Spring Boot 整合shiro模拟前后端分离

最新推荐文章于 2024-02-18 09:13:04 发布
最新推荐文章于 2024-02-18 09:13:04 发布
阅读量304 收藏
点赞数
分类专栏: 1 文章标签: spring shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25981377/article/details/104132840
版权

Spring Boot 整合shiro模拟前后端分离

完整项目地址:https://github.com/Kahen/springboot-shiro2

加入全局异常监控

package com.example.aspect;

import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

import java.util.HashMap;
import java.util.Map;

/**
 * @author Kahen
 * @create 2020-02-01 11:13
 */
@RestControllerAdvice //以json串的形式返回出去
public class AppExceptionAdivse {
    @ExceptionHandler(value= {UnauthorizedException.class})
    public Map<String, Object> unauthorized() {
        Map<String, Object> map=new HashMap<>();
        map.put("code", 302);
        map.put("msg", "未授权");
        System.out.println("未授权");
        return map;
    }

}

创建LoginController

package com.example.controller;

import com.example.common.ActiverUser;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpSession;
import java.util.HashMap;
import java.util.Map;

/**
 * @author kahen
 */
@RestController
@RequestMapping("login")
public class LoginController {



	/**
	 * 登陆
	 */
	@RequestMapping("login")
	public Map<String,Object> login(String username, String password, HttpSession session) {
		Map<String,Object> map=new HashMap<>();
		//封装token
		UsernamePasswordToken token=new UsernamePasswordToken(username, password);
		//得到主体
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(token);
			ActiverUser activerUser = (ActiverUser) subject.getPrincipal();
			session.setAttribute("user", activerUser.getUser());
			map.put("code", 200);
			map.put("msg", "登陆成功");
			return map;
		} catch (AuthenticationException e) {
			e.printStackTrace();
			map.put("code", -1);
			map.put("msg", "登陆失败 用户名或密码不正确");
			return map;
		}
	}



}

创建UserController

package com.example.controller;

import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

/**
 * @author kahen
 */
@RestController
@RequestMapping("user")
public class UserController {


	@RequiresPermissions(value= {"user:query"})
	@RequestMapping("query")
	public Map<String,Object> query() {
		Map<String,Object> map=new HashMap<>();
		map.put("msg", "query");
		return map;
	}
	@RequiresPermissions(value= {"user:add"})
	@RequestMapping("add")
	public Map<String,Object> add() {
		Map<String,Object> map=new HashMap<>();
		map.put("msg", "add");
		return map;
	}
	@RequiresPermissions(value= {"user:update"})
	@RequestMapping("update")
	public Map<String,Object> update() {
		Map<String,Object> map=new HashMap<>();
		map.put("msg", "update");
		return map;
	}
	@RequiresPermissions(value= {"user:delete"})
	@RequestMapping("delete")
	public Map<String,Object> delete() {
		Map<String,Object> map=new HashMap<>();
		map.put("msg", "delete");
		return map;
	}
	@RequiresPermissions(value= {"user:export"})
	@RequestMapping("export")
	public Map<String,Object> export() {
		Map<String,Object> map=new HashMap<>();
		map.put("msg", "export");
		return map;
	}
}

创建ShiroLoginFilter

package com.example.filter;

/**
 * @author Kahen
 * @create 2020-02-01 11:28
 */

import com.alibaba.fastjson.JSONObject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

public class ShiroLoginFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        //if (isAjax(request)) {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        Map<String, Object> resultData = new HashMap<>();
        resultData.put("code", -1);
        resultData.put("msg", "未登录!");
        httpServletResponse.getWriter().write(JSONObject.toJSON(resultData).toString());
   /* } else {
         // saveRequestAndRedirectToLogin(request, response);
         *//**
         * @Mark 非ajax请求重定向为登录页面
         *//*
         httpServletResponse.sendRedirect("/login.jsp");
      }*/
        return false;
    }

    private boolean isAjax(ServletRequest request) {
        String header = ((HttpServletRequest) request).getHeader("X-Requested-With");
        if ("XMLHttpRequest".equalsIgnoreCase(header)) {
            return Boolean.TRUE;
        }
        return Boolean.FALSE;
    }
}

修改pom.xml引入fastjson

<fastjson.version>1.2.60</fastjson.version>

<!-- https://mvnrepository.com/artifact/com.alibaba/fastjson -->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>${fastjson.version}</version>
</dependency>

创建ShiroProperties

该项目有引入lombok插件

package com.example.config;

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;

/**
 * @author Kahen
 * @create 2020-01-19 20:47
 */
@ConfigurationProperties(value = "shiro")
@Data
public class ShiroProperties {
    private String hashAlgorithmName = "md5";
    private Integer hashIterations = 2;
    private String loginUrl;
    private String unauthorizedUrl;
    private String[] anonUrls;
    private String logoutUrl;
    private String[] authUrls;
}

创建ShiroAutoConfiguration

package com.example.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import com.example.filter.ShiroLoginFilter;
import com.example.realm.UserRealm;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.web.servlet.DispatcherServletAutoConfiguration;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.DelegatingFilterProxy;

import javax.servlet.Filter;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
 * @author Kahen
 * @create 2020-01-19 20:45
 */
@Configuration
@EnableConfigurationProperties(ShiroProperties.class)
public class ShiroAutoConfiguration {

    @Autowired
    private ShiroProperties shiroProperties;

    /**
     * 创建凭证匹配器
     */
    @Bean
    public HashedCredentialsMatcher credentialsMatcher() {
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName(shiroProperties.getHashAlgorithmName());
        credentialsMatcher.setHashIterations(shiroProperties.getHashIterations());
        return credentialsMatcher;
    }

    /**
     * 创建realm
     */
    @Bean
    public UserRealm userRealm(CredentialsMatcher credentialsMatcher) {
        UserRealm userRealm = new UserRealm();
        //注入凭证匹配器
        userRealm.setCredentialsMatcher(credentialsMatcher);
        return userRealm;
    }

    /**
     * 声明安全管理器
     */
    @Bean("securityManager")
    public SecurityManager securityManager(UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }


    /**
     * 配置过滤器 Shiro 的Web过滤器 id必须和web.xml里面的shiroFilter的 targetBeanName的值一样
     */
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //注入安全管理器
        bean.setSecurityManager(securityManager);
        //注入登陆页面
        bean.setLoginUrl(shiroProperties.getLoginUrl());
        //注入未授权的页面地址
        bean.setUnauthorizedUrl(shiroProperties.getUnauthorizedUrl());
        //注入过滤器
        Map<String, String> filterChainDefinition = new HashMap<>();

        //注入放行地址
        if (shiroProperties.getAnonUrls() != null && shiroProperties.getAnonUrls().length > 0) {
            String[] anonUrls = shiroProperties.getAnonUrls();
            for (String anonUrl : anonUrls) {
                filterChainDefinition.put(anonUrl, "anon");
            }
        }
        //注入登出的地址
        if (shiroProperties.getLogoutUrl() != null) {
            filterChainDefinition.put(shiroProperties.getLogoutUrl(), "logout");
        }
        //注拦截的地址
        String[] authcUrls = shiroProperties.getAuthUrls();
        if (authcUrls != null && authcUrls.length > 0) {
            for (String authcUrl : authcUrls) {
                filterChainDefinition.put(authcUrl, "authc");
            }
        }
        bean.setFilterChainDefinitionMap(filterChainDefinition);
        //创建自定义filter
        ShiroLoginFilter filter = new ShiroLoginFilter();
        Map<String, Filter> map = new HashMap<>();
        map.put("authc", filter);
        bean.setFilters(map);

        return bean;
    }


    /**
     * 注册过滤器
     */
    @Bean
    public FilterRegistrationBean<DelegatingFilterProxy> filterRegistrationBeanDelegatingFilterProxy() {
        FilterRegistrationBean<DelegatingFilterProxy> bean = new FilterRegistrationBean<>();
        //创建过滤器
        DelegatingFilterProxy proxy = new DelegatingFilterProxy();
        bean.setFilter(proxy);
        bean.addInitParameter("targetFilterLifecycle", "true");
        bean.addInitParameter("targetBeanName", "shiroFilter");
//        bean.addUrlPatterns();
        List<String> servletNames = new ArrayList<>();
        servletNames.add(DispatcherServletAutoConfiguration.DEFAULT_DISPATCHER_SERVLET_BEAN_NAME);
        bean.setServletNames(servletNames);
        return bean;
    }


    /**
     * 这里是为了能在html页面引用shiro标签,上面两个函数必须添加,不然会报错
     */
    @Bean(name = "shiroDialect")
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

    /*加入注解的使用,不加入这个注解不生效--开始*/

    /**
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor =
                new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    /*加入注解的使用,不加入这个注解不生效--结束*/
}

启动项目测试

项目启动后,在浏览器中输入

http://localhost:8080/login/login?username=zhangsan&password=123

会得到返回错误的json

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FpwYVGmI-1580534719492)(E:\Legend\MarkDown\images\Snipaste_2020-02-01_12-03-44.png)]

访问查询用户

http://localhost:8080/user/query

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H6g4dTIU-1580534719498)(E:\Legend\MarkDown\images\image-20200201123122104.png)]

访问正确的用户

http://localhost:8080/login/login?username=zhangsan&password=123456

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vhzit8Np-1580534719500)(E:\Legend\MarkDown\images\image-20200201123322723.png)]

重新访问http://localhost:8080/user/query

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-c7GQtBtB-1580534719503)(E:\Legend\MarkDown\images\image-20200201123901961.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IKo82I6p-1580534719505)(E:\Legend\MarkDown\images\image-20200201124018987.png)]

Kahen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3809
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
maven scope属性说明 及依赖传递
feifeiwuxian的专栏
09-08 1675
一、scope属性 依赖范围控制哪些依赖在哪些classpath中可用,哪些依赖包含在一个应用中。 compile(编译) compile是默认的范围;如果没有提供一个范围,那该依赖的范围就是编译范围。编译范围依赖在所有的classpath中可用,同时它们也会被打包。 provided(已提供) provided依赖只有在当JDK或者一个容器已提供该依赖之后才使用。例如,如果你开发了一个web应用,你可能在编译classpath中需要可用的Servlet API来编译一个servl...
Active User(活动用户)
jiangxiabeijing的专栏
09-28 157
一个有用的测量和调试工具是活动用户服务,此服务器返回所有当前用户列表。当前用户就是登录的用户。 基于TCP的活动用户服务 活动用户服务可以定义为一个基于TCP的连接应用。服务器在端口11侦听TCP连接,一旦建立连接,当前用户列表就返回给连接用户。接收到的信息会被抛弃。在传输完列表后,连接会关闭。 基于UDP的活动用户服务 如果使用UDP也是可以的。端口也是11,在此端口接收到数据报后,会返回当...
shiro自定义realm实现认证和授权
weixin_43735588的博客
05-21 529
1.说明 接着上一篇继续,上一篇已经导入依赖了,这次继续测试自定义realm的认证和授权。开发过程中不可能将用户和权限和角色写在shiro.ini文件中,都是通过查询数据库出来的,这时候就需要使用自己定义的Realm了。 2.先简单模拟一下数据库 2.1实体类User package cn.hzu.domain; public class User { private String userName; private String Password; public void se
springboot的filter 过滤器的使用
热门推荐
健康平安的活着的专栏
04-01 2万+
一 过滤器的作用和概述 1.1 简述 人--->检票员(filter)---> 电影院。 注意:配置多个filter的时候,要设置编号id,值越小,优先级越高,越先执行。 1.2 使用场景 场景:权限控制、用户登录(非前端后端分离场景)等,过滤非法登录 二 自定义过滤的两种方式 2.1 工程结构 2.2 配置pom文件 <!--spring boot的启动类 --> <dependency> <gro
springboot+jjwt+security完美解决restful接口无状态鉴权
梦想修补师
08-19 1万+
微服务大行其道的现在,如果我们还在用wsdl之类的提供接口,给人的感觉就会很low,虽然说不能为了炫技而炫技,但是既然restful接口已经越来越流行,必然有它的道理。 本文我们不讨论restful接口的好处,旨在解决使用restful时候的权限控制问题。 springboot本身已经提供了很好的spring security的支持,我们只需要实现(或者重写)一部分接口来实现我们的...
spring boot 前后端分离整合shiro(一)快速上手
HuYiAn1004的博客
07-09 862
spring boot 前后端分离整合shiro(一)快速上手 前言 第一次写博客,可能有些地方表达不是很好,不对的地方欢迎大家指出。 shiro简介 shiro是apache的一个权限框架,相比spring security更简单易用。在使用shiro前一定要对它执行的一个基本流程、内部组件有一个大概的了解。 shiro中有三个重要的概念: Subject 主体。可以是一个程序、一个用户,用来...
spring boot 前后端分离整合shiro(三)ShiroConfig
HuYiAn1004的博客
07-09 1140
spring boot 前后端分离整合shiro(三)ShiroConfig 编写shiro的config,主要有三点 配置拦截器 配置核心的SecurityManager(安全管理器) 注入自定义的realm 配置安全管理器和realm,有个地方要注意,画红线的地方不能直接new一个customizeRealm,必须用bean的方式注入,交给spring管理,否则realm里面的userIn...
基于Spring Boot + Vue 前后端分离个人博客网站设计
Lv Zejiang
06-17 9363
个人博客网站摘要一、绪论1.1 课题背景、目的、意义1.2 国内外研究现状1.3 技术介绍1.3.1 Spring Boot1.3.2 MyBatisPlus1.3.3 Shiro1.3.4 Redis1.3.5 Jwt1.3.6 Vue1.3.7 Element-ui1.3.8 Axios1.3.9 前后端分离二、可行性分析2.1 技术可行性分析2.2 时间和资源可行性三、需求分析3.1 用户分析3.2 功能需求分析3.3 流程分析四、结构设计4.1 实体e-r图4.2 数据库设计五、详细设计六、系统测试
PHPER转JAVA记录篇-spring boot+shiro+jwt+redis
Leo.xie的博客
06-19 6514
spring boot + shiro + jwt + redis一、场景描述1、前言2、模拟逻辑(纯属杜撰)3、JWT如何配合shiro来完成权限二、度娘告诉我们的做法1、每次都需要登录 一、场景描述 1、前言 基于上一篇spring boot 整合shiro,当时想把shiro引入到我们的spring boot中,引入完了之后,我发现一个问题,那就是shiro是基于session的。那么我是不是可以引入到接口来做呢?比如我们的会员系统,会员分为好几个级别【白银、黄金、铂金、钻石、星耀、王者、荣耀王者】,
Spring Boot整合Spring Security
m0_68850571的博客
05-07 506
综合概述 Spring Security 是 Spring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部
开发知识点-JAVA-springboot+Spring Security/Shiro
最新发布
aming小老弟
02-18 538
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。ShiroSpring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
maven项目 登录 使用拦截器
chy_an的博客
06-15 3590
登录页面展示跳转登录页面 @RequestMapping("tologin") public ModelAndView tologin(){ return new ModelAndView("user/login"); }点击登录按钮跳转访问方法 @RequestMapping("loginOpt") public String loginOpt(HttpSession session,Stri...
实现安全登录的两种方法
weixin_42074950的博客
07-19 5129
登录安全——拦截器和过滤器或权限框架的使用 本次我们将采用两种方法实现登录的安全性,首先介绍拦截器和过滤器。 一、 过滤器和拦截器: 过滤器产生的时间/开始工作的时间: 进入Tomcat之后,但是在进servlet之前。Interceptor进入了servlet 所以拦截器拦截的是动作,而过滤器拦截的是不合理的跳转页面。 1、配置和使用拦截器。 <mvc:interceptors> &...
maven常用依赖配置
HCCH030的博客
11-09 225
mysql依赖 <!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java --> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</arti
Shiro_自定义Realm完成认证和权限验证
qq_44193036的博客
03-04 572
通过前面的入门程序,我们需要对Shiro的基本API执行过程有一定的了解。 securityManager在框架中充当安全管理器的角色,Subject为实体对象,通过Subject我们可以封装前台传输的用户名和密码数据,并且将实体对象传递给securitymanager。然后securitymanager会将数据交给认证器和授权器进行认证和权限验证,而认证的依据就是通过Realm,认证完成之后将结...
【笔记】06.自定义Realm实现授权
Gu_jiaguaren的博客
04-15 134
06自定义Realm实现授权 1.复制03_Authentication_realm项目 2.创建ActiverUser package com.domain; /* @author qw @date 2021/3/28 - 14:18 **/ import java.util.List; public class ActiverUser { private User user; private List<String> roles; private List&lt
SpringBoot 和Maven引入Jsp页面支持,用Filter过滤器、Session和Cookie实现用户自动登录
lping985的博客
05-25 1300
1. pom中引入Jsp支持(重要)    Spring Boot官方是不支持Jsp页面的。原因如下:     1) jsp智能打包为War包,不支持jar格式,智能在标准容器里面跑(tomcat,jetty)     2)内嵌的jetty目前不支持jsps    3) UnderTow不支持JSPs     4) jsp自定义页面不能覆盖spring boot默认的错误页面    &lt;?xm...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值