SpringBoot 整合 Shiro 权限框架

最新推荐文章于 2024-09-20 02:21:29 发布
最新推荐文章于 2024-09-20 02:21:29 发布
阅读量1.3k 收藏 3
点赞数 2
分类专栏: SpringBoot 文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54429571/article/details/127995767
版权

目录

Shiro概述

Shiro介绍

Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架。Shiro 可以完成:认证授权加密会话管理与 Web 集成缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
在这里插入图片描述

官方网址: https://shiro.apache.org/

基本功能

在这里插入图片描述

  • Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
  • Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;
  • Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有 信息都在会话中;会话可以是普通 JavaSE 环境,也可以是 Web 环境的;
  • Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
  • Web Support:Web 支持,可以非常容易的集成到 Web 环境;
  • Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可 以提高效率;
  • Concurrency:Shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;、
  • Testing:提供测试支持;
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
  • Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了

Shiro架构

在这里插入图片描述

  • Subject:任何可以与应用交互的“用户”;
  • SecurityManager :相当于 SpringMVC 中的 DispatcherServlet;是 Shiro 的心脏; 所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进 行认证、授权、会话及缓存的管理。
  • Authenticator:负责 Subject 认证,是一个扩展点,可以自定义实现;可以使用认证 策略(Authentication Strategy),即什么情况下算用户认证通过了;
  • Authorizer:授权器、即访问控制器,用来决定主体是否有权限进行相应的操作;即控 制着用户能访问应用中的哪些功能;
  • Realm:可以有 1 个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体 的;可以是 JDBC 实现,也可以是内存实现等等;由用户提供;所以一般在应用中都需要 实现自己的 Realm;
  • SessionManager:管理 Session 生命周期的组件;而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境
  • CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少改变,放到缓存中后可以提高访问的性能
  • Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密。

SpringBoot整合Shiro

环境搭建

引入依赖

<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-spring-boot-web-starter</artifactId>
 <version>1.9.0</version>
 </dependency>

指定登录路径

shiro:
 loginUrl: /user/login

创建数据库
user表
在这里插入图片描述
role表
在这里插入图片描述
user_role表
在这里插入图片描述
permissions表
在这里插入图片描述
role_permissions表
在这里插入图片描述

登录、授权、角色认证实现

省略Mybatis查询数据库代码

自定义实现 Realm

@Component("authorizer")
public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;


    /**
     * 自定义授权方法
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1 创建对象,存储当前登录的用户的权限和角色
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //2 获取当前用户身份信息
        String name = principalCollection.getPrimaryPrincipal().toString();
        List<String> roles = userService.getUserRoles(name);
        //3 存储角色
        info.addRoles(roles);
        //4 获取用户角色的权限信息
        List<String> permissions=new ArrayList<>();
        for (String role : roles) {
            List<String> ps = userService.getUserPermission(role);
            permissions.addAll(permissions);
        }
        //5 存储权限信息
        info.addStringPermissions(permissions);
        //6 返回
        return info;
    }

    /**
     * 自定义登录方法
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取用户身份信息
        String name = authenticationToken.getPrincipal().toString();
        //查询用户信息
        User user = userService.getUserByName(name);
        if (user!=null){
            AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                    name,//用户名
                    user.getPwd(),//密码
                    ByteSource.Util.bytes("salt"),//加盐字符
                    getName()//realm名称
            );
            return authenticationInfo;
        }
        return null;
    }

}

Shiro配置类

@Configuration
public class ShiroConfig {

    //配置自定义Realm
    @Bean
    public MyRealm myRealm(){
        return new MyRealm();
    }

    //配置 SecurityManager
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(){
        //1 创建 defaultWebSecurityManager 对象
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //2 创建加密对象,并设置相关属性
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //2.1 采用 md5 加密
        matcher.setHashAlgorithmName("md5");
        //2.2 迭代加密次数
        matcher.setHashIterations(3);
        //3 将加密对象存储到 myRealm 中
        myRealm().setCredentialsMatcher(matcher);
        //4 将 myRealm 存入 defaultWebSecurityManager 对象
        manager.setRealm(myRealm());
        //5 返回 defaultWebSecurityManager 对象
        return manager;
    }

    //配置 Shiro 内置过滤器拦截范围
    @Bean
    public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
        //设置不认证可以访问的资源
        definition.addPathDefinition("/user/login","anon");
        //配置退出过滤器
        definition.addPathDefinition("/logout","logout");
        //设置需要进行登录认证的拦截范围
        definition.addPathDefinition("/**","authc");
        return definition;
    }
}

controller代码

@RestController
@RequestMapping("/user")
@ResponseBody
public class UserController {

    @PostMapping(path = "/login",produces = "application/json")
    public String login(@RequestBody User user){
        try {
            //1 获取 Subject 对象
            Subject subject = SecurityUtils.getSubject();
            //2 封装请求数据到 token 对象中
            UsernamePasswordToken token = new UsernamePasswordToken(user.getName(),user.getPwd());
            subject.login(token);
            return "登录成功!";
        }
        catch (LockedAccountException e){
            return "账号封禁";

        }
        catch (UnknownAccountException e) {
            e.printStackTrace();
            return  "用户不存在";
        }
        catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            return  "密码错误";
        }
        catch (AuthenticationException e) {
            e.printStackTrace();
            return "登录失败!";
        }
    }

    //登录认证验证角色
    @RequiresRoles("admin")
    @GetMapping("/roles")
    public String userLoginRoles() {
        return "验证角色成功";
    }

    //登录认证验证权限
    @RequiresPermissions("user:delete")
    @GetMapping("/permissions")
    public String userLoginPermissions() {
        return "验证权限成功";
    }
}

权限异常处理

@ControllerAdvice
@ResponseBody
public class PermissionsException {


    @ExceptionHandler(UnauthorizedException.class)
    public String unauthorizedException(Exception ex){
        return "无权限";
    }

}

多个 realm 的认证策略设置

AuthenticationStrategy class描述
AtLeastOneSuccessfulStrategy只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功
FirstSuccessfulStrategy第一个 Realm 验证成功,整体认证将视为成功,且后续 Realm 将被忽略
AllSuccessfulStrategy所有 Realm 成功,认证才视为成功

ModularRealmAuthenticator 内置的认证策略默认实现是 AtLeastOneSuccessfulStrategy 方式。

//配置 SecurityManager
@Bean
public DefaultWebSecurityManager defaultWebSecurityManager(){
 //1 创建 defaultWebSecurityManager 对象
 DefaultWebSecurityManager defaultWebSecurityManager = new 
 DefaultWebSecurityManager();
 //2 创建认证对象,并设置认证策略
 ModularRealmAuthenticator modularRealmAuthenticator = new 
 ModularRealmAuthenticator();
 modularRealmAuthenticator.setAuthenticationStrategy(new 
 AllSuccessfulStrategy());
 
defaultWebSecurityManager.setAuthenticator(modularRealmAuthenticator);
 //3 封装 myRealm 集合
 List<Realm> list = new ArrayList<>();
 list.add(myRealm1);
 list.add(myRealm2);
 //4 将 myRealm 存入 defaultWebSecurityManager 对象
 defaultWebSecurityManager.setRealms(list);
 //5 返回
 return defaultWebSecurityManager;

会话管理

SessionManager由SecurityManager管理。Shiro提供了三种实现:

  • DefaultSessionManager:用于JavaSE环境
  • ServletContainerSessionManager:用于web环境,直接使用Servlet容器的会话
  • DefaultWebSessionManager:用于web环境,自己维护会话(不使用Servlet容器的
    会话管理)

获得session方式

Session session = SecurityUtils.getSubject().getSession();
session.setAttribute(“key”,”value”)
  • Controller 中的 request,在 shiro 过滤器中的 doFilerInternal 方法,被包装成
    ShiroHttpServletRequest。
  • SecurityManager 和 SessionManager 会话管理器决定 session 来源于ServletRequest还是由 Shiro 管理的会话。无论是通过 request.getSession 或subject.getSession 获取到 session,操作session,两者都是等价的。

学习内容来自尚硅谷

林邵晨
关注
专栏目录
Spring Boot 集成权限管理Spring Security框架
m0_71777195的博客
07-20 931
Spring Security是Spring项目的一部分,专门为Java应用程序提供全面的安全服务。它可以帮助开发者实现各种安全需求,如身份验证、角色和权限管理、会话管理等。Spring Security提供了一种强大的和可高度自定义的权限管理方式,开发者可以根据业务需求定制权限规则,实现精细化的权限控制。要自定义Spring Security配置,需要创建一个配置类,该类需要继承WebSecurityConfigurerAdapter类,并覆盖其中的方法。
SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架是将SpringBoot与Apache Shiro这两个流行的技术栈结合,用于实现Web应用的安全控制和用户权限管理。SpringBoot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则是一个轻量级的...
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring BootShiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring BootShiro整合实现用户认证; Spring BootShiro整合实现用户授权; thymeleaf和shiro标签整合使用。
Spring Boot整合Shiro权限框架
朝雨忆轻尘
06-20 275
综合概述 Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。 优势特点 它...
SpringBoot教程(三十) | SpringBoot集成Shiro权限框架
最新发布
qq_20236937的博客
09-20 851
SpringBoot集成Shiro权限框架
SpringBoot集成Shiro权限管理框架
liuerpeng1904的博客
10-11 601
*** 自定义Realm用于查询用户的角色和权限信息并保存到权限管理器:/*** @Description 权限配置类//获取登录用户名 String name =(String) principalCollection . getPrimaryPrincipal();//查询用户名称 User user = MySqlTool . getUser(name);
SpringBoot整合安全权限框架Shiro
ChinaCR07的博客
05-13 1076
一、什么是ShiroApache ShiroJava 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。Shiro 包含 10 个内容:1) Authentication:身份认证/登录,验证用户是不是拥有相应的身份。2) Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
springboot整合Shiro框架,实现用户权限管理
06-24
一、Shiro简介 1、基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计...二、整合SpringBoot2框架 1、核心依赖 <groupid>org.apache.shiro</gr
SpringBoot整合Shiro框架集成权限管理
06-17
1、SpringBoot框架的优秀整合能力结合Shrio轻量安全高适用的权限框架,可以将权限运用到实质,方便高效 2、该文件中包含有shiro的介绍及整合过程 3、SpringBoot整合Shiro的相关教程视频
springboot+mybatis+layui+shiro 权限注解-后台的完整的项目整合
04-23
非常适合刚学习springboot的初学者用了学习springboot+mybatis+layui+shiro 权限注解-后台的完整的项目整合 后台的账号密码 admin-111111
springboot权限管理
03-26
一般系统都会有多个角色,不同角色可访问的系统功能不同,通过给用户分配不同角色,决定用户可访问的系统功能。
spring security 授予权限_SpringBoot整合权限控制框架Spring Security
weixin_39534321的博客
11-22 313
通常我们的网站都有权限控制,就像一个公司有产品、开发、运维之分,各自负责各自的业务,相互独立,有相互协作,共同完成一个任务。拥有不同权限的用户查看不同的页面,进行不同的操作。这篇来简单的说一下使用springboot+jpa+springsecurity实现简单的用户权限管理。角色和用户的关系通过数据库配置控制。角色可以访问的权限通过硬编码控制。springboot是一个灵活和强大的身份...
springboot整合spring-security(权限框架)
豆豆的博客
01-03 925
前面我们的登录页面都是使用的SpringSecurity默认的,我们可以在配置类中修改成我们自定义的登录页面这里的name属性默认是username和password,这里我们采用自定义的方式,/login是SpringSecurity默认的处理登录的Controller用户名:密码:
Springboot整合shiro实现权限控制框架完整版,复制即用
逆天的博客
09-28 771
目录1、开发环境:2.数据库设计3.目录结构3.1pom3.2application.yml3.3实体类3.4 dao3.5mapper3.6 ShiroConfig3.7 MyRealm3.8 controller3.9 启动类4.templates页面4.1 error.html4.2 index.html4.3 login.html4.4 unauth.html5.TestMD5加密6.测试 1、开发环境: 1、mysql - 5.7 2、navicat(mysql客户端管理工具) 3、idea 20
spring boot中使用shiro权限管理框架
sssyyyy7的博客
06-05 507
使用idea创建spring boot工程 勾选web里的web依赖 , 因为spring boot里有spring security这个功能更强大的权限管理框架 所有没有包含shiro的依赖 我们在pom.xml里自己导入依赖 具体依赖如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven....
SpringBoot集成认证授权(SpringBoot + Spring Security)
IT_WEH_coder的博客
02-26 1755
Spring Security是一个非常强大的安全框架,提供了丰富的功能和灵活的配置选项,可以很方便地集成到Spring Boot项目中。
SpringSecurity概述
一名蒟蒻的博客
07-23 1375
一、SpringSecurity概述 1、SpringSecurity简介: ​ Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 2、基本功能: 主要功能是“认证”和“授权”,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 Spring
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用中使用 Apache Shiro 来管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro 标签和注解管理权限。 详细说明可以参考官方文档或者网上教程。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值