springboot整合shiro入门

最新推荐文章于 2024-01-10 09:06:31 发布
最新推荐文章于 2024-01-10 09:06:31 发布
阅读量147 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiuxinfa123/article/details/105317438
版权

   shiro作为安全框架,使用还是比较多,而且相对来说,比较容易上手。下面将使用springboot来整合shiro,实现的功能如下:

(1)实现访问控制,未登录时,只能访问登录接口

(2)实现角色和权限的访问控制

示例代码,已放在了GitHub上:https://github.com/qiuxinfa/shiro-study

先看下目录结构:

 

1.maven依赖:

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.4.0</version>
        </dependency>
    </dependencies>

 

2.创建一个用户类User:

public class User {
    private String username;
    private String password;
    private Integer enable;  //账号是否锁定
    //省略set、get、toString方法
}

 

3.创建一个业务查询类,模拟数据存储和数据查询功能,因为这里没有连接数据库:

@Service
public class UserService {

    //用来存储用户信息的map
    private Map<String,User> userInfo = new HashMap<>(3);

    public UserService(){
        //用户信息
        userInfo.put("admin",new User("admin","123",1));
        userInfo.put("sam",new User("sam","123",1));
        userInfo.put("qxf",new User("qxf","123",0));
    }

    //根据用户名,查找用户,模拟数据库查询
    public User getUserByUsername(String username){
        return userInfo.get(username);
    }

    //获取所有的用户
    public Map<String,User> getAllUser(){
        return userInfo;
    }

}

这里为了简单起见,用一个map来存储用户信息,实际使用中,用户信息肯定是存储在数据库中的。

 

4.自定义身份认证和授权的realm,继承了AuthorizingRealm ,重写认证和授权方法:

public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        User user = (User)SecurityUtils.getSubject().getPrincipal();  //获取当前登录的用户信息

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //这里模拟数据库,进行角色和权限的处理
        //这里只是简单模拟,角色使用是用户名,权限是包含用户名的路径
        simpleAuthorizationInfo.addRole(user.getUsername());
        simpleAuthorizationInfo.addStringPermission("/"+user.getUsername());

        return simpleAuthorizationInfo;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        //这里模拟数据库查询用户,根据用户名查询
        User dbUser = userService.getUserByUsername(username);
        if (dbUser == null){
            //账号不存在
            throw new UnknownAccountException();
        }
        if (dbUser.getEnable()==0){
            //账号被锁定
            throw new LockedAccountException();
        }
        return new SimpleAuthenticationInfo(dbUser, dbUser.getPassword(), getName());
    }
}

 

5.配置shiro

/**
 *shiro配置
 */
@Configuration
public class ShiroConfig {
    @Bean
    MyRealm myRealm() {
        //返回自定义的身份认证和授权realm
        return new MyRealm();
    }

    @Bean
    SecurityManager securityManager() {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(myRealm());
        return manager;
    }

    @Bean
    ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager());
        //设置登录的url
        bean.setLoginUrl("/login");
        Map<String, String> map = new LinkedHashMap<>();
        //anon表示,匿名访问,不需要认证就可以访问的接口
        map.put("/doLogin", "anon");
        //authc表示需要身份认证后才可以访问
        map.put("/**", "authc");
        bean.setFilterChainDefinitionMap(map);
        return bean;
    }

 //下面配置的3个bean,主要是为了Shiro的注解(如@RequiresRoles,@RequiresPermissions)生效
    @Bean
    public  LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

  
    @Bean
    public  DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

这里需要注意一下,如果想要使用shiro的注解生效,需要这3个bean:

(1)LifecycleBeanPostProcessor 

(2)DefaultAdvisorAutoProxyCreator

(3)AuthorizationAttributeSourceAdvisor

 

6.定义访问接口:

@Controller
public class ShiroController {

    @GetMapping("/login")
    public String login(){
        return "login.html";
    }

    @PostMapping("/doLogin")
    @ResponseBody
    public String doLogin(String username,String password){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);
            return "登录成功";
        }catch (UnknownAccountException|IncorrectCredentialsException e){
            e.printStackTrace();
            return "账号或密码错误";
        }catch (LockedAccountException e){
            e.printStackTrace();
            return "账号已被锁定,请联系管理员";
        }catch (AuthenticationException e){
            e.printStackTrace();
            return "未知异常,请联系管理员";
        }

    }

    @GetMapping("/hello")
    @ResponseBody
    public String hello(){
        return "hello:"+SecurityUtils.getSubject().getPrincipal();
    }


}

这里定义了3个接口:

(1)login,处理get请求,匿名可访问,会跳转到login.html登录页面

(2)doLogin,处理post请求,实现真正的登录功能

(3)hello,获取自身信息,认证后才可以访问

 

7.登录页面,写得很简陋,就是一个简单HTML的form表单提交:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

   <form action="/doLogin" method="post">
       用户名:<input type="text" name="username" />
       <br/>
       密  码:<input type="password" name="password"/>
       <br/>
       <input type="submit" value="登录"/>
   </form>

</body>
</html>

 

8.测试

(1)验证这个功能:未登录时,只能访问登录接口

写个启动类,启动项目后,在浏览器输入http://localhost:8080/hello,则会跳转到登录页面,因为在UserService里面添加了3个用户:

        //用户信息
        userInfo.put("admin",new User("admin","123",1));
        userInfo.put("sam",new User("sam","123",1));
        userInfo.put("qxf",new User("qxf","123",0));

所以,当我们使用admin或者sam登录时(密码都是123),就可以登录成功(qxf账号是被锁定了),登录成功之后,再访问hello就可以看到自己的信息了。

 

(2)验证角色和权限访问控制:

    在MyRealm的授权方法中,我是用 用户名作为角色添加了,用 /+用户名作为权限,真实项目肯定不是这样的,一般会配置在数据库中,这里只是为了简单起见:

        //这里模拟数据库,进行角色和权限的处理
        //这里只是简单模拟,角色使用是用户名,权限是包含用户名的路径
        simpleAuthorizationInfo.addRole(user.getUsername());
        simpleAuthorizationInfo.addStringPermission("/"+user.getUsername());

添加只有admin可以访问的接口:

@RestController
@RequestMapping("/admin")
public class AdminController {

    @Autowired
    private UserService userService;

    @GetMapping("/allUser")
    @RequiresRoles("admin")    //表示需要有[admin]这个角色才可以访问
    @RequiresPermissions("/admin") //表示需要有 /admin 权限才可以访问
    public Collection<User>  allUser(){
        List<User> list = new ArrayList<>();
        Map<String,User> userMap = userService.getAllUser();
        return userMap.values();
    }
}

再写一个全局异常处理,用以捕获没有权限访问的异常:

/**
 * @Auther: qiuxinfa
 * @Date: 2020/4/2
 * @Description: 定义全局异常处理
 */
@RestControllerAdvice
public class MyGlobalException {

    //表示只捕获AuthorizationException类及其子类异常
    @ExceptionHandler(AuthorizationException.class)
    public String handlerAuthorizationException(AuthorizationException e){
        e.printStackTrace();
        return "你没有权限访问";
    }
}

现在,可以启动项目了,如果用sam登录后,访问http://localhost:8080/admin/allUser,那么就会返回如下信息:

你没有权限访问

后台也会打印出,需要角色admin才可以访问,其实还需要/admin权限才可以访问

如果用admin登录后,访问http://localhost:8080/admin/allUser,则会返回所有的用户信息:

[{"username":"admin","password":"123","enable":1},{"username":"sam","password":"123","enable":1},{"username":"qxf","password":"123","enable":0}]

这样就实现了角色的访问控制,权限也是一样的道理,为了简单起见,demo中尽量返回的是json,只有一个登录页面。

其他注意点:

        授权不是认证之后就立马执行的,而是当你访问某个资源需要权限时,才会执行授权的方法,比如访问添加了

@RequiresRoles,RequiresPermissions注解的时候,才会触发进入到我们自定义realm的授权方法。
qiuxinfa123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot-Shiro整合权限管理源码
04-24
SpringBoot整合Shiro使得权限管理变得简单易行,它提供了灵活的认证和授权机制。通过阅读和理解`springboot-shiro`的源码,开发者可以快速上手,并在实际项目中实现高效的权限管理功能。记得在实际操作中,根据项目...
SpringBootShiro整合.docx
02-09
SpringBootShiro整合】课程主要关注的是如何在SpringBoot环境下集成Apache Shiro框架,以实现高效且灵活的权限管理。SpringBoot是基于Spring框架的简化开发工具,旨在简化Spring应用的初始搭建以及开发过程,它...
Shiro系列三:集成Spring
苍穹尘的博客
06-06 361
1、引入shiro的依赖。shiro-all包括shiro所有的jar包,如:核心包shiro-core,与web整合shiro-web、与spring整合shiro-spring、与任务调度quartz整合shiro-quartz等。 <dependency> <groupId>org.apache.shiro</groupId> <a...
JAVAWEB开发之权限管理(二)——shiro入门详解以及使用方法、shiro认证与shiro授权
m0_54850825的博客
08-17 1075
上边的程序中使用的是Shiro自带的iniRealm。iniRealm从配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义Realm。// 设置Realm的名称@Override}// 支持UsernamePasswordToken@Override}// 用于认证@Override// token是用户输入的// 第一步从token中取出身份信息// 第二步:根据用户输入的usercode从数据库查询// 如果查询不到返回null。...
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4697
Shiro入门概述与基本使用
授权 - Spring Security简单案例
个人纪录、总结!
10-21 557
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2787
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
SpringBoot整合Apache Shiro极简入门实例.zip
11-04
SpringBoot整合Shiro,实现菜单权限控制入门简单实例;用户菜单权限来自数据库,简单起见,user用户表中同事配置了用户菜单权限,感兴趣的小伙伴可以自行使用RBAC方案扩展数据库表设计进行完善。 运行环境 jdk8+...
springboot 完美整合shiro脚手架demo
02-20
本项目将这两个强大的工具结合,提供了一个入门级别的SpringBoot整合Shiro的示例,适合初学者快速掌握Shiro的使用。 首先,让我们了解SpringBootShiro的基本概念。SpringBoot是基于Spring框架的一个快速开发工具...
SpringBoot+Mybatis+Thymeleaf整合Shiro入门
06-05
在本文中,我们将深入探讨如何将SpringBoot、Mybatis和Thymeleaf三大技术栈与Shiro安全框架整合,以实现一个完整的Web应用程序的权限控制和用户管理。首先,我们来了解一下这四个核心技术: 1. **SpringBoot**:...
shiro-all-1.2.3.jar
05-24
apache权限框架的缓存管理器要用到的jar包 shiro-all-1.2.3.jar
shiro-all-1.2.6.jar
08-31
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。
SecurityUtils.getSubject().getPrincipal()为null
m0_37635053的博客
10-30 1万+
我在项目中获取getUserId(),和getUserName()获取不到值。 他们都是通过SecurityUtils.getSubject().getPrincipal()去获取的。 反复测试发现原因是 :在shiroConfig里面: 该方法,注意(是该接口名)被写为anon,不通过验证,即: filterMap.put("/druid/**", “anon”); 这种写法是为了postman...
SecurityUtils.getSubject().getPrincipal() 为null
热门推荐
坤哥的博客
08-23 5万+
使用shiro时,如果正常登陆(执行subject.login(token)成功)就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。 之前的项目是OK的,新项目中突然出问题。现在给出我自己问题的解决方案。 shiro的配置中有个use-prefix选项,其配置有两点需要注意: 要在配置文件的最上边(或者相关属性的最前边); 一定要...
Shiro详细使用
残影的博客
10-10 1077
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
Shiro使用详解
m0_67401055的博客
08-24 664
MyRealm以上就是Shiro实际使用的案例,将的比较初略,但是关于Shiro的核心东西都在里面了。大家可以去我的github上下载源码,只要按照我给的数据库就没有问题,项目跑起来之后试着改下里面的东西可以加深对Shiro的理解。。。。
Shiro的介绍与使用
最新发布
X_a_X_a_X_a的博客
01-10 725
Shiro 是一个强大而灵活的 Java 安全框架,用于身份验证、授权和会话管理。它提供了易于使用的 API,可以轻松地集成到现有的 Java 应用程序中。本文将介绍 Shiro 的基本概念和使用方法,并通过代码示例演示其在实际项目中的应用。
SpringBoot + Apache Shrio 构建通用权限系统,提示SecurityUtils.getSubject().getPrincipal() 转换类型错误
zhouzhiwengang的专栏
06-17 5104
构建SimpleAuthenticationInfo 权限配置信息: new SimpleAuthenticationInfo(user, password, getName()); 参数说明: user:用户信息 password:用户密码 realm:当前realm的名称 Apache Shrio 获取当前用户信息代码:User user = (User)SecurityU...
Shiro 权限框架使用总结
guoyiqi
10-17 372
我们首先了解下什么是shiroShiro 是 JAVA 世界中新近出现的权限框架,较之 JAAS 和 Spring SecurityShiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Java Security API; 简单...
springboot 整合 shiro
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值