Springboot 2.13 整合Shiro安全框架(仅供参考)

最新推荐文章于 2022-05-17 01:08:32 发布
最新推荐文章于 2022-05-17 01:08:32 发布
阅读量379 收藏 2
点赞数 3
分类专栏: Java Spring boot 文章标签: springboot 整合shiro  springboot 2.X 整合shiro Springboot2.X整合Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40058321/article/details/98478931
版权

1、 依赖(更新时间: 2019/11/05 14:50

<!-- shiro-spring权限管理 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.4.1</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.1</version>
</dependency>
<!-- shiro 缓存 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.4.1</version>
</dependency>
<!-- shiro控制按钮显示 -->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

 

2、缓存文件(创建在resources下面就行,内容如下): ehcache.xml

<?xml version="1.0" encoding="UTF-8"?>
<ehcache name="缓存自己看着来">

    <!-- 磁盘缓存位置 -->
    <diskStore path="java.io.tmpdir"/>

    <!-- 默认缓存 -->
    <defaultCache
            maxEntriesLocalHeap="1000"
            eternal="false"
            timeToIdleSeconds="3600"
            timeToLiveSeconds="3600"
            overflowToDisk="false">
    </defaultCache>

    <!-- 登录记录缓存 锁定10分钟 -->
    <cache name="loginRecordCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

</ehcache>

 3、自定义Realm

import com.cocosum.blog.commons.utils.SessionUtils;
import com.cocosum.blog.system.entity.Permissions;
import com.cocosum.blog.system.entity.Role;
import com.cocosum.blog.system.entity.RolePermissions;
import com.cocosum.blog.system.entity.UserInfo;
import com.cocosum.blog.system.service.IPermissionsService;
import com.cocosum.blog.system.service.IRolePermissionsService;
import com.cocosum.blog.system.service.IRoleService;
import com.cocosum.blog.system.service.IUserInfoService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Lazy;

import java.util.ArrayList;
import java.util.List;
import java.util.Objects;


/**
 * ShiroRealm类:验证,以及权限的添加
 * @author: fanyuke
 * @date 2019年11月05日下午12:05:52
 */
public class SysShiroRealm extends AuthorizingRealm {
	
	private static final Logger log = LoggerFactory.getLogger(AuthorizingRealm.class);

    @Lazy  // 懒加载,因为我个人用aop来记录日志
    @Autowired  // 用户
    private IUserInfoService userInfoService;
    
    @Lazy
    @Autowired // 角色
    private IRoleService roleService;
    
    @Lazy
    @Autowired // 角色与权限关系
    private IRolePermissionsService rolePermissionsService;
    
    @Lazy
    @Autowired // 权限
    private IPermissionsService permissionsService;
    
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    	// principals  用户验证的凭证信息 
//        log.info("授权");
        UserInfo user = (UserInfo) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = null;
        try {
            authorizationInfo = new SimpleAuthorizationInfo();
            // 查询用户
            UserInfo userInfo = userInfoService.getUserInfoByUserName(user.getUserName());
            // 查询角色
            Role role = roleService.getRoleByRoleId(userInfo.getUserRoleId());
            authorizationInfo.addRole(role.getRoleCode());	// 角色标识符
//            log.info("授权角色: " + role.getRoleName() + "   角色标识符: " + role.getRoleCode());

            // 查询出权限标识符  用户list接受
            List<String> listPermissions = new ArrayList<>();
            
            // 如果说是超级管理员  添加所有的权限
            if (SessionUtils.isAdmin()) {
            	// 查询出所有的权限
            	List<Permissions> list = permissionsService.listPermissionsAll();
            	for (int i = 0; i < list.size(); i++) {
            		// 防止爆空
            		if (list.size() == 0) {
                		continue;
                	}
            		if ("#".equals(list.get(i).getPermissionsCode())) {
            			continue;
            		}
//            		log.info("正在授权:" + list.get(i).getPermissionsCode());
            		// 添加所有权限
        			listPermissions.add(list.get(i).getPermissionsCode());
				}
            	 // 添加权限
                authorizationInfo.addStringPermissions(listPermissions);
            } else { // 如果不是超级管理员的情况下查询出相应的权限
            	// 查询出角色对应的权限id
                List<RolePermissions> listRolePermissions = rolePermissionsService
                		.queryRolePermissionsByRoleId(role.getRoleId());
    			
                for (int i = 0; i < listRolePermissions.size(); i++) {
                	// 防止爆空
                	if (Objects.isNull(listRolePermissions)) {
                		continue;
                    }
                	Permissions permissions = permissionsService.
                			getPermissionsById(listRolePermissions.get(i).getPermissionsId());
                	if ("#".equals(permissions.getPermissionsCode())) {
                		continue;
                	}
                	listPermissions.add(permissions.getPermissionsCode());
                	// 添加权限标识符
//                	log.info("正在授权:" + permissions.getPermissionsCode());
    			}
                // 添加权限
                authorizationInfo.addStringPermissions(listPermissions);
            }
            
        } catch (UnknownAccountException e) {
            log.error("授权错误{}", e.getMessage());
//            e.printStackTrace();
        }
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        log.info("登录认证");
        String userName = (String) token.getPrincipal();
        UserInfo userInfo = userInfoService.getUserInfoByUserName(userName);
        if(userInfo == null) {
            throw new UnknownAccountException(); // 没找到帐号
        }

        /*if(Boolean.TRUE.equals(user.getLocked())) {
            throw new LockedAccountException(); //帐号锁定
        }*/

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以在此判断或自定义实现
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
        		userInfo, // 用户对象
        		userInfo.getUserPassword(), //密码
                ByteSource.Util.bytes(userInfo.getSaltCode()), // 盐 (salt)
                getName()  //realm name
        );

        return authenticationInfo;
    }

}

 4、Shiro的配置文件

 

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

import java.util.LinkedHashMap;
import java.util.Map;
import java.util.Properties;

/**
 * shiro配置文件
 * @author : fyk
 * @create : 2019/11/05 9:34
 **/
@Configuration
public class ShiroConfig {

    /**
     * 注入自定义的realm
     * 告诉shiro如何获取用户信息来做登录认证和授权
     * 将自己的验证方式加入容器,否则是不生效的
     * @author : fyk
     * @create : 2019/11/05 9:40
     **/
    @Bean
    public Realm realm() {
        SysShiroRealm sysRealm = new SysShiroRealm();
        // 根据上面的主方法得到加密后的密码放到数据库中
        sysRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return sysRealm;
    }

    /**
     * 权限管理,配置主要是Realm的管理认证
     * securityManager是shiro的核心
     * @author : fyk
     * @create : 2019/11/05 9:33
     **/
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 注入自定义的realm;
        securityManager.setRealm(realm());
        // 注入缓存管理器;
        securityManager.setCacheManager(ehCacheManager());
        // 注入session的管理
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * shiro session的管理(会话管理)
     * @author : fyk
     * @create : 2019/11/05 14:30
     **/
    @Bean
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        // 去掉shiro登录时url里的JSESSIONID
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return sessionManager;
    }

    /**
     * shiro缓存管理器,需要注入到安全管理器:
     * securityManager可见securityManager是整个shiro的核心;
     * @author : fyk
     * @create : 2019/11/4 9:40
     **/
    @Bean
    public EhCacheManager ehCacheManager() {
        EhCacheManager cacheManager = new EhCacheManager();
        cacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
        return cacheManager;
    }

    /**
     * 这里统一做鉴权,即判断哪些请求路径需要用户登录,哪些请求路径不需要用户登录。
     * 这里只做鉴权,不做权限控制,因为权限用注解来做。
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(org.apache.shiro.mgt.SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 拦截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 跳转到登录页面
        shiroFilterFactoryBean.setLoginUrl("/login");
//		shiroFilterFactoryBean.setSuccessUrl("/index");
        // 需要登录拦截的访问
        filterChainDefinitionMap.put("/js/**.js", "authc");        // 模块的js
        filterChainDefinitionMap.put("/**.html", "authc");         // 页面

        // 不需要拦截的访问
        filterChainDefinitionMap.put("/login", "anon");            // 登录
        filterChainDefinitionMap.put("/logout", "logout");         // 退出系统的过滤器
        filterChainDefinitionMap.put("/validatorLogin", "anon");   // 验证登录
        filterChainDefinitionMap.put("/errorPage/**", "anon");     // 错误页面
        filterChainDefinitionMap.put("/static/**", "anon");        // 今天资源

        // 排除以上的拦截之后,拦截所有
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }


    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),
     * 需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    /***
     * 开启shiro aop注解支持,使用代理方式;所以需要开启代码支持; 加入注解的使用,不加入这个注解不生效
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(
            DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /***
     * 由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     * 所以我们需要修改下doGetAuthenticationInfo中的代码;
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");// 散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(5);// 散列的次数,比如散列两次,相当于md5(md5(""));
        return hashedCredentialsMatcher;
    }

    /**
     * 没有权限跳转页面 异常处理 也可以通过实现HandlerExceptionResolver接口方式
     * @author : fyk
     * @create : 2019/11/4 9:49
     **/
    @Bean
    public SimpleMappingExceptionResolver simpleMappingExceptionResolver() {
        SimpleMappingExceptionResolver simpleMappingExceptionResolver = new SimpleMappingExceptionResolver();
        Properties properties = new Properties();
        // 没有权限的时候捕获异常 跳转到没有权限的界面
        properties.setProperty("AuthorizationException", "/common/errorpermissions");
        simpleMappingExceptionResolver.setExceptionMappings(properties);
        return simpleMappingExceptionResolver;
    }

    /**
     * 控制按钮显示 <a shiro:hasPermission="system:systemLog:delete"><a/>
     * @author: fanyuke
     * @Date : 2018年8月13日 上午10:33:12
     */
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

}
  • 注意用了Shiro之后不要用实现 implements WebMvcConfigurer接口了,不要给自己搞两个拦截器。 
    public void addInterceptors(InterceptorRegistry registry) {}
  • 不需要实现拦截器接口了,当然你如果有多个资源路径可以实现WebMvcConfigurer,但是只需要重写 
    @Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
   registry.addResourceHandler("/js/**").addResourceLocations("classpath:/js/");
   registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
}
不要重写addInterceptors接口。
cocosum
关注
专栏目录
SpringBoot2整合shiro
11-05
SpringBoot2整合
SpringBoot2.0高级案例(01): 整合 Shiro 框架,实现用户权限管理
choujueluo6157的博客
07-14 257
一、Shiro简介 1、基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。 2、核心角色 1)Sub...
SpringBoot2.0集成Shiro (史上最最最最最全最详细!!!!!!!)
weixin_45423451的博客
11-21 4776
** 项目版本: ** springboot2.x shiro:1.3.2 Maven配置: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> ...
SpringBoot2.0集成Shiro
热门推荐
我是你妹她哥的博客
01-28 9万+
最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合SpringBoot 中,并且避开一些小坑,由浅入深,从最基本的配置开始,一步一步加入新的功能。这样理解起来也稍微简单点 项目版本springboot2.x shiro:1.3.2 Maven配置: ...
SpringBoot2的Shiro最简配置(两个文件)
Good Luck
11-14 8万+
目录 基础环境:依赖 Realm:认证鉴权器 WebSecurityManager:安全管理器 Test:登录测试 备注 基础环境:依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
最新发布
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
SpringBoot2.0整合Shiro框架实现用户权限管理的示例 本文主要介绍了SpringBoot2.0整合Shiro框架实现用户权限管理的示例,通过详细的示例代码,展示了如何使用Shiro框架来实现用户权限管理。下面是对应的知识点: 1...
springbootshiro安全框架整合
08-05
SpringBootShiro是两个在Java开发中广泛使用的框架SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理和安全相关的过滤器。当我们把它们整合...
springboot2.0整合Shiro
04-20
SpringBoot 2.0 整合 Apache Shiro 是一个常见的安全框架集成,它为Web应用程序提供了用户认证和授权的功能。SpringBoot的优雅简洁与Shiro的强大安全特性相结合,可以简化开发过程,使得权限管理变得更加高效和便捷...
springboot2 集成shiro-spring-boot-web-starter
天行健
09-02 2万+
shiro是web开发中常用的使用安全管理框架,通过shiro-spring-boot-web-starter方式集成Shirospringboot2可以简化配置。 1.引包 maven方式在项目pom.xml中引入shiro starter包的坐标,这里引用了1.4.1版本 <dependency> <groupId>org.ap...
Springboot2集成Shiro框架(一)认识shiro
New_Yao的博客
09-03 422
一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 二、核心架构 shiro的架构图如下图(该图来自网络),三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”...
SpringBoot学习
henulmh的博客
05-17 652
目录1. SpringBoot简介1.1 什么是SpringBoot1.2 SpringBoot的特性1.3 什么是微服务1.4 第一个SpringBoot程序1.5 核心配置文件application.properties1.6 第二种核心配置文件application.yml或application.yaml1.7 多环境下核心配置文件的使用1.8 SpringBoot在application.properties中的自定义配置(@Value)1.8.1 方式一:一个值一个值的获取1.8.2 方式二:将
详细介绍SpringBoot整合SpringSecurity
波波烤鸭的博客
12-05 5742
  本文我们来详细给小伙伴们介绍下SpringBoot整合SpringSecurity的过程,用到的技术为:SpringBoot2.2.1+SpringSecurity+SpringDataJPA+jsp来整合。 一、环境准备 1.创建SpringBoot项目   创建一个SpringBoot项目 2.导入基础依赖   导入基础的依赖 <parent> <groupId&...
SpringBoot2.x|Shiro
qq_37244513的博客
09-03 735
Shiro Shiro专注于易用性,可以进行安全,稳定的身份验证,授权,加密和会话管理。 配置 个人采用的springboot版本springboot 2.0.4 pom.xml &amp;amp;lt;!-- 版本配置 --&amp;amp;gt; &amp;amp;lt;properties&amp;amp;gt; &amp;amp;lt;shiro.version&amp;amp;gt;1.3.2&amp;am
Shiro--集成springboot(二)
吴声子夜歌的博客
02-10 157
创建工程,引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <group...
springboot中使用shiro
chenyidong521的博客
04-04 606
首先在pom文件中添加shiro的jar包 &lt;!--权限验证Shiro--&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;versio...
springboot2.x shiro整合
weixin_43223929的博客
10-26 624
前言   这篇博客旨在完成Springboot2.x与shiro与JWT的整合,先从Springboot2.x整合shiro开始,再将JWT与Shiro整合,其中JWT部分用到了缓存Redis。 正文 介绍 shiro介绍网上已经很多了,我们这里引用一下其中一个博客 Shiro框架简介: Apache Shiro是Java的一个安全框架。对比另一个安全框架Spring Sercurity,它更简...
SpringBoot2.0与Shiro整合的权限管理实战教程
"本文主要探讨如何在SpringBoot2.0项目中整合Apache Shiro框架,以实现用户权限管理。通过示例代码详细讲解了整合过程和关键配置,旨在帮助开发者理解和掌握这一技术,以提升应用的安全性和用户体验。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cocosum

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值