springboot整合shiro

最新推荐文章于 2023-07-10 15:09:11 发布

胡八一、

最新推荐文章于 2023-07-10 15:09:11 发布

阅读量430

点赞数

本文链接：https://blog.csdn.net/qq_44732146/article/details/121345649

版权

shiro 专栏收录该内容

6 篇文章 0 订阅

订阅专栏

大致思路

在这里插入图片描述

1、创建项目

在这里插入图片描述

2、引入依赖

       <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-starter</artifactId>
            <version>1.8.0</version>
        </dependency>

3、配置shiro环境

1、创建配置类`ShiroConfig`

@Configuration
public class ShiroConfig {}

2、配置shiroFilterFactoryBean

@Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("getSecurityManager") SecurityManager securityManager){
        //创建shiro的filter
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //注入安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        return shiroFilterFactoryBean;
    }

3、配置WebSecurityManager

 @Bean
    public DefaultWebSecurityManager getSecurityManager(Realm realm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(realm);
        return defaultWebSecurityManager;
    }

4、创建自定义realm

public class CustomerRealm extends AuthorizingRealm {
    //处理授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
		//处理认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws 
      																																		AuthenticationException {
        return null;
    }
}

5、配置自定义realm

@Bean
    public Realm getRealm(){
        return new CustomerRealm();
    }

6、启动springboot应用访问index

在这里插入图片描述

<h1>欢迎进入后台管理系统</h1>
<ul>
    <li><a href="" target="_blank">商品管理</a></li>
    <li><a href="" target="_blank">用户管理</a></li>
    <li><a href="" target="_blank">订单管理</a></li>
    <li><a href="" target="_blank">会员管理</a></li>
</ul>

注意:

默认在配置好shiro环境后默认环境中没有对项目中任何资源进行权限控制,所有现在项目中所有资源都可以通过路径访问

7、加入权限控制

修改ShiroFilterFactoryBean配置

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("getSecurityManager") SecurityManager securityManager){
        //创建shiro的filter
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //注入安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String,String> map =  new LinkedHashMap<>();
        map.put("/user/login","anon");//放行登录接口
        map.put("/**","authc");
        //配置认证和授权规则
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

/** 代表拦截项目中一切资源 authc 代表shiro中的一个filter的别名,详细内容看文档的shirofilter列表
在这里插入图片描述

8、重启项目访问查看

在这里插入图片描述

4、常见过滤器

注意: shiro提供和多个默认的过滤器，我们可以用这些过滤器来配置控制指定url的权限：

配置缩写	对应的过滤器	功能
anon	AnonymousFilter	指定url可以匿名访问
authc	FormAuthenticationFilter	指定url需要form表单登录，默认会从请求中获取`username`、`password`,`rememberMe`等参数并尝试登录，如果登录不了就会跳转到loginUrl配置的路径。我们也可以用这个过滤器做默认的登录逻辑，但是一般都是我们自己在控制器写登录逻辑的，自己写的话出错返回的信息都可以定制嘛。
authcBasic	BasicHttpAuthenticationFilter	指定url需要basic登录
logout	LogoutFilter	登出过滤器，配置指定url就可以实现退出功能，非常方便
noSessionCreation	NoSessionCreationFilter	禁止创建会话
perms	PermissionsAuthorizationFilter	需要指定权限才能访问
port	PortFilter	需要指定端口才能访问
rest	HttpMethodPermissionFilter	将http请求方法转化成相应的动词来构造一个权限字符串，这个感觉意义不大，有兴趣自己看源码的注释
roles	RolesAuthorizationFilter	需要指定角色才能访问
ssl	SslFilter	需要https请求才能访问
user	UserFilter	需要已登录或“记住我”的用户才能访问

5、认证实现

在login.html中开发认证界面

<h1>用户登录</h1>
<form action="/user/login" method="post">
    用户名:<input type="text" name="username" > <br/>
    密码  : <input type="text" name="password"> <br>
    <input type="submit" value="登录">
</form>

开发controller

@GetMapping("login.jsp")
    public String login(){
        return "login";
    }

@Controller
@RequestMapping("user")
public class UserController {
    @PostMapping("login")
    public String login(String username,String password){
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(new UsernamePasswordToken(username,password));
            return "redirect:/index";
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }
        return "redirect/login.jsp";
    }
}

在认证过程中使用subject.login进行认证

3.开发realm中返回静态数据(未连接数据库)

public class CustomerRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("==========================");
        String principal = (String) authenticationToken.getPrincipal();
        if("zhubayi".equals(principal)){
            return new SimpleAuthenticationInfo(principal,"123",this.getName());
        }
        return null;
    }
}

在这里插入图片描述
4.启动项目以realm中定义静态数据进行认证

认证功能没有md5和随机盐的认证就实现了

6、退出认证

1.开发页面退出连接
在这里插入图片描述

2.开发controller

 /**
     * 退出登录
     *
     */
    @GetMapping("logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();//退出用户
        return "redirect:/login.jsp";
    }