Springboot集成Shiro实现认证

最新推荐文章于 2024-06-18 10:17:47 发布
最新推荐文章于 2024-06-18 10:17:47 发布
阅读量370 收藏 1
点赞数
分类专栏: shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/serdonty/article/details/103705596
版权

Springboot集成Shiro实现认证

Apache Shiro是什么?

Apache Shiro是一个强大且易用的Java安全框架,能够执行身份验证、授权、加密和会话管理等。

Apache Shiro的主要API

Subject

Subject为“当前操作用户”。但是,在Shiro中,Subject这一概念可以理解为"账户",但并不局限于"帐户",而是与shrio交互的当前应用。

SecurityManager

SecurityManager(安全管理器)是Shiro框架的核心,Shiro通过SecurityManager实现安全管理的功能和服务。

Realm

  • Realm是安全数据源,其中包含认证和授权数据。

    认证可以理解为登录,认证数据为正确的账户及口令信息,当对用户执行认证(登录)时,shiro会与Realm中的认证数据比较进行登录验证。

    授权数据可以理解为用户拥有的权限,当用户进行某一操作时,Shiro会与Realm中的授权数据比对,验证用户是否拥有此操作的权限(授权验证)。

  • 当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。

    Shiro内置了很多可用的安全数据源(又名目录)的Realm, 如果内置的Realm不能满足需求,可以自定义Realm实现。

Apache Shiro与Springboot集成

依赖引入

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.4.1</version>
</dependency>

开发集成shiro的配置类

开发一个集成shiro的spring配置类

@Configuration
public class ShiroConfigure {
	private static final Logger LOG = LoggerFactory.getLogger(ShiroConfigure.class);    
	
	//注册跨域过滤器
	//开发和配置安全数据源	
	//配置shiro过滤器拦截规则定义
	
	
}

注册跨域过滤器

shiro过滤器会优先于springboot拦截请求,springboot的跨域设置将不起作用,因此需要专门注册跨域过滤器并设置其为过滤器链中的第一个。

 	@Bean
    public FilterRegistrationBean<CorsFilter> corsFilter() {
        
    	final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        
    	final CorsConfiguration config = new CorsConfiguration();
    	
        // 允许cookies跨域
        config.setAllowCredentials(true);
        
        // 允许向该服务器提交请求的URI,*表示全部允许,在SpringMVC中,如果设成*,会自动转成当前请求头中的Origin
        config.addAllowedOrigin("*");
        
        // 允许访问的头信息,*表示全部
        config.addAllowedHeader("*");
        
        // 预检请求(options请求)的缓存时间(秒),即在这个时间段里,对于相同的跨域请求不会再预检了
        config.setMaxAge(1L);
        
        // 允许提交请求的方法,*表示全部允许
        config.addAllowedMethod("*");
        /*
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        */
        
        //设置允许跨域的路径
        source.registerCorsConfiguration("/**", config);

        FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<CorsFilter>(new CorsFilter(source));
        
        // 设过滤器的优先级
        bean.setOrder(0);

        return bean;
    }

开发和配置安全数据源

	/*
	 * 配置安全数据源Realm 此处必须要命名“authorizer”,
	 * 因为shiro会自动寻找名称为“authorizer”的、并实现接口Authorizer的对象,
	 * 而AuthorizingRealm正是接口Authorizer的实现类
	 */
	@Bean("authorizer")
	@Autowired
	public AuthorizingRealm saftyRealm(ShiroService shiroService) {

		return new AuthorizingRealm() {

			/**
			 * 获取认证信息(即包含当前用户帐户和合法密码等信息) shiro在登录认证时需要通过该方法获取认证信息。 参数 AuthenticationToken
			 * 认证令牌(如:一组用户名和密码就是一个认证令牌)
			 */
			@Override
			protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) {

				String userId = (String) token.getPrincipal();// 获得当事人(当前用户账号)

				User user = shiroService.getUser(userId);

				/*
				 * 如果不存在前用户信息,返回null
				 */
				if (user == null) {
					return null;
				}

				/*
				 * 创建当前用户
				 */
				CurrUser currUser = new CurrUser(user.getU_id(), user.getU_name());

				/*
				 * 创建认证信息,三个构造参数含义依次如下: 参数1:principal当前用户 参数2:credentials认证凭证(如:口令、密码等)
				 * 参数3:realm名称
				 */
				SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(currUser, user.getU_pwd(), this.getName());

				/*
				 * 返回认证信息
				 */
				return info;
			}

			/**
			 * 获取当事人(当前用户)授权信息,shiro在检查访问是否经过授权时需要通过该方法获取授权信息。(本例不考虑授权验证,因此返回null)
			 * 参数PrincipalCollection 当事人集合
			 */
			@Override
			protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
				// TODO Auto-generated method stub
				return null;
			}

		};
	}

配置shiro过滤器拦截规则定义

	@Bean
	@Autowired
	public ShiroFilterChainDefinition shiroFilterChainDefinition(ShiroService shiroService) {

		DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();

		/*
		 * 可匿名访问资源
		 */
		chainDefinition.addPathDefinition("/safty/login/**", "anon");

		// 其它资源必须经过认证
		chainDefinition.addPathDefinition("/**", "authc");

		LOG.debug("=====Shiro安全规则=======================================================================");
		LOG.debug(chainDefinition.getFilterChainMap().toString());
		LOG.debug("=====Shiro安全规则=======================================================================");

		return chainDefinition;
	}

在配置文件application.yaml中配置shiro

shiro:
  loginUrl: /safty/login/loginTo #拦截需要认证而未认证的请求后的跳转路径

登录示例

@RestController
@RequestMapping("/safty/login")
public class LoginController {

	@PostMapping("/user")
	public Result login(@RequestBody UserDto userDto) {

		try {
			Subject subject = SecurityUtils.getSubject();

			// 创建登录令牌
			UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userDto.getU_id(),
					userDto.getU_pwd());

			// 登录,该方法声明抛出异常,可以捕获异常,并进行应对处理
			subject.login(usernamePasswordToken);

			// 是否通过认证
			if (subject.isAuthenticated()) {

				// 获得当前用户信息
				CurrUser currUser = (CurrUser) subject.getPrincipal();

				// 将当前用户放入Session。注:这里的Session是由Shiro提供的。
				subject.getSession().setAttribute(Constants.SESSION_ATTR_CURR_USER, currUser);

				return Result.success("登录成功!");
			}

			return Result.fail("登录失败!");

		} catch (UnknownAccountException e) {
			return Result.fail("用户名不存在!");
		} catch (IncorrectCredentialsException e) {
			return Result.fail("账户密码不正确!");
		} catch (LockedAccountException e) {
			return Result.fail("用户名被锁定 !");
		} catch (Exception e) {
			e.printStackTrace();
			return Result.fail("系统错误!");
		}
	}

	@GetMapping("/loginTo")
	public Result loginTo() {
		return Result.unLogged();
	}

}

退出示例

@RestController
@RequestMapping("/safty/home")
public class HomeController {
	
	//......
	
	//退出系统
	@DeleteMapping("/user")
	public Result logout() {
		
		SecurityUtils.getSubject().getSession().removeAttribute(Constants.SESSION_ATTR_CURR_USER);
		//注销
		SecurityUtils.getSubject().logout();		
		
		return Result.success("您已成功退出系统!");
	}

}

其它相关类和配置文件

ShiroService

public interface ShiroService {

	/**
	 * 获取用户信息
	 * @param userId
	 * @return
	 */
	User getUser(String userId);	

}

ShiroDao

public interface ShiroDao {	

	/**
	 * 根据用户帐号查询用户信息
	 * @param userId
	 * @return
	 */
	@Select("select u_id,u_name,u_pwd from sys_user where u_id=#{userId}")
	User findUser(String userId);

	
}

启动类

@SpringBootApplication
@MapperScan({ "org.sunshine.dye.dao", "org.sunshine.dye.shiro.dao" })
public class SunshineDyeApp {

	public static void main(String[] args) {

		SpringApplication.run(SunshineDyeApp.class, args);

	}

}

修改日志配置

logging:
  level:
    web: trace
    org.sunshine.dye.dao: debug
    org.sunshine.dye.shiro.dao: debug

测试

上述配置和相关代码开发完成后,即可进行测试调试。

附:案例源码

案例源码

夏冬琦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
Spring Boot整合Shiro入门教程
滕青山博客
01-08 995
Shiro 简介 Apache Shiro 是一个开源的轻量级的 Java 安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。 相对于Spring Security, Shiro框架更加直观、易用,同时也能提供健壮的安全性。在传统的 SSM 框架中,手动整合 Shiro 的配置步骤还是比较多的,针对 Spring Boot, Shiro 官方提供了 shiro-spring-boot-web-starter 用来简化Shiro在 Spring Boot 中的配置。下面向读者介绍shiro-spri
ShiroSpringboot集成Shiro
专注于Java领域开发 关注我 带你玩转Java
06-22 1636
Springboot集成Shiro
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 815
spring boot 集成 shiroshiro介绍,shiro与springSecurity区别,shiro优缺点
SpringBoot整合Shiro
AG.『Feng』的博客
02-01 753
SpringBoot整合Shiro
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 2918
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot 集成shiro代码实例
08-28
SpringBoot集成Shiro是Java开发中常见的权限管理实践,它结合了SpringBoot的便捷性和Apache Shiro的安全特性,为Web应用程序提供了用户认证和授权的解决方案。以下是对这一主题的详细阐述: 1. **SpringBoot简介**...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
springboot集成shiro
sanskritfan的博客
09-14 367
Shiro是Apache 的一个开源项目,是一个java的安全框架具有认证,授权,session管理,加解密…等等功能。
SpringBoot整合shiro-spring-boot-web-starter启动报错
liu320yj的博客
10-15 4521
最近在做一个SpringBoot整合常用框架的系统,在整合Shiro时启动就报错,先将解决办法总结如下: SpringBoot使用的是最新的2.3.4版本,Shiro使用的是shiro-spring-boot-web-starter1.6.0版本,在配置文件ShiroConfig中添加安全管理器,代码如下: @Bean public SecurityManager securityManager(UserRealm userRealm) { DefaultWebSecurityManager sec
Shiro-SpringBoot集成入门案例
m0_48483101的博客
08-03 227
项目结构 1.新建maven工程,并导入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.2.0.RELEASE</version> <relativePath/&gt
shiro-spring-boot-starter
warrah 南极狼
12-10 1301
springboot shiro
使用SpringBoot整合Shiro学习笔记
何同学
06-05 238
详情:https://gitee.com/hale459/SpringBoot-Shiro thymeleaf整合Shiro依赖 其他相关依赖 编写Shiro配置类 创建一个自定义的Realm 新建一个Shiro的配置类 Entity类 Controller类 Dao接口 Mapper.xml Service接口 Service接口实现 全局配置 logger jdbc 测试 登录不同的用户,对不同的用户设置不同的权限即可;......
springboot集成shiro完成token认证,以及需要注意的点
qq_26112725的博客
08-24 1412
注意 :继承 UsernamePasswordToken 类后,账号跟密码使用了 UsernamePasswordToken 类的构造方法2.自定义Realm@Override//授权@Override/*常见的方法:addRole(String role):向授权信息中添加角色。addRoles(Collection roles):向授权信息中添加多个角色。
Springboot集成Shiro完成认证授权
飞翔的宇宙
01-24 3252
&nbsp;&nbsp;&nbsp;&nbsp;Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件:Subject, SecurityManager 和 Realms. Subject: 即“当前操作用户”。但是,在Sh...
springboot集成shiro jwt
04-07
springboot集成shiro jwt是一种常见的安全认证机制,它将Spring Boot和Shiro框架结合使用,同时使用JWT(JSON Web Token)进行身份认证和授权管理。JWT是一种安全的身份验证机制,通过使用数字签名,可以确保身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值