SpringBoot_安全框架_Shiro

最新推荐文章于 2022-04-22 13:43:42 发布
最新推荐文章于 2022-04-22 13:43:42 发布
阅读量113 收藏
点赞数 1
分类专栏: SpringBoot 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15764943/article/details/85016285
版权

SpringBoot_安全框架_Shiro

Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
三个核心组件:
(1)Subject
当前操作人
(2)SecurityManager
Shiro框架的核心 ,并通过它来提供安全管理的各种服务
(3)Realm
当对用户执行认证和授权验证时,Shiro会从应用配置的Realm配置中查找用户及其权限信息

引入依赖

	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-core</artifactId>
		<version>1.4.0</version>
	</dependency>
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-spring</artifactId>
		<version>1.3.2</version>
	</dependency>

Shiro配置文件

/**
 * Shiro配置
 * 
 * 
 * @author vander
 * @date 2018年11月28日
 */
@Configuration
public class ShiroConfig {

    @Bean("sessionManager")
    public SessionManager sessionManager(SessionDAO sessionDAO){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.setGlobalSessionTimeout(60000);//session过期时间
//        sessionManager.setSessionDAO(sessionDAO);//自定义session存储--分布式环境
        return sessionManager;
    }
    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm, SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(oAuth2Realm);
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        //oauth2过滤
        Map<String, Filter> filters = new HashMap<>();
        filters.put("oauth2", new OAuth2Filter());
        shiroFilter.setFilters(filters);
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/druid/**", "anon");
        filterMap.put("/base/login", "anon");
        filterMap.put("/**/*.css", "anon");
        filterMap.put("/**/*.js", "anon");
        filterMap.put("/**/*.html", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/favicon.ico", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/", "anon");
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

注册shiro过滤器

/**
 * Filter配置
 *
 */
@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean shiroFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new DelegatingFilterProxy("shiroFilter"));
        //该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理
        registration.addInitParameter("targetFilterLifecycle", "true");
        registration.setEnabled(true);
        registration.setOrder(Integer.MAX_VALUE - 1);
        registration.addUrlPatterns("/*");
        return registration;
    }

    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());
        registration.addUrlPatterns("/*");
        registration.setName("xssFilter");
        registration.setOrder(Integer.MAX_VALUE);
        return registration;
    }
}

自定义认证令牌

/**
 * 认证令牌
 * 
 * 
 * @author vander
 * @date 2018年12月15日
 */
public class MyToken implements AuthenticationToken {
	private static final long serialVersionUID = 1L;
	private String token;

    public MyToken (String token){
        this.token = token;
    }

    @Override
    public String getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

自定义Realm

/**
 * 认证、授权
 * 
 * 
 * @author vander
 * @date 2018年11月28日
 */
@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof MyToken;
    }

    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUser user = (SysUser)principals.getPrimaryPrincipal();
        Long userId = user.getUserId();
        //用户的权限列表
        Set<String> permsSet = userService.getPermissions(userId);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String token = (String) token.getPrincipal();

        SysToken sysEntity = userService.queryByToken(token);
        //token失效
        if(sysEntity == null || sysEntity.getExpireTime().getTime() < System.currentTimeMillis()){
            throw new IncorrectCredentialsException("Token已失效,请重新登录!");
        }

        //查询用户信息
        SysUser user = userService.queryUser(sysEntity.getUserId());
        if(user.getStatus() == 0){
            throw new LockedAccountException("用户账号已被锁定,请联系管理员!");
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, accessToken, getName());
        return info;
    }
}

访问过滤器

/**
 * oauth2过滤器
 * 
 * 
 * @author vander
 * @date 2018年11月28日
 */
public class AccessFilter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        String token = getRequestToken((HttpServletRequest) request);
        if(StringUtils.isBlank(token)){
            return null;
        }
        return new MyToken(token);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if(StringUtils.isBlank(token)){
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            RestResult r = new RestResult();
            r.codeMessage(HttpStatus.SC_UNAUTHORIZED, "invalid token");
            String json = new Gson().toJson(r);
            httpResponse.getWriter().print(json);
            return false;
        }
        return executeLogin(request, response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        try {
            //处理登录失败的异常
            Throwable throwable = e.getCause() == null ? e : e.getCause();
            RestResult r = new RestResult();
            r.codeMessage(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());
            String json = new Gson().toJson(r);
            httpResponse.getWriter().print(json);
        } catch (IOException e) {
        }
        return false;
    }

    /**
     * 获取请求的token
     */
    private String getRequestToken(HttpServletRequest httpRequest){
        //从header中获取token
        String token = httpRequest.getHeader("token");
        //从参数中获取token
        if(StringUtils.isBlank(token)){
            token = httpRequest.getParameter("token");
        }
        return token;
    }
}

Shiro工具类

在项目中获取当前用户信息

/**
 * Shiro工具类
 * 
 * 
 * @author vander
 * @date 2018年11月28日
 */
public class ShiroUtils {

	public static Session getSession() {
		return SecurityUtils.getSubject().getSession();
	}

	public static Subject getSubject() {
		return SecurityUtils.getSubject();
	}

	public static SysUser getUserEntity() {
		return (SysUser)SecurityUtils.getSubject().getPrincipal();
	}
	
	public static void setSessionAttribute(Object key, Object value) {
		getSession().setAttribute(key, value);
	}

	public static Object getSessionAttribute(Object key) {
		return getSession().getAttribute(key);
	}

	public static boolean isLogin() {
		return SecurityUtils.getSubject().getPrincipal() != null;
	}
	//使用kaptcha验证码
	public static String getKaptcha(String code) {
		Object kaptcha = getSessionAttribute(code);
		if(kaptcha == null){
			throw new BException("验证码失效!");
		}
		getSession().removeAttribute(key);
		return kaptcha.toString();
	}
}

分布式Session共享(可选)

/**
 * 
 * 基于reidsSession共享
 * 
 * @author vander
 * @date 2018年11月29日
 */
@Component
public class RedisSessionDao extends AbstractSessionDAO {

	@Autowired
	private ValueOperations<String, String> redisTemplate;

	private static final Logger log = LoggerFactory.getLogger(RedisSessionDao.class);

	@Override
	public void update(Session session) throws UnknownSessionException {
		log.info("更新seesion,id=[{}]", session.getId().toString());
		try {
			redisTemplate.set(session.getId().toString(), ObjectUtil.serialize(session));
		} catch (Exception e) {
			e.printStackTrace();
		}

	}

	@Override
	public void delete(Session session) {
		log.info("删除seesion,id=[{}]", session.getId().toString());
		try {

			redisTemplate.set(session.getId().toString(), "", 0);
		} catch (Exception e) {
			e.printStackTrace();
		}
	}

	@Override
	public Collection<Session> getActiveSessions() {
		log.info("获取存活的session");
		return Collections.emptySet();
	}

	@Override
	protected Serializable doCreate(Session session) {
		Serializable sessionId = generateSessionId(session);
		assignSessionId(session, sessionId);
		log.info("创建seesion,id=[{}]", session.getId().toString());
		try {
			redisTemplate.set(sessionId.toString(), ObjectUtil.serialize(session));
		} catch (Exception e) {
			log.error(e.getMessage());
		}
		return sessionId;
	}

	@Override
	protected Session doReadSession(Serializable sessionId) {
		log.info("获取seesion,id=[{}]", sessionId.toString());
		Session session = null;
		try {
			session = (Session) ObjectUtil.deserialize(redisTemplate.get(sessionId.toString()));
		} catch (Exception e) {
			log.error(e.getMessage());
		}
		return session;
	}
}

注册用户

核心代码

//sha256加密
String salt = RandomStringUtils.randomAlphanumeric(20);
user.setPassword(new Sha256Hash(user.getPassword(), salt).toHex());
user.setSalt(salt);

登录用户

核心代码

if(user == null || !user.getPassword().equals(new Sha256Hash(password, user.getSalt()).toHex())) {
	return errorMsg("账号或密码不正确!");
}
平揽星尘
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lcg0124-bootdo-master.zip_bootDo_shiro springboot_springboot_thy
09-23
项目介绍 面向学习型的开源框架,简洁高效,减少过渡封装,展现技术...使用官方推荐的thymeleaf做为模板引擎,shiro作为安全框架,主流技术,“一网打尽” 基于注解的sql写法,零XML,极简配置,一键前后台代码生成
[SpringBoot]Spring Security框架
YJH000_的博客
06-11 9187
在使用Spring Security框架时,可以自定义组件类,实现接口,则Spring Security就会基于此类的对象来处理认证!则在项目的根包下创建,在类上添加@Service注解使其成为组件类,实现@Slf4j@Service@Override(通过loadUserByUsername(String s)这个方法的名字可以理解为通过用户名加载用户,参数s就是username用户名,返回UserDetails用户详情)在项目中存在。
SpringBoot - 安全管理框架Spring Security使用1
weixin_40009737的博客
12-09 241
Java 开发领域常见的安全框架Shiro 和 Spring Security ,本文主要讲解Spring Security 一、首先创建springboot项目 创建springboot项目参考https://blog.csdn.net/weixin_40009737/article/details/105773950 二、spring security 简介 Spring Security 是一个相对复杂的安全管理框架,功能比 Shiro 更加强大,权限控制细粒度更高,对 OAuth 2 的支持
SpringBoot——安全框架SpringSecurity
仙女的博客
03-29 784
SpringSecurity是撒子? SpringSecurity是针对Spring项目的安全框架,是身份认证和访问控制(授权)的一个框架。之前我们都是使用拦截器来实现,但是大量的原生代码,太繁琐,所以就有了SpringSecurity。 WebSecurityConfigurerAdapter:自定义sercurity策略 AuthenticationManagerBuilder:自定义认...
Springboot--整合安全框架Spring Security
sout
11-28 245
Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。几个类: WebSecurityConfigurerAdapter:自定义Security策略 Authenticat...
Springboot整合安全框架
dongrixueyang的博客
02-07 4790
Springboot 整合安全框架 Spring Security 一、Spring Security是什么 按照官网解释,Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。参见 Spring Security 中文手册 。 二、Spring Security 核心模块 认证(Authentication) 验证某个用户是否为系统中的合法主体,也就是说用
mycar_springboot_mybatis_shiro_
10-01
总结一下,`mycar_springboot_mybatis_shiro_`项目展示了如何在Spring Boot环境下整合MyBatis和Shiro,实现高效的数据操作和安全控制。Spring Boot简化了项目构建,MyBatis提供了灵活的数据库操作,而Shiro则保障了...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态...
springboot_thymeleaf_shiro.zip
07-05
这个项目主要是为了实现基于Web的权限控制,通过Spring Boot的便捷性,Thymeleaf的模板引擎功能,以及Shiro安全框架来构建一个安全的Web应用。 1. **Spring Boot**: Spring Boot是Spring框架的扩展,它简化了...
springboot_shiro
09-29
同时,为了实现权限管理和用户认证,Apache Shiro作为一个轻量级的安全框架,也得到了广泛应用。本项目"springboot_shiro"正是将SpringBootShiro进行集成的实例,旨在帮助开发者理解和掌握这两者结合的实践应用。 ...
SpringBoot-安全管理框架Spring Security使用详解(1)-基本用法
Andy's Blog
06-06 557
一般项目都会有严格的认证和授权操作,而在Java开发领域常见的安全框架Shiro和Spring Security。本文首先介绍下后者。 一、基本用法 1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的...
SpringBoot安全框架 Spring Security 详解一
small_love的专栏
12-09 760
一、基本用法 1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置方案,可以让Spring Security的使用更加便捷。 2,安装配置 我们只需要编辑pom.xml,添加spring-boot...
SpringBoot安全框架Spring Security
探索er的博客
04-22 3057
SpringBoot安全框架Spring Security
SpringBoot_工作流_Activiti
一叶知秋
07-27 650
SpringBoot_工作流_Activiti简述开发步骤配置文件bootstrap.yml配置源码 简述 工作流:通过计算机对业务流程进行自动化管理,实现多个参与者按照预定义的流程去自动执行业务流程。 Activiti:一个工作流的引擎,开源的架构,基本 bpmn2.0 标准进行流程定义,它的是前身是 jbpm。Activiti 通过是要嵌入到业务系统开发使用。 开发步骤 (1)部署 activ...
SpringBoot_启动执行方式
一叶知秋
11-19 457
SpringBoot_启动执行方式BeanPostProcessorServletContextListenerInitializingBeanPostConstructApplicationRunner和CommandLineRunner执行顺序结果 BeanPostProcessor Spring容器的创建Bean前后执行 import org.springframework.beans.BeansException; import org.springframework.beans.factory.c
分布式跟踪系统-Zipkin
一叶知秋
07-27 246
分布式跟踪系统-Zipkin简述存储方式示例SpringCloud服务端客户端 简述 Zipkin是一个致力于收集分布式服务的时间数据的分布式跟踪系统。 官方:https://zipkin.io/ 源码地址:https://github.com/openzipkin/zipkin Zipkin 四个组件:Collector(数据采集),Storage(数据存储),API(搜索),UI(数据展示)...
SpringBoot_扩展数据库操作_DBUtils
一叶知秋
07-27 229
SpringBoot_扩展数据库操作_DBUtils依赖pom.xml配置类配置源码 依赖pom.xml &lt;dependency&gt; &lt;groupId&gt;commons-dbutils&lt;/groupId&gt; &lt;artifactId&gt;commons-dbutils&lt;/artifactId&gt; &lt;/dependency&gt; &...
SpringBoot_报表_POI
一叶知秋
07-27 220
SpringBoot_报表_POI依赖pom.xml配置文件bootstrap.yml配置源码导入报表导出报表采用模板导出报表百万数据报表导出百万数据报表导入 依赖pom.xml <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi</artifactId&...
SpringBoot_面向切面_AOP
一叶知秋
07-30 209
SpringBoot_面向切面_AOP简介依赖示例业务切面自定义注解业务使用 简介 @Aspect注解将一个java类定义为切面类 @Pointcut定义一个切入点,规则表达式 execution: 匹配连接点 execution(方法修饰符(可选) 返回类型 类路径 方法名 参数 异常模式(可选)) 1)execution(public * (…))——表示匹配所有public方法 2)execution( set*(…))——表示所有以“set”开头的方法 3)execution(* com.x
springboot集成shiro框架
最新发布
06-28
Spring Boot 集成 Shiro 框架可以实现在应用中实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件中添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值