Spring Boot(十二):Shiro登录认证和权限管理

已于 2023-03-31 22:14:20 修改
阅读量1.2k 收藏 6
点赞数 1
分类专栏: shiro springboot spring 文章标签: shiro springboot spring java
于 2019-10-30 11:39:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25432245/article/details/102816184
版权
springboot 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
spring
15 篇文章 0 订阅
订阅专栏
shiro
5 篇文章 0 订阅
订阅专栏

前言

这篇文章来学习如何使用 Spring Boot 集成 Apache Shiro 。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在 Java 领域一般有 Spring Security、 Apache Shiro 等安全框架,但是由于 Spring Security 过于庞大和复杂,并且依赖spring环境;而Apache Shiro就相对独立,最主要是因为shiro使用简单、灵活,所以现在越来越多的用户选择Apache Shiro这篇文章会先介绍一下 Apache Shiro ,在结合 Spring Boot 给出使用案例。

Apache Shiro

它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

快速上手

1. 添加相关依赖

<!-- spring 集成 shiro -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-web</artifactId>
	<version>1.4.0</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.4.0</version>
</dependency>

RBAC

RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

2. 创建相关系统表

用户信息表:

DROP TABLE IF EXISTS `account`;
CREATE TABLE `account` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `rid` int(11) NOT NULL DEFAULT '2' COMMENT '角色id',
  `username` varchar(32) NOT NULL COMMENT '用户名',
  `password` varchar(32) NOT NULL COMMENT '密码',
  `salt` varchar(32) NOT NULL COMMENT '盐值',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;

角色信息表:     

DROP TABLE IF EXISTS `role`;
CREATE TABLE `role` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `name` varchar(32) NOT NULL COMMENT '角色名称',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;

权限信息表:

DROP TABLE IF EXISTS `permission`;
CREATE TABLE `permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `name` varchar(32) NOT NULL COMMENT '权限名称',
  `url` varchar(32) NOT NULL COMMENT '权限url',
  `type` varchar(32) NOT NULL COMMENT '权限类型',
  `percode` varchar(32) DEFAULT NULL COMMENT '权限标识',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;

   角色-权限信息表:  

DROP TABLE IF EXISTS `role_permission`;
CREATE TABLE `role_permission` (
  `rid` int(11) NOT NULL COMMENT '角色id',
  `pid` int(11) NOT NULL COMMENT '权限id'
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

   用户权限视图:     

select 
    `a`.`id` AS `id`,`p`.`name` AS `name`,`p`.`percode` AS `percode` 
from 
    `account` `a`
join
     `role` `r` 
on
    `a`.`rid` = `r`.`id` 
join 
    `role_permission` `rp` 
on
    `r`.`id` = `rp`.`rid`
join 
    `permission` `p` 
on
    `rp`.`pid` = `p`.`id`

  3. Shiro 配置        

       ShiroConfig.java     

@Configuration
public class ShiroConfig {
	/**
	 * 1. 凭证匹配器
	 * 
	 * @return
	 */
	@Bean("credentialsMatcher")
	public HashedCredentialsMatcher getCredentialsMatcher() {
		HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
		hashedCredentialsMatcher.setHashAlgorithmName("md5");
		hashedCredentialsMatcher.setHashIterations(2);
		return hashedCredentialsMatcher;
	}

	/**
	 * 2. 自定义realm
	 * 
	 * @return
	 */
	@Bean("shiroUserRealm")
	public ShiroUserRealm getShiroUserRealm() {
		ShiroUserRealm shiroUserRealm = new ShiroUserRealm();
		shiroUserRealm.setCredentialsMatcher(getCredentialsMatcher());
		return shiroUserRealm;
	}
	/**
	 * 3.1 设置记住我cookie
	 * @return
	 */
	@Bean
	public SimpleCookie getSimpleCookie() {
		SimpleCookie simpleCookie = new SimpleCookie();
		simpleCookie.setMaxAge(60*60*24*7);
		simpleCookie.setName("rememberMe");
		return simpleCookie;
	}
	/**
	 * 3.2   配置记住我
	 * @return
	 */
	@Bean
	public CookieRememberMeManager getCookieRememberMeManager(){
		CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
		cookieRememberMeManager.setCookie(getSimpleCookie());
		return cookieRememberMeManager;
	}
	
	
	
	@Bean
	public Authorizer authorizer(ShiroUserRealm shiroUserRealm) {
		ModularRealmAuthorizer authorizer = new ModularRealmAuthorizer();
		Collection<Realm> crealms = new ArrayList<>();
		crealms.add(shiroUserRealm);
		authorizer.setRealms(crealms);
		return authorizer;
	}
	@Bean
	public Authenticator authenticator(ShiroUserRealm shiroUserRealm) {
		ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator();
		Collection<Realm> crealms = new ArrayList<>();
		crealms.add(shiroUserRealm);
		authenticator.setRealms(crealms);
		return authenticator;
	}
	/**
	 * 4. securityManager管理器
	 * 
	 * @return
	 */
	@Bean("securityManager")
	public DefaultWebSecurityManager getSecurityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		ShiroUserRealm shiroUserRealm = getShiroUserRealm();
		securityManager.setAuthenticator(authenticator(shiroUserRealm));
		securityManager.setAuthorizer(authorizer(shiroUserRealm));
		securityManager.setRealm(shiroUserRealm);
		securityManager.setRememberMeManager(getCookieRememberMeManager());
		return securityManager;
	}
	
	
	
	
	/**
	 * 5. shiroFilter
	 * @param securityManager
	 * @return
	 */
	@Bean("shiroFilter")
	public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
		shiroFilterFactoryBean.setLoginUrl("/api/login");
		// 登录成功后要跳转的链接
		//shiroFilterFactoryBean.setSuccessUrl("/api/index");
		// 未授权界面;
		shiroFilterFactoryBean.setUnauthorizedUrl("/login.html");
		// 拦截器链
		Map<String, String> map = new LinkedHashMap<String, String>();
		map.put("/toLogin", "anon");
		map.put("/api/login", "authc");
		map.put("/api/logout", "logout");
		map.put("/admin/**", "user");
		map.put("/user/**", "user");
		map.put("/js/**", "anon");
		map.put("/css/**", "anon");
		map.put("/images/**", "anon");
		map.put("/**", "anon");
		shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
		Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
		
		return shiroFilterFactoryBean;
	}

	
	
	
	/**
	 * 开启shiro aop注解支持. 使用代理方式;所以需要开启代码支持;
	 * 
	 * @param securityManager
	 * @return
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
			DefaultWebSecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
		return authorizationAttributeSourceAdvisor;
	}

	/**
	 * 开启Shiro的注解
	 * 		(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
	 * 		配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
	 * 
	 * @return
	 */
	@Bean
	public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		advisorAutoProxyCreator.setProxyTargetClass(true);
		return advisorAutoProxyCreator;
	}
	/**
	 * 配置authc,不是必须配置,如果不配置,表单的用户名和密码必须是:username,password
	 * 
	 * @return
	 */
	@Bean("formAuthenticationFilter")
	public FormAuthenticationFilter getFormAuthenticationFilter() {
		FormAuthenticationFilter formAuthenticationFilter = new FormAuthenticationFilter();
		formAuthenticationFilter.setUsernameParam("username");
		formAuthenticationFilter.setPasswordParam("password");
		return formAuthenticationFilter;
	}

}

4. 自定义ShiroUserRealm   

public class ShiroUserRealm extends AuthorizingRealm {
	
	private Logger logger = LoggerFactory.getLogger(this.getClass());
	
	
	@Autowired
	private AccountService accountService;
	
	@Autowired
	private PermissionService permissionService;
	
	/**
	 * 验证
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String username = token.getPrincipal().toString();
		logger.info("----------认证-----------------username="+username);
		AccountEntity accountEntity = accountService.getByUsername(username);
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(accountEntity, accountEntity.getPassword(),ByteSource.Util.bytes(accountEntity.getSalt()),getName());
		return simpleAuthenticationInfo;
	}
	/**
	 * 授权
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
		AccountEntity accountEntity = (AccountEntity) principal.getPrimaryPrincipal();
		logger.info("----------凭证-----------------password="+accountEntity.getPassword());
		List<Permission> permissions = permissionService.getByUserId(accountEntity.getId());
		if(null == permissions || permissions.size()==0) {
			return null;
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		for (Permission permission : permissions) {
			String percode = permission.getPercode();
			if(null!=percode) {
				info.addStringPermission(percode);
			}
		}
		return info;
	}

	/**
	 * 清理缓存
	 */
	protected void clearCache() {
		Subject subject = SecurityUtils.getSubject();
		super.clearCache(subject.getPrincipals());
	}
}

5. 登录实现:  

/**
	 *   登录
	 *   
	 * @param req
	 * @return
	 */
	@ResponseBody
	@PostMapping("/api/login")
	public Result login(HttpServletRequest request, String username, String password,String captcha,Boolean rememberMe){
		if(StringUtils.isBlank(username) || StringUtils.isBlank(password)|| StringUtils.isBlank(captcha) ) {
			logger.info("参数错误");
			return Result.fail("参数错误...");
		}
		String captchaCookie = CookieUtil.getCookieByName(request, "shiro_captcha");
		if(StringUtils.isBlank(captchaCookie)) {
			logger.info("没有验证码");
			return Result.fail("没有验证码...");
		}
		Object selCaptcha = CacheUtils.get(captchaCookie);
		CacheUtils.remove(captchaCookie);
		if(null == selCaptcha ) {
			logger.info("验证码失效");
			return Result.fail("验证码失效...");
		}
		if(!captcha.equalsIgnoreCase(selCaptcha.toString())) {
			logger.info("验证码错误");
			return Result.fail("验证码错误...");
		}
		UsernamePasswordToken token = new UsernamePasswordToken(username,password,rememberMe);
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(token);
			return Result.success("登录成功");
		} catch (Exception e) {
			String exceptionClassName = (String)request.getAttribute("shiroLoginFailure");
			String msg = "用户名/密码错误";
			if(UnknownAccountException.class.getName().equals(exceptionClassName)) {
				return Result.fail(msg);
			} else if(IncorrectCredentialsException.class.getName().equals(exceptionClassName)){
				return Result.fail(msg);
			}
			return Result.fail(exceptionClassName);
		}
	}

java的艺术
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro 登录 注册
12-08
还没有写完的shiro demo会继续完善上传的,考虑清楚哦
spring boot+shiro 权限认证管理案例
12-20
通过以上步骤,我们可以构建一个集成了 Spring BootShiro权限认证管理系统,能够实现用户登录权限校验、会话管理等功能,同时利用缓存提升系统性能。在实际开发中,还可以根据需求扩展 Shiro 功能,例如...
SpringBootshiro实现认证
qq_43880100的博客
10-19 708
SpringBootshiro实现认证
Shiro框架2——shiro认证+shiro的授权
最新发布
qq_64064246的博客
07-08 1181
通过分析源码可得:认证:1.最终执行用户名比较是 在SimpleAccountRealm类 的 doGetAuthenticationInfo 方法中完成用户名校验2.最终密码校验是在 AuthenticatingRealm类 的 assertCredentialsMatch方法 中总结:认证realm授权realm自定义Realm的作用:放弃使用.ini文件,使用数据库查询。
shiro登录
wangtao的博客
06-22 249
shiro登录 1.获取当前的Subject,调用SecurityUtils.getSubject(); 2.判断当前用户是否被认证(登录),调用Subject的isAuthenticated(); 3.没有认证,把用户名和密码封装为UsernamePasswordToken对象; 3.1创建表单页面; 3.2将请求提交到springmvc的handle; 3.3获取用户名和密码 4.执行登录调用Subject的login(AuthenticationToken token) 5.自定义的...
基于Shiro框架登录功能
程序员小火龙的知识分享
07-21 1008
Apache Shiro是一个Java安全框架,它提供了一套易于使用的API,用于身份验证、授权、加密和会话管理等安全操作。Shiro框架的主要目标是提供易于使用的安全功能,同时保持灵活性和可扩展性。
Shiro_登陆
weixin_44840242的博客
03-29 213
四大基石:密码学 会话管理 登陆 授权 目录 1.Shiro集成Spring导包 2.Web.xml的配置 3.applicationContext-shiro.xml的配置 4.创建JpaRealm 5.Spring配置文件中引入shiro的配置文件 6.密码设置 1.准备一个加密算法 2.通过算法加密数据库密码 3.添加员工时密码加密 6.准备登陆页面 ...
spring boot 1.5.4 集成shiro+cas,实现单点登录权限控制
08-30
Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录权限控制的功能。 Shiro 简介 Apache Shiro 是一个开放源代码的安全框架,...
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统
03-08
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统。 文章地址:https://xttblog.blog.csdn.net/article/details/88353878 FEBS是一个简单高效的后台权限管理系统。项目基础框架采用全新的Java Web开发框架 —— Spring ...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
总结来说,Spring Boot集成Shiro实现动态加载权限的关键在于创建自定义 Realm,重写授权方法,并配置Shiro的相关组件,如SecurityManager和缓存管理器。通过这种方式,我们能够在用户角色和权限发生变化时,实时更新...
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBootShiro 密码加密,登录验证,权限控制demo
Shiro实现登录授权功能
09-26
Shiro实现登录授权功能
shiro登录功能
冷小风的博客
10-15 148
参考地址:https://blog.csdn.net/qq_30781315/article/details/71194591
Shiro(二)——shiro 登录流程、整合 SSM + ShiroShiro 密码加密(编码方式、密码加盐)、JdbcRealm(采取哪个数据作盐)、自定义访问数据库或字段、多 Realm 配置
qq_41824825的博客
01-20 1318
Shiro(二)—— 一、shiro 登录流程 1、shiro 登录流程 二、整合 SSM + Shiro 在 SS SHiro 的基础上导入 mybatis。 1、依赖导入 所有依赖: 2、Spring 配置文件 这里是原有配置代码的基础上添加新的进去,而不是只有这个: 这里注释,因为这一块可以通过注解去注释: 然后 MyRealm 添加注解: 然后自己添加一个实体类,写一个查询方法,接着修改 MyRealm: 到这里为止,就算整合完成了。 三、Shiro 密码加密 1、编码方式 2、密码
Shiro实现登录功能
test253506088的博客
06-24 1182
需要导入的依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> Shiro接管了项目的登录功能,我们只要按照Shiro登录流程走(调用方法)就可以了,下面是Shiro登录功能的简单
使用Shiro 实现登录
m0_67392661的博客
04-28 1223
项目的目录结构 1、login.jsp <script type="text/javascript"> function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); $.ajax({ type: "POST", url: "login",
Shiro实现用户登录
hgg923的专栏
08-30 2417
Shiro登录认证(原理:用户提交 用户名和密码 --- shiro 封装令牌 ---- realm 通过用户名将密码查询返回 ---- shiro 自动去比较查询出密码和用户输入密码是否一致---- 进行登陆控制 详细学习: http://jinnianshilongnian.iteye.com/blog/2019547
Shiro登录验证
weixin_45834569的博客
01-16 1509
1.首先需要导入Shiro依赖包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> 2.定义自己的Reaml 需要继承AuthenticatingRealm 重写doGetAuthenticationInf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java的艺术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值