Shiro - SprinBoot 整合

最新推荐文章于 2022-10-19 15:27:05 发布
最新推荐文章于 2022-10-19 15:27:05 发布
阅读量222 收藏
点赞数
文章标签: shiro spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdname/article/details/109743519
版权

目录

 

一、官网

二、Shiro 功能说明

主要有三大功能模块:

细分功能:

三、官方 Shiro 与 Spring功能整合

Web Applications

Enabling Shiro Annotations

Annotations and Web Applications

Caching

Configuration Properties

一、官网

 官网地址 https://shiro.apache.org/

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>

二、Shiro 功能说明

主要有三大功能模块:

  1. Subject:主体,一般指用户。
  2. SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)
  3. Realms:用于进行权限信息的验证,一般需要自己实现。

细分功能:

  1.  Authentication:身份认证/登录(账号密码验证)。
  2.  Authorization:授权,即角色或者权限验证。
  3.  Session Manager:会话管理,用户登录后的session相关管理。
  4.  Cryptography:加密,密码加密等。
  5.  Web Support:Web支持,集成Web环境。
  6.  Caching:缓存,用户信息、角色、权限等缓存到如redis等缓存中。
  7.  Concurrency:多线程并发验证,在一个线程中开启另一个线程,可以把权限自动传播过去。
  8.  Testing:测试支持;
  9. Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问。
  10. Remember Me:记住我,登录后,下次再来的话不用登录了。

三、官方 Shiro 与 Spring功能整合 

官网地址 https://shiro.apache.org/spring-framework.html

Include the Shiro Spring dependency in you application classpath (we recomend using a tool such as Apache Maven or Gradle to manage this)

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context</artifactId>
    <version>${spring.version}</version>
</dependency>

Import the Shiro Spring configurations:

@Configuration
@Import({ShiroBeanConfiguration.class,
         ShiroConfiguration.class,
         ShiroAnnotationProcessorConfiguration.class})
public class CliAppConfig {
   ...
}

The above configurations do the following:

Configuration ClassDescription
org.apache.shiro.spring.config.ShiroBeanConfigurationConfigures Shiro’s lifecycle and events
org.apache.shiro.spring.config.ShiroConfigurationConfigures Shiro Beans (SecurityManager, SessionManager, etc)
org.apache.shiro.spring.config.ShiroAnnotationProcessorConfigurationEnables Shiro’s annotation processing

The only thing that is left is to configure a realm:

@Bean
public Realm realm() {
  ...
}

The easiest way to setup Shiro, so that all SecurityUtils.* methods work in all cases, is to make the SecurityManager bean a static singleton. DO NOT do this in web applications - see the Web Applications section below instead.

@Autowired
private SecurityManager securityManager;
    
 @PostConstruct
 private void initStaticSecurityManager() {
     SecurityUtils.setSecurityManager(securityManager);
 }

That is it, now you can get the current Subject using:

SecurityUtils.getSubject();

You can see a full example in our samples on Github.

Web Applications

Shiro has first-class support for Spring web applications. In a web application, all Shiro-accessible web requests must go through a master Shiro Filter. This filter itself is extremely powerful, allowing for ad-hoc custom filter chains to be executed based on any URL path expression.

Include the Shiro Spring web dependencies in you application classpath (we recomend using a tool such as Apache Maven or Gradle to manage this)

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.7.0</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-webmvc</artifactId>
    <version>${spring.version}</version>
</dependency>

Import the Shiro Spring configurations:

@Configuration
@Import({ShiroBeanConfiguration.class,
        ShiroAnnotationProcessorConfiguration.class,
        ShiroWebConfiguration.class,
        ShiroWebFilterConfiguration.class,
        ShiroRequestMappingConfig.class})
public class ApplicationConfig {
  ...
}

The above configurations do the following:

Configuration ClassDescription
org.apache.shiro.spring.config.ShiroBeanConfigurationConfigures Shiro’s lifecycle and events
org.apache.shiro.spring.config.ShiroAnnotationProcessorConfigurationEnables Shiro’s annotation processing
org.apache.shiro.spring.web.config.ShiroWebConfigurationConfigures Shiro Beans for web usage (SecurityManager, SessionManager, etc)
org.apache.shiro.spring.web.config.ShiroWebFilterConfigurationConfigures Shiro’s web filter
org.apache.shiro.spring.web.config.ShiroRequestMappingConfigConfigures Spring with Shiro’s UrlPathHelper implementation to ensure URLs are processed the same both frameworks

Provide a Realm implementation:

@Bean
public Realm realm() {
  ...
}

And finally a ShiroFilterChainDefinition which will map any application specific paths to a given filter, in order to allow different paths different levels of access.

@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
    
    // logged in users with the 'admin' role
    chainDefinition.addPathDefinition("/admin/**", "authc, roles[admin]");
    
    // logged in users with the 'document:read' permission
    chainDefinition.addPathDefinition("/docs/**", "authc, perms[document:read]");
    
    // all other paths require a logged in user
    chainDefinition.addPathDefinition("/**", "authc");
    return chainDefinition;
}

If you are using Shiro’s annotations see the annotation section below.

You can see a full example in our samples on Github.

Enabling Shiro Annotations

In both standalone and web applications, you might want to use Shiro’s Annotations for security checks (for example, @RequiresRoles@RequiresPermissions, etc.) These annotations are enabled by importing the ShiroAnnotationProcessorConfiguration Spring configuration in both sections above.

Simply annotate your methods in order to use them:

@RequiresPermissions("document:read")
public void readDocument() {
    ...
}

Annotations and Web Applications

Shiro annotations are fully supported for use in @Controller classes, for example:

@Controller
public class AccountInfoController {

    @RequiresRoles("admin")
    @RequestMapping("/admin/config")
    public String adminConfig(Model model) {
        return "view";
    }
}

ShiroFilterChainDefinition bean with at least one definition is still required for this to work, either configure all paths to be accessable via the anon filter or a filter in ‘permissive’ mode, for example: authcBasic[permissive].

@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
    chainDefinition.addPathDefinition("/**", "anon"); // all paths are managed via annotations
    
    // or allow basic authentication, but NOT require it.
    // chainDefinition.addPathDefinition("/**", "authcBasic[permissive]"); 
    return chainDefinition;
}

Caching

Enabling caching is as simple as providing a CacheManager bean:

@Bean
protected CacheManager cacheManager() {
    return new MemoryConstrainedCacheManager();
}

Configuration Properties

KeyDefault ValueDescription
shiro.sessionManager.deleteInvalidSessionstrueRemove invalid session from session storage
shiro.sessionManager.sessionIdCookieEnabledtrueEnable session ID to cookie, for session tracking
shiro.sessionManager.sessionIdUrlRewritingEnabledtrueEnable session URL rewriting support
shiro.userNativeSessionManagerfalseIf enabled Shiro will manage the HTTP sessions instead of the container
shiro.sessionManager.cookie.nameJSESSIONIDSession cookie name
shiro.sessionManager.cookie.maxAge-1Session cookie max age
shiro.sessionManager.cookie.domainnullSession cookie domain
shiro.sessionManager.cookie.pathnullSession cookie path
shiro.sessionManager.cookie.securefalseSession cookie secure flag
shiro.rememberMeManager.cookie.namerememberMeRememberMe cookie name
shiro.rememberMeManager.cookie.maxAgeone yearRememberMe cookie max age
shiro.rememberMeManager.cookie.domainnullRememberMe cookie domain
shiro.rememberMeManager.cookie.pathnullRememberMe cookie path
shiro.rememberMeManager.cookie.securefalseRememberMe cookie secure flag
shiro.loginUrl/login.jspLogin URL used when unauthenticated users are redirected to login page
shiro.successUrl/Default landing page after a user logs in (if alternative cannot be found in the current session)
shiro.unauthorizedUrlnullPage to redirect user to if they are unauthorized (403 page)
QueryEasy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro-SpringBoot.整合
09-23
Shiro 整合Spring Boot 中,可以轻松实现权限管理,为 Web 应用提供安全支持。 整合 ShiroSpring Boot 的过程主要包括以下几个步骤: 1. **添加依赖**:首先,在项目中引入 ShiroSpring Boot 相关的...
springboot 整合 shiro (Web Applications)避坑一 ,请看shiro官网
weixin_44730681的博客
12-03 260
避坑一 异常打印 org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton. This is an invalid application configuration. 在网上找了各种教程寻
Shiro使@RequestMapping失效,调用404异常
热门推荐
坤哥的博客
12-02 1万+
使用springboot集成shiro的时候总会有很多坑,现在又遇到一个。 shiro集成进来后,调用API直接404异常。 部分代码如下: @GetMapping("/user") @RequiresPermissions(value={"user:add","resource:delete"},logical = Logical.OR) public Use
shiro历史漏洞分析
include_voidmain的博客
09-27 1003
shiro历史漏洞分析
Shiro的学习之Shiro的配置(一)
m0_54866636的博客
08-24 1099
项目已分享到GitHub上,如果需要的可以看下,。
springboot整合shiro (一) ShiroConfig配置类编写
hjseo_seg的博客
04-26 626
shiro实现用户登录认证需要三个核心api Subject 用户主体 SecurityManager 安全管理器 Realm 连接数据的桥梁 1. 导入shiro的maven依赖 导入shirospring整合的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
shiro-springboot.zip
05-24
总之,"shiro-springboot.zip" 项目展示了如何在 Spring Boot 应用中整合 Apache Shiro,实现用户认证和授权的基本功能。通过学习和实践,开发者能够更好地理解 Shiro 的工作原理,并将其应用于实际项目中,提高系统...
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
shiro-springboot01.zip
12-05
Shiro整合Thymeleaf实现安全控制详解》 在现代Web开发中,安全控制是不可或缺的一环。Apache Shiro是一款强大的Java安全框架,而Spring Boot则是构建微服务的首选框架,Thymeleaf则是一种常用的服务器端模板引擎...
毕业设计资料管理系统-springboot整合ssm,shiro
最新发布
05-15
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
Shiro学习(3)shiroConfig配置类
leonsccott的博客
07-13 6126
一、Shiro配置类创建流程 创建shiro配置函数ShiroConfig可以分为四大块: 1、创建realm 2、创建安全管理器 3、配置shiro过滤器工厂 4、开启对shiro注解的支持 1、创建Realm 可以直接创建CustonRealm这个对象,也可以通过Realm创建。 @Bean public Realm getRealm(){ CustonRealm custonRealm = new CustonRealm(); return custonRea
SpringBoot整合Shiro环境搭建与配置拦截器
qq_43880100的博客
10-19 2589
SpringBoot整合Shiro环境搭建与配置拦截器
Spring 整合 Shiro 的过程中出现的问题(一)
FatalFlower的博客
01-29 1374
Spring 整合 Shiro 的过程中出现的问题(一) Spring 版本:由 Spring Boot 整合,版本为 2.6.2 Shiro 版本:1.8.0 问题描述 当通过自定义 ShiroFilterChainDefinition Bean来过滤相关的请求时,定义的配置类内容如下所示: package org.xhliu.demo.config; import org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration
spring boot爬坑之旅途--shiro-MyShiroConfig配置(config)(8)
日进斗识
05-06 1万+
package com.zm.blog.config.shiro; import java.io.Serializable; import java.util.ArrayList; import java.util.Collection; import java.util.LinkedHashMap; import java.util.Map; import org.apache.shiro....
2021-2-12 springboot 集成 shiro报错解决
m0_46258409的博客
02-12 1638
Shiro解决POM包 引入当引入POM为以下时 POM包 引入 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.4.2</version> </dependency
shiro入门案例学习(过程+最后完整代码)(shiro+springboot+thymeleaf整合案例)
mgdj25的博客
03-26 456
springboot整合shiro环境搭建 完整项目结构图 过程 第一部分 1.创建springboot项目,可以直接添加springweb依赖(其余的依赖,我们再后面的pom文件一一加入,先加入thymeleaf和thymeleaf整合spring包) <dependency> <groupId>org.thymeleaf</groupId> ......
Shiro框架入门+ssm的整合
haobo__的博客
02-05 212
文章目录一、Shiro简介二、在开始操作之前 不妨先导入log日志三、第一个Shiro程序 一、Shiro简介 Shiro框架 应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject Shiro内部结构图 常见单词说明 Shiro中的Shiro.ini说明 (1) main 提供了对根对象securityManager及其依赖对象的配置 #创建对象 securityManager=org.apache.shiro.mgt.DefaultSecu
教你 Shiro 整合 SpringBoot,避开各种坑
石懒猪很懒的博客
07-12 192
依赖包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency>1...
shiro整合springboot
07-28
对于使用Shiro整合Spring Boot,你可以按照以下步骤进行操作: 1. 添加Shiro依赖:在你的Spring Boot项目的pom.xml文件中添加Shiro的依赖。你可以在Maven中央仓库中找到最新版本的Shiro依赖。 2. 配置Shiro:创建一个Shiro配置类,可以使用`@Configuration`注解标记。在配置类中,你可以定义Shiro的安全管理器、Realm、过滤器链等。 3. 定义自定义Realm:创建一个自定义的Realm类,继承`AuthorizingRealm`。在这个类中,你需要实现Shiro提供的方法来完成认证和授权操作。 4. 配置安全管理器:在Shiro配置类中,使用`DefaultWebSecurityManager`类来配置安全管理器,并将自定义的Realm设置到安全管理器中。 5. 配置过滤器链:在Shiro配置类中,使用`ShiroFilterFactoryBean`类来配置过滤器链。过滤器链定义了请求的拦截规则和访问权限控制。 6. 开启注解支持:在Spring Boot的配置类上添加`@EnableAspectJAutoProxy`和`@EnableWebMvc`注解,以启用Shiro的注解支持和Web MVC支持。 7. 编写登录和权限验证相关代码:根据你的业务需求,在控制器或服务层中编写登录验证、权限验证等相关代码。 以上是一个基本的Shiro整合Spring Boot的流程,具体的配置和代码实现可以根据你的项目需求进行调整。希望对你有所帮助!如有更多问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值