SpringBoot整合Shiro

最新推荐文章于 2023-07-10 15:09:11 发布
最新推荐文章于 2023-07-10 15:09:11 发布
阅读量124 收藏
点赞数 1
分类专栏: 菜鸟 文章标签: Shrio简单配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41497847/article/details/89356465
版权

SpringBoot结合Shiro

先了解Shiro是什么

shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理

功能:
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web支持,可以非常容易的集成到Web环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;

Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

对应的pom文件

< dependency>
< groupId>org.apache.shiro</ groupId>
< artifactId>shiro-spring</ artifactId>
< version>1.4.0</ version>
</ dependency>

import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroBean {

@Bean
public MyRealm authRealm() {
    MyRealm realm = new MyRealm();
    return realm;
}


@Bean("securityManager")
public DefaultWebSecurityManager getManager(MyRealm realm) {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    // 使用自己的realm
    manager.setRealm(realm);
    /*
     * 关闭shiro自带的session,详情见文档
     * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
     */
    DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
    DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
    defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
    subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
    manager.setSubjectDAO(subjectDAO);

    return manager;
}

/**
 * Shiro自定义拦截器
 * @param securityManager
 * @return
 */
@Bean
public ShiroFilterFactoryBean shiorFilter(SecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    // 必须设置 SecurityManager
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
    //shiroFilterFactoryBean.setLoginUrl("/login");
    //配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
    shiroFilterFactoryBean.setLoginUrl("/login/loadHtml");
    shiroFilterFactoryBean.setUnauthorizedUrl("/login/loadHtml");
    // 拦截器.
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
    //配置记住我或认证通过可以访问的地址(配置不会被拦截的链接 顺序判断)
    filterChainDefinitionMap.put("/static/**", "anon");
   filterChainDefinitionMap.put("/js/**", "anon");
    filterChainDefinitionMap.put("/css/**", "anon");
    filterChainDefinitionMap.put("/images/**", "anon");
    filterChainDefinitionMap.put("/face/**", "anon");
    filterChainDefinitionMap.put("/lay/**", "anon");
    filterChainDefinitionMap.put("/modules/**", "anon");
    filterChainDefinitionMap.put("/layui/**", "anon");
    filterChainDefinitionMap.put("/nepadmin/**", "anon");

    //C:\Develop\workspace\cr\paodingsoft\trunk\demo\spring-boot-api-project-seed-master\src\main\resources\static\js\lib\jquery-easyui-1.7.1\jquery.easyui.min.js
    // 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
    filterChainDefinitionMap.put("/login/loginFile", "anon");
    // <!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
    // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
    filterChainDefinitionMap.put("/**", "authc");

    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilterFactoryBean;
}



/**
 * 下面的代码是添加注解支持
 */
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
    // 强制使用cglib,防止重复代理和可能引起代理出错的问题
    // https://zhuanlan.zhihu.com/p/29161098
    defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
    return defaultAdvisorAutoProxyCreator;
}

@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
}



/**
 * cookie对象;
 * 记住密码实现起来也是比较简单的,主要看下是如何实现的。
 *
 * @return
 */
@Bean
public SimpleCookie rememberMeCookie() {
    //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
    SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
    //<!-- 记住我cookie生效时间30天 ,单位秒;-->
    simpleCookie.setMaxAge(259200);
    return simpleCookie;
}

/**
 * cookie管理对象;
 *
 * @return
 */
@Bean
public CookieRememberMeManager rememberMeManager() {
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    cookieRememberMeManager.setCookie(rememberMeCookie());
    return cookieRememberMeManager;
}
@Bean
public SecurityManager securityManagerC() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 设置realm.
    securityManager.setRealm(authRealm());
    //注入记住我管理器;
    securityManager.setRememberMeManager(rememberMeManager());
    return securityManager;
}
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
    AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
    advisor.setSecurityManager(securityManagerC());
    return advisor;
}

}
这里如果是新手应该会出现一个问题:
如果Shiro找不到对应的登录页面的话,会启动它自带的登陆页(shiorFilter这个方法里面配置对应的跳转路径,以给出注解,不懂私信我)
还有一个就是Shiro会重定向你的地址,如果在未登录的情况下(你下面所有的路径都会报302错误,将你所有的静态资源全部放过去,shiorFilter这个方法里面配置对应的跳转路径,以给出注解,不懂私信我)
下一步配置功能代码
import com.company.project.dao.TbSysUserMapper;
import com.company.project.model.TbSysUser;
import com.company.project.service.TbSysDeptService;
import com.company.project.service.TbSysUserService;
import com.company.project.util.JWTUtil;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import javax.annotation.Resource;

public class MyRealm extends AuthorizingRealm {

@Autowired
private TbSysUserService  server;


@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    String username = JWTUtil.getUsername(principals.toString());
    System.out.println(username);
    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    simpleAuthorizationInfo.addStringPermission("1212312");
    return simpleAuthorizationInfo;
}

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    String  name =(String) token.getPrincipal();
    TbSysUser  user=server.findBy("userName",name);
    System.out.println(user.getPassword());
    if(user!=null){
        AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(name, user.getPassword(),"xxx");
        return authcInfo;
    }else{
        return null;
    }


}

}
记住这两个方法一定要有返回值,如果没有返回值会导致接口Controller报错
如果返回空值可以利用作为空值判断,然后在Controller做try-catch处理
Controller接口类
@RequestMapping("/loginFile")
@ResponseBody
public String getIsOkToTemp(@RequestParam(name=“name”,required=false)String name,@RequestParam(name=“pwd”,required=false) String pwd, @RequestParam(name=“autoLogin”,required=false,defaultValue=“No”) String autoLogin){
UsernamePasswordToken token = new UsernamePasswordToken(name, MD5Util.encrypt(pwd));
Subject subject = SecurityUtils.getSubject();
try {
subject.login(token);
String userName = (String) subject.getPrincipal();
TbSysUser currentUser =null;
return “tableHtml”;
} catch (Exception e) {
System.out.println(1111);
e.printStackTrace();
return “{error:404,message:‘The Account Is Not Exist Or The Password Is Error’}”;
}

}
如果不做处理返回null  Subject subject = SecurityUtils.getSubject();这个方法会报错

Shiro配置就完成了,记住登录操作它会自动记录
不然你访问的任何项目连接都会重定向到你所配置的登录页
不懂私信我,滴滴我

牛小鸡
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot快速开发架构.rar
06-30
# nepAdmin1.0 #### 介绍 快速开发架构模板 #### 软件架构 使用前后端分离的形式 1. api ———— 后端接口服务 2. nep-admin ———— 单页面版静态页面 3. web(单页面版) ———— 前端页面服务 4. nginx ———— 服务核心配置 #### 后端技术 1. SpringBoot: 后台底层架构 2. MybatisPlus: https://mp.baomidou.com/(持久层框架) 3. Shiro: 权限框架 4. swagger2: API文档生成工具 5. quartz: 定时任务框架 6. lombok: 实体对象方法工具 7. maven: 管理jar包 #### 前端技术说明 基于 layui2.5.6。 遵循原生 HTML/CSS/JS 的书写与组织形式,上手容易,拿来即用。 最低兼容到IE8浏览器。 #### 数据库处理 1. mysql8.0 2. 各个数据脚本转换工具 kettle (注:转换后 没有主键约束和自增,自行添加) 3. kettle各版本国内镜像下载地址:http://mirror.bit.edu.cn/pentaho/ 4. 各个版本集成包下载:https://sourceforge.net/projects/pentaho/files/Data%20Integration/ #### 部署环境 部署环境: 1. Java8 2. nginx1.16 3. mysql5.6 #### 其他后台管理框架 1. https://gitee.com/stylefeng/guns
springboot整合shiro
12-28
SpringBoot整合Shiro是将Apache Shiro安全框架与SpringBoot微服务框架相结合,用于实现应用程序的安全管理和权限控制。Shiro是一个轻量级的安全框架,它提供了身份认证、授权(权限控制)、会话管理和加密等功能,...
Springboot整合Shiro
不惧困难 顽强拼搏
07-07 824
springboot整合shiro完成登录,权限。完成前后端分离。shiro权限对象缓存到redis中+使用Swagger2接口文档测试
Springboot整合shiro
chao的博客
07-10 2373
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
SpringBoot 整合 Shiro
qq_70503022的博客
05-16 222
*** 鉴权操作* @param principalCollection 前端传过来的登录凭证* @return 返回鉴权对象 AuthorizationInfo} /*** ⽤户认证* @param authenticationToken 认证 token* @return 返回认证对象 AuthenticationInfo// 1. 获取登录凭证 String username = authenticationToken . getPrincipal() . toString()
SpringBoot整合shiro
m0_50837402的博客
07-06 1024
第一步 展示项目结构 第二步 编写yml文件,这里的配置文件配置了数据源和项目名端口号之类。大家可自行设置编写Shiro配置文件,这里的@Configuration,相当于spring里的spring-shiro.xml。里面配置了安全管理器,自定义realm 第四步 自定义的realm,里面的doGetAuthenticationInfo是shiro里的认证方法,其中subject.login()。这一句后面会跳转到这里做安全认证 第五步 编写controller,service,dao.开始实现 .
springBoot 整合shiro
nove2的博客
09-14 280
spring-boot集成shiro的步骤及代码解析
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
springboot整合shiro.zip
06-06
SpringBoot整合Shiro是一个常见的Java Web开发任务,用于实现用户认证和授权。SpringBoot以其便捷的集成特性,简化了项目的构建过程,而Apache Shiro则是一个强大且易用的安全框架,能够处理用户登录、权限控制等...
SpringBoot整合Shiro工程
最新发布
11-09
SpringBoot整合Shiro工程是一个常见的Web开发任务,它旨在利用Spring Boot的便利性和Apache Shiro的安全管理框架,为应用程序提供用户认证(Authentication)和授权(Authorization)功能。在这个工程中,我们将探讨...
SpringBoot整合shiro项目静态资源
08-23
SpringBoot整合shiro项目静态资源
springboot整合shiro讲解
04-14
pache Shiro 是 Java 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等...
springboot 整合 shiro
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值