springboot+shiro

最新推荐文章于 2022-12-12 15:20:09 发布
最新推荐文章于 2022-12-12 15:20:09 发布
阅读量137 收藏
点赞数
分类专栏: shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43704511/article/details/106143068
版权

shiro簡介

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

主要功能

三个核心组件:Subject, SecurityManager 和 Realms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
  Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
  SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
  Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
  Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
  在这里插入图片描述

pom配置

直接上代碼

		<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

shiro配置

(1)编写shiro配置类(基本结构)


import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.authc.LogoutFilter;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

/**
 * shiro配置类 
 */
@Configuration
public class ShiroConfiguration {
	@SuppressWarnings("unused")
	private final static Logger logger = LoggerFactory
			.getLogger(ShiroRealm.class);

	/**
	 * LifecycleBeanPostProcessor,这是个DestructionAwareBeanPostProcessor的子类,
	 * 负责org.apache.shiro.util.Initializable类型bean的生命周期的,初始化和销毁。
	 * 主要是AuthorizingRealm类的子类,以及EhCacheManager类。
	 */
	@Bean(name = "lifecycleBeanPostProcessor")
	public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	/**
	 * HashedCredentialsMatcher,这个类是为了对密码进行编码的, 防止密码在数据库里明码保存,当然在登陆认证的时候,
	 * 这个类也负责对form里输入的密码进行编码。
	 */
	@Bean(name = "hashedCredentialsMatcher")
	public HashedCredentialsMatcher hashedCredentialsMatcher() {
		HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
		credentialsMatcher.setHashAlgorithmName("MD5");
		credentialsMatcher.setHashIterations(2);
		credentialsMatcher.setStoredCredentialsHexEncoded(true);
		return credentialsMatcher;
	}

	// /**
	// * EhCacheManager,缓存管理,用户登陆成功后,把用户信息和权限信息缓存起来,
	// * 然后每次用户请求时,放入用户的session中,如果不设置这个bean,每个请求都会查询一次数据库。
	// */
	// @Bean(name = "ehCacheManager")
	// @DependsOn("lifecycleBeanPostProcessor")
	// public EhCacheManager ehCacheManager() {
	// return new EhCacheManager();
	// }

	/**
	 * ShiroFilterFactoryBean,是个factorybean,为了生成ShiroFilter。
	 * 它主要保持了三项数据,securityManager,filters,filterChainDefinitionManager。
	 */
	  //添加shiro内置过滤器,实现权限相关的url拦截
        /**
         * 常见过滤器:
         * anon:无需认证(登录)可以访问
         * authc:必须认证才可以访问
         * user:如果使用Remember Me的功能,可以直接访问
         * perms:该资源必须得到资源权限才可以访问
         * role:该资源必须得到角色权限才可以访问
         */
	@Bean(name = "shiroFilter")
	public ShiroFilterFactoryBean shiroFilterFactoryBean() {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager());

//		Map<String, Filter> filters = new LinkedHashMap<>();
//		LogoutFilter logoutFilter = new LogoutFilter();
//		logoutFilter.setRedirectUrl("/login");
//		shiroFilterFactoryBean.setFilters(filters);
		// authc
		Map<String, String> filterChainDefinitionManager = new LinkedHashMap<String, String>();
		filterChainDefinitionManager.put("/index", "anon");
		filterChainDefinitionManager.put("/login", "anon");
		filterChainDefinitionManager.put("/logto", "anon");
		// filterChainDefinitionManager.put("/user/edit/**",
		// "authc,perms[user:edit]");
		// 这里为了测试,固定写死的值,也可以从数据库或其他配置中读取,此处是用权限控制
		**//add和update都做了用戶權限攔截**
		**filterChainDefinitionManager.put("/add", "perms[user:add]");
		filterChainDefinitionManager.put("/update", "perms[user:update]");**
		
		filterChainDefinitionManager.put("/**", "authc");
		shiroFilterFactoryBean.setLoginUrl("/login");
		shiroFilterFactoryBean.setUnauthorizedUrl("/login");
		shiroFilterFactoryBean
		.setFilterChainDefinitionMap(filterChainDefinitionManager);
		return shiroFilterFactoryBean;
	}

	/**
	 * SecurityManager,权限管理,这个类组合了登陆,登出,权限,session的处理,是个比较重要的类。 //
	 */
	@Bean(name = "securityManager")
	public DefaultWebSecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(shiroRealm());
		// securityManager.setCacheManager(ehCacheManager());
		return securityManager;
	}

	/**
	 * ShiroRealm,这是个自定义的认证类,继承自AuthorizingRealm,
	 * 负责用户的认证和权限的处理,可以参考JdbcRealm的实现。
	 */
	@Bean(name = "shiroRealm")
	@DependsOn("lifecycleBeanPostProcessor")
	public ShiroRealm shiroRealm() {
		ShiroRealm realm = new ShiroRealm();
		// realm.setCredentialsMatcher(hashedCredentialsMatcher());
		return realm;
	}

	/**
	 * DefaultAdvisorAutoProxyCreator,Spring的一个bean,由Advisor决定对哪些类的方法进行AOP代理。
	 */
	@Bean
	@ConditionalOnMissingBean
	public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
		defaultAAP.setProxyTargetClass(true);
		return defaultAAP;
	}

	/**
	 * AuthorizationAttributeSourceAdvisor,shiro里实现的Advisor类,
	 * 内部使用AopAllianceAnnotationsAuthorizingMethodInterceptor来拦截用以下注解的方法。
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
		AuthorizationAttributeSourceAdvisor aASA = new AuthorizationAttributeSourceAdvisor();
		aASA.setSecurityManager(securityManager());
		return aASA;
	}
}

(2)自定义Realm类

import java.util.HashSet;
import java.util.Set;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AccountException;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.foxconn.service.UserService;
public class ShiroRealm extends AuthorizingRealm {

	@Autowired
	private UserService userService;
	  /**
     * 执行授權逻辑
     */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String username = (String) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();       
       Set<String> stringSet = new HashSet();   
       //給用戶寫死的update權限,這裡可以點擊添加和更新來查看區別
        **stringSet.add("user:update");**
        info.setStringPermissions(stringSet);
        return info;
	}
  /**
     * 执行认证逻辑
     */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
		 System.out.println("-------身份认证方法--------");
	        String userName = (String) authenticationToken.getPrincipal();
	        String userPwd = new String((char[]) authenticationToken.getCredentials());
	        //根据用户名从数据库获取密码
	        String paw = userService.getUserPaw(userName);
	        if (userName == null) {
	            throw new AccountException("用户名不正确");
	        } else if (!userPwd.equals(paw )) {
	            throw new AccountException("密码不正确");
	        }
	        return new SimpleAuthenticationInfo(userName, userPwd,getName());
	}

}

頁面

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>index首頁</title>
</head>
<body>
<div shiro:hasPermission="user:add">
進入用戶添加功能:<a href="add">用戶添加</a>
</div>
<div shiro:hasPermission="user:update">
進入用戶更新功能:<a href="update">用戶更新</a>
</div>
</body>
</html>

在这里插入图片描述
上圖中,點擊用戶添加和用戶更新做了頁面攔截,如果未登錄,點擊之後跳轉登錄頁面,

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>Insert title here</title>
</head>
<body>add成功
</body>
</html

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>Insert title here</title>
</head>
<body>update成功

</body>
</html>

controller


@Controller
public class LoginController {

	@SuppressWarnings("unused")
	private Logger logger = Logger.getLogger(this.getClass());

	@RequestMapping("/login")
	public String login() {
		return "login";
	}

	@RequestMapping(value = "/logto", method = RequestMethod.POST)
	public String logto(String username, String password, HttpSession session,
			Model model) {
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
				username, password);
		Subject subject = SecurityUtils.getSubject();
		try {
			subject.login(usernamePasswordToken); // 完成登录
			subject.getPrincipal();
			return "index";
		} catch (Exception e) {
			model.addAttribute("msg", "用户名或密码错误");
			return "login";// 返回登录页面
		}
	}

	@RequestMapping(value = "/unauto")
	public String unauto(HttpServletRequest httpServletRequest) {
		return "unauto";
	}

	@RequestMapping("/logout")
	public String logOut(HttpSession session) {
		Subject subject = SecurityUtils.getSubject();
		subject.logout();
		session.removeAttribute("user");
		return "login";
	} 
}


	@RequestMapping("/add")
	public String add() {
		return "add";
	}
	
	@RequestMapping("/update")
	public String update() {
		return "update";
	}
	@RequestMapping("/index")
	public String index() {
		return "index";
	}
会写bug的要饭的
关注
专栏目录
java: 无法访问org.springframework.web.bind.annotation.RequestMapping......类文件具有错误的版本 61.0, 应为 52.0
Shipley_Leo的博客
06-04 1万+
java: 无法访问org.springframework.web.bind.annotation.RequestMapping......类文件具有错误的版本 61.0, 应为 52.0
Shiro
如玉少年的博客
06-05 543
Shiro 1.权限的管理 什么是权限管理? 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 2.认证(Authentication) 2.1 认证的概念 用户访问系统的控制 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单
java: 无法访问org.springframework.boot.SpringApplication;类文件具有错误的版本 61.0, 应为 52.0
一株木樨的博客
12-12 1万+
类文件具有错误的版本 61.0, 应为 52.0
spring boot 启动报错---java: 无法访问org.springframework.boot.SpringApplication 错误的类文件:
dfghjkkjjj的博客
12-12 1万+
例如 spring boot 3.0 与jdk17 或 spring boot 2.7.1 和 jdk 8(只要不是3.0都可以)spring boot 版本默认3.0,同时jdk选择的是 8。spring boot 3.0 只支持jdk 17。spring boot 版本和jdk统一。spring boot 3.0发布了。,在平时创建时,都喜欢使用jdk8。,在创建项目时,默认为3.0。直接在pom文件上改。,修改完成之后,必须。
Shrio异常The security manager does not implement the WebSecurityManager interface.
longqiyuye925的博客
09-23 2697
Shrio异常FactoryBean threw exception on object creation; nested exception is org.springframework.beans.factory.BeanInitializationException: The security manager does not implement the WebSecurityManager interface. 2020-09-23 21:09:52.721 [restartedMain] ERRO
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
后台管理系统,前后端分离,后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
02-22
总的来说,这个后台管理系统展示了现代Web开发中的典型技术组合,包括SpringBoot的便捷性、Shiro的安全控制、MyBatis的数据操作、Redis的高速缓存以及Vue.js的高效前端构建。通过学习和理解这些技术,开发者能够构建...
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
本项目采用SpringBootApache Shiro以及LayuiMini框架来实现这一目标。接下来,我们将深入探讨这三个技术栈如何协同工作,构建出高效、安全的权限管理体系。 **SpringBoot** SpringBoot是Spring框架的轻量级衍生品...
springboot +shiro+redis实现session共享(方案二)1
08-08
"Spring Boot + Shiro + Redis 实现 Session 共享方案二" 1. 概述 本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 ...
管理系统系列--SpringBoot+Shiro权限管理系统脚手架.zip
最新发布
02-25
SpringBoot+Shiro权限管理系统脚手架】是基于Spring Boot和Apache Shiro框架构建的高效、便捷的企业级权限管理解决方案。Spring Boot以其简洁的配置和快速开发的特点,已经成为Java Web开发的主流选择,而Shiro则...
记一次springboot集成shiro报错org.apache.shiro.UnavailableSecurityManagerException的坑
Uncle Geroge的博客
12-21 5016
记一次使用shiro报错org.apache.shiro.UnavailableSecurityManagerException的坑         近期做了个小项目,在项目后台使用shiro来做身份验证、权限管理等。shiro这个框架写的真不错,接入简单,功能还算完善,扩展支持的也还行。但是在使用的过程中发现了一个问题,在ajax请求需要校验用户...
2020-09-01 关于shiroorg.apache.shiro.UnavailableSecurityManagerException: No SecurityManager异常
qq_41362717的博客
09-01 3541
本地环境运行无异常,移植后出现异常。 1,查看异常代码 org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton. This is an invalid application conf.
org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling c
wenwen360360的博客
03-13 6515
关于shiro错误分析: 错误提示: org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static
Shiro报错 No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util
hestyle的博客
01-20 1万+
Shiro报错 1、报错详情 org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static single...
解决在创建springboot项目中遇到:Error:(3, 32) java: 无法访问org.springframework.boot.SpringApplication
Lcynsyw的博客
11-30 2万+
解决在创建springboot项目中遇到:Error:(3, 32) java: 无法访问org.springframework.boot.SpringApplication
springboot集成shiro 实现权限控制
热门推荐
哎幽的成长
02-26 4万+
shiroapache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西。springboot暂时没有集成shiro,这得自己配。shiro 内置过滤器请看博文: http://blog.csdn.net/hxpjava1/article/details/70357
SpringBoot学习:整合shiro(身份认证和权限认证),使用EhCache缓存
期待破茧成蝶
04-08 1万+
(一)在pom.xml中添加依赖: 1.3.2 org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${shiro.version} org.apa
shiro原理
11-19 7274
  一、web.xml中过滤器配置 1、过滤器DelegatingFilterProxy DelegatingFilterProxy做的事情是代理Filter的方法,从application context里获得bean。spring bean实现了Filter接口,但默认情况下,是由spring容器来管理其生命周期的(不是由servlet容器来管理)。如果设 置"targetFilterL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值