shiro学习笔记(6) -- spring boot 整合Shiro

最新推荐文章于 2020-12-03 09:06:41 发布
最新推荐文章于 2020-12-03 09:06:41 发布
阅读量142 收藏
点赞数
分类专栏: java spring boot shiro 文章标签: shiro 集成spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38970428/article/details/93595704
版权
java 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
shiro
8 篇文章 0 订阅
订阅专栏
spring boot
2 篇文章 0 订阅
订阅专栏

6.shiro学习笔记(5) – spring boot 整合Shiro

在pom 中添加:

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-starter</artifactId>
    <version>1.4.0</version>
</dependency>

准备SQL:

drop table if exists sys_users;
drop table if exists sys_roles;
drop table if exists sys_permissions;
drop table if exists sys_users_roles;
drop table if exists sys_roles_permissions;

create table sys_users (
  id bigint auto_increment,
  username varchar(100),
  password varchar(100),
  salt varchar(100),
  locked bool default false,
  constraint pk_sys_users primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_sys_users_username on sys_users(username);

create table sys_roles (
  id bigint auto_increment,
  role varchar(100),
  description varchar(100),
  available bool default false,
  constraint pk_sys_roles primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_sys_roles_role on sys_roles(role);

create table sys_permissions (
  id bigint auto_increment,
  permission varchar(100),
  description varchar(100),
  available bool default false,
  constraint pk_sys_permissions primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_sys_permissions_permission on sys_permissions(permission);

create table sys_users_roles (
  user_id bigint,
  role_id bigint,
  constraint pk_sys_users_roles primary key(user_id, role_id)
) charset=utf8 ENGINE=InnoDB;

create table sys_roles_permissions (
  role_id bigint,
  permission_id bigint,
  constraint pk_sys_roles_permissions primary key(role_id, permission_id)
) charset=utf8 ENGINE=InnoDB;

创建Realm:

public class UserRealm  extends AuthorizingRealm
{
    private static final Logger LOGGER = LoggerFactory.getLogger(UserRealm.class);
   @Autowired
    private NamedParameterJdbcTemplate jdbcTemplate;

    @Autowired
    private SysUsersService usersService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection)
    {
        Map<String, Object> roleMap = new HashedMap();

        String userName = (String) principalCollection.getPrimaryPrincipal();
        SysUsersBean usersBean = usersService.findByUsername(userName);
        roleMap.put("userName", usersBean.getUsername());

        String roleSql = "SELECT r.role FROM sys_roles as r,sys_users as u, sys_users_roles ur WHERE u.id = ur.user_id and ur.role_id = r.id and u.username = :userName ";
        // 获取角色列表
        List<String> roleList = jdbcTemplate.queryForList(roleSql, roleMap, String.class);

        String pSql = "SELECT p.permission FROM sys_roles as r, sys_permissions as p, sys_roles_permissions as rp \n" +
                "WHERE r.id = rp.role_id and p.id = rp.permission_id and r.role in (:roles)";


        roleMap.put("roles", roleList);
        // 获取权限列表
        List<String> pList = jdbcTemplate.queryForList(pSql, roleMap, String.class);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRoles(roleList);
        info.addStringPermissions(pList);
        LOGGER.info("doGetAuthorizationInfo");
        return info;
    }
    
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException
    {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String userName = (String)token.getPrincipal();
        // findByUsername是我自定义的一个方法,根据Username 获取user,所以说注意Username一定是唯一的
        SysUsersBean usersBean = usersService.findByUsername(userName);

        if(usersBean == null){
            return null;
        }

        LOGGER.info("doGetAuthenticationInfo");
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                //用户名
                usersBean.getUsername(),
                //密码
                usersBean.getPassword(),
                //salt=username+salt(这是加盐)
                ByteSource.Util.bytes(usersBean.credentialsSalt()),
                //realm name
                getName()
        );
        return authenticationInfo;
    }
}

初始化shiro

@Configuration
public class ShiroConfig
{
    /**
     * 凭证匹配器
     *
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //md5加密2次
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        //加密次数
        hashedCredentialsMatcher.setHashIterations(2);
        // 开启 盐 ,默认是false
        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
        return hashedCredentialsMatcher;
    }


    /**
     * 自定义realm
     *
     * @return
     */
    @Bean
    public UserRealm userRealm() {
        UserRealm userRealm = new UserRealm();
        userRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return userRealm;
    }

    /**
     * 安全管理器
     * 注:使用shiro-spring-boot-starter 1.4时,返回类型是SecurityManager会报错,直接引用shiro-spring则不报错
     *
     * @return
     */
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        return securityManager;
    }

    /**
     * 设置过滤规则
     *
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/login");
        shiroFilterFactoryBean.setSuccessUrl("/");
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");

        //注意此处使用的是LinkedHashMap,是有顺序的,shiro会按从上到下的顺序匹配验证,匹配了就不再继续验证
        //所以上面的url要苛刻,宽松的url要放在下面,尤其是"/**"要放到最下面,如果放前面的话其后的验证规则就没作用了。
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/addUser", "anon");
        filterChainDefinitionMap.put("/captcha.jpg", "anon");
        filterChainDefinitionMap.put("/favicon.ico", "anon");
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        /**
         * setUsePrefix(false)用于解决一个奇怪的bug。在引入spring aop的情况下。
         *@Controller注解的类的方法中加入@RequiresRole注解,会导致该方法无法映射请求,导致返回404* 加入这项配置能解决这个bug
         */
        creator.setUsePrefix(true);
        return creator;
    }
}

自定义加密:

public class PasswordHelper {

    private RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    private String algorithmName = "md5";
    private final int hashIterations = 2;

    public void encryptPassword(User user) {

        user.setSalt(randomNumberGenerator.nextBytes().toHex());

        String newPassword = new SimpleHash(
                algorithmName,
                user.getPassword(),
                ByteSource.Util.bytes(user.credentialsSalt()),
                hashIterations).toHex();

        user.setPassword(newPassword);
    }
}

实现权限的控制通常有两种:

  1. 只用注解控制鉴权授权

    1. 在控制器类上使用shiro提供的种注解来做控制:

      注解功能
      @RequiresGuest只有游客可以访问
      @RequiresAuthentication需要登录才能访问
      @RequiresUser已登录的用户或“记住我”的用户能访问
      @RequiresRoles已登录的用户需具有指定的角色才能访问
      @RequiresPermissions已登录的用户需具有指定的权限才能访问
    // 只有admin角色才能访问
@RequiresRoles("admin")
@GetMapping("create")
public Object create()
{
    return "sss";
}

  2. 用url配置控制鉴权授权

    shiro提供和多个默认的过滤器,我们可以用这些过滤器来配置控制指定url的权限:

    配置缩写对应的过滤器功能
    anonAnonymousFilter指定url可以匿名访问
    authcFormAuthenticationFilter指定url需要form表单登录,默认会从请求中获取usernamepassword,rememberMe等参数并尝试登录,如果登录不了就会跳转到loginUrl配置的路径。我们也可以用这个过滤器做默认的登录逻辑,但是一般都是我们自己在控制器写登录逻辑的,自己写的话出错返回的信息都可以定制嘛。
    authcBasicBasicHttpAuthenticationFilter指定url需要basic登录
    logoutLogoutFilter登出过滤器,配置指定url就可以实现退出功能,非常方便
    noSessionCreationNoSessionCreationFilter禁止创建会话
    permsPermissionsAuthorizationFilter需要指定权限才能访问
    portPortFilter需要指定端口才能访问
    restHttpMethodPermissionFilter将http请求方法转化成相应的动词来构造一个权限字符串,这个感觉意义不大,有兴趣自己看源码的注释
    rolesRolesAuthorizationFilter需要指定角色才能访问
    sslSslFilter需要https请求才能访问
    userUserFilter需要已登录或“记住我”的用户才能访问

    在config中注入bean:

@Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/login");
        shiroFilterFactoryBean.setSuccessUrl("/");
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");

        //注意此处使用的是LinkedHashMap,是有顺序的,shiro会按从上到下的顺序匹配验证,匹配了就不再继续验证
        //所以上面的url要苛刻,宽松的url要放在下面,尤其是"/**"要放到最下面,如果放前面的话其后的验证规则就没作用了。
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/addUser", "anon");
        filterChainDefinitionMap.put("/captcha.jpg", "anon");
        filterChainDefinitionMap.put("/favicon.ico", "anon");
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

这样写可能看起来很复杂,你可以将以上二者结合起来。

参考:

shiro 被整合到spring boot中

wowoToffee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
Shiro学习笔记——权限注解
shen的博客
09-13 221
使用位置 可以放在Controller层的方法上,也可以放在Service层的方法上。 注解概述 @RequiresAuthenication:表示当前Subject已经通过login进行了身份验证,即Subject.isAuthenticated()返回true。 @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 @RequiresGuest:表示当前...
ssm整合shiroController的注解RequiresRoles()和@RequiresPermissions()的用法,并且在jsp页面使用shiro
weixin_43802688的博客
06-14 1461
Shiro的认证注解处理是有内定的处理顺序的,如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回 RequiresRoles RequiresPermissions RequiresAuthentication RequiresUser RequiresGuest @RequestMapping(value="icons", method = RequestMethod.GE...
shiro 开启 @RequiresRoles, @RequiresPermissions 注解
weixin_44730681的博客
12-03 1405
首先说明,本文springboot 整合 shiro,使用的是starter,shiro-spring-boot-web-starter 如果使用这个starter,shiro 已经默认开启了 @RequiresRoles, @RequiresPermissions 注解支持,不需要在shiroConfig 中配置了 所以,你不需要以下配置了: /** * 开启Shiro注解(如@RequiresRoles,@RequiresPermissions), * 需借助SpringAO
一起来学SpringBoot(十六)优雅的整合Shiro
wangliang369的博客
10-20 977
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理。借助Shiro易于理解的API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的Web和企业应用程序。网上找到大部分文章都是以前SpringMVC下的整合方式,很多人都不知道shiro提供了官方的starter可以方便地跟SpringBoot整合。 请看shi...
shiro-spring-boot-web-starter-1.4.0.jar
02-26
java运行依赖jar包
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
如需了解本框架的设计细节,请阅读:这篇文章 简介 用户权限管理是每个信息系统最基本的需求...导致其并没有提供一套无状态微服务的开箱即用的整合方案。需要在项目层面对 Shiro 进行二次封装和改进,开发难度较大。 s
shiro-spring-boot-starter:该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成SpringBoot应用中
05-14
简介该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成SpringBoot应用中源码地址Github:码云:我的博客:自制的小工具,欢迎使用和Star,如果使用过程中遇到问题,可以提出Issue,我会尽力完善...
Spring-boot-shiro-spring-session-redis-example
05-16
Spring-boot-shiro-spring-session-redis-example项目启动后输入:该项目中, 增加了对url的拦截,用admin/123456,拥有index权限reports未任何权限, jdonee/123456尚未分配任何权限.参考shiro Cache交于Redis进行管理...
NIO学习笔记(2)-- Buffer的浅拷贝和深拷贝
qq_38970428的博客
06-19 2821
NIO学习笔记(2)-- Buffer的浅拷贝和深拷贝 1. Buffer的7种类型 ​ ByteBuffer, CharBuffer, ShortBuffer, IntBuffer, LongBuffer, FloatBuffer, DoubleBuffer 由于ByteBuffer类型比较特殊,他能其他的所有类型(理解起来也不复杂,因为底层存的类型就是Byte) public class Ni...
SpringBoot+sockjs client+stompjs实现websocket
qq_38970428的博客
09-05 2630
SpringBoot+sockjs client+stompjs实现websocket 什么是sockjs-client ​ sockjs-client是从SockJS中分离出来的用于客户端使用的通信模块.所以我们就直接来看看SockJS. SockJS是一个浏览器的JavaScript库,它提供了一个类似于网络的对象,SockJS提供了一个连贯的,跨浏览器的JavaScriptAPI,它在浏览...
java自动生成代码
qq_38970428的博客
08-07 1067
java自动生成代码 ​ 为了简化日常编写代码,根据公司的自身情况,编写了一个自动生成代码的简易工具。 主要需要熟悉freemarker模板引擎,JDBC等相关知识; <dependency> <groupId>freemarker</groupId> <artifactId>freemarker</artifactId>...
JAVA HashSet 去除重复值原理
qq_38970428的博客
08-15 841
JAVA HashSet 去除重复值原理 ​ 今天在写SQL的时候,对数据进行去除重复的时候出了一个问题:[Err] ORA-00600: 内部错误代码, 参数: [kkqcbydrv:1], [], [], [], [], [], [], []。我只要加了 DISTINCT或者GROUP BY试图进行去重,就会报这个问题。 我实在是解决不了这个问题,我只能想用代码来解决,我就想到了用Set 来进...
HttpClient 入门
qq_38970428的博客
08-26 369
HttpClient 入门 ​ 尽管 java.net 包提供了基础的功能,可以通过 HTTP 协议来访问网络资源,但它没有提供许多应用需要的灵活性或功能性。 ​ HttpClient 通过高效,即时,并且富有特色的包填补 java.net 这一空缺,实现了 HTTP 绝大部分的标准和建议的客户端。 ​ 用于扩展,并为基础 HTTP 协议提供鲁棒性支持的 HttpClient 将受到那些构建...
NIO学习笔记(3)-- 零拷贝
qq_38970428的博客
06-20 233
NIO学习笔记(3)-- 零拷贝 1. 分析传统IO是怎么网络传输 File file = new File("index.html"); RandomAccessFile raf = new RandomAccessFile(file, "rw"); byte[] arr = new byte[(int) file.length()]; raf.read(arr); Socket socke...
JVM(1)-- 线程和进程
qq_38970428的博客
07-14 217
JVM(1)-- 线程和进程 1.什么进程和线程 进程:进程是具有一定独立功能的程序关于某个数据集合上的一次运行活动,进程是系统进行资源分配和调度的一个独立单位。(仅相当于启动一次迅雷下载器,此时后台就会有一个进程) 线程:线程是进程的一个实体,多个线程可以属于同一个进程。是CPU调度和分派的基本单位,它是比进程更小的能独立运行的基本单位.线程自己基本上不拥有系统资源,只拥有一点在运行中必不可少...
AOP demo
qq_38970428的博客
12-06 184
那些aop的术语 初看这么多术语,一下子都不好接受,慢慢来,很快就会搞懂。 1.通知(Advice) 前置通知(before) - 在目标方法被调用之前调用通知功能 后置通知(after) - 在目标方法完成之后调用通知(不论程序是否出现异常),此时不会关心方法的输出是什么 返回通知(after-returning) - 在目标方法成功执行之后调用通知 异常通知(after-throwing) ...
NIO学习笔记(4) -- Scatter/Gather
qq_38970428的博客
06-20 102
NIO学习笔记(4) – Scatter/Gather ​ 分散(scatter)从 Channel 中读取是指在读操作时将读取的数据写入多个 buffer 中。因此,Channel 将从 Channel 中读取的数据 “分散(scatter)” 到多个 Buffer 中。 ​ 聚集(gather)写入 Channel 是指在写操作时将多个 buffer 的数据写入同一个 Channel,因此,C...
shiro-redis-spring-boot-starter
最新发布
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值