Springboot之Shiro配置

Shiro安全认证实战
最新推荐文章于 2024-09-11 08:40:19 发布
原创 最新推荐文章于 2024-09-11 08:40:19 发布 · 361 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot #spring #shiro #安全

本文详细介绍了如何在SpringBoot项目中使用Shiro进行安全认证,包括导入核心包、配置类、编写Realm类、实现登录及权限显示。通过具体步骤和代码示例,展示了Shiro在权限管理和用户认证方面的应用。

Shiro 安全认证 (基于idea、maven、springboot)

1.导入jar

这个包是shiro的核心包
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>
这个jar是页面设置有权限才显示的jar
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>

2.配置类

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;

@Configuration
public class ShiorConfig {
    //shiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(defaultWebSecurityManager);
        //添加shiro的内置过滤器
        /*anon:无需认证就可以访问
        authc 必须认证才能访问
        user 必须拥有记住我的功能才用
        perms 拥有某个资源的权限才能访问
        role拥有某个角色权限才能访问
        * */
        LinkedHashMap<String, String> filtermap = new LinkedHashMap<>();
        filtermap.put("/TA/toadd","perms[user:add]");//表示只有user:add字段的才能查看
        filtermap.put("/TA/toupdata","perms[user:updata]");//表示只要登陆授权了,就可以查看

        bean.setFilterChainDefinitionMap(filtermap);
        bean.setLoginUrl("/tologin");//表示没有登陆就跳回去
        /*为授权页面*/
        bean.setUnauthorizedUrl("/not");//表示没有授权的
        return bean;
    }

    //DafaultWebSecurityManaage:2
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getdefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return  securityManager;
    }
    //创建realm对象,需要自定义类:1
    @Bean(name="userRealm")
    public UserRealm userRealm(){
        return new UserRealm();
    }
    
    /*在页面显示中是否有权限,有就显示*/
    @Bean
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }
}

3.编写Realm类
package com.taxing.mb.my.config;
import com.taxing.mb.my.mapper.UserMapper;
import com.taxing.mb.my.pojo.UserP;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserMapper userMapper;
   //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Subject subject = SecurityUtils.getSubject();
        UserP up = (UserP) subject.getPrincipal();//获得认证方法中传递的参数
        String[] rm = up.getRealm().split(";");
        for (int i=0;i<rm.length;i++){
            System.out.println("用户权限:"+rm[i]);
            info.addStringPermission( rm[i]);//添加授权
        }
        return info;
    }
    /*认证*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;//次参数可得到 Subject subject = SecurityUtils.getSubject();对象中存的值
        UserP user = userMapper.getUserByName(userToken.getUsername());//用户名验证
      if (user==null){
            return  null;
        }
      /*密码shiro自动做*/
//参数1可以把参数传递给授权方法中,参数2为shiro给我的做密码判断
       return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }
}

4.进行登陆
/*
* 获得登陆信息
* */
@RequestMapping("/tohome")
public String tohome(String name,String password){
    Subject subject = SecurityUtils.getSubject();
   UsernamePasswordToken token = new UsernamePasswordToken(name, password);
    try{
       subject.login(token);//执行登陆方法,如果没有异常就ok
        return "home";
    }catch (UnknownAccountException e){
        /*名字错误*/
        return "index";
    }catch (IncorrectCredentialsException e){
        /*密码错误*/
        return  "index";
    }
}

5.设置页面有权限的显示

<!DOCTYPE html>
<html lang="en"
      xmlns:shiro="http://www.thymeleaf.org/thymeleaf-extras-shiro">//注意要这个命名空间
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
//表示有这个权限才显示,否则不显示
<div shiro:hasPermission="user:add">
    <a href="/TA/toadd">添加</a>
</div>

<div shiro:hasPermission="user:updata" >
    <a href="/TA/toupdata">更新页面</a>
</div>
</body>
</html>
Springboot整合Shiro
javaluckyfish的博客
07-08 963
测试(该用户没有export功能,输入地址出现这个)修改ShiroConfig(前面代码弄过了)创建LoginFilter。
大师系列-Springboot集成Shiro配置精通
m0_50068444的博客
03-24 302
Shiro是大家使用来进行后台权限配置的一个框架,通过本文你可以轻松配置Shiro,并完成多Realm的接入,多种授权方式,并解决很多Shiro框架本身带来的隐藏问题。 我相信大家看完这篇文章,都可以很快精通Shiro并进行配置操作。 引入基本的框架包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-start
spring bootshiro配置以及配合thymeleaf的简单快速使用
m0_46667956的博客
05-01 333
spring bootshiro配置以及配合thymeleaf的使用一、spring boot 配置 shiro1.导入依赖2. 自定义 Realm3.编写配置ShiroConfig.java二、配置thymeleaf1.导入thymeleaf 相关依赖2. 在html页面添加引入三、整合thymeleaf 与shiro1.导入相关依赖2.ShiroConfig 中添加相关配置3.在html页面中进行引入4.常见的shiro权限控制标签 一、spring boot 配置 shiro 1.导入
springboot整合shiro完整配置
rightkk的博客
01-13 1296
springboot整合shiro完整配置 springboot整合shiro的maven依赖: springboot版本为2.1.7,shiro版本为1.5.3 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro_v
SpringBoot配置shiro安全框架
m0_55070913的博客
04-26 400
首先引入pom <!--SpringBoot 2.1.0--> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.0.RELEASE</version> </parent> <!--shi..
SpringBoot 集成 Shiro 实现动态uri权限
04-22
1. **配置Shiro**:SpringBoot项目中引入Shiro依赖,并配置Shiro的Realm,用于处理认证和授权。 Realm是Shiro与应用程序的特定安全存储(如数据库)的桥梁。 2. **定义权限模型**: 设计权限、角色和用户的模型,...
springboot-shiro
10-18
接下来,我们可以在SpringBoot启动类中配置Shiro Filter,设置过滤器链,以实现URL级别的权限控制。Shiro Filter支持多种过滤器,如 anon(匿名访问)、authc(身份验证)、roles(角色权限)和perms(权限许可)等...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
springboot +shiro+redis实现session共享(方案二)1
08-08
"Spring Boot + Shiro + Redis 实现 Session 共享方案二" 1. 概述 本文档旨在介绍如何使用 Spring BootShiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 ...
springboot 配置 shiro
weidong_y的博客
10-18 2069
目录 一、引入 shiro 的包 二、自定义 realm  三、shiro 配置 四、写一个 controller 测试 五、无权限的时候直接报错的错误方式 前提: 先准备一个 springboot+mybatis 的环境:https://blog.csdn.net/weidong_y/article/details/81709391 一、引入 shiro 的包 &lt;!--...
springboot集成shiro
最新发布
Flying_Fish_roe的博客
09-11 1956
自定义Realm用于从数据库中获取用户信息并进行身份验证。我们可以通过继承// 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 在这里配置用户的角色和权限信息 // authorizationInfo.addRole("admin");
springboot整合shiro 配置详解及原理分析
fl8545的博客
03-23 1992
springboot整合shiro+jwt实现前后端分离认证授权前言问题ShiroFilter什么是ShiroFilterSecurityManager什么是SecurityManager?ShiroConfig写在前面的话:ShiroConfig类:CustomRealm类:shiroConfig原理 前言 最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合到 SpringBoot
SpringBoot整合Shiro
蛋饼吧的博客
01-07 1340
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。主要功能三个核心组件:Subject, SecurityManager 和 Realms.即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
SpringBoot配置Shiro
weixin_49605969的博客
10-12 1474
SpringBoot配置shiro 1先导入jar包 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> <dependency> &
Shiro 架构
mengxianglong123的博客
10-17 351
架构图: 1.1 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Secu...
spring boot 配置shiro及其原理
lh87270202的博客
02-08 900
1、什么是shiro shiro是一个功能强大且易于使用的Java安全框架,它的认证,授权,加密和会话管理可以用于保护任何应用程序——来自从命令行应用程序、移动应用程序到最大的web和企业应用程序。 2、接入shiro认证过程 2.1shiro登录认证 这个过程主要分为三个部分: 1:获取客户端输入放入用户名,密码。 2:获取数据源中存放的数据即相应的用户名,密码。 3:进行两者的比对,判断是...
spring boot 集成shiro配置
qq_33535433的博客
05-09 1000
spring boot提供了一个自带的认证框架,同时也提供自定义的javaconfig配置扩展,spring-sercurity同样也是优秀的框架,但是习惯了用apache shiro框架,而且原项目就是集成的shiro框架,到网上找了一下配置方式,没找到完全配置的方法,因此决定自己动手,丰衣足食!要在spring boot上集成其他框架,首先要会spring javaconfig方法,利用此方法同
springboot配置shiro,每一步
qq_26795797的博客
06-06 344
springboot中使用shiro的步骤: 1、创建一个springboot中 2、导入下列依赖 org.springframework.boot spring-boot-starter-thymeleaf org.springframework.boot spring-boot-starter-web <dependency> <groupId>org.springframework.boot</groupId> &l
SpringBoot 整合 Shiro 常见配置
qq_29799655的博客
04-27 2141
Shiro Shiroapache 下的权限安全框架,通过该框架可以完成安全认证,例如登入,权限认证等,并且增加了加密认证,并发执行,缓存设计等 过滤器+AOP实现安全认证权限管理逻辑 提供用户表,存储代表当前用户的数据例如用户名,密码等 提供权限表,存储权限码 提供角色表,一个角色可以持有一个或多个不同权限 用户表添加角色字段,存储当前用户的角色 安全认证: 用户登录时将用户信息存储到S...
springboot基于shiro配置文件
05-09
Spring Boot项目中使用Shiro进行安全控制,需要进行以下几个步骤。 1. 引入ShiroSpring Boot相关依赖 在`pom.xml`文件中添加以下依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.6.0</version> </dependency> ``` 2. 配置Shiro安全管理器 在Spring Boot配置文件中,添加Shiro的相关配置: ```yaml # Shiro配置 shiro: # 配置安全管理器 securityManager: # 配置Realm realms: - name: myRealm # 配置自定义的Realm实现类 customRealm: com.example.demo.shiro.MyRealm # 配置Session管理器 sessionManager: # Session过期时间,单位:毫秒 globalSessionTimeout: 1800000 # 配置Cookie cookie: # Cookie名称 name: SHIROSESSIONID # Cookie过期时间,单位:秒 maxAge: 1800 # Cookie路径 path: / # 配置Shiro Filter filters: # 配置自定义的Filter实现类 myFilter: com.example.demo.shiro.MyFilter # 配置Filter Chain filterChainDefinitions: # 配置访问控制规则 /login: anon /logout: logout /**: myFilter ``` 其中,配置安全管理器`securityManager`,包括了自定义的Realm实现类`MyRealm`、Session管理器和Cookie。 配置Shiro Filter`myFilter`,以及Filter Chain,其中`/login`可以匿名访问,`/logout`需要进行登出操作,其他URL需要经过自定义的Filter`MyFilter`进行访问控制。 3. 实现自定义Realm 在`MyRealm`类中,需要实现Shiro的`Realm`接口,重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,完成身份认证和授权。 ```java public class MyRealm extends AuthorizingRealm { /** * 身份认证 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 获取用户名和密码 String username = (String) authenticationToken.getPrincipal(); String password = new String((char[]) authenticationToken.getCredentials()); // 根据用户名查询用户信息 User user = userService.findByUsername(username); // 判断用户是否存在 if (user == null) { throw new UnknownAccountException("用户不存在"); } // 判断密码是否正确 if (!password.equals(user.getPassword())) { throw new IncorrectCredentialsException("密码错误"); } // 将用户信息封装到AuthenticationInfo中 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName()); return authenticationInfo; } /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { // 获取用户信息 User user = (User) principalCollection.getPrimaryPrincipal(); // 查询用户角色和权限信息 List<Role> roles = roleService.findByUserId(user.getId()); List<Permission> permissions = permissionService.findByUserId(user.getId()); // 封装角色和权限信息到AuthorizationInfo中 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); for (Role role : roles) { authorizationInfo.addRole(role.getName()); } for (Permission permission : permissions) { authorizationInfo.addStringPermission(permission.getName()); } return authorizationInfo; } } ``` 4. 实现自定义Filter 在`MyFilter`类中,需要继承Shiro的`AccessControlFilter`类,重写`isAccessAllowed`和`onAccessDenied`方法,完成访问控制逻辑。 ```java public class MyFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 获取Shiro的Subject对象 Subject subject = getSubject(servletRequest, servletResponse); // 判断是否已经登录 if (subject.isAuthenticated()) { return true; } // 判断是否是登录请求 HttpServletRequest request = (HttpServletRequest) servletRequest; if ("/login".equals(request.getServletPath())) { return true; } // 其他情况都要进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); return false; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果是Ajax请求,则返回JSON格式的数据 HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; if (request.getHeader("X-Requested-With") != null && request.getHeader("X-Requested-With").equalsIgnoreCase("XMLHttpRequest")) { response.setContentType("application/json;charset=UTF-8"); response.getWriter().write(JSON.toJSONString(Result.fail("未登录或登录超时"))); } else { // 否则进行跳转到登录页面 redirectToLogin(servletRequest, servletResponse); } return false; } } ``` 5. 配置Shiro的注解支持 在Spring Boot配置类中,添加`@EnableAspectJAutoProxy(proxyTargetClass = true)`注解和`@EnableAuthorization`注解,启用Shiro的注解支持和AOP功能。 ```java @Configuration @EnableAspectJAutoProxy(proxyTargetClass = true) @EnableAuthorization public class ShiroConfig { // ... } ``` 至此,基于Shiro安全控制已经配置完成。在需要进行访问控制的Controller方法上,添加相应的注解即可完成授权操作,例如`@RequiresPermissions("user:view")`表示需要拥有`user:view`权限才能访问该方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值