非starter方式实现springboot与shiro集成

最新推荐文章于 2023-11-02 09:26:09 发布
最新推荐文章于 2023-11-02 09:26:09 发布
阅读量468 收藏 2
点赞数
分类专栏: Java springboot shiro 文章标签: Springboot Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/serdonty/article/details/99404770
版权
Java 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
springboot
6 篇文章 0 订阅
订阅专栏
shiro
3 篇文章 0 订阅
订阅专栏

非starter方式实现springboot与shiro集成

Apache Shiro是什么?

Apache Shiro是一个强大且易用的Java安全框架,能够执行身份验证、授权、加密和会话管理等。

Apache Shiro的主要API

Subject

Subject即“当前操作用户”。但是,在Shiro中,Subject这一概念并不是"帐户",而是与shrio交互的当前应用。

SecurityManager

SecurityManager是Shiro框架的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm

  • Realm是安全数据源,其中包含认证和授权数据。

    也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

  • 当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。

    Shiro内置了很多可用的安全数据源(又名目录)的Realm, 如果内置的Realm不能满足需求,可以自定义Realm实现。

Apache Shiro与Springboot集成

依赖引入

	<!-- Shiro核心包 -->
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-core</artifactId>
		<version>1.4.1</version>
	</dependency>
	
	<!-- Shiro Web支持包 -->
	<dependency>
	    <groupId>org.apache.shiro</groupId>
	    <artifactId>shiro-web</artifactId>
	    <version>1.4.1</version>
	</dependency>
	
	<!-- Shiro与Spring的集成包 -->
	<dependency>
	    <groupId>org.apache.shiro</groupId>
	    <artifactId>shiro-spring</artifactId>
	    <version>1.4.1</version>
	</dependency>

开发集成shiro的配置类

开发一个集成shiro的spring配置类

@Configuration
public class ShiroConfigure {
	private static final Logger LOG = LoggerFactory.getLogger(ShiroConfigure.class);    
	
	//注册跨域过滤器
	//开发和配置安全数据源
	//配置Shiro安全管理器
	//配置shiro过滤器拦截规则定义
	//配置shiro过滤器
	//配置shiro生命周期管理器
	
}

注册跨域过滤器

shiro过滤器会优先于springboot拦截请求,springboot的跨域设置将不起作用,因此需要专门注册跨域过滤器并设置其为过滤器链中的第一个。

 	@Bean
    public FilterRegistrationBean<CorsFilter> corsFilter() {
        
    	final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        
    	final CorsConfiguration config = new CorsConfiguration();
    	
        // 允许cookies跨域
        config.setAllowCredentials(true);
        
        // 允许向该服务器提交请求的URI,*表示全部允许,在SpringMVC中,如果设成*,会自动转成当前请求头中的Origin
        config.addAllowedOrigin("*");
        
        // 允许访问的头信息,*表示全部
        config.addAllowedHeader("*");
        
        // 预检请求(options请求)的缓存时间(秒),即在这个时间段里,对于相同的跨域请求不会再预检了
        config.setMaxAge(1L);
        
        // 允许提交请求的方法,*表示全部允许
        config.addAllowedMethod("*");
        /*
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        */
        
        //设置允许跨域的路径
        source.registerCorsConfiguration("/**", config);

        FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<CorsFilter>(new CorsFilter(source));
        
        // 设过滤器的优先级
        bean.setOrder(0);

        return bean;
    }

开发和配置安全数据源

   /*
    *   配置安全数据源Realm
    *   此处必须要命名“authorizer”,
    *   因为shiro会自动寻找名称为“authorizer”的、并实现接口Authorizer的对象,
    *   而AuthorizingRealm正是接口Authorizer的实现类
    */
    @Bean("authorizer")
    @Autowired
    public AuthorizingRealm saftyRealm(ShiroService shiroService) {
        
        return new AuthorizingRealm() {

            /**
            * 获取当事人(当前用户)授权信息,shiro在检查访问是否经过授权时需要通过该方法获取授权信息。
            * 参数PrincipalCollection 当事人集合
            */	
            @Override
            protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

                /*
                * 获取登录用户帐号
                */
                CurrUser currUser = (CurrUser) principalCollection.getPrimaryPrincipal();// 获取首要(第一)当事人

                /*
                * 创建授权信息对象
                */
                SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

                
                        
                /*
                * 查询用户权限,并将权限放入授权信息对象中		 
                */
                List<Module> moduleList = shiroService.getModulesOfUser(currUser.getUserId());
                for (Module module : moduleList) {
                    simpleAuthorizationInfo.addStringPermission(String.valueOf(module.getM_id()));
                }

                // System.out.println(currUser.getUserId()+"->"+simpleAuthorizationInfo.getStringPermissions());

                /*
                * 返回授权信息
                */
                return simpleAuthorizationInfo;
            }

            /**
            * 获取认证信息(即包含当前用户帐户和合法密码等信息)
            * shiro在登录认证时需要通过该方法获取认证信息。
            * 参数 AuthenticationToken 认证令牌(如:一组用户名和密码就是一个认证令牌)
            */
            @Override
            protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)  {

                String userId = (String) token.getPrincipal();// 获得当事人(当前用户账号)

                User user = shiroService.getUser(userId);

                /*
              		如果不存在前用户信息,返回null
                */
                if (user == null) {
                    return null;
                }

                /*
                	创建当前用户
                */
                CurrUser currUser = new CurrUser(user.getU_id(),user.getU_name());
                
                
                /*
                	创建认证信息,三个构造参数含义依次如下:
                	参数1:principal当前用户 
               		参数2:credentials认证凭证(如:口令、密码等)
         			参数3:realm名称
                */
                SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(currUser, user.getU_pwd(), this.getName());

                /*
                	返回认证信息
                */
                return info;
            }
            
        } ;
    }

配置Shiro安全管理器

    @Bean 
    @Autowired
    public org.apache.shiro.mgt.SecurityManager shiroSecurityManager(Realm realm) {
    	DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    	securityManager.setRealm(realm);
    	return securityManager;
    }

配置shiro过滤器拦截规则定义

    @Bean @Autowired
    public ShiroFilterChainDefinition shiroFilterChainDefinition(ShiroService shiroService) {
        
        DefaultShiroFilterChainDefinition chainDefinition = 
                                                    new DefaultShiroFilterChainDefinition();
        
    
        /*
            可匿名访问资源
        */
        chainDefinition.addPathDefinition("/css/**", "anon");
        chainDefinition.addPathDefinition("/elementui/**", "anon");
        chainDefinition.addPathDefinition("/js/**", "anon");
        chainDefinition.addPathDefinition("/safty/login/**", "anon");
        
        
        //加载动态权限 
        List<Module> moduleList = shiroService.getAllSubModules();
        
        String PREMISSION_FORMAT = "authc,perms[{0}]";
        
        //动态权限设置
        for(Module module:moduleList) {
            
        	if(StringUtils.isEmpty(module.getM_url())) {
                continue;
            }
            
            
            chainDefinition.addPathDefinition(module.getM_url().replace("index.html", "**"), MessageFormat.format(PREMISSION_FORMAT, String.valueOf(module.getM_id())));
            
            
        }
        
        //其它资源必须经过认证
        chainDefinition.addPathDefinition("/**", "authc");
        
        LOG.debug("=====Shiro安全规则=======================================================================");
        LOG.debug(chainDefinition.getFilterChainMap().toString());
        LOG.debug("=====Shiro安全规则=======================================================================");
        
        return chainDefinition;
    }
    
}

配置shiro过滤器

    @Bean
    @Autowired
    public ShiroFilterFactoryBean shiroFilter(org.apache.shiro.mgt.SecurityManager securityManager,ShiroFilterChainDefinition shiroFilterChainDefinition) throws Exception {
    
    	ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    	
    	shiroFilterFactoryBean.setSecurityManager(securityManager);

		//设置登录url,shiro发现未认证时自动重定向到该url,如果是前后端分离式开发该url应当发送json串。
    	shiroFilterFactoryBean.setLoginUrl("/loginTo");
    	
    	//设置未授权url,shiro发现未授权时自动重定向到该url,如果是前后端分离式开发该url应当发送json串。
    	shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorizedTo");
    	
    	shiroFilterFactoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition.getFilterChainMap());
    
    	return shiroFilterFactoryBean;
    
    }

配置shiro生命周期管理器

    @Bean
    public org.apache.shiro.spring.LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
    	return new org.apache.shiro.spring.LifecycleBeanPostProcessor();
    }

登录示例

@RestController
@RequestMapping("/safty/login")
public class LoginController {
	
	@Autowired
	private LoginService loginService;
	
	@PostMapping("/user")
	public Result execLogin(@RequestBody UserDto userDto,HttpSession session) {

		try {
			Subject subject = SecurityUtils.getSubject();
			
			//创建登录令牌
			UsernamePasswordToken usernamePasswordToken = 
					new UsernamePasswordToken(userDto.getU_id(),userDto.getU_pwd());
			
			//登录,该方法声明抛出异常,可以捕获异常,并进行应对处理
			subject.login(usernamePasswordToken);
			
			//是否通过认证
			if(subject.isAuthenticated()) {
				
				//获得当前用户信息
				CurrUser currUser = (CurrUser)subject.getPrincipal();
				
				//将当前用户放入Session。注:这里的Session是由Shiro提供的。
				subject.getSession().setAttribute(Constants.SESSINON_ATTR_NAME_CURR_USER, currUser);
				
				
				return Result.successResult("登录成功!");
			}
			
			return Result.failResult("登录失败!");
			
		} catch (UnknownAccountException e) {
			return Result.failResult("用户名不存在!");
	    	
	    } catch (IncorrectCredentialsException e) {
	    	return Result.failResult("账户密码不正确!");
	    } catch (LockedAccountException e) {
	    	return Result.failResult("用户名被锁定 !");
	    }catch (Exception e) {
			e.printStackTrace();
			return Result.failResult("系统错误!");
		}
		
	}

}

退出示例

@RestController
@RequestMapping("/safty/logout")
public class LoginController {
	
	@Autowired
	private LoginService loginService;
		
	@DeleteMapping("/logout")
	public ResultDto login_authentication() {
		
		try {
			//注销
			SecurityUtils.getSubject().logout();
			return Result.successResult();
		} catch (Exception e) {
			return Result.failResult("退出失败!");
		}
	}
}

测试

上述配置和相关代码开发完成后,即可进行测试调试。

夏冬琦
关注
专栏目录
SpringBoot整合Shiro
WDH_05的博客
12-06 388
1,前言 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 创建用户,分配权限。 用户登录,权限拦截器拦截请求,识别当前用户登录信息 从权限表中判断是否拥有权限 从以上步骤中可以提取到以下三个问题。 1.如何让Shiro拦截请求。     在web开发中,Shiro会提供一个拦截器来对请求进行拦截。 2.Shiro如何判断发起请求用户的身份?     在web开发中,会借助session来判断,如果禁用了
SpringBoot集成Shiro的步骤
m0_50725078的博客
09-14 552
SpringBoot集成Shiro的步骤
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 4452
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用常灵活,可以根据我们的需求进行定制。
shiro spring boot starter 集成
luhaichuan88的博客
12-21 841
因为shiro是一个集合了认证授权的框架,因此既可以用来做登陆认证,也可以用来做用户授权,本次已经将shiro结合spring boot 做成了一个可配置的sdk,方便以后其他项目的使用。 使用时只需配置4步即可完成授权认证的相关功能 1、pom.xml 文件引入相关sdk <dependency> <groupId>com.shiro.authorization</groupId> <artifactId>shiro-spring-boot..
6.Spring Boot中使用Shiro
相互学习 共同进步
06-29 632
使用注解配置Shiro 1.导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupI
SpringBoot框架整合Shiro
happy_wang_wang的博客
06-06 712
shiro框架的基本使用和介绍详情可见下面这篇文章供大家了解和参考: springbootshiro框架的整合 本文使用的SpringBoot版本如下是2.7.0引入依赖: 编写自定义的Realm继承AuthorizingRealm重写两个方法
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
springboot 集成shiro代码实例
08-28
SpringBoot集成Shiro是Java开发中常见的权限管理实践,它结合了SpringBoot的便捷性和Apache Shiro的安全特性,为Web应用程序提供了用户认证和授权的解决方案。以下是对这一主题的详细阐述: 1. **SpringBoot简介**...
springboot+shiro.zip
05-08
SpringBootShiro是两个常重要的Java开发框架,它们在构建高效、简洁的Web应用程序时起着关键作用。SpringBoot简化了Spring应用的初始...这个代码案例对于学习和实践SpringBootShiro集成具有很高的参考价值。
springboot+shiro+redis整合
03-12
1. **引入依赖**:在SpringBoot的pom.xml文件中添加Shiro和Redis的相关依赖,例如`spring-boot-starter-data-redis`和`shiro-spring-boot-starter`。 2. **配置Redis**:在application.properties或application.yml...
shiro-starter:一个spring boot shiro starter的轮子 2.x版本
05-14
简介 由于官方的提供的功能过于简单,因此这里又造了一个加强版的轮子。 为什么选择shiro-starter 对比官方的startershiro-starter: 是在官方starter的基础上扩展的,兼容官方starter 将更多的参数配置化,使用起来更方便、灵活 提供两种运行模式 SESSION模式[默认]:与Shiro官方提供的starter无二 STATELESS模式:无状态模式,也是现在许多大型系统喜欢采用的认证模式 提供了一些常见的认证方案支撑(如JWT),通过简单配置即可集成 版本信息 spring-boot: 1.5.9.RELEASE shiro-spring: 1.4.0-RC2 关于Spring Boot 2.x 该starter没有刻意针对Spring Boot 2.x做兼容,不过就实际使用反馈来说,在2.x环境下也暂时并没有出现什么兼容性问题,因此2.x用户也可以
shiro-openid-spring-boot-starter
02-10
shiro-openid-spring-boot-starter shiro openid弹簧启动器 说明 基于Shiro的Spring Boot Starter实现 默认的Handler实现 实现基于责任链式的消息分布 Maven < dependency> < groupId>${project.groupId}</ groupId> < artifactId>shiro-biz-spring-boot-starter</ artifactId> < version>${project.version}</ version> </ dependency> 样品
springboot + shiro + cas4.2.7 实战
HH_KELE的专栏
03-25 501
springboot + shiro + cas4.2.7 实战 1. 下载地址https://github.com/apereo/cas/archive/v4.2.7.zip 2. 解压后, 用intellj idea 打开 3. 执行 gradle build -x test ,打包编译 4. 取消https,能够支持直接http ...
SpringBoot学习-(二十五)SpringBoot整合Shiro(详细版本)
大白能的博客
04-25 3410
整合内容包括 自定义realm,实现认证和授权 自定义加密,实现密码加密验证 自定义Cachemanager、Cache,实现Shiro的cache管理,存储在redis中 自定义SessionManager、SessionDao、SessionIdCookie,实现Shiro的session管理,存储在redsi中 自定义RememberMeManager、RemeberMeCookie,实...
Shiro(一) Shiro整合SpringBoot快速开发
Hello World!
09-01 740
Shiro是apache旗下的一个开源的java安全框架,它将软件系统的安全认证和权限管理相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等,组成了一个通用的安全认证框架。记住一点,Shiro 不会去维护用户、维护权限,这些需要我们自己去设计 / 提供,然后通过相应的接口注入给 Shiro 即可...
SpringBoot整合Shiro(最详细)
m0_67266585的博客
03-08 814
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
Springboot整合shiro,带你学会shiro,入门级别教程,由浅入深,完整代码案例,各位项目想加这个模块的人也可以看这个,又或者不会mybatis-plus的也可以看这个
最新发布
m0_63251896的博客
11-02 684
Springboot整合shiro,带你学会shiro,入门级别教程,由浅入深,完整代码案例,各位项目想加这个模块的人也可以看这个,又或者不会mybatis-plus的也可以看这个
Springboot整合Shiro
qq_45924373的博客
03-19 247
Springboot整合Shiro 1.springboot整合shiro有两种方式,导入的包不同 第一种 第一步:只导入依赖 shiro-all <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.7.1</version> </dependency>
Springboot整合shiro(及yaml配置形式)
Dreamer.
10-09 9170
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: 1. Subject:主体,一般指用户。 2. SecurityManager:安全管理器,管理所有Subject,可以配合...
SpringBootShiro集成登录认证与权限控制详解
在`pom.xml`中引入Shiro的Spring Boot starter,版本为1.4.0-RC2,这是实现Shiro集成的基础依赖。 3. **配置数据库**: - 配置数据库连接信息,包括驱动、用户名、密码、URL等 - 启用Spring Data JPA的DDL自动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值