SpringWeb集成Shiro

已于 2023-03-17 21:19:03 修改
阅读量367 收藏
点赞数
分类专栏: Java方向学习笔记 文章标签: java spring
于 2023-03-06 08:59:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54351538/article/details/129354361
版权

SpringWeb集成Shiro

Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、加密等功能,可以保护你的应用程序免受恶意攻击。在本文中,我们将介绍如何将Apache Shiro集成到Spring Web应用程序中。

一、添加依赖项

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.1</version>
</dependency>

二、配置Shiro

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm"/>
</bean>

<bean id="myRealm" class="com.example.MyRealm">
    <!-- 设置密码匹配器 -->
    <property name="credentialsMatcher">
        <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
            <property name="hashAlgorithmName" value="SHA-256"/>
            <property name="hashIterations" value="1000"/>
        </bean>
    </property>
</bean>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login"/>
    <property name="successUrl" value="/home"/>
    <property name="unauthorizedUrl" value="/unauthorized"/>

    <property name="filterChainDefinitions">
        <value>
            /login = anon
            /logout = logout
            /static/** = anon
            /** = authc
        </value>
    </property>
</bean>

上面的配置中,我们定义了一个SecurityManager和一个Realm,用于处理身份验证和授权请求。我们还定义了一个ShiroFilterFactoryBean,用于创建一个ShiroFilter,该Filter将处理所有的请求。

我们将所有请求都通过authc过滤器,这意味着只有已经通过身份验证的用户才能访问它们。我们还定义了一些例外,如/login/static/**,这些路径将不需要身份验证。

三、创建Realm

接下来,我们需要创建一个Realm来处理身份验证和授权请求。以下是一个示例Realm的实现:

public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal();

        // 从数据库中获取用户的角色和权限信息
        Set<String> roles = userService.findRolesByUsername(username);
        Set<String> permissions = userService.findPermissionsByUsername(username);

        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(roles);
        authorizationInfo.setStringPermissions(permissions);

        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
           String username = (String) token.getPrincipal();
    String password = new String((char[]) token.getCredentials());

    // 从数据库中获取用户信息
    User user = userService.findByUsername(username);

    // 如果用户不存在,则抛出异常
    if (user == null) {
        throw new UnknownAccountException("用户不存在");
    }

    // 验证用户密码是否正确
    if (!password.equals(user.getPassword())) {
        throw new IncorrectCredentialsException("用户名或密码错误");
    }

    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName());
    return authenticationInfo;
}

在这个Realm中,我们实现了doGetAuthorizationInfodoGetAuthenticationInfo两个方法。

doGetAuthorizationInfo用于获取用户的角色和权限信息,这些信息可以从数据库或其他数据源中获取。在这个示例中,我们通过调用一个UserService来获取用户的角色和权限。

doGetAuthenticationInfo用于验证用户的身份。在这个示例中,我们从数据库中获取用户的信息,并比较密码是否匹配。如果密码不匹配,则抛出一个异常。

四、 编写控制器

现在我们已经设置好了Shiro,接下来我们需要编写一些控制器来处理请求。以下是一个示例控制器:

@Controller
public class HomeController {

    @RequestMapping("/home")
    public String home() {
        return "home";
    }

    @RequestMapping("/login")
    public String login() {
        return "login";
    }

    @RequestMapping("/logout")
    public String logout() {
        SecurityUtils.getSubject().logout();
        return "redirect:/login";
    }

    @RequestMapping("/unauthorized")
    public String unauthorized() {
        return "unauthorized";
    }
}

在这个示例中,我们定义了一个HomeController,它包含了一些方法来处理请求。/home方法将返回一个home视图,/login方法将返回一个login视图,/logout方法将注销用户并重定向到login视图,/unauthorized方法将返回一个unauthorized视图。

五、创建视图

<html>
  <body>
    <h1>Login</h1>
    <form method="post" action="/login">
      <label for="username">Username:</label>
      <input type="text" id="username" name="username"/><br/>
      <label for="password">Password:</label>
      <input type="password" id="password" name="password"/><br/>
      <input type="submit" value="Login"/>
    </form>
  </body>
</html>

在这个示例中,我们创建了一个简单的登录表单,用户可以在表单中输入他们的用户名和密码,并将表单提交到/login路径。

六、配置Shiro

最后一步是在Spring中配置Shiro。我们需要创建一个ShiroConfig类,用于配置Shiro和Spring的集成。以下是一个示例ShiroConfig类:

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilter() {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager());
        shiroFilter.setLoginUrl("/login");
        shiroFilter.setSuccessUrl("/home");
        shiroFilter.setUnauthorizedUrl("/unauthorized");

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilter;
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        return securityManager;
    }

    @Bean
    public UserRealm realm() {
        UserRealm realm = new UserRealm();
        return realm;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager());
        return advisor;
    }
}

在这个示例中,我们定义了一个ShiroFilterFactoryBean和一个DefaultWebSecurityManager,用于配置Shiro过滤器和安全管理器。我们还定义了一个UserRealm,用于获取用户的角色和权限信息。

在ShiroFilterFactoryBean中,我们定义了一个过滤器链,用于将请求映射到相应的过滤器。在这个示例中,我们定义了一个匿名访问/login路径,注销/logout路径,以及authc过滤器用于验证身份。我们还定义了登录成功的默认URL,以及未经授权的URL。

DefaultWebSecurityManager中,我们设置了我们定义的UserRealm

最后,我们定义了一个AuthorizationAttributeSourceAdvisor,用于启用基于注释的授权。这将允许我们在控制器方法上使用@RequiresRoles@RequiresPermissions注释来限制访问。

七、测试

现在我们已经完成了Shiro的集成和配置,我们可以启动应用程序并进行测试。在浏览器中访问http://localhost:8080/login,输入用户名和密码,然后单击登录按钮。如果用户名和密码正确,你将被重定向到http://localhost:8080/home。如果用户名或密码不正确,你将收到一个错误消息。

如果你尝试访问/home路径,你将被重定向到http://localhost:8080/login路径,因为你还没有通过身份验证。如果你注销并再次尝试访问/home路径,你将收到一个未经授权的错误消息。

wangkay88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
集成shiro
高精尖发展
01-18 3269
基础概念 1、UsernamePasswordToken,用来封装用户登录信息 public UsernamePasswordToken(final String username, final char[] password, final boolean rememberMe, final String host) { this.username = username; this.password
Shiro入门-shiro与spring整合
m0_67401270的博客
08-24 859
由于FormAuthenticationFilter的用户身份和密码的input的默认值(username和password),修改页面的账号和密码 的input的名称为username和password。user:例如/admins/user/**=user没有参数表示必须存在用户, 身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查。],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/不用我们去实现退出,只要去访问一个退出的url(
【SpringBoot】Shiro快速入门(精讲)
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-18 1206
Apache Shiro 是一个java的安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaEE环境中,也可以用在JavaSE环境中 Shiro可以完成认证、授权、加密、会话管理、web集成、缓存等。 ...
shiro(三)shiro实战——Spring 集成 Shiro(案例),2024年最新阿里面试不成功的暗示
最新发布
2401_84435518的博客
04-21 682
一个 记住我 的 Subject 不是匿名的,是有一个已知的身份ID(也就是subject.getPrincipals()是非空的)。即:这个被记住的身份 ID 是在之前的session 中被认证的。:要求当前的 Subject 是一个 “guest”,也就是他们必须是在之前的 session 中没有被验证或记住才能被注解的类/实例/方法访问或调用。:要求当前的 Subject 被允许一个或多个权限,以便执行注解的方法,比如:@RequiresPermissions(“account:create”)
SpringBoot集成Shiro安全框架
begefefsef的博客
04-26 3358
SpringBoot集成Shiro安全框架 1.shiro的定义 2.SpringBoot集成shiro的步骤 3.完成的效果 1.shiro的定义 1.shiro的作用 认证、授权、加密、会话管理、Web集成、缓存 2.shiro的名词 Authentication:身份认证/登录,验证用户是不是拥有相应的身份 Authorization:授权,即权限 管理,验证某个人已经登录的人是否拥有某些权限 Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前所有的
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2747
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
详解spring与shiro集成
08-29
在本文中,我们将深入探讨如何将Spring框架与Apache Shiro安全框架集成,以便在Java应用程序中实现用户认证和授权。Apache Shiro是一个轻量级的安全框架,它提供了一种简单的方式来处理身份验证、授权和会话管理。而...
shiro与spring web 项目集成.pdf
08-13
shiro 与 spring web 项目集成 #资源达人分享计划 # 技术文档
spring boot集成shiro详细教程(小结)
08-28
* shiro-web:用于集成 Shiro 到 Web 项目中。 * shiro-spring:用于集成 Shiro 到 Spring 项目中。 知识点三:传统 XML 配置 在传统的 Spring 项目中,通常使用 XML 配置文件来配置 Shiro。下面是一个示例配置: ...
Spring 应用中集成 Apache Shiro的方法
08-27
在Spring应用中集成Shiro能够实现灵活且强大的安全控制。以下将详细讲解如何在Spring环境中配置和使用Apache Shiro。 **1. 集成步骤** **独立应用程序集成** 在独立的Spring应用中,首先需要创建一个Realm来连接...
shiro-redis集成的spring的web项目
11-24
使用admin 000000登录即可,在启动项目前要启动redis
Spring+SpringMVC+MyBatis+Shiro+Maven集成web项目
12-08
Spring+SpringMVC+MyBatis+Shiro+Maven集成web项目 可以直接使用
shiro框架简介以及与spring的整合搭建
qq_41644069的博客
10-26 1019
1.shiro框架简介 1.1.shiro是什么? Apache Shiro是Java的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 1.2.shiro基本功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
Springboot 整合Shiro 轻量级权限框架,从数据库设计开始带你快速上手shiro
默默不代表沉默
04-26 2441
前言 shiro是一个轻量级的权限框架,该篇我将会从0到1快速教大家搭建出一套包含角色,权限登录校验的项目。 就算你没了解过,也能学会。跟着我把代码敲一遍,这个项目就是属于你的。 该篇文章比较啰嗦,篇幅较长,如果不是入门的初学者大可不必从头开始阅读(我一般的教程都会以从零开始的方式,所以都比较啰嗦)。 正文 数据库的准备(Mysql): 在这是实践的案例里面,数据库表三...
spring整合shiro(含MD5加密)
weixin_34261739的博客
05-07 180
shiro简介: shiro是apache提供的一个强大易用的Java安全框架,用于身份验证、授权、密码学和会话管理。点我下载源码。 开发环境及技术: 1、mysql - 5.7.21 2、navicat(mysql客户端管理工具) 3、eclipse 4、jdk9 5、tomcat 8.5 6、spring...
shiro spring-web集成
祈祷之手
06-27 216
shiro 在web的初始化流程 基本知识: web.xml的加载顺序 filter 生命周期 web.xml 中 shiro的配置 spring-mvc 配置 shiro.ini配置 主体 init doFilter destory 总结 参考网站: shiro 在web的初始化流程 基本知识: web.xml的加载顺序 context-param -&gt...
Spring集成Shiro框架实战
u011047968的专栏
09-06 263
文章目录一:什么是Shiro框架二:Shiro框架简介1、Shiro基础功能点介绍2、Shiro的工作原理3、Shiro的内部工作结构4、Shiro的身份认证流程![图3](https://img-blog.csdnimg.cn/20200905230140780.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTEwNDc5Njg=,size
Shiro集成SpringMVC
海客森
06-27 960
一个非凡的网站 http://www.hikson.com,RJ海客森 视频录制 git地址:https://gitee.com/hikseason/demo-spring-boot-all.git 视频地址:https://pan.baidu.com/s/19mrxCE9Y5R5ntSEg_EReOg 1.Shiro集成SpringMVC 就是定了了个过滤器shiroF...
shiro】初识与集成
路远不知归
08-24 425
shiro】初识与集成 个人学习笔记分享,当前能力有限,请勿贬低,菜鸟互学,大佬绕道 如有勘误,欢迎指出和讨论,本文后期也会进行修正和补充 前言 权限管理对于一个成熟的项目是极为基础且必要的部分,我们必须知道来者何人,才能判断这个人能做什么不能做什么 而shiro正是解决方案中最常见的一种 请留意,本文主要整理shiro相关思路,为方便理解,示例代码并不完整,更谈不上严谨 若需要实际使用的demo,请直接查看整理后的代码,完整demo会传到github或码云 1.介绍 shiro是Apache下的一
springsecrity和shiro
03-16
Spring Security和Shiro都是Java...Shiro可以与任何Java应用程序集成,包括Web应用程序、桌面应用程序等。 总的来说,Spring Security和Shiro都是优秀的安全框架,选择哪一个取决于具体的应用场景和开发者的个人偏好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wangkay88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值