springboot整合shiro

最新推荐文章于 2023-07-10 15:09:11 发布
最新推荐文章于 2023-07-10 15:09:11 发布
阅读量137 收藏
点赞数 1
分类专栏: java服务端 文章标签: shiro springboot整合shiro shiro认证授权 安全框架 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41243828/article/details/102839277
版权

shiro是什么

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(百度百科)

主要功能

三个核心组件:Subject, SecurityManager 和 Realms.

Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
  Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
  
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
  
Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
  Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

springboot+shiro的dome

maven依赖

<!-- Apache Shiro版本号 -->
		<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
		<shiro.version>1.4.0</shiro.version>
		<shiro-redis.version>3.1.0</shiro-redis.version>
		</properties>
		
		<!-- Apache Shiro依赖 -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>${shiro.version}</version>
		</dependency>

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>${shiro.version}</version>
		</dependency>
		
		<dependency>
			<groupId>org.crazycake</groupId>
			<artifactId>shiro-redis</artifactId>
			<version>${shiro-redis.version}</version>
		</dependency>

shiro配置类

package com.fc.test.system.config;
import java.util.Collection;
import java.util.LinkedHashMap;
import java.util.Map;
import javax.servlet.Filter;
import com.fc.test.common.constant.ConstantConfig;
import com.fc.test.system.shiro.StatelessDefaultSubjectFactory;
import com.fc.test.system.shiro.auth.AuthRealm;
import com.fc.test.system.shiro.filter.AuthenticationFilter;
import com.fc.test.system.shiro.filter.JcaptchaValidateFilter;
import com.fc.test.system.shiro.session.ShiroSessionManager;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.web.filter.DelegatingFilterProxy;

/**
 * [简要描述]: shiro配置<br/> [详细描述]:
 *
 * @author zzc
 * @time 2019/10/31
 * @since V0.1
 */
@Configuration
public class ShiroConfig {
  //将自己的验证方式加入容器
  @Bean
  public AuthRealm myShiroRealm() {
    AuthRealm authRealm = new AuthRealm();
    return authRealm;
  }
  @Bean
  public FilterRegistrationBean<DelegatingFilterProxy> delegatingFilterProxy() {
    FilterRegistrationBean<DelegatingFilterProxy> filterRegistrationBean = new FilterRegistrationBean<>();
    DelegatingFilterProxy proxy = new DelegatingFilterProxy();
    proxy.setTargetFilterLifecycle(true);
    proxy.setTargetBeanName("shiroFilter");
    filterRegistrationBean.setFilter(proxy);
    filterRegistrationBean.setOrder(2);
    return filterRegistrationBean;
  }

  /*
  * shiro放行url
  */
  
  @Bean("shiroFilter")
  @DependsOn("securityManager")
  public ShiroFilterFactoryBean shiroFilter(DefaultSecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
    shiroFilter.setSecurityManager(securityManager);
    // 拦截器
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    // 允许用户匿名访问/login(登录接口)
    filterChainDefinitionMap.put("/api/v1/login", "anon");
    // 允许注册接口匿名
    filterChainDefinitionMap.put("/api/v1/reg", "anon");
    filterChainDefinitionMap.put("/druid/**", "anon");
    filterChainDefinitionMap.put("/api-docs", "anon");
    filterChainDefinitionMap.put("/v2/api-docs", "anon");
    filterChainDefinitionMap.put("/favicon.ico", "anon");
    filterChainDefinitionMap.put("/swagger-ui.html", "anon");
    filterChainDefinitionMap.put("/webjars/**", "anon");
    filterChainDefinitionMap.put("/swagger-resources/**", "anon");
    filterChainDefinitionMap.put("/static/**", "anon");
    shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilter;
  }
  
   /**
   * Subject工厂管理器
   */
  @Bean
  public DefaultWebSubjectFactory subjectFactory() {
    return new StatelessDefaultSubjectFactory();
  }
  
  /*
   * 开启shiro aop注解支持 使用代理方式;所以需要开启代码支持;
   */
  @Bean
  public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
    return authorizationAttributeSourceAdvisor;
  }
  
 
  /**
   * 安全管理器
   */
  @Bean("securityManager")
  public DefaultWebSecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(myShiroRealm());
    SecurityUtils.setSecurityManager(securityManager);
    return securityManager;
  }

  /**
   * Session Manager 使用的是shiro-redis开源插件
   */
  @Bean
  public SessionManager sessionManager() {
    SimpleCookie simpleCookie = new SimpleCookie("Token");
    simpleCookie.setPath("/");
    simpleCookie.setHttpOnly(false);
    ShiroSessionManager sessionManager = new ShiroSessionManager();
    sessionManager.setSessionDAO(redisSessionDAO());
    sessionManager.setSessionIdCookieEnabled(false);
    sessionManager.setSessionIdUrlRewritingEnabled(false);
    sessionManager.setDeleteInvalidSessions(true);
    sessionManager.setSessionIdCookie(simpleCookie);
    return sessionManager;
  }

  /**
   * RedisSessionDAO shiro sessionDao层的实现 通过redis 使用的是shiro-redis开源插件
   */
  @Bean
  public RedisSessionDAO redisSessionDAO() {
    RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
    redisSessionDAO.setRedisManager(redisManager());
    return redisSessionDAO;
  }

  /**
   * Shiro生命周期处理器 此方法需要用static作为修饰词,否则无法通过@Value()注解的方式获取配置文件的值
   */
  @Bean(name = "lifecycleBeanPostProcessor")
  public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
  }

  /**
   * 开启Shiro注解(如@RequiresRoles,@RequiresPermissions)
   */
  @Bean
  @DependsOn("lifecycleBeanPostProcessor")
  public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
    advisorAutoProxyCreator.setProxyTargetClass(true);
    return advisorAutoProxyCreator;
  }


  /**
   * 配置shiro redisManager 使用的是shiro-redis开源插件
   */
  @Bean
  public RedisCacheManager cacheManager() {
    RedisCacheManager redisCacheManager = new RedisCacheManager();
    redisCacheManager.setRedisManager(redisManager());
    //设置前缀
    return redisCacheManager;
  }

  /**
   * 配置shiro redisManager 使用的是shiro-redis开源插件
   */
  public RedisManager redisManager() {
    RedisManager redisManager = new RedisManager();
    //redis地址
    redisManager.setHost(ConstantConfig.springRedisHost);
    //redis端口
    redisManager.setPort(ConstantConfig.springRedisPort);
    //设置过期时间
    redisManager.setTimeout(1800);
    redisManager.setPassword(ConstantConfig.springRedisPassword);
    return redisManager;
  }
}

自定义Realm认证授权

package com.fc.test.system.shiro.auth;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;


/**
 * 自定义realm
 * @author zzc
 */
@Slf4j
public class AuthRealm extends AuthorizingRealm {

  public AuthRealm() {}

  /** authorization 权限授予 */
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    log.info("=============shiro权限授权=============");
    //获取登录时认证的用户名
    String username = String.valueOf(principals);
    Set<String> roles = new HashSet<>();
    Set<String> permissions = new HashSet<>();
    //给用户添加user权限 (没有进行判断、对所有的用户给user权限)
    if("user".equals(username)){
      roles.add("user");
      permissions.add("user:detail");
    }
   //当用户名为admin时 为用户添加权限admin  两个admin可以理解为连个字段
    if ("admin".equals(username)) {
      roles.add("admin");
      permissions.add("admin:add");
      permissions.add("admin:detele");
      permissions.add("admin:detail");
      permissions.add("admin:list");
      permissions.add("admin:update");
    }
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
    //添加权限
    //permissions里包含@RequiresPermissions("admin:update")传来的值则认证成功
    info.setStringPermissions(permissions);
    info.setRoles(roles);
    return info;
  }
  
   /** authentication 身份验证 */
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
      throws AuthenticationException {
    log.info("=============shiro开始认证=============");
    // 将AuthenticationToken强转为UsernamePasswordToken对象
    UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
    // 获得从表单传过来的用户名
    String username = upToken.getUsername();
    //通用mapper查询
    Condition condition = new Condition(TSysUser.class);
    condition.createCriteria().andEqualTo("username",username);
    List<TSysUser> tSysUserList = tSysUserMapper.selectByCondition(condition);
    if(tSysUserList==null || tSysUserList.isEmpty()){
      throw new UnknownAccountException();
    }
    TSysUser tSysUser = tSysUserList.get(0);
    //用户名和密码跟subject.login(usernamePasswordToken);传来的一致则认证成功
    return new SimpleAuthenticationInfo(username,tSysUser.getPassword(), getName());
  }
  
  @Override
  public void clearCachedAuthorizationInfo(PrincipalCollection principals) {
    super.clearCachedAuthorizationInfo(principals);
  }

  @Override
  public void clearCachedAuthenticationInfo(PrincipalCollection principals) {
    super.clearCachedAuthenticationInfo(principals);
  }

  @Override
  public void clearCache(PrincipalCollection principals) {
    super.clearCache(principals);
  }

  private void clearAllCachedAuthorizationInfo() {
    getAuthorizationCache().clear();
  }

  private void clearAllCachedAuthenticationInfo() {
    getAuthenticationCache().clear();
  }

  public void clearAllCache() {
    clearAllCachedAuthenticationInfo();
    clearAllCachedAuthorizationInfo();
  }
}

控制层shiro认证

package com.fc.test.controller.user;
import com.fc.test.util.CommonUtil;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import io.swagger.annotations.ApiResponse;
import io.swagger.annotations.ApiResponses;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * [简要描述]:Restful控制器 <br/>
 * [详细描述]:
 *
 * @author zzc
 * @time   2019/10/25
 * @since V0.1
 */
@Slf4j
@Api(value = "用户登录", tags = {"用户登录"})
@RestController
@RequestMapping("/api/v1")
public class LoginControllet {
    /**
     * 用户登录 1. userName 登录名(非必须) 2. passWord 密码凭证
     */
    @ApiOperation(value = "登录", notes = "请注意请求参数!")
    @ApiResponses({
            @ApiResponse(code = 200, message = "成功", response = String.class),
            @ApiResponse(code = 999, message = "失败"),
    })
    @PostMapping("/login")
    public String userLogin(String userName,String passWord) {
        //密码通过md5+用户名加密
        String pwd = CommonUtil.encryptMD5(userName+passWord);
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userName,pwd);
        String token = CommonUtil.generateToken();
        //主体
        Subject subject = SecurityUtils.getSubject();
        //调用自定义的Realm的doGetAuthenticationInfo认证,传入的账号密码跟doGetAuthenticationInfo返回的账号密码一致则认证成功
        subject.login(usernamePasswordToken);
        //认证成功返回token
        return token;
    }
}

控制层shiro授权过程

@ApiOperation(value = "获取数据列表")
    @ApiResponses({
            @ApiResponse(code = 200, message = "成功", response = TSysUser.class),
            @ApiResponse(code = 101, message = "数据校验未通过"),
            @ApiResponse(code = 999, message = "失败"),
            @ApiResponse(code = 1501, message = "用户令牌过期"),
    })
    @ApiImplicitParams({
            @ApiImplicitParam(name = "page", value = "页数 "),
            @ApiImplicitParam(name = "size", value = "每页数量 "),
    })
    @GetMapping
    //该注解调用Realm的doGetAuthorizationInfo进行授权,
    @RequiresPermissions("admin:list")
    public RestResponse list(@RequestParam(defaultValue = "1") Integer page, @RequestParam(defaultValue = "10") Integer size) {
        PageInfo pageInfo = tSysUserService.findTSysUserList(page, size);
        return RestResponse.builder().respStatus(RespStatus.SUCCESS).respData(pageInfo).build();
    }

代码执行

登录
这里正确账号密码是账号:admin 密码:123456
输入正确账号密码返回token
在这里插入图片描述
shiro进行认证,账号密码跟数据库一致认证成功
在这里插入图片描述
输出错误账号或密码,接口返回的自定义异常是根据shiro抛出的异常自己自定义的
在这里插入图片描述
在这里插入图片描述
shiro进行授权验证
admin账号有查询列表的权限请求成功
在这里插入图片描述
在这里插入图片描述
user账号进行登录查询用户列表
在这里插入图片描述
这就是shiro整个认证授予过程
数据库密码是使用用户名+密码md5加密组成
在这里插入图片描述

还得是你大哥
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot集成Swagger报错Parameter 0 of method linkDiscoverers in org.springframework.hateoas.config.Hat
qq_42061233的博客
11-15 3701
第一次尝试使用springboot完成后端开发,在做demo的过程中集成swagger发生报错。 其中,swagger版本为2.2.2,springboot版本为2.3.4 觉得可能是版本不匹配,将swagger版本改成2.9.2,即可成功! pom.xml中的相关依赖如下: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-paren
Spring Boot Shiro 权限管理
热门推荐
小单的博客专栏
01-14 15万+
本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro权限管理,就先总结下发出来了。使用Shiro之前用在Spring MVC中,是通过XML文件进行配置。 既然现在在写Spring Boot的帖子,就将Shiro应用到Spring Boot中,我本地已经完成了SpringBoot使用Shiro的实例,将配置方法共享一下。先简单介绍一下Shiro,对于没有用过Shiro
springboot启动报错Parameter 0 of method a in com.* required a bean of type 'java.lang.String' that could
wfanking的博客
09-27 5万+
springboot服务启动报错,报错信息如下 *************************** APPLICATION FAILED TO START *************************** Description: Parameter 0 of method testServicein com.test.service.testService required a b...
Spring整合Shiro权限控制模块详细案例分析
zzc1684的博客
09-19 226
1.引入Shiro的Maven依赖 [html] view plaincopy &lt;!-- Spring 整合Shiro需要的依赖 --&gt;          &lt;dependency&gt;           &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt;           &lt;artifact...
Springboot整合Shiro
不惧困难 顽强拼搏
07-07 825
springboot整合shiro完成登录,权限。完成前后端分离。shiro权限对象缓存到redis中+使用Swagger2接口文档测试
Springboot整合shiro
chao的博客
07-10 2379
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
SpringBoot 整合 Shiro
qq_70503022的博客
05-16 225
*** 鉴权操作* @param principalCollection 前端传过来的登录凭证* @return 返回鉴权对象 AuthorizationInfo} /*** ⽤户认证* @param authenticationToken 认证 token* @return 返回认证对象 AuthenticationInfo// 1. 获取登录凭证 String username = authenticationToken . getPrincipal() . toString()
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
SpringBoot整合Shiro
08-15
**SpringBoot整合Shiro** SpringBoot是一个快速开发框架,它简化了Spring应用的初始化和配置。Shiro则是一个强大且易用的Java安全框架,处理认证授权、加密和会话管理。当两者结合,可以为基于RESTful API的Web...
Shiro应用(二)--- shiro整合进springmvc
hurricane_li的博客
09-22 172
引入相关的依赖: &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xs...
springboot整合shiro.zip
06-06
SpringBoot整合Shiro是一个常见的Java Web开发任务,用于实现用户认证授权SpringBoot以其便捷的集成特性,简化了项目的构建过程,而Apache Shiro则是一个强大且易用的安全框架,能够处理用户登录、权限控制等...
SpringBoot整合Shiro工程
最新发布
11-09
SpringBoot整合Shiro工程是一个常见的Web开发任务,它旨在利用Spring Boot的便利性和Apache Shiro安全管理框架,为应用程序提供用户认证(Authentication)和授权(Authorization)功能。在这个工程中,我们将探讨...
springboot 整合 shiro
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值