shiro整合springboot

最新推荐文章于 2024-07-26 19:01:04 发布
最新推荐文章于 2024-07-26 19:01:04 发布
阅读量137 收藏
点赞数
分类专栏: java开发 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36387550/article/details/118723369
版权

shiro介绍

shiro是apache的一款开源安全管理框架,帮助开发者进行身份验证,授权等安全管理。
优点:1、shiro提供一整套security对象身份信息验证,授权方法,且提供内部验证机制,使身份信息保密验证,更具有安全性。
2、shiro提供一套资源控制机制,开发者可自定义资源访问权限和访问条件。

一、步骤

1、导包

 <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.6.0</version>
        </dependency>

在pom.xml文件中导入上面依赖,即可使用shiro框架。

2、书写配置类

import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.*;

@Configuration
public class ShiroConfig {

    //1、Realm 代表系统资源
//    @Bean
//    public Realm getRealm(){
//        return new MyShiroRealm();
//    }
    //2、创建SecurityManager用户管理中心  用于流程控制
    @Bean
    public DefaultWebSecurityManager getSecurityManager(AuthorizingRealm myShiroRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //创建验证器,会将前端传递的密码通过下方设置的加密方法和迭代次数进行加密后验证
        HashedCredentialsMatcher  matcher = new HashedCredentialsMatcher();
        //设置shiro加密算法和迭代次数
        matcher.setHashAlgorithmName("MD5");
        matcher.setHashIterations(3);
        //设置密码校验器
        myShiroRealm.setCredentialsMatcher(matcher);
        securityManager.setRealm(myShiroRealm);
        return securityManager;
    }
    //3、创建监听器工厂bean  请求过滤器
    @Bean
    public ShiroFilterFactoryBean getFilterFactory(DefaultWebSecurityManager mySecurityManager){
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        filterFactoryBean.setSecurityManager(mySecurityManager);
        //配置路径过滤器
        Map<String,String> filterMap = new HashMap<>();
        filterMap.put("/**","authc");
        //静态资源不许登录都能访问
        filterMap.put("/static/**","anon");
        filterMap.put("/userLogin","anon");
		filterMap.put("/userRegiste","anon");
		filterMap.put("/registe","anon");
        filterFactoryBean.setFilterChainDefinitionMap(filterMap);
        filterFactoryBean.setLoginUrl("/login");
        return filterFactoryBean;
    }

}

这里注意,第一步配置的Realm对象被我注释了使因为我在public class MyShiroRealm extends AuthorizingRealm类中使用了@Configuration注解,springboot会将此类注册为Bean,所以不需要再去注册一个Realm的Bean。

3、书写Realm

import com.landa.gzdzll.pojo.User;
import com.landa.gzdzll.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.*;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;

@Slf4j
@Configuration
public class MyShiroRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    //身份认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        log.info(">>>执行身份认证");
        //先获取当前用户
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        String username = userToken.getUsername();
        //获取数据库的用户信息
        User user = userService.getUserByUsername(username);
        if (null == user)
            return null;
         //simpleAuthenticationInfo中传入数据库取出的密码和盐值,
        //盐值类型需与用户注册时的密码盐值相同
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(username), "myShiroRealm");
        return simpleAuthenticationInfo;

    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        return null;
    }
}

首先看SimpleAuthenticationInfo类,上面提到shiro帮我们进行验证,可以保证身份信息安全不透明就是通过SimpleAuthenticationInfo类,将User对象和验证密码传入SimpleAuthenticationInfo类中,shiro会进行密码匹配后返回匹配信息。

4、登录控制器

import com.landa.gzdzll.pojo.User;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import java.util.HashMap;
import java.util.Map;

@Controller
@Slf4j
public class LoginController {

    @RequestMapping("/userLogin")
    @ResponseBody
    public Object login(User user) {
        log.info("==============用户登录============");
        //获取交互用户subject
        Subject subject = SecurityUtils.getSubject();
        if (subject.getPrincipal() != null){
            subject.logout();
        }
        Map<String, String> error = new HashMap<>();
        if (!subject.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken(user.getLoginName(), user.getPassword());
            try {
                subject.login(token);
                subject.getSession().setAttribute("loginUser", subject.getPrincipal());
                return "login success";
            } catch (UnknownAccountException uae) {
                log.error("用户名不存在!");
                error.put("errorMsg", "用户名不存在");
            } catch (IncorrectCredentialsException ice) {
                log.error("密码不正确!");
                error.put("errorMsg", "密码不正确");
            } catch (LockedAccountException lae) {
                log.error("账号已锁定!");
                error.put("errorMsg", "账号已锁定");
            } catch (AuthenticationException ae) {
                log.error("登录失败!");
                error.put("errorMsg", "登录失败");
            }
        }
        return error;
    }

    public Object logout() {
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "logout";
    }
}

我写的登录控制器在开始的时候都去判断subject.getPrincipal()是否存在,如果不存在就不用登出,存在则先做登出操作后再进行身份验证,这是为了避免第一次登录完成后返回了登录页面,输入了错误密码或用户名后仍然能够登录成功的问题,因为第一次登陆后,shiro会记录身份信息,如果只是不小心返回了登录界面,此时未将shiro中的信息清空所以会出现此情况。
isAuthenticated方法是判断用户是否已验证,这个方法其实在写法上与上面 subject.logout();冲突,即已登出isAuthenticated一定是未验证状态,但此处仍然写上判断是为了防止出异常。

5、资源控制(过滤器)

资源控制一般写在config类中,需创建一个ShiroFilterFactoryBean,来监听资源,我的写在ShiroConfig,见上述代码,注意几个资源过滤器:
1、authc 此过滤器表示验证后可访问的资源,按需配置
2、anon 此过滤器表示无需验证也可访问的资源,例如/static/包下的资源需要使用anon,否则前端静态资源无法访问会导致页面显示异常。
3、ShiroFilterFactoryBean的setFilterChainDefinitionMap()方法是加载用户自定义资源控制器的方法,需传入一个map集合。
4、ShiroFilterFactoryBean的setLoginUrl();方法会将用户设置的login页面路径放行
5、其他控制器
shiro默认过滤器

6、其余配置

 /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     *
     * @return
     */
    @Bean(name = "advisorAutoProxyCreator")
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean(name = "authorizationAttributeSourceAdvisor")
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManagerShiro());
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * 前端使用shiro标签
     * @return
     */
    @Bean(name = "shiroDialect")
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

前两个是后端使用shiro注解,其实我觉得没必要使用,因为在过滤器工厂中配置了过滤器就可以,并且更方便管理,使用注解虽然代码量减少了,但总感觉很分散,不方便管理。最后一个是前端开启shiro标签的方法,在前端需要进行权限控制的时候很有必要配置,能过够对前端资源进行很好的配置。
注意:shiroDialect需要搭配下面这个jar包依赖

<!-- 页面使用shiro标签依赖 -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

前端页面还需要添加shiro标签解析支持:

<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
头不秃的Cityboy程序员
关注
专栏目录
shiro整合SpringBoot
10-14
在 "shiro整合SpringBoot" 的过程中,我们需要关注以下几个核心知识点: 1. **Shiro 配置**: - 创建 `ShiroConfig` 类,用于配置 Shiro 过滤器链。在这里,我们将定义哪些 URL 需要通过 Shiro 进行拦截和处理。 ...
Springboot整合Shiro框架入门
web15285868498的博客
04-08 6463
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
ShiroShiro的MVC、SpringBoot整合配置及常用配置
TZGod的博客
08-04 301
http://shiro.apache.org/spring.html 导入Shiro依赖库 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> </dependency> 创建Shiro配置文件 在resource目录下
SpringBoot入门实战:SpringBoot整合Shiro
最新发布
qq_24428851的博客
07-26 495
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
Spring整合Shiro进行权限控制!
mister_Wei的博客
09-30 448
在项目中xml文件的配置是必不可少的,特别是SpringMVC框架。但是几乎所有项目的配置都是大同小异,很多人都是直接复制黏贴了事,不少人对其具体含义及用途都不甚全知。本片文章将正对项目中常用的框架SpringMVC+Shiro进行整合,并对其中关键和部分常识性问题进行注释讲解,方便在以后的项目编写中查阅和熟悉。 1、web.xml文件的配置 所有javaweb项目第一步要做的就是对web.xm...
SpringBoot整合Shiro(最详细)
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
SpringBoot整合shiro
m0_50837402的博客
07-06 1044
第一步 展示项目结构 第二步 编写yml文件,这里的配置文件配置了数据源和项目名端口号之类。大家可自行设置编写Shiro的配置文件,这里的@Configuration,相当于spring里的spring-shiro.xml。里面配置了安全管理器,自定义realm 第四步 自定义的realm,里面的doGetAuthenticationInfo是shiro里的认证方法,其中subject.login()。这一句后面会跳转到这里做安全认证 第五步 编写controller,service,dao.开始实现 .
shiro整合springboot前后端分离
08-25
"shiro整合springboot前后端分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
Shiro整合springboot报错代码
06-18
整合Apache Shiro框架与Spring Boot的过程中,可能会遇到各种错误,这些错误可能源自配置不当、依赖冲突或理解上的误区。本文将深入探讨ShiroSpring Boot整合时可能出现的问题及其解决方案。 1. **Shiro的基本...
shiroDemo:Shiro整合springboot,freemaker,redis(含权限系统完整源码)
03-24
shiroDemo:Shiro整合springboot,freemaker,redis(含权限系统完整源码)
springboot整合shiro视频教程
06-13
springboot整合shiro视频教程,实现登陆认证,权限认证
SpringMVC+Shiro整合配置文件详解
热门推荐
空城旧事的博客
11-03 2万+
在项目中xml文件的配置是必不可少的,特别是SpringMVC框架。但是几乎所有项目的配置都是大同小异,很多人都是直接复制黏贴了事,不少人对其具体含义及用途都不甚全知。本片文章将正对项目中常用的框架SpringMVC+Shiro进行整合,并对其中关键和部分常识性问题进行注释讲解,方便在以后的项目编写中查阅和熟悉。 1、web.xml文件的配置 所有javaweb项目第一步要做的就是对web
springmvc 整合shiro 例子(一)
hins
08-26 1275
Shiro的maven依赖配置 pom.xml org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${shiro.version} org.apache.shiro shiro-cas ${shiro.versio
spring集成shiro
zhangbeizhen18的博客
03-24 197
场景: 本例实现用户/口令正常登入,并且实现@RequiresPermissions("sys:user:query")权限验证1.本例环境 1>.本例源码下载地址: https://github.com/zhangbeizhen/spring-shiro 2>.本例环境 shiro + spring + mybatis + eclipse Mars + 基于mav...
【基础框架】Shrio安全框架
博客包含书籍、B站、其他博主博客等内容,只为了记录笔记,作业,问题,软件配置等,为了以后方便查阅,如有侵权,请联系删除
03-16 2782
基于主页的权限管理(不同用户使用不同的主页,权限通过主页功能菜单进行限制)基于用户和权限的权限管理基于角色的访问控制认证:对用户的身份进行检查(登录验证)授权:对用户的权限进行检查(是否有对应的操作权限)流程示意图: 认证,验证用户是否有相应的身份—登录认证; 授权,即权限验证;对已经通过认证的用户检查是否具有某个权限或者角色,从而控制是否能够进行某种操作;会话管理,用户在认证成功之后创建会话,在没有退出之前,当前用户的所有信息都会保存在这个会话中;可以是普通的JavaSE应用,也可以是web应用;加密
Spring集成Shiro
f2315895270的博客
10-20 149
欢迎访问我的网站:www.ifueen.com Spring集成Shiro 文章目录Spring集成ShiroShiro入门权限分类使用Shiro准备ini文件测试基本功能自定义Realm测试自定义RealmSpring集成shiro导入shiro的支持包web.xml中配置过滤器准备好自定义的Realm准备一个存放权限的工厂配置SpringContext-shiro.xml Shiro入门 关...
shiro+SpringMVC集成
guohangfei001的博客
05-10 876
一.本文主要是本人对使用shiro方面的总结。重点在介绍shiro使用。二.1.导入所需要的架包maven导入&lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-web&lt;/artifactId&gt; &lt;version&gt;1.3....
SpringBootShiro整合详解
Zero摄氏度的博客
08-04 2341
Apache Shiro 是一个Java的安全(权限)框架 ------- 和SpringSecurity一样是安全框架 2. Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSe环境. 3. Shiro 可以完成: 认证,授权,加密,会话管理,Web集成,缓存等...
ShiroSpringBoot整合
小凯的博客
03-03 1172
Shrio整合springboot及相关案例解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值