[GN] Spring Security 和 SHiro的配置使用

于 2024-04-01 10:59:00 发布
阅读量880 收藏 18
点赞数 7
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qazwsxedcrfvrgb/article/details/137218257
版权

文章目录

SHiro

  • Shrio安全框架更灵活和简单,代码易读使用简单

  • 但授权第三方登录需要手动实现

在这里插入图片描述

  1. 配置shrio的核心内容 安全管理器 realm
@Configuration
public class ShiroConfig {

    //0.配置shrioFilter
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //oauth过滤
        Map<String, Filter> filters = new HashMap<>();
        filters.put("oauth2", new OAuth2Filter());
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = new LinkedHashMap<>();

        filterMap.put("/index.html", "anon");
        filterMap.put("/css/**", "anon");
        filterMap.put("/js/**", "anon");
        filterMap.put("/doc.html", "anon");
        filterMap.put("/v2/api-docs/**", "anon");
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");  //app的拦截用注解方式
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/aaa.txt", "anon");
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }
    
    
    //1.配置安全管理器
    //用于管理 Shiro 的安全策略,包括认证和授权等功能。
    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(oAuth2Realm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }
    
   
    //2.配置realm
    @Bean
    public Realm OAuth2Realm(){
        //MyShiroRealm需要另外实现,在下面将要介绍到
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        return myShiroRealm;
    }
        

}

  1. Shiro 中,你可以使用 @RequiresPermissions 注解来进行权限校验。这个注解标记在方法上时,Shiro 会自动识别并在方法执行前进行权限校验。具体步骤如下:

    • 开启注解的支持 在上面ShiroConfig加入开启注解

      @Configuration
public class ShiroConfig {
     
      *
      *
      *
    
	@Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

    • Controller类的方法上添加 @RequiresPermissions 注解

          @RequiresPermissions("admin:user:list")
    @ApiOperation("用户列表")
    public R list(@RequestParam Map<String, Object> params){
        PageUtils page = appUserService.queryPage(params);

        return R.ok().put("page", page);
    }

    • 方法被调用时候Shrio会自动检查当前用户是否有权限

      在判断用户是否具有指定权限时,通常会依赖于其所配置的 Realm(域),一般会实现 doGetAuthorizationInfo 方法来获取用户的权限信息,可以根据具体的业务逻辑从数据库、缓存或其他数据源中查询用户的权限信息

      @Component
public class MyShiroRealm extends AuthorizingRealm {
    @Autowired
    private ShiroService shiroService;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof OAuth2Token;
    }

    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
        Long userId = user.getUserId();

        //用户权限列表
        Set<String> permsSet = shiroService.getUserPermissions(userId);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken = (String) token.getPrincipal();

        //根据accessToken,查询用户信息
        SysUserTokenEntity tokenEntity = shiroService.queryByToken(accessToken);
        //token失效
        if(tokenEntity == null || tokenEntity.getExpireTime().getTime() < System.currentTimeMillis()){
            throw new IncorrectCredentialsException("token失效,请重新登录");
        }

        //查询用户信息
        SysUserEntity user = shiroService.queryUser(tokenEntity.getUserId());
        //账号锁定
        if(user.getStatus() == 0){
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, accessToken, getName());
        return info;
    }
}

如上便实现配置SHrio 以及 实现从数据库中查询用户的角色和权限信息,判断是否有权限访问。

其中 doGetAuthenticationInfo是是登陆用到,还未介绍到,下面将介绍登录逻辑

这里登录时手写实现token创建,没用到shrio

	@PostMapping("/sys/login")
	public Map<String, Object> login(@RequestBody SysLoginForm form)throws IOException {
        
        // 判断验证码 判断用户账号是否存在 是否禁用
		todo

		//生成token以及过期时间,返回到浏览器并保存到数据库。 这就是sessionID 浏览器请求需携带
		R r = sysUserTokenService.createToken(user.getUserId());
         
		return r;
	}

Spring Security

Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型

Spring Security

GGood_Name
关注
  • 7
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
spring+springMVC+shiro 完美例子
04-15
非常完美的spring+springMVC+shiro 完美例子实现权限认证,相信你一定会喜欢,里面有文档说明
SpringSecurityshiro使用
10-07
下面我们将分别介绍Spring SecurityShiro使用Shiro框架 Shiro是一个轻量级的安全框架,主要提供许可、认证、加密和会话管理功能。Shiro框架的核心组件包括Subject、SecurityManager、Realm和Session。 1. ...
spring shiro配置
ssssny的专栏
06-07 1086
一、在web.xml配制shiroFilter  shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /* er在spring的application.xml中添加配制
spring配置shiro
aiganxie2129的博客
03-31 90
1.web.xml中加入shiro的过滤器: <!-- Spring --> <!-- 配置Spring配置文件路径 --> <context-param> <param-name>contextConfigLocation</param-name> <pa...
基于springshiro配置
hou973561160的博客
12-15 210
shiro是一个特别简单,易用的框架,在此记录一下shiro使用配置。 首先,创建四张表:user  role  user_role  permission,分别为用户、角色、用户与角色关系表和权限表。 user表结构: role表结构: user_role permission 当然,表结构如何设计是没有关系的,你可以根据自己偏好设计。 web.xml
springshiro配置详解
dianchi3205的博客
12-16 166
1、加入shiro相关依赖的jar包 pom.xml部分内容如下: 1 <dependency> 2 <groupId>org.apache.shiro</groupId> 3 <artifactId>shiro-spring</artifactId> 4 <version...
Spring SecurityShiro的相同点与不同点整理
08-25
在本篇文章里小编给大家整理的是关于Spring SecurityShiro的相同不同点整理,需要的朋友们可以参考下。
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
Spring Security 提供了更多的安全协议和灵活的配置,而 Apache Shiro 可以独立存在。选择哪种框架,取决于实际的需求和业务场景。 七、结论 学习 Spring Security 和 Apache Shiro 需要具备一些条件,包括了解认证...
详解Spring Boot 集成Shiro和CAS
08-30
本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 Java 安全框架,由 Apache 软件...
基于Spring框架的Shiro配置方法
09-04
ShiroSpring框架结合使用时,可以更好地整合到现有的Spring应用中,实现更灵活和模块化的安全控制。以下将详细介绍基于Spring框架的Shiro配置方法。 首先,我们需要在`web.xml`中配置Shiro的过滤器。这一步是...
安全认证框架-Apache Shiro研究心得
西风吹雨
03-15 215
  最近因为项目需要,研究了一下Apache Shiro安全认证框架,把心得记录下来。 (by 西风吹雨 原创) http://blog.sina.com.cn/s/blog_6638b10d0100pd88.html      Apache Shrio是一个安全认证框架,和Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。其提供的native-ses...
spring配置shiro
weixin_41449742的博客
08-24 313
 apache Shiro是一个强大且易用的Java安全框架,能够执行身份验证、授权、加密和会话管理。   # apache Shiro的主要API ## Subject   Subject即“当前操作用户”。但是,在Shiro中,Subject这一概念并不是"帐户",而是与shrio交互的当前应用。   ## SecurityManager   SecurityManager是Shiro框架...
shiro整合spring配置
weixin_34343000的博客
07-23 55
shiro应用到项目中,一般都是通过spring来管理。下面就如何把shiro整理到spring中进行了讲解,及给出了配置的步骤: 一、pom.xml文件配置 本例子主要是介绍maven管理的web项目进行配置介绍,因此,首先需建立好一个maven管理的web项目(可参考本博客创建maven管理的web项目)。 pom.xml文件配置,主要是添加相关依赖的j...
Shiro整合Spring配置及解释
↓ ↓ ↓ ↓
03-13 1806
Shiro整合Spring配置详解1.首先加入ShiroSpring对应的jar包,我是使用的maven添加.附上pom文件:&lt;properties&gt; &lt;!-- spring版本 --&gt; &lt;spring.version&gt;4.1.7.RELEASE&lt;/spring.version&gt; &lt;!-- Shiro版本 --&gt...
ShiroSpring Security对比
weixin_69084736的博客
09-05 3413
ShiroSpring Security对比
ShiroSpring Security安全框架对比
Java+GO+JS全栈工程师-鹤冲天的博客:编程辅导~商务合作~技术交流
01-06 2409
Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单。与Spring Security对比,Shiro可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。下面对这两个安全框架进行了对比,可以根据你的项目需要选出适合的安全框架。
Spring Securityshiro
最新发布
09-23
3. 学习曲线和复杂性:Spring Security相对复杂一些,需要熟悉Spring框架的相关概念和配置Shiro则相对简单,学习曲线较为平缓。 4. 社区支持和文档资料:Spring Security是一个非常流行的框架,有着庞大的社区...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GGood_Name

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值