Springboot + vue前后端分离后台管理系统(八) -- 引入Shiro

已于 2022-12-01 16:11:37 修改
阅读量838 收藏 5
点赞数 1
分类专栏: JAVA 文章标签: java shiro
于 2021-07-20 09:16:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36700462/article/details/118926836
版权

引入

  • pom.xml
<!--shiro-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>

配置

新增ShiroConfig.java 具体配置项后面再配

@Configuration
public class ShiroConfig {

}

Shiro基本使用

1、什么是Shiro

Shiro是Apache的java安全框架。Apache Shiro是一个功能强大、灵活的开源安全框架,可以清晰地处理身份验证、授权、企业会话管理和加密。

官网地址:http://shiro.apache.org/

2、基础功能

以下是shiro的产品特性:

shiro框架结构

  • Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份
  • Authorization:授权,验证已认证的用户有哪些角色和资源访问权限
  • Session Management:会话管理,管理特定于用户的会话,即使是非web或JavaSE 环境
  • Cryptography:密码/加密,使用密码算法保持数据安全,同时仍易于使用

以上四个部分组成shiro主要的安全保障。还有其他的支持辅组主要功能:

Web Support:Web 支持,可以非常容易的集成到 Web 环境

Caching:缓存,用户登陆信息、拥有的角色信息、权限,减少查询次数,提高效率。

Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限

​ 自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了

3、体系结构(工作流程)

image-20201229155033817

  • Subject:主体,即当前和应用程序交互的对象。
  • SecurityManager:安全管理器,所有的Subject都交给委托给它。
  • Realms:域,是Shiro和应用数据的连接点,提供认证用户和授权的API,由开发人员维护。

4、源码分析

源码地址:https://github.com/apache/shiro

4.1、Authentication认证流程

参考源码提供的quickstart创建maven工程。

image-20201230112728132

pom.xml引入依赖

<dependencies>
    <!-- shiro -->
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.7.0</version>
    </dependency>

    <!-- 日志logging -->
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>jcl-over-slf4j</artifactId>
        <version>1.7.25</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.25</version>
    </dependency>

</dependencies>

先看一下配置类,首先是简单的日志打印级别和输出格式的设置

log4j.rootLogger=INFO, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

# General Apache libraries
log4j.logger.org.apache=WARN

# Spring
log4j.logger.org.springframework=WARN

# Default Shiro logging
log4j.logger.org.apache.shiro=INFO

# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

然后是主要的shiro.ini配置

[users]
# user 'root' with password 'secret' and the 'admin' role
root = secret, admin
# user 'guest' with the password 'guest' and the 'guest' role
guest = guest, guest
# user 'presidentskroob' with password '12345' ("That's the same combination on
# my luggage!!!" ;)), and role 'president'
presidentskroob = 12345, president
# user 'darkhelmet' with password 'ludicrousspeed' and roles 'darklord' and 'schwartz'
darkhelmet = ludicrousspeed, darklord, schwartz
# user 'lonestarr' with password 'vespa' and roles 'goodguy' and 'schwartz'
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
#
# Each line conforms to the format defined in the
# org.apache.shiro.realm.text.TextConfigurationRealm#setRoleDefinitions JavaDoc
# -----------------------------------------------------------------------------
[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5

看到有[user]和[roles]两个配置。[user]配置的是用户的账号对应的密码和角色,如root用户的密码是secret,角色是admin。而[roles]则对应的是角色的权限,admin拥有所有权限。

接下来新建一个TestShiro.java类

public class TestShiro {
	
    // 日志打印
    private static final Logger log = LoggerFactory.getLogger(TestShiro.class);

    public static void main(String[] args) {

        // 1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        
        // 2、获取securityManager实例,设置全局securityManager
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
		
        // 3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
        Subject subject = SecurityUtils.getSubject();
		
        // 4、进行登陆认证
        UsernamePasswordToken token = new UsernamePasswordToken("username", "123456");
        try {
            subject.login(token);
            log.info("认证成功!");
        } catch (AuthenticationException e) {
            //5、异常处理
            log.error(e.getMessage());
        }

        // 用户已经登录
        if (subject.isAuthenticated()) {
            // 6、退出
            subject.logout();
        }
    }
}

用户认证的步骤:

  • 读取我们resources下面的shiro.ini 创建SecurityManager工厂
  • 将获取的 SecurityManager 并绑定到 SecurityUtils
  • 通过 SecurityUtils 得到 Subject, 然后获取身份验证的 Token,如用户名 / 密码;
  • 调用 subject.login 方法进行登录,其会自动委托给 SecurityManager.login 方法进行登录;
  • 身份验证失败请捕获 AuthenticationException或其子类,常见的如:UnknownAccountException(账号错误)、IncorrectCredentialsException (凭证(密码)错误)

流程图:

image-20201230142617172

subject.login最终执行到 SimpleAccountRealm类的doGetAuthenticationInfo(AuthenticationToken token)方法

public class SimpleAccountRealm extends AuthorizingRealm {

}

image-20201230143013970

SimpleAccountRealm类继承了AuthorizingRealm类,AuthorizingRealm继承了AuthenticatingRealm类。这个类里面就有抽象方法

protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;

执行一下程序,抛出异常,因为我们这边的用户名和密码不符合shiro.ini里的配置。我们再尝试

UsernamePasswordToken token = new UsernamePasswordToken("root", "secret");

执行程序:

image-20201230145459628

4.2、Authorization授权流程

登陆认证通过的用户有相应的角色,赋予对应的资源访问权限。

UsernamePasswordToken token = new UsernamePasswordToken("root", "secret");

try {
    subject.login(token);
    log.info("认证成功!");
} catch (AuthenticationException e) {
    log.error(e.getMessage());
}

boolean flag = subject.hasRole("schwartz");

System.out.println(flag);
  • subject.hasRole():判断认证用户是否有某个权限
  • subject.isPermitted():判断用户是否有某个权限

执行程序

image-20201230152219039

最终还是进入到了SimpleAccountRealm这个类里面的doGetAuthorizationInfo()方法,这个方法继承自AuthorizingRealm

protected abstract AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection var1);

5、总结

创建subject托管到SecurityManager最终在realms里面进行数据安全的检验和授权。doGetAuthenticationInfo(AuthenticationToken token)doGetAuthorizationInfo(PrincipalCollection var1)两个方法中进行逻辑处理。shiro的例子是在resoueces里配置.ini文件,实际的项目里一般根据RBAC模型设计用户、角色、资源和权限数据库。

参考:

官网地址:http://shiro.apache.org/

又一根白发
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
2401_84091580的博客
05-06 677
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
springboot+vue前后端分离整合shiro+jwt
weixin_45803046的博客
04-26 973
0.实现逻辑 1.导入依赖 导入shiro-redis的starter包:还有jwt的工具包 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!-
Springboot + vue前后端分离后台管理系统(九) -- 登陆实现(一)
qq_36700462的博客
07-20 1300
前言 作为前后端分离登陆,这一部分只要是前端vue的登陆,在原先vue-admin-template的封装的登陆上面做改动。 步骤实现 RSA加密 登陆密码肯定是不能明文暴露浏览器上,登陆表单提交的时候必须进行加密,这边采用RSA对称加密,生成私钥和公钥,登陆的密码公钥加密,后端再用私钥进行解密,然后进行登陆校验。 安装依赖 npm install jsencrypt --save 新建rsa.js 编写一个加密的方法 import { JSEncrypt } from 'jsencrypt' exp
Springboot + vue前后端分离后台管理系统(十二) -- 动态角色菜单
qq_36700462的博客
07-20 3330
前言 后台管理系统是基于RBAC设计的,也就是说不同的角色应该拥有不同的资源访问权限,这篇就来实现这个功能 实现 方式一 vue-admin-template 只提供了基础的vue后台管理框架,权限管理模块没有引入vue-element-admin 相对完整的组件demo和权限模块。它的动态路由配置如下: 前端配置完整的路由菜单 请求后端api返回 用户拥有的菜单 在前端过滤渲染呈现用户的菜单 方式二 由后端统一配置菜单,直接返回给前端渲染 优缺点 方式一:对于前后端分离多人协作开发比较友好,前
SpringBoot+vue+shiro前后端分离开发整合部署详解
weixin_38538285的博客
07-11 3586
一、前言 1.综合概述 前后端分离项目越来越成为主流,目前应用较多的是前端为vue+elementUI 后端用SpringBoot。 一般的管理系统都要有登录和权限管理的功能,这里选用ApacheShiro做为项目的安全框架。它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Securit
Java大牛带你4小时开发一个SpringBoot+vue前后端分离博客项目
最新发布
2401_84093019的博客
05-05 968
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
开发SpringBoot+Jwt+Vue前后端分离后台管理系统VueAdmin - 后端笔记
追光少年的博客
03-04 1510
1. 前言 从零开始搭建一个项目骨架,最好选择合适熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus(https://mp.baomidou.com/),为简化开发而生,只需简单配置,即可快速进行CRUD 操作,从而节省大量时间。 作为一个项目骨架,权限也是我们不能忽略的.
Springboot+Vue前后端分离实现博客系统(后端SpringBoot篇)
小石潭记丶
06-20 5585
1.创建springboot项目 2.pom.xml (文件的依赖引入) <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/
Springboot + vue前后端分离后台管理系统(七) -- 引入JWT
qq_36700462的博客
06-10 465
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 相关文章很多。。。 参考:https://www.jianshu.com/p/576
超详细!4小时开发一个SpringBoot+vue前后端分离博客项目!!
weixin_42907150的博客
01-15 2138
文章总体分为2大部分,Java后端接口和vue前端页面,比较长,因为不想分开发布,真正想你4小时学会,哈哈。先看效果:项目演示:www.markerhub.com:8084/blogs不多说,开始敲代码。从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybati
SpringBoot + Vue + ElementUI 实现一个后台管理系统模板.zip
02-22
在本项目中,我们利用SpringBootVue.js和ElementUI这三个强大的技术栈,构建了一个功能完善的后台管理系统模板。下面将详细解析每个组件及其在系统开发中的应用。 首先,SpringBoot是基于Spring框架的一个轻量级...
基于SpringBoot+Vue开发的前后端分离外卖点单系统源码+数据库+项目说明.zip
01-08
1、基于SpringBoot+Vue开发的前后端分离外卖点单系统源码+数据库+项目说明.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目...
SpringBoot +Vue开发考试系统的教程
08-19
在项目架构上,该考试系统采取了前后端分离的设计,后端分为管理员后台和学生考试后台,前端同样进行了相应的拆分。这样的设计有利于代码的组织和维护,同时提高了系统的可扩展性。学员可以在线完成课程试题,参与...
springboot+mybatis+shiro的电商书城系统.zip
08-05
- 前端可能采用Thymeleaf、Vue.js等技术,实现前后端分离,提高用户体验。 - 数据库可能选择MySQL,利用其高性能和稳定性存储图书信息和用户数据。 - 可能引入Redis进行缓存,提高数据访问速度。 - 邮件服务用于...
jeecg-boot-master_jeecg_springboot+vue
09-29
该框架集成了多种优秀技术,如MyBatis Plus、Ant Design VueShiro等,实现了前后端分离,为开发者提供了强大的自动化代码生成工具,极大地提高了开发效率。 1. **SpringBoot**:SpringBoot是Spring框架的一个扩展...
Spring Security 基本使用
qq_36700462的博客
01-07 2637
一、Spring Security是什么? Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。
springboot + vue前后端分离后台管理系统(一) -- 项目搭建
qq_36700462的博客
01-15 2208
前言 工作有两三年,从来只会crud,今天开始整理一下,从零开始搭建一个简单的前后端后台管理系统 技术选型 springboot 2.0+ vue 2.0 项目搭建 1、springboot项目搭建 开发工具 idea jdk1.8 maven 初始化项目 创建一个sample-admin项目,加入Spring web 依赖。去掉多余的.mvn相关文件,把默认application.properties配置文件改成application.yml后缀(看个人喜好!),整个项目结构如下: 配置默
分布式事务场景及解决方案
qq_36700462的博客
07-14 1613
1、单体服务多数据源,数据分部在不同的数据库实例,同时操作不同的数据库连接进行数据操作,跨数据库实例产生分布式事务。 2、多服务访问同一个数据库,不同服务各自持有数据库连接实例,跨JVM进程,产生分布式事务。 3、微服务场景下,多个服务拥有各自的数据库实例,通过服务间远程调用,操作数据库完成业务场景,产生分布式事务。 阶段一:阶段二: 2PC的升级版,把2PC的第一阶段拆分成两个阶段。整个过程: 1、CanCommit阶段 协调者向参与者发送Cancommit请求,询问是否可以提交事务,并等待参与者反
springboot+vue前后端分离设备管理系统
10-12
好的,我明白了。针对您的问题,我可以给出以下步骤: 1. 首先,您需要搭建一个Spring Boot项目,可以使用...3. 然后,您需要编写设备管理相关的业务逻辑代码,包括设备的增删改查等操作。 4. 接下来,您需要编写
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值