shiro11:springboot整合shiro在web工程中的应用

最新推荐文章于 2023-07-10 15:09:11 发布
最新推荐文章于 2023-07-10 15:09:11 发布
阅读量177 收藏
点赞数
分类专栏: Shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38198467/article/details/94360916
版权

重点:两道防线

第一道:在整合了shiro之后就会对我们设置的请求地址进行拦截,如果不具备相应的权限就没有办法访问相应的地址

第二道:我们都知道,在springboot中默认情况下我们的templates文件夹之可以通过程序之间的跳转来访问,而直接访问界面是没有办法访问的,我们的界面却又存放在这个文件夹里,所以这里死记一点:tempaltes的页面只能通过程序访问,或者通过配置mvc来访问,获取放开templates的访问权限,

上面两道防线,我们这样理解:首先验证shiro的拦截器,如果通过,则放行进入第二道拦截,如果有程序进行跳转,则此次访问可以成功,不然失败

下面开始整合步骤:

第一步:引入依赖

这里是shiro所使用的基本依赖

 <!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-config-core</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

第二步:自定义realm

当我们进行认证和授权的时候都会来到这里进行相关的操作

public class AdminRealm extends AuthorizingRealm {

    @Autowired
    UserService userService;

    /**
     * 认证
     * @param token 令牌
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String)token.getPrincipal();
        User user = userService.getUserByName(userName);
        System.out.println(user);
        if (user == null){
            return null;
        }

        /*认证*/
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getUserName(), user.getUserPassword(), this.getName());
        return info;
    }

    /**
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("指定了授权");
        return null;
    }
}

第三步:shiro配置类

在ShiroFilterFactoryBean中进行拦截器的相应设置,以控制哪些地址是可以放行的,哪些地址是必须经过认证才可以访问的,同时可以配置自定义的过滤器,另外,它必须要注入一个安全管理器

关于setLoginUrl("/login");这个设置,他的意思是,如果在没有授权的情况下,访问的地址不是这个loginUrl的值,那么就向这个地址发送一个请求,如果是这个地址的值,那么就会直接进入自定义realm中进行认证操作(这一点很重要)

在DefaultWebSecurityManager中配置安全管理器,他需要一个自定义的realm,也就是下面你创建的那个
@Configuration
public class ShiroConfig {


    /**
     * 创建shiroFilterFactoryBean  shiro拦截器
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) {
        //设置安全管理器
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/login");

        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("authc", new UserFormFilter());


        /*配置拦截器*/
        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/staticfiles/**", "anon");
        filterMap.put("/backstage/login", "anon");
        filterMap.put("/**", "authc");
        filterMap.put("/logout", "logout");
        //修改访问被拦截过后的跳转页面
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }


    /**
     * 创建defaultWebSecurityManageer(安全管理器)
     */
    @Bean(value = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("adminRealm") AdminRealm adminRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联我们创建的realm
        securityManager.setRealm(adminRealm);
        return securityManager;
    }


    /**
     * 创建realm
     */
    @Bean(value = "adminRealm")
    public AdminRealm getRealm() {
        return new AdminRealm();
    }



    /**
     * 配置shirodialect,用于thymeleaf和shiro标签配合使用
     */
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}

第四步:formfilter过滤器

当进入到自定义realm进行认证后会来到这里,他会返回给我们认证的结果,并通过我们自己处理响应给浏览器,这个类需要配置到shiro配置类中

public class UserFormFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onLoginSuccess(AuthenticationToken token,
                                     Subject subject,
                                     ServletRequest request,
                                     ServletResponse response) throws Exception {
        response.setCharacterEncoding("utf-8");
        response.getWriter().print("登录成功");
        return false;
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token,
                                     AuthenticationException e,
                                     ServletRequest request,
                                     ServletResponse response) {
        String errorInfo = null;
        if (e!=null){
            String name = e.getClass().getName();
            if (name.equals(UnknownAccountException.class.getName())){
                errorInfo = "用户名错误";
            }else if (name.equals(IncorrectCredentialsException.class.getName())){
                errorInfo = "密码错误";
            }else {
                errorInfo = "未知错误";
            }
        }
        response.setCharacterEncoding("utf-8");
        try {
            response.getWriter().print(errorInfo);
        } catch (IOException ex) {
            ex.printStackTrace();
        }


        return false;
    }
}

 

qq_38198467
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot + Shiro,单WEB项目的简单权限案例
02-13
SpringBoot + Shiro,单WEB项目的简单权限案例
项目演示:springboot整合shiro.zip
04-04
SpringBoot整合Shiro是一个常见的Java Web开发任务,用于实现用户认证和授权功能。SpringBoot以其简洁的配置和快速的启动时间受到广大开发者的喜爱,而Apache Shiro则是一个强大且易用的安全框架,能帮助开发者处理...
记一次springboot集成shiro报错org.apache.shiro.UnavailableSecurityManagerException的坑
Uncle Geroge的博客
12-21 4854
记一次使用shiro报错org.apache.shiro.UnavailableSecurityManagerException的坑         近期做了个小项目,在项目后台使用shiro来做身份验证、权限管理等。shiro这个框架写的真不错,接入简单,功能还算完善,扩展支持的也还行。但是在使用的过程发现了一个问题,在ajax请求需要校验用户...
spring-boot集成shiro
Lance
10-10 2143
引用 项目启动后输入:http://localhost/ 该项目, 增加了对url的拦截URLPermissionsFilter, 用admin/123456,拥有index权限reports未任何权限, lance/123456尚未分配任何权限. 1.Pom依赖 1.2.5 org.apache.shiro shiro-core ${shiro.ver
springboot 使用shiro
lmsnice的博客
10-10 368
一、导入shiro的依赖 在pow.xml文件添加以下依赖 可复制以下代码 <!-- 引入shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> 二、在以下
spring-boot集成shiro的步骤及代码解析
m0_73010777的博客
09-14 314
首先前端的请求会被ShiroFillter拦截,如果是配置了放行的方法或者html就会直接放行比如登录,注册,然后在认证的时候传入正确的账户,会传入shiro自己的过滤器通过编写的验证方法进行验证,密码得到shiro认证成功后会产生一个session,只要后端服务器不关闭就会存在,认证成功后,再访问其他需要登录的接口就可以访问成功,访问需要授权方法时会通过数据库验证该用户是否有该权限,验证通过后可以访问授权方法。下面就是controller类层。第一步建项目,第二步导依赖。
spring-shiro:springboot+shiro简单整合
05-14
在IT行业,Spring Boot和Apache Shiro是两个非常重要的组件,它们分别负责应用程序的快速开发和权限安全管理。本文将深入探讨如何将它们整合在一起,构建一个高效、安全的后端系统。 Spring Boot是由Pivotal团队...
权限管理(项目和源码):springbootshiro整合
11-02
通过这个项目,开发者可以深入理解Spring Boot与Shiro的集成原理,学习如何在实际应用实现用户认证和授权,提高应用的安全性。同时,这也是对Spring Boot项目结构和Shiro配置的实战演练,有助于提升开发者在企业级...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
Shiro之与spring整合
积跬步,至千里。
08-04 419
Apache Shiro 快速入门教程之(三)添加依赖web.xml配置shiroFilter自定义realm添加spring-shiro.xml配置文件编写登录方法使用Shiro注解授权一、授权方式1.编程式:2.注解式:3.JSP/GSP 标签:二、配置权限注解支持三、配置无权限异常信息统一处理方式使用Shiro缓存添加依赖spring-shiro.xml添加缓存管理器添加缓存配置文件 ehcache.xmlsecurityManager安全管理器引用缓存管理器清空缓存使用Shiro加密1.添加凭证匹配
秒懂之 SpringBoot 整合Shiro
ouYang的博客
01-17 726
1.SpringBoot 整合Shiro 1.1 使用Idea建立一个简单的Maven项目 1.2 引入依赖,搭建springmvc web环境 1.1.1 引入父工程,构建springboot工程 <!--引入SpringBoot工程--> <parent> <groupId>org.springframework.boot</groupId...
SpringBoot11:集成Shiro
淮城一只猫
06-02 172
Shiro介绍与集成
springboot+shiro 权限拦截失效?
qq_41247335的博客
04-04 2146
最近因为项目需要,接触了shiro。新手入门 发现权限拦截失效, 一直以为是以为授权和DB的问题 研究了一个下午,终于发现了问题所在 我的访问路径没有写前面的斜杠!!,而DB的资源路径是可以省略的,崩溃了吧 但是问题来了,为什么在其他地方可以忽略掉前面的小斜杠呢? 经过几分钟的捣鼓发现,在springboot,不论是thymeleaf的模板也好(我用的thymeleaf),还是后端代码也好,...
Springboot整合shiro
最新发布
chao的博客
07-10 2294
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
shiro自定义formfilter
Hi, Sun
08-09 235
http://blog.csdn.net/chengxuzaza/article/details/61422566 http://blog.csdn.net/u014695188/article/details/51868128 http://blog.csdn.net/LHacker/article/details/10444805 http://git.oschina...
Shiro第七章-与web集成、ShiroFilter、基于表单的拦截器
测试
04-30 234
依赖 shiro-web <!--shiro项目至少的jar--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.2...
在前后端分离的SpringBoot项目集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意看到springbo...
五.shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
u014203449的博客
06-14 2万+
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, ...
SpringBootShiro整合教程:权限管理实战解析
SpringBoot应用整合Shiro,首先需要添加Shiro的依赖到项目,然后配置Shiro的相关bean,包括SecurityManager、Realm(用于连接数据源并处理认证和授权)以及过滤器链。 在用户认证方面,Shiro提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值