义shiro权限过滤器,其中Map的key为要自定义的权限名(如:roles、perms、authc等),Map的value为自定义的过滤方法,下面的示例代码实现了将角色过滤的判断逻辑有原来默认的and改为or(如果不需要自定义,可以不要这个Map);

public Map<String, Filter> filterMap(){
    Map<String, Filter> filterMap = new HashMap<>();
    // 自定义角色过滤器,将and改成or,同时role无权限返回json
    filterMap.put("roles", new RolesAuthorizationFilter() {
        @Override
        public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
            String[] roles = (String[]) mappedValue;
            if (roles == null || roles.length == 0) {
                return true;
            }
            Subject subject = getSubject(request, response);
            for (String role : roles) {
                if (subject.hasRole(role)) return true;
            }
            return false;
        }

        @Override
        protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
            Subject subject = getSubject(request, response);
            HttpServletResponse res = (HttpServletResponse) response;
            res.setContentType("application/json;charset=utf-8");
            if (subject.getPrincipal() == null) {
                saveRequestAndRedirectToLogin(request, response);
                /*res.setStatus(HttpStatus.UNAUTHORIZED.value());
                    res.getWriter().write("请先登录");*/
            } else {
                res.setStatus(HttpStatus.FORBIDDEN.value());
                res.getWriter().write("您没有访问权限");
            }
            return false;
        }
    });
    // 自定义登录拦截,未登录的访问直接返回json,而不是跳转
    /*filterMap.put("authc", new UserFilter(){
            @Override
            protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
                HttpServletResponse res = (HttpServletResponse) response;
                res.setStatus(HttpStatus.UNAUTHORIZED.value());
                res.setContentType("application/json;charset=utf-8");
                res.getWriter().write("请先登录");
            }
        });*/
    return filterMap;
}

资源权限

这个其实就是LinkedHashMap,需要注意的是这是个有顺序的Map,先插入的权限数据优先判断,另外这个Map的键是访问url规则,值为具体权限,取值有:

  • authc:所有url都必须认证通过才可以访问;
  • anon:所有url都都可以匿名访问
  • user:如果使用rememberMe的功能可以直接访问
  • perms: 该资源必须得到资源权限可以访问
  • roles: 该资源必须得到角色权限才能访问
public Map<String, String> findFilterChainDefinitionMap(){
    // todo: 后面这个可以直接从数据库里面获取
    // 注意这个map
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    //按顺序依次判断
    filterChainDefinitionMap.put("/favicon.ico", "anon");
    filterChainDefinitionMap.put("/login/login", "anon");
    filterChainDefinitionMap.put("/login/login/pwd", "anon");
    filterChainDefinitionMap.put("/login/logout", "logout");
    filterChainDefinitionMap.put("/admin", "roles[admin]");
    filterChainDefinitionMap.put("/user", "roles[user]");
    // 注意权限设置顺序
    filterChainDefinitionMap.put("/a/1", "roles[admin]");
    filterChainDefinitionMap.put("/a/**", "roles[user, admin]");
    // 这种默认是and,即同时拥有admin和user才能访问
    filterChainDefinitionMap.put("/info", "roles[admin,user]");
    filterChainDefinitionMap.put("/perms", "perms[admin]");
    
    filterChainDefinitionMap.put("/**", "authc");
    return filterChainDefinitionMap;
}

ShiroFilterFactoryBean

Shiro的核心配置类

初始化权限

@Autowired
private ShiroService shiroService;
@Bean
public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    // 上面自定义的filterMap
    shiroFilterFactoryBean.setFilters(shiroService.filterMap());
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    shiroFilterFactoryBean.setLoginUrl("/login/login");
    shiroFilterFactoryBean.setUnauthorizedUrl("/deny");
    // 上面编写资源权限Map
    Map<String, String> filterChainDefinitionMap = shiroService.findFilterChainDefinitionMap();
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilterFactoryBean;
}

动态更新权限

@Autowired
private ShiroFilterFactoryBean shiroFilterFactoryBean;
@Autowired
private ShiroService shiroService;

public synchronized void updatePermission() throws Exception {
    AbstractShiroFilter shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean.getObject();
    DefaultFilterChainManager manager = (DefaultFilterChainManager) ((PathMatchingFilterChainResolver)
                shiroFilter.getFilterChainResolver()).getFilterChainManager();
    manager.getFilterChains().clear();
    shiroFilterFactoryBean.getFilterChainDefinitionMap().clear();
    // 上面编写资源权限Map
    Map<String, String> filterChainDefinitionMap = shiroService.findFilterChainDefinitionMap();
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    Map<String, String> chains = shiroFilterFactoryBean.getFilterChainDefinitionMap();
    for (Map.Entry<String, String> entry : chains.entrySet()) {
        manager.createChain(entry.getKey(), entry.getValue());
    }
}

登录

@PostMapping("/login")
public String login(String username, String password, Model model, HttpServletRequest req) {
    // 在认证提交前准备 token(令牌)
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    // 执行认证登陆
    // 可以获取登录前的访问request对象
    String url = WebUtils.getSavedRequest(req).getRequestURI();
    System.out.println(url);
    // 从SecurityUtils里边创建一个 subject
    Subject subject = SecurityUtils.getSubject();
    try {
        subject.login(token);
    } catch (AuthenticationException e) {
        // 包括未知账户、密码错误、用户名或密码错误次数过多、账户已锁定、用户名或密码不正确等异常
        model.addAttribute("msg", e.getMessage());
    }
    if (subject.isAuthenticated()) {
        Session session = subject.getSession();
        // session.setTimeout(30 * 1000);
        session.setAttribute("user", "这里有登录信息");
        model.addAttribute("msg", "登录成功");
        return "index";
    } else {
        token.clear();
    }
    return "login";
}
## name
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
单点登录实现 Spring_security+CAS
01-20
单点登录实现 Spring_security+CAS 包含实现教程和程序源代码
spring security——用户认证流程(二)
随笔记
08-21 4953
一、用户认证逻辑 在自定义用户认证逻辑中我们需要完成的内容有: 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 1、处理用户信息获取逻辑(UserDetailsService) org.springframework.security.core.userdetails.UserDetailsService UserDetailsService接口用于加载用户...
SpringSecurity(三)个性化用户认证流程
加州暖阳的博客
03-01 464
个性化用户认证流程 一.自定义登录页面 1.创建html文件,(Springboot项目html文件路径在resources/static/imooc-signIn.html),该表单登录请求为post请求,具体url为 /authentication/form <form action="/authentication/form" method="post"> <table> <tr> <td>用户名:<
Spring Security执行原理流程
我神级欧文的博客
06-18 2万+
1.基本配置使用 (1)创建配置类 创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurity http)这个方法,配置好需要认证的登录url,以及提交表单的url,这里除了登录url不需要认证之外,其他的url都需要认证才能访问,并且formLogin表名这是一个表单提交,loginproc...
Spring Boot整合Spring Security(二)自定义登录界面——formLogin()的配置
时雨吹雪的博客
01-28 2324
SpringSecurity配置formLogin登录界面
springBoot-shiro-vue-element-admin:一个前阶段分离的(springboot + shiro + vue + element)项目
04-05
springBoot-shiro-vue-element-admin 最早:springboot-shiro 使用springBoot2.1.6 + shiro + redis + mysql的权限管理系统,账号: admin ,密码: 123456 ,如果使用 前端:vue-element-admin 使用的是vue2.6 + ...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 ...
springboot-shiro.zip
06-01
SpringBoot+MyBatis+Shiro+Thymeleaf,通过Shiro实现页面拦截,访问权限控制,访问角色控制,通过Shiro连接数据库,实现一个用户对应多个访问权限的实现。zip里有数据库生成的sql脚本。有B的赏一赏啦,没B的,github...
Spring Security整合CAS
new_ord的博客
11-15 1万+
CAS(中央认证服务) 从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图1 是 CAS 最基本的协议过程: CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否
ant4 多个form 验证_AntDesign Form表单字段校验的三种方式
weixin_42164534的博客
02-06 1667
1.使用getFieldDecorator的rules规则最简单的方法就是使用getFieldDecorator中的rules验证。rules中定义校验规则,message为校验不通过时的提示文字。{getFieldDecorator(‘inputContent‘, {rules: [{required:true,message:‘请输入内容!‘,}],})()}rules校验规则参数说明类型默认...
antd vue form表单校验总结
ajaxsync
08-22 4330
Antd vue form表单的使用总结,校验绑定方式,规则定义方式等
cas单点登录原理与实现(整合springsecurity)
qq_46624276的博客
06-25 7824
一、cas原理分析1.1 Cas登录: 两次前端跳转、一次后端验证1.1.1 首次访问应用A第一次跳转:第二次跳转:后台进行一次票据验证:图例: 1.1.2 访问A登陆后首次访问应用B二、实现cas客户端yaml配置: 2.1 参数配置类: 应用服务器参数配置类 2.2 CAS配置...
Spring Security系列教程27--Spring Security实现CAS单点登录--搭建CAS服务端
一一哥
11-03 1910
前言 在上一章节中,一一哥 给各位介绍了单点登录的概念、执行流程原理,并且给大家介绍了CAS单点登录解决方案,在CAS解决方案中,我们需要搭建CAS服务端和CAS客户端,本文就开始给大家介绍如何实现CAS服务端。在这里,我给大家介绍一个开源的CAS服务端模板cas-overlay-template,接下来请跟我一起看看怎么实现吧。 一. 搭建CAS服务器 1. 概述 为了测试我前面讲解的CAS请求执行流程,我们需要搭建一个CAS测试环境,本篇内容主要是带领大家搭建一个CAS Server服务端环境。
16.Spring Boot 使用Spring security 集成CAS
热门推荐
编码语言Codelang
01-03 3万+
在上一篇中说了Spring Boot 使用Spring security,在这一篇中将讲讲Spring security 集成CAS。
java教程之Spring Security系列教程之实现CAS单点登录下篇-搭建CAS客户端
IT教育任姐姐的博客
11-02 1070
一. 搭建CAS客户端 1. 创建新项目 我们在之前的Spring Security项目中,创建一个新的module模块,作为CAS Client项目,如下图。 2. 引入依赖 然后在这个模块的pom.xml文件中,引入相关依赖。 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> &l...
spring security 集成cas实现单点登录
阿文的博客
09-06 3398
cas流程 如下 用户发送请求,后台服务器验证ticket(票据信息),未登录时,用户没有携带,所以验证失败,将用户重定向到cas服务器去登录换取票据凭证 用户获取凭证后携带凭证进行请求,后台服务器拿着ticket票据信息去cas服务器验证,验证成功后并获取用户信息,后台服务器再将获取到的用户信息返回给浏览器 下图,路线:1->5->6; 1->2->3->4; 1->2->7->8->9->1; 下面代码解决的问题 1.完成第三方客
spring security+cas 单点登录示例(单点退出)
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
04-21 2862
版本说明 6.0及以上需要jdk11,如果你是jdk8,最高只能用5.3版本 5.3以下版本的是maven工程,6.0以上改成gradle工程了 这里基于5.3版本搭建 原理 服务端搭建 下载源码 https://github.com/apereo/cas-overlay-template/tree/5.3 下载官方的cas-overlay-template,在此基础上修改打包,运行。 cas-overlay-template已经集成了springboot,可直接运行。 build之后会在target目录生
springboot-plus
最新发布
05-31
SpringBoot-Plus是一个基于SpringBoot的快速开发框架,它集成了一系列常用的功能和组件,如MyBatis-Plus、Shiro、Swagger等,可以帮助开发者快速构建高质量、可维护的Web应用程序。SpringBoot-Plus提供了一些基础的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值