springboot整合shiro安全管理框架

最新推荐文章于 2024-07-23 21:37:49 发布
最新推荐文章于 2024-07-23 21:37:49 发布
阅读量192 收藏 1
点赞数
分类专栏: java 文章标签: shiro springboot java web 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24696571/article/details/102407591
版权

简介

shiro是什么

       apache shiro 开源安全框架 , 一个更加健全的RBAC框架 , 干净利落处理身份认证 , 授权 , 企业会话管理 ,加密和缓存等功能 .

shiro和spring security

       在shiro之前安全管理框架还有spring security , 它依赖于spring , 更加复杂 , 学习曲线高 , 成本也高 . shiro比较独立 , 并且可以在分布式集群环境中使用 .

shiro结构体系

在这里插入图片描述

主要功能:
  • Authentication : 认证 , 验证用户是否合法 . 也就是”登陆” ,
  • Authorization : 授权 , 登陆成功之后 , 授予谁某些可以授予的权限
  • Session Management : 会话管理 , 用户登陆一次就是一次会话 . 用户登录后的用户信息通过会话管理进行管理
  • Cryptography : 加密 . 提供了常见的一些加密算法 . 在应用中更方便实现数据安全 , 使用便捷 .
支持的功能:
  • Web Support : Web应用程序支持 . shiro可以方便的集成到web应用中.
  • Caching : 缓存 , shiro提供了对缓存的支持 . shiro提供对缓存的支持 , 支持多种缓存架构 , 如Redis.
  • Concurrency : 多线程 . 支持多线程并发访问.
  • Testing : 测试
  • “Run As” : 权限传递 , 一个人以另外一个人登陆 . 一个张三 , 一个小张三 , 张三授予权限给小张三 , 小张三就可以登陆
  • Remember Me : 记住我 .

shiro架构

  • Subject : 实体(用户 , 第三方服务 , cron job计划任务 等), 传递数据到安全管理器 .
  • Security Manager : 安全管理器 . Shiro中最重要的核心 . 协调各个组件 , 如管理着认证管理器 , 授权管理器等的工作.
  • Authentication : 认证管理器 , 负责验证用户的身份
  • Authorization :授权管理器 . 负责为合法的用户指定其权限 . 控制用户可以访问那些资源 .
  • Realms : 域 , 和外界的数据库进行交互 . 用户通过Shiro来完成相关安全工作 , Shiro是不会去维护信息的 . 在Shiro中 , 数据的查询和获取工作是通过Realm 从不同的数据源来获取的 . Realm可以获取数据库信息和文本信息等 . Shiro中可以有一个或多个realm

Authentication 用户认证

1 . 认证逻辑

验证用户是否合法登陆
在这里插入图片描述

  • 用户(Subject )需要提交身份(Principals)和凭证(Credentials)给Security Manager : 安全管理器
    • 身份(Principals)能够唯一标识用户(Subject ) , 例如邮箱 , 身份证ID , 因为它独一无二
    • 凭证(Credentials)是只被用户(Subject )知道的一个值 , 例如密码 , 数字证书 . 它只被用户(Subject )拥有和知晓.
    • 而身份(Principals)和凭证(Credentials)最常见的组合就是: 用户名/密码 , Shiro中通常使用UsernamePasswordToken来制定身份和凭证信息

2 . 在shiro中用户的认证流程

在这里插入图片描述

UsernamePasswordToken ->安全管理器(Security Manager) ->认证管理器(Authentication) -> 根据所配置的realm调用策略 -> 根据策略调用realm

授权

  • 给身份认证通过的人 , 授予他可以访问某些资源的权限 权限的粒度 , 分为粗粒度和细粒度 .

    • 粗粒度 : 对user的增删查改,. 也就是说通常对表的操作 .
    • 细粒度 : 对记录的操作 . 如 : 只允许查询id为1的用户工资 .

  • shiro一般管理的是粗粒度的权限 . 比如:菜单 , 按钮 , url . 一般细粒度的权限是通过业务来控制的 .

  • 权限表示规则:

    • 通配符
      资源:操作:实例 ->
      user:add 表示用户有添加的权限
      user:* 表示user具有用户的所有操作权限
      user:delete:100 表示用户对user标识为100的记录有删除权限
    • 8421
      0001
      0010
      0100
      1000
      (增删查改)

代码实现

1 . 依赖(基于springboot2和shiro1.3.2)

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.3.2</version>
</dependency>

2 . 配置类

package com.credi.config;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author: He Xingchi
 * Created by Administrator on 2019/10/7.
 * 对shiro的一些配置,相对于之前的xml配置。包括:过滤的文件和权限,密码加密的算法,其用注解等相关功能。
 */
@Configuration
public class ShiroConfig {
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
//        登录接口
        shiroFilterFactoryBean.setLoginUrl("/login");
//        登录失败跳转接口
        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/webjars/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/", "anon");
        filterChainDefinitionMap.put("/front/**", "anon");
        filterChainDefinitionMap.put("/api/**", "anon");

        filterChainDefinitionMap.put("/admin/**", "authc");
//        filterChainDefinitionMap.put("/user/**", "authc");
        filterChainDefinitionMap.put("/user", "authc");
        filterChainDefinitionMap.put("/test/**", "authc");
        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截 剩余的都需要认证
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;

    }

    /*
    Security Manager : 安全管理器 .
    Shiro中最重要的核心 . 协调各个组件 , 如管理着认证管理器 , 授权管理器等的工作.
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(customRealm());
        return defaultSecurityManager;
    }

    //不加这个注解不生效,具体不详
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }
    /**
     *  开启shiro aop注解支持.
     *  使用代理方式;所以需要开启代码支持;
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }


//    自己定义的授权域
    @Bean
    public CustomRealm customRealm() {
        CustomRealm customRealm = new CustomRealm();
        return customRealm;
    }


}

3 . 自定义Realm,身份验证和权限验证策略

package com.credi.config;

import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.ArrayList;
import java.util.List;

/**
 * @Author: He Xingchi
 * Created by Administrator on 2019/10/7.
 * 自定义的CustomRealm继承AuthorizingRealm。
 * 并且重写父类中的doGetAuthorizationInfo(权限相关)、doGetAuthenticationInfo(身份认证)这两个方法。
 */
public class CustomRealm extends AuthorizingRealm {
    /**
     * 身份认证
     * 这里可以注入userService,为了方便演示,我就写死了帐号了密码
     * private UserService userService;
     * <p>
     * 获取即将需要认证的信息
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("-------身份认证方法--------");
//        获取UsernamePasswordToken中用户输入的用户名
        String userName = (String) authenticationToken.getPrincipal();
        String userPwd = new String((char[]) authenticationToken.getCredentials());
        //根据用户名从数据库获取校验的用户信息
        String password = "123";
        if (userName == null) {
//            抛出对应的异常
            throw new AccountException("用户名不正确");
        } else if (!userPwd.equals(password )) {
            throw new AccountException("密码不正确");
        }
//  从数据库中查询的信息封装到 -> new SimpleAuthenticationInfo(userName, password,getName()) -> shiro框架进行信息的校验
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());// getName() -> realm或自定义realm类名称
//            也可以吧查询到的用户信息存入 new SimpleAuthenticationInf(new User() , password , getName());
//        返回认证信息
        return simpleAuthenticationInfo;
    }

//    权限认证
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("-------权限认证方法--------");
        //身份认证时 , 存入的信息可以被获取
        //        //获取用户名
//        User user = (User)SecurityUtils.getSubject().getPrincipal();
//        String username = (String) SecurityUtils.getSubject().getPrincipal();
        String username = (String) principals.getPrimaryPrincipal();
        //根据身份信息从数据库获取权限数据  == > 模拟
        List<String> permissions = new ArrayList<String>();
        permissions.add("admin");
        permissions.add("user:save");
        permissions.add("user:delete");
        permissions.add("userInfo:view");

//      将权限信息保存到shiro中的AuthorizationInfo中
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//        list添加到AuthorizationInfo
        for(String permission:permissions){
            System.out.println(permission);
            info.addStringPermission(permission);
        }
//       set添加到AuthorizationInfo
//        Set<String> stringSet = new HashSet<>();
//        stringSet.add("user:show");
//        stringSet.add("user:admin");
//        info.setStringPermissions(stringSet);
        return info;
    }


}

4 . 用户身份认证(登陆)测试类

package com.credi.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;

/**
 * @Author: He Xingchi
 * Created by Administrator on 2019/10/7.
 */
@RestController
@RequestMapping
public class IndexController {
    @RequestMapping(value = "/login", method = RequestMethod.GET)
    @ResponseBody
    public String defaultLogin() {
        return "首页";
    }

    @RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public String login(@RequestParam("username") String username, @RequestParam("password") String password) {
        // 从SecurityUtils里边创建一个 subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备 token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 执行认证登陆
        try {
            subject.login(token);
        } catch (UnknownAccountException uae) {
            return "未知账户";
        } catch (IncorrectCredentialsException ice) {
            return "密码不正确";
        } catch (LockedAccountException lae) {
            return "账户已锁定";
        } catch (ExcessiveAttemptsException eae) {
            return "用户名或密码错误次数过多";
        } catch (AuthenticationException ae) {
            return "用户名或密码不正确!";
        }
        if (subject.isAuthenticated()) {
            return "登录成功";
        } else {
            token.clear();
            return "登录失败";
        }
    }

}

5 . 用户权限验证测试类

package com.credi.controller;

import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.springframework.web.bind.annotation.*;

/**
 * @Author: He Xingchi
 * Created by Administrator on 2019/10/8.
 */
@RestController
@RequestMapping
public class UserController {

    @RequestMapping(value = "/user", method = RequestMethod.POST)
    @ResponseBody
    @RequiresPermissions("userInfo:view") // 测试权限
    public String user(@RequestParam("msg") String msg) {
       return msg;
    }
}

ps : 常用内置权限函数

// 用户认证状态
		boolean isAuthenticated = subject.isAuthenticated();
		System.out.println("用户认证状态:" + isAuthenticated);
		
		//判断拥有角色:role1
		Assert.assertTrue(subject.hasRole("role1"));
		//判断拥有角色:role1 and role2
		Assert.assertTrue(subject.hasAllRoles(Arrays.asList("role1", "role2")));
		//判断拥有角色:role1 and role2 and !role3
		boolean[] result = subject.hasRoles(Arrays.asList("role1", "role2", "role3"));
		Assert.assertEquals(true, result[0]);
		Assert.assertEquals(true, result[1]);
		Assert.assertEquals(false, result[2]);
		
		
		//判断拥有权限:user:create
		Assert.assertTrue(subject.isPermitted("user:create"));
		//判断拥有权限:user:update and user:delete
		Assert.assertTrue(subject.isPermittedAll("user:update", "user:delete"));
		//判断没有权限:user:view
		Assert.assertFalse(subject.isPermitted("user:view"));
瓶中怪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot项目安全框架Shiro和Spring Security—认证、授权等
sormous的博客
07-20 734
Shiro Spring Security 异步任务,邮件发送,定时任务 Swagger Dubbo+Zookeeper
SpringBoot:Spring Boot整合Shiro安全框架
zhuguang10的博客
03-16 1425
最近在由Spring Boot2.x构建的更简洁的后台管理系统,完美整合SpringMvc + Shiro + MybatisPlus + Beetl技术,项目开发完成会开源出来,希望能对大家学习道路上有所帮助。在这一篇我将把我整合Shiro过程记录下来,希望对大家的学习这块能有所帮助。 maven依赖包 。 org.apache.shiro shiro-spring 1.4.0 &...
shiro面试题
url_9507的博客
09-09 7496
1、什么是Shiro Apache ShiroJava 的一个安全权限框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存 等。 2、描述Shiro认证流程 1、收集用户身份/凭证 2、调用 Subject.login 进行登录 3、创建自定义的 R...
SpringBoot 学习笔记_安全管理 —— Shiro
新青年1号
07-23 190
SpringBoot 学习笔记_安全管理 —— Shiro 声明: 本次学习参考 《SpringBoot + Vue 开发实战》 · 王松(著) 一书。 本文的目的是记录我学习的过程和遇到的一些问题以及解决办法,其内容主要来源于原书。 如有侵权,请联系我删除 文章目录SpringBoot 学习笔记_安全管理 —— ShiroSpringBoot 安全管理 —— Shiro创建 SpringBoot 项目,添加依赖Shiro 基本配置Shiro 进阶配置配置登录接口即页面接口配置其他接口(不需要角色管控的
SpringBoot整合Shiro安全框架
oyc的博客
06-05 936
什么是Shiro Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理Shiro首要的和最重要的目标就是容易使用并且容易理解,通过Shiro易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序最大的网络和企业应用程序。 Shiro架构 Shiro架构图 - Authentication:身份认证/登录 - Authorization:验证权限,即,验证某个人是否有做某件事的权限。 - Session Management:会话管理管理
springboot整合shiro 框架
Heyyouare的博客
09-03 280
写这篇文章主要是记录我的学习过程,刚开始在网上找资料的时候,网上的资料很乱。所以自己整合了一个比较简单的shiro的使用方法,shiro是什么、怎么用就不用我在这里详细的讲解了。 1.添加依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
springbootshiro安全框架整合
08-05
3. **SpringBoot整合Shiro** 整合SpringBootShiro主要涉及以下步骤: - 添加依赖:在SpringBoot的`pom.xml`或`build.gradle`文件引入Shiro的依赖。 - 配置Shiro:创建一个自定义的Shiro配置类,配置Realm以...
SpringBoot整合Shiro框架集成权限管理
06-17
1、SpringBoot框架的优秀整合能力结合Shrio轻量安全高适用的权限框架,可以将权限运用到实质,方便高效 2、该文件包含有shiro的介绍及整合过程 3、SpringBoot整合Shiro的相关教程视频
springboot整合Shiro框架,实现用户权限管理
06-24
实际上,SecurityManager就是Shiro框架的控制器。 Realm:域对象 定义了访问数据的方式,用来连接不同的数据源,如:关系数据库,配置文件等等。 3、核心理念 Shiro自己不维护用户和权限,通过Subject用户主体和...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 983
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目,Hibernate仅仅只是完成项目的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架就提供的有Hibernate模板对象。一个常规的、频繁的操作代码,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Java内存模型
weixin_44267758的博客
07-19 752
此处的变量不是指java编程的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存。每条线程有自己的工作内存,工作内存保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 730
Promise 是一种异步编程的解决方案。在异步操作,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1280
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
java算法day19
TOMOT77的博客
07-20 285
我第一时间想到的方法是遍历二叉树+哈希。哈希用来统计数字出现的次数。之后遍历map收集结果。利用了BST的性质,即BST的序序列是有序序列。
springboot之自动装配
最新发布
weixin_50153914的博客
07-23 203
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java算法】前缀和 下
2302_79806056的博客
07-18 1159
这段代码实现了一个寻找数组具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 943
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用使用 Apache Shiro管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值