SpringBoot+Shiro实现登录授权认证

已于 2022-08-05 11:13:02 修改
阅读量1.6k 收藏 15
点赞数
分类专栏: shiro springboot 文章标签: spring boot java spring
于 2022-05-10 15:24:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37954460/article/details/124687008
版权

一、Shiro介绍

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
他有三大核心组件

  • Subject
    即“当前操作用户”。但是,在 Shiro 中,Subject 这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject 代表了当前用户的安全操作,SecurityManager 则管理所有用户的安全操作。
  • SecurityManager
    它是Shiro 框架的核心,典型的 Facade 模式,Shiro 通过 SecurityManager 来管理内部组件实例,并通过它来提供安全管理的各种服务。
  • Realm
    Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息。从这个意义上讲,Realm 实质上是一个安全相关的 DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给 Shiro。当配置 Shiro 时,你必须至少指定一个 Realm,用于认证和(或)授权。配置多个 Realm 是可以的,但是至少需要一个。Shiro 内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库(JDBC)、类似 INI 的文本配置资源以及属性文件等。如果缺省的 Realm 不能满足需求,你还可以插入代表自定义数据源的自己的 Realm 实现。

二、SpringBoot 整合 Shiro

这里就以SpringBoot开发的一个博客项目中的登录模块为例,来展示与Shiro的整合,从而实现登录的认证。

  • 1、引入Shiro相关依赖

    <!--shiro核心-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
</dependency>
<!--shiro整合spring的包-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.9.0</version>
</dependency>
<!--shiro整合thymeleaf的包-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

    我的SpringBoot 版本是 2.6.4,Shiro版本自行选择。

  • 2、login.html

    <form class="ui large form" th:action="@{/admin/login}" method="post" >
    <div class="ui segment">
        <div class="field">
            <div class="ui left icon input">
                <i class="user icon"></i>
                <input type="text" name="username" placeholder="用户名">
            </div>
        </div>
        <div class="field">
            <div class="ui left icon input">
                <i class="lock icon"></i>
                <input type="password" name="password" placeholder="密码">
            </div>
        </div>
        <button class="ui fluid large teal submit button">
            登   录
        </button>
    </div>
    <div class="ui error mini message"></div>
    <div class="ui mini negative message" th:if="${message!=null}" th:text="${message}"></div>
</form>

    登录页面表单部分,管理员输入用户名和密码后登录提交到 /admin/login 中去处理。

  • 3、LoginController

    @Controller
@RequestMapping("/admin")
public class LoginController {

    @Autowired
    UserService userService;

    //去登录页面
    @RequestMapping("/toLogin")
    public String loginPage(){
        return "admin/login";
    }

    //登录
    @RequestMapping("/login")
    public String login(@RequestParam("username") String username,
                        @RequestParam("password") String password,
                        Model model){
        System.out.println("登录...............................\n\n");
        System.out.println("登录用户名:" + username);
        System.out.println("登录密码:" + password);
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, MD5Utils.code(password));
        try{
            subject.login(token);//执行登录的方法,如果没有异常就说明ok
            return "admin/index";
        }catch (UnknownAccountException e){     //用户名不存在
            model.addAttribute("message","用户名错误!");
            return "admin/login";
        }catch (IncorrectCredentialsException e){//密码错误
            model.addAttribute("message","密码错误!");
            return "admin/login";
        }
    }

    //无认证
    @RequestMapping("/toNoauth")
    public String Unauthorized(){
        return "admin/noauth";
    }

    //logout登出功能 shiro已经实现!
}

    将传过来的用户名和密码封装成登录数据 UsernamePasswordToken ,并使用shiro的subject组件自带的login方法,进行登录。

    编写自定义的Realm,在Realm中主要工作就是授权和认证,连接真实数据库,根据刚封装token中的username查询用户是否存在,如果不存在,则会抛出UnknownAccountException 异常,如果存在,则继续将封装token中的密码与真实数据库中的密码比对,当然,密码校验shiro已经帮我们做了,不用我们自己写,如果比对不成功,则抛出IncorrectCredentialsException 异常,如果用户存在且密码比对成功,则 return “admin/index”; 成功进入首页。

    这边还定义了当没有认证直接访问管理员首页及其它页面时,跳转的controller /toNoauth,logout登出功能shiro已经帮我们实现,不需要自己写。

  • 4、自定义Realm UserRealm

    //自定义的UserRealm
public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了 -》 授权 doGetAuthorizationInfo");
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了 -》 认证 doGetAuthenticationInfo");

        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        System.out.println("userToken -> username" + userToken.getUsername());
        System.out.println("userToken -> password" + userToken.getPassword());
        //获取数据库中真实用户
        User user = userService.queryUserByName(userToken.getUsername());
        System.out.println("user ->" + user);
        if(user == null){
            return null;
        }
        //把用户存入session
        Subject subject = SecurityUtils.getSubject();
        subject.getSession().setAttribute("user",user);
        //密码认证,shiro来做 不让你来做
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }
}

    好了,到这一步,管理员登录认证已经完成,接下来也是最后一步,我们需要编写ShiroConfig配置类来决定哪些请求可以放行,哪些请求需要拦截认证,未认证/授权跳转的页面,登录成功跳转的页面等。

  • 5、ShiroConfig

    @Configuration
public class ShiroConfig {

    //ShiroFilterFactoryBean :第三步
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")
                                                                        DefaultWebSecurityManager
                                                                        securityManager) {
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //必须设置 SecurityManager 如果不设置就无法完成认证和授权
        bean.setSecurityManager(securityManager);
        //添加Shiro的内置过滤器
        /*
         * anno:无需认证就可以访问
         * authc:必须认证才能访问
         * user:必须拥有 记住我 功能才能用
         * perms:拥有对某个资源的权限才能访问
         * role:拥有某个角色权限 才能访问
         * */
        Map<String,String> filterMap = new LinkedHashMap<>();
        // 配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
        // logout shiro定义好的过滤器名字 /logout访问路径
        // 浏览器访问的地址栏路径中以/logout结尾的路径 走logout过滤器
        // logout会清除session 退出登录
        filterMap.put("/admin/logout", "logout");
        //所有的img js css文件走 anon过滤器 此过滤器代表放过拦截 不需要权限也能访问
        filterMap.put("/css/**", "anon");
        filterMap.put("/images/**", "anon");
        filterMap.put("/js/**", "anon");
        //放过登录页面拦截
        filterMap.put("/admin/toLogin", "anon");
        filterMap.put("/admin/login", "anon");
        // **代表所有路径 除以上路径外的管理员页面都拦截
        filterMap.put("/admin/**", "authc");
        //设置未认证的请求
        bean.setLoginUrl("/admin/toNoauth");
        bean.setFilterChainDefinitionMap(filterMap);
        //登录成功跳转的页面
        bean.setSuccessUrl("admin/index");
        //设置未授权的请求
        bean.setUnauthorizedUrl("/admin/toNoauth");

        return bean;
    }

    //DefaultWebSecurityManager :第二步
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建realm对象,需要自定义对象 :第一步
    @Bean(name = "userRealm")
    public UserRealm userRealm(){
        return new UserRealm();
    }

    //整合ShiroDialect,用于整合shiro thymeleaf
    @Bean
    public ShiroDialect getShiroDialect() {
        return new ShiroDialect();
    }
}

  • 6、测试
    (1) 登录页面
    登录页面

    (2)当没有登录认证,直接访问管理员首页
    未认证

    (3)当用户不存在
    用户不存在

    (4)当密码错误
    密码错误

    (5)当用户名和密码正确
    登录成功

    (6)登录成功后访问管理员首页

    (7)登出
    (8)登出后再访问管理员首页在这里插入图片描述

歪歪坨
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot&Shiro实现用户认证
Willis的博客
02-29 165
SpringBoot&Shiro实现用户认证 实现思路 思路:实现认证功能主要可以归纳为3点 1.定义一个ShiroConfig配置类,配置 SecurityManager Bean , SecurityManager为Shiro的安全管理器,管理着所有Subject; 注:如果有不太清楚shiro的朋友,可以去各大学习平台上学习一下。 2.在ShiroConfig中配置 ShiroFi...
基本的SpringBoot+Shiro认证
l1275054544的博客
09-17 181
Shiro认证一、Shiro简介Shiro的优势:二、使用步骤1.添加依赖2.读入数据总结学习内容:学习时间:学习产出: 一、Shiro简介 Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了应用程序安全性API来执行以下方面(我喜欢将它们称为应用程序安全性的4个基石): 1.Authe
springboot集成shiro实现用户登录认证
tang_seven的博客
08-11 3088
shiro安全框架入门,集成springboot和mybatis_plus实现登录认证功能
Springboot整合Shiro实现登录认证
qq_42077317的博客
07-08 1048
另外,如果我们想要控制对于接口访问权限,也可以使用Shiro相关注解实现,比如像 @RequestPermissions这样的注解就可以进行控制用户的权限,这里就不做过多说明了。Realm,可以有1个或多个Realm,即安全实体数据源,即用于获取安全实体的;Shiro 是一个功能强大且易于使用的轻量级Java安全框架,包括身份验证、授权、加密及会话管理,使用Shiro易于理解的API,可以轻松地保护任何应用程序。SecurityManager即安全管理器,可以视为拦截器,拦截请求,并转至shiro中处理。
SpringBoot-05-Security认证授权(入门)
最新发布
m0_74353020的博客
05-30 1197
简单的认识一下SpringSecurity
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6538
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
SpringBootshiro实现认证
qq_43880100的博客
10-19 703
SpringBootshiro实现认证
SpringBoot整合Shiro实现登录和注册功能
不愧是暮言的博客
04-25 820
Shiro的一个重要特点是它的易用性和灵活性,它可以与各种Java框架(如Spring、Spring Boot、Struts等)无缝集成,并提供了丰富的API和扩展点。同时,Spring Boot也是一个非常流行的Java框架,它提供了一种快速、方便、灵活地构建基于Spring的应用程序的方式。另一方面,Spring Boot是一个非常流行的Java框架,它可以提供快速、方便、灵活地构建基于Spring的应用程序的方式。至此,使用Shiro和Spring Boot整合实现登录和注册功能的过程已经完成了。
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
本项目采用SpringBoot、Apache Shiro以及LayuiMini框架来实现这一目标。接下来,我们将深入探讨这三个技术栈如何协同工作,构建出高效、安全的权限管理体系。 **SpringBoot** SpringBoot是Spring框架的轻量级衍生品...
springboot+shiro+redis整合
03-12
SpringBootShiro和Redis整合,主要目的是利用Shiro进行用户认证授权,而Redis作为Session的共享存储,解决分布式环境下的会话一致性问题。以下是整合步骤: 1. **引入依赖**:在SpringBoot的pom.xml文件中...
springboot+Shiro 实现动态授权
09-05
SpringBoot结合Apache Shiro实现动态授权是一个常见的权限管理策略,旨在提供灵活且高效的访问控制。在Web应用开发中,安全框架如Spring Security和Shiro帮助我们处理用户认证授权问题,而SpringBoot的轻量级特性...
SpringBoot+Mybatis+Mybatis Plus+Shiro实现一个简单的项目架构
08-07
在本项目中,"SpringBoot+Mybatis+Mybatis Plus+Shiro实现一个简单的项目架构",开发者构建了一个基于Java的轻量级Web应用框架,旨在简化开发流程并强化安全控制。以下是该项目涉及的主要技术点及其详细说明: 1. *...
springboot+shiro.zip
05-08
SpringBoot简化了Spring应用的初始搭建以及开发过程,而Apache Shiro则是一个强大且易用的Java安全框架,负责认证授权、会话管理和加密等安全相关功能。 SpringBoot的核心特性包括自动配置、内嵌Web服务器(如...
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证授权
m0_52479012的博客
04-13 3287
springboot项目:通过shiro实现用户的认证授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
SpringBoot实现SSO单点登录
qq_48819461的博客
10-25 3666
SpringBoot项目,Shiro安全框架集成KeyCloak实现SSO单点登录。最终实现的效果是可以KeyCloak登陆也可以本地登陆两种方式并存。 一、封装一个实体类 首先,因为要兼容两种登录方法,但是两种方式都要用shiro。所以自己创建了一个实体类,继承shiro认证对象。在这个对象里面userRoles只有keycloak才有用,其它的两种登录方法都公用。里面有两个构造函数,在本地登录时调用第一个,然后创建的type是2,keycloak登录的时候调用的是第二个构造函数,type是1。如果你原
Spring Boot 如何使用 Shiro 进行认证授权
stormjun的博客
06-23 308
在本文中,我们介绍了如何在 Spring Boot 应用程序中使用 Shiro 进行认证授权。我们通过添加 Shiro 依赖、配置 Shiro、创建控制器和 INI 配置文件,并启用 Shiro 来完成了这项任务。现在,您可以轻松地将 Shiro 集成到您的应用程序中,并使用其提供的丰富的安全功能来保护您的应用程序。
SpringBoot整合Shiro登录认证和鉴权授权
weixin_41686525的博客
06-15 367
重点看第八个配置,如果用户还没有认证,就不能访问xxx目录下的其他地址。3、在需要特定权限的方法上加注解:@RequiresPermissions(“权限”)4、认证登录,创建MyRealm继承AuthorizingRealm,重写类中的方法。2、MyRealm中重写doGetAuthorizationInfo方法。1、建立角色表、权限表、角色权限关系表、角色用户关系表,做五表联查。3、写一大堆Shiro的配置,封装在配置类里。2、规定加密规则,并做一些测试数据。1、先把shiro环境搭起来。
springbootshiro进行登录验证
a806451906的博客
12-07 143
springboot整合shiro
Spring Boot(十二):Shiro登录认证和权限管理
qq_25432245的博客
10-30 1205
前言 这篇文章来学习如何使用 Spring Boot 集成 Apache Shiro 。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在 Java 领域一般有 Spring Security、 Apache Shiro 等安全框架,但是由于 Spring Security 过于庞大和复杂,并且依赖spring环境;而Apache Shiro就相对独立,最主要是因为shi...
springboot+shiro,实现身份认证授权认证系统的应用背景知识文档
02-01
综上所述,Spring Boot 和 Shiro 提供了实现身份认证授权认证系统的理想解决方案。它们的结合能够帮助我们快速构建一个安全可靠的应用程序,保护用户隐私和系统资源的安全。不论是大型企业应用还是小型个人项目,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪歪坨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值