非starter方式实现springboot与shiro集成

最新推荐文章于 2022-12-10 12:23:48 发布
最新推荐文章于 2022-12-10 12:23:48 发布
阅读量451 收藏 2
点赞数
分类专栏: Java springboot shiro 文章标签: Springboot Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/serdonty/article/details/99404770
版权
Java 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
springboot
6 篇文章 0 订阅
订阅专栏
shiro
3 篇文章 0 订阅
订阅专栏

非starter方式实现springboot与shiro集成

Apache Shiro是什么?

Apache Shiro是一个强大且易用的Java安全框架,能够执行身份验证、授权、加密和会话管理等。

Apache Shiro的主要API

Subject

Subject即“当前操作用户”。但是,在Shiro中,Subject这一概念并不是"帐户",而是与shrio交互的当前应用。

SecurityManager

SecurityManager是Shiro框架的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm

  • Realm是安全数据源,其中包含认证和授权数据。

    也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

  • 当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。

    Shiro内置了很多可用的安全数据源(又名目录)的Realm, 如果内置的Realm不能满足需求,可以自定义Realm实现。

Apache Shiro与Springboot集成

依赖引入

	<!-- Shiro核心包 -->
	<dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-core</artifactId>
		<version>1.4.1</version>
	</dependency>
	
	<!-- Shiro Web支持包 -->
	<dependency>
	    <groupId>org.apache.shiro</groupId>
	    <artifactId>shiro-web</artifactId>
	    <version>1.4.1</version>
	</dependency>
	
	<!-- Shiro与Spring的集成包 -->
	<dependency>
	    <groupId>org.apache.shiro</groupId>
	    <artifactId>shiro-spring</artifactId>
	    <version>1.4.1</version>
	</dependency>

开发集成shiro的配置类

开发一个集成shiro的spring配置类

@Configuration
public class ShiroConfigure {
	private static final Logger LOG = LoggerFactory.getLogger(ShiroConfigure.class);    
	
	//注册跨域过滤器
	//开发和配置安全数据源
	//配置Shiro安全管理器
	//配置shiro过滤器拦截规则定义
	//配置shiro过滤器
	//配置shiro生命周期管理器
	
}

注册跨域过滤器

shiro过滤器会优先于springboot拦截请求,springboot的跨域设置将不起作用,因此需要专门注册跨域过滤器并设置其为过滤器链中的第一个。

 	@Bean
    public FilterRegistrationBean<CorsFilter> corsFilter() {
        
    	final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        
    	final CorsConfiguration config = new CorsConfiguration();
    	
        // 允许cookies跨域
        config.setAllowCredentials(true);
        
        // 允许向该服务器提交请求的URI,*表示全部允许,在SpringMVC中,如果设成*,会自动转成当前请求头中的Origin
        config.addAllowedOrigin("*");
        
        // 允许访问的头信息,*表示全部
        config.addAllowedHeader("*");
        
        // 预检请求(options请求)的缓存时间(秒),即在这个时间段里,对于相同的跨域请求不会再预检了
        config.setMaxAge(1L);
        
        // 允许提交请求的方法,*表示全部允许
        config.addAllowedMethod("*");
        /*
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        */
        
        //设置允许跨域的路径
        source.registerCorsConfiguration("/**", config);

        FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<CorsFilter>(new CorsFilter(source));
        
        // 设过滤器的优先级
        bean.setOrder(0);

        return bean;
    }

开发和配置安全数据源

   /*
    *   配置安全数据源Realm
    *   此处必须要命名“authorizer”,
    *   因为shiro会自动寻找名称为“authorizer”的、并实现接口Authorizer的对象,
    *   而AuthorizingRealm正是接口Authorizer的实现类
    */
    @Bean("authorizer")
    @Autowired
    public AuthorizingRealm saftyRealm(ShiroService shiroService) {
        
        return new AuthorizingRealm() {

            /**
            * 获取当事人(当前用户)授权信息,shiro在检查访问是否经过授权时需要通过该方法获取授权信息。
            * 参数PrincipalCollection 当事人集合
            */	
            @Override
            protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

                /*
                * 获取登录用户帐号
                */
                CurrUser currUser = (CurrUser) principalCollection.getPrimaryPrincipal();// 获取首要(第一)当事人

                /*
                * 创建授权信息对象
                */
                SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();

                
                        
                /*
                * 查询用户权限,并将权限放入授权信息对象中		 
                */
                List<Module> moduleList = shiroService.getModulesOfUser(currUser.getUserId());
                for (Module module : moduleList) {
                    simpleAuthorizationInfo.addStringPermission(String.valueOf(module.getM_id()));
                }

                // System.out.println(currUser.getUserId()+"->"+simpleAuthorizationInfo.getStringPermissions());

                /*
                * 返回授权信息
                */
                return simpleAuthorizationInfo;
            }

            /**
            * 获取认证信息(即包含当前用户帐户和合法密码等信息)
            * shiro在登录认证时需要通过该方法获取认证信息。
            * 参数 AuthenticationToken 认证令牌(如:一组用户名和密码就是一个认证令牌)
            */
            @Override
            protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)  {

                String userId = (String) token.getPrincipal();// 获得当事人(当前用户账号)

                User user = shiroService.getUser(userId);

                /*
              		如果不存在前用户信息,返回null
                */
                if (user == null) {
                    return null;
                }

                /*
                	创建当前用户
                */
                CurrUser currUser = new CurrUser(user.getU_id(),user.getU_name());
                
                
                /*
                	创建认证信息,三个构造参数含义依次如下:
                	参数1:principal当前用户 
               		参数2:credentials认证凭证(如:口令、密码等)
         			参数3:realm名称
                */
                SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(currUser, user.getU_pwd(), this.getName());

                /*
                	返回认证信息
                */
                return info;
            }
            
        } ;
    }

配置Shiro安全管理器

    @Bean 
    @Autowired
    public org.apache.shiro.mgt.SecurityManager shiroSecurityManager(Realm realm) {
    	DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    	securityManager.setRealm(realm);
    	return securityManager;
    }

配置shiro过滤器拦截规则定义

    @Bean @Autowired
    public ShiroFilterChainDefinition shiroFilterChainDefinition(ShiroService shiroService) {
        
        DefaultShiroFilterChainDefinition chainDefinition = 
                                                    new DefaultShiroFilterChainDefinition();
        
    
        /*
            可匿名访问资源
        */
        chainDefinition.addPathDefinition("/css/**", "anon");
        chainDefinition.addPathDefinition("/elementui/**", "anon");
        chainDefinition.addPathDefinition("/js/**", "anon");
        chainDefinition.addPathDefinition("/safty/login/**", "anon");
        
        
        //加载动态权限 
        List<Module> moduleList = shiroService.getAllSubModules();
        
        String PREMISSION_FORMAT = "authc,perms[{0}]";
        
        //动态权限设置
        for(Module module:moduleList) {
            
        	if(StringUtils.isEmpty(module.getM_url())) {
                continue;
            }
            
            
            chainDefinition.addPathDefinition(module.getM_url().replace("index.html", "**"), MessageFormat.format(PREMISSION_FORMAT, String.valueOf(module.getM_id())));
            
            
        }
        
        //其它资源必须经过认证
        chainDefinition.addPathDefinition("/**", "authc");
        
        LOG.debug("=====Shiro安全规则=======================================================================");
        LOG.debug(chainDefinition.getFilterChainMap().toString());
        LOG.debug("=====Shiro安全规则=======================================================================");
        
        return chainDefinition;
    }
    
}

配置shiro过滤器

    @Bean
    @Autowired
    public ShiroFilterFactoryBean shiroFilter(org.apache.shiro.mgt.SecurityManager securityManager,ShiroFilterChainDefinition shiroFilterChainDefinition) throws Exception {
    
    	ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    	
    	shiroFilterFactoryBean.setSecurityManager(securityManager);

		//设置登录url,shiro发现未认证时自动重定向到该url,如果是前后端分离式开发该url应当发送json串。
    	shiroFilterFactoryBean.setLoginUrl("/loginTo");
    	
    	//设置未授权url,shiro发现未授权时自动重定向到该url,如果是前后端分离式开发该url应当发送json串。
    	shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorizedTo");
    	
    	shiroFilterFactoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition.getFilterChainMap());
    
    	return shiroFilterFactoryBean;
    
    }

配置shiro生命周期管理器

    @Bean
    public org.apache.shiro.spring.LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
    	return new org.apache.shiro.spring.LifecycleBeanPostProcessor();
    }

登录示例

@RestController
@RequestMapping("/safty/login")
public class LoginController {
	
	@Autowired
	private LoginService loginService;
	
	@PostMapping("/user")
	public Result execLogin(@RequestBody UserDto userDto,HttpSession session) {

		try {
			Subject subject = SecurityUtils.getSubject();
			
			//创建登录令牌
			UsernamePasswordToken usernamePasswordToken = 
					new UsernamePasswordToken(userDto.getU_id(),userDto.getU_pwd());
			
			//登录,该方法声明抛出异常,可以捕获异常,并进行应对处理
			subject.login(usernamePasswordToken);
			
			//是否通过认证
			if(subject.isAuthenticated()) {
				
				//获得当前用户信息
				CurrUser currUser = (CurrUser)subject.getPrincipal();
				
				//将当前用户放入Session。注:这里的Session是由Shiro提供的。
				subject.getSession().setAttribute(Constants.SESSINON_ATTR_NAME_CURR_USER, currUser);
				
				
				return Result.successResult("登录成功!");
			}
			
			return Result.failResult("登录失败!");
			
		} catch (UnknownAccountException e) {
			return Result.failResult("用户名不存在!");
	    	
	    } catch (IncorrectCredentialsException e) {
	    	return Result.failResult("账户密码不正确!");
	    } catch (LockedAccountException e) {
	    	return Result.failResult("用户名被锁定 !");
	    }catch (Exception e) {
			e.printStackTrace();
			return Result.failResult("系统错误!");
		}
		
	}

}

退出示例

@RestController
@RequestMapping("/safty/logout")
public class LoginController {
	
	@Autowired
	private LoginService loginService;
		
	@DeleteMapping("/logout")
	public ResultDto login_authentication() {
		
		try {
			//注销
			SecurityUtils.getSubject().logout();
			return Result.successResult();
		} catch (Exception e) {
			return Result.failResult("退出失败!");
		}
	}
}

测试

上述配置和相关代码开发完成后,即可进行测试调试。

夏冬琦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Shiro
WDH_05的博客
12-06 346
1,前言 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 创建用户,分配权限。 用户登录,权限拦截器拦截请求,识别当前用户登录信息 从权限表中判断是否拥有权限 从以上步骤中可以提取到以下三个问题。 1.如何让Shiro拦截请求。     在web开发中,Shiro会提供一个拦截器来对请求进行拦截。 2.Shiro如何判断发起请求用户的身份?     在web开发中,会借助session来判断,如果禁用了
shiro spring boot starter 集成
luhaichuan88的博客
12-21 733
因为shiro是一个集合了认证授权的框架,因此既可以用来做登陆认证,也可以用来做用户授权,本次已经将shiro结合spring boot 做成了一个可配置的sdk,方便以后其他项目的使用。 使用时只需配置4步即可完成授权认证的相关功能 1、pom.xml 文件引入相关sdk <dependency> <groupId>com.shiro.authorization</groupId> <artifactId>shiro-spring-boot..
SpringBoot框架整合Shiro
happy_wang_wang的博客
06-06 649
shiro框架的基本使用和介绍详情可见下面这篇文章供大家了解和参考: springbootshiro框架的整合 本文使用的SpringBoot版本如下是2.7.0引入依赖: 编写自定义的Realm继承AuthorizingRealm重写两个方法
Shiro(一) Shiro整合SpringBoot快速开发
Hello World!
09-01 608
Shiro是apache旗下的一个开源的java安全框架,它将软件系统的安全认证和权限管理相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等,组成了一个通用的安全认证框架。记住一点,Shiro 不会去维护用户、维护权限,这些需要我们自己去设计 / 提供,然后通过相应的接口注入给 Shiro 即可...
Springboot整合Shiro
qq_45924373的博客
03-19 194
Springboot整合Shiro 1.springboot整合shiro有两种方式,导入的包不同 第一种 第一步:只导入依赖 shiro-all <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.7.1</version> </dependency>
springboot 集成shiro代码实例
08-28
SpringBoot集成Shiro是Java开发中常见的权限管理实践,它结合了SpringBoot的便捷性和Apache Shiro的安全特性,为Web应用程序提供了用户认证和授权的解决方案。以下是对这一主题的详细阐述: 1. **SpringBoot简介**...
springboot+shiro.zip
05-08
SpringBootShiro是两个常重要的Java开发框架,它们在构建高效、简洁的Web应用程序时起着关键作用。SpringBoot简化了Spring应用的初始...这个代码案例对于学习和实践SpringBootShiro集成具有很高的参考价值。
SpringBoot集成 Shiro安全框架【完整源码+数据库】
最新发布
02-16
本教程将详细讲解如何在SpringBoot项目中集成Shiro,以实现完整的权限管理。 **一、Shiro基础** Shiro的核心组件包括Subject、Realm、Session管理和Cryptography。Subject是Shiro框架中的核心概念,代表当前用户的...
springboot+shiro+redis整合
03-12
1. **引入依赖**:在SpringBoot的pom.xml文件中添加Shiro和Redis的相关依赖,例如`spring-boot-starter-data-redis`和`shiro-spring-boot-starter`。 2. **配置Redis**:在application.properties或application.yml...
springboot集成freemarker和shiro框架
03-14
**SpringBoot集成Freemarker与Shiro框架详解** 在现代Web开发中,SpringBoot因其简洁、高效的特性,已经成为很多开发者的选择。而FreeMarker和Shiro则分别是常用的模板引擎和安全框架,它们能帮助我们构建出功能...
shiro-starter:一个spring boot shiro starter的轮子 2.x版本
05-14
简介 由于官方的提供的功能过于简单,因此这里又造了一个加强版的轮子。 为什么选择shiro-starter 对比官方的startershiro-starter: 是在官方starter的基础上扩展的,兼容官方starter 将更多的参数配置化,使用起来更方便、灵活 提供两种运行模式 SESSION模式[默认]:与Shiro官方提供的starter无二 STATELESS模式:无状态模式,也是现在许多大型系统喜欢采用的认证模式 提供了一些常见的认证方案支撑(如JWT),通过简单配置即可集成 版本信息 spring-boot: 1.5.9.RELEASE shiro-spring: 1.4.0-RC2 关于Spring Boot 2.x 该starter没有刻意针对Spring Boot 2.x做兼容,不过就实际使用反馈来说,在2.x环境下也暂时并没有出现什么兼容性问题,因此2.x用户也可以
shiro-openid-spring-boot-starter
02-10
shiro-openid-spring-boot-starter shiro openid弹簧启动器 说明 基于Shiro的Spring Boot Starter实现 默认的Handler实现 实现基于责任链式的消息分布 Maven < dependency> < groupId>${project.groupId}</ groupId> < artifactId>shiro-biz-spring-boot-starter</ artifactId> < version>${project.version}</ version> </ dependency> 样品
Springboot整合shiro(及yaml配置形式)
Dreamer.
10-09 9016
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: 1. Subject:主体,一般指用户。 2. SecurityManager:安全管理器,管理所有Subject,可以配合...
SpringBoot整合shiro
Deeeelete的博客
05-29 309
一:创建springboot项目 导入thymeleaf依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <dependency> <groupId>org.thymeleaf</groupId> &.
2021-07-09 springboot 整合shiro(前后端分离解决方案)
worimadeca的博客
07-09 1625
springboot 整合shiro(前后端分离解决方案) 前言 网上大多数关于springboot整合shiro的教程是前后端分离的,认证、授权失败的处理都是页面跳转,不是返回json数据,本文旨在解决这一问题。 目标 登录失败,不跳转页面,返回 Json 字符串 {code:xxx, msg:xxx} 权限不足时,不跳转页面,返回 Json 字符串 {code:xxx, msg:xxx} 跳转到哪里去,由前端自己判断 怎么做 创建springboot项目,引入依赖 pox.xml pom.x
SpringBoot整合Shiro安全框架(一)
weixin_45150104的博客
11-06 287
综述:    Shiro框架是Apache旗下的一个开源项目,它是轻量级安全框架,常简便易用,同Spring旗下的Security安全框架相比较,它更加简便,易用和灵活,没有Security复杂。Shiro包括:认证、授权、加密和会话管理等功能。 主要功能:    1、验证用户身份    2、用户授权,权限访问    3、支持单点登录(SSO)功能    4
Shiro入门
Pancras_gc
09-21 221
导入坐标 //版本太高会不兼容 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.5.3</version> ...
shiro-spring-boot-starter
warrah 南极狼
12-10 1311
springboot shiro
SpringBootShiro整合实现权限管理
SpringBoot整合Shiro搭建权限管理组织系统涉及到的关键技术点包括SpringBoot的基础配置、Shiro的安全框架集成以及权限管理的实现。 一、SpringBoot入门 1. **创建Maven工程**:SpringBoot项目通常基于Maven构建,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值