Spring Boot+Shrio(Java安全框架)1

最新推荐文章于 2023-06-16 21:46:38 发布
最新推荐文章于 2023-06-16 21:46:38 发布
阅读量225 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smile_68/article/details/90666591
版权

1.Spring Boot 框架简介

Spring的诞生是java企业版(Java Enterprise Edition,J2EE)的轻量级代替品,无需开发重量级Enterprise JavaBean(EJB),Spring为企业级Java开发提供了一种相对简单的方法,通过依赖注入和面向切面编程,用简单的java对象实现EJB的功能。

虽然spring的组件代码是轻量级的,但是它的配置却是重量级的。

Spring boot 简化了基于spring的应用开发,只需要”run"就能创建一个独立的、生产级别的spring应用。springboot 为spring平台及第三方库提供开箱即用的设置(提供默认配置)。

 

2.Shiro框架简介

 Apache Shiro 是一个Java安全框架,执行身份验证、授权、密码学和会话管理

Apache Shiro 体系结构:

  • Authentication  认证--------用户登录
  • Authorizaiton    授权-----用户具体有哪些权限
  • Cryptography   安全数据加密
  • Session Management 会话管理

3.Spring boot 与Shiro整合实现用户认证

 3.1 分析Shiro的核心API

Subject: 用户体(把操作交给SecurityManager)

SecurityManager: 安全管理器(关联Realm)

Realm: shiro链接数据的桥梁

3.2 Spring boot整合Shiro

3.2.1 导入shiro与spring整合依赖

修改pom.xml文件

3.2.2 自定义Real类

/**
 * 之定义Realm
 */
public class UserRealm extends AuthorizingRealm {
    /**
     * 执行授权逻辑
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权逻辑");
        return null;
    }

    /**
     * 执行认证逻辑
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证逻辑");
        return null;
    }
}

3.2.3 编写shiro配置类

/**
 * shiro配置类
 */
@Configuration
public class ShiroConfig {
    /**
     * 创建ShiroFilterFactoryBean
     */
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        return shiroFilterFactoryBean;
    }

    /**
     * 创建DefaultWebSecurityManager
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //关联realm
        securityManager.setRealm(userRealm);
        return securityManager;
    }


    /**
     * 创建Realm
     */
    @Bean(name = "userRealm")
    public UserRealm getRealm(){
        return new UserRealm();
    }
}

3.2.4 使用shiro内置过滤器实现页面拦截

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * shiro配置类
 */
@Configuration
public class ShiroConfig {
    /**
     * 创建ShiroFilterFactoryBean
     * getShiroFilterFactoryBean完成后,应该使用bean注解,
     * 把shiroFilterFactoryBean放入spring中,让spring知道创建了一个shiroFilterFactoryBean对象
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //添加shiro内置过滤器
        /**
         * shiro内置过滤器,可以实现权限相关的拦截器
         *  常用的过滤器:
         *     anon:无需认证(登录)可以访问
         *     authc:必须认证才可以访问
         *     user:如果使用rememberMe的功能可以直接访问
         *     perms:该资源必须得到资源权限才可以访问
         *     role:该资源必须得到角色权限才可以访问
         */
        Map<String, String> filterMap = new LinkedHashMap<String, String>();
        /**
         *   已 "/add"开头的接口 ,使用authc过滤
         */
        filterMap.put("/add", "authc");
        filterMap.put("/update", "authc");
        //user目录下的所有都是要authc权限
//        filterMap.put("/user/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        //修改调整的登录页面
        shiroFilterFactoryBean.setLoginUrl("/toLogin");
        return shiroFilterFactoryBean;
    }

3.3 实现用户认证(登录)操作

3.3.1 编写controller的逻辑

    @RequestMapping("/login")
    public String login(String name,String password){
        /**
         * 使用shiro编写认证操作
         */
        // 1.获取Subject
        Subject subject= SecurityUtils.getSubject();
        // 2. 封装用户数据
        UsernamePasswordToken token=new UsernamePasswordToken(name,password);
        // 3.执行登录方法
        try {
            subject.login(token);//只要走login方法就会执行ShiroConfig中的DefaultWebSecurityManager方法(认证逻辑)
            //登录成功
//            跳转到test.html,redirect跳转
            return "redirect:/testThymeleaf";
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            /**
             *          密码错误      IncorrectCredentialsException
             */
            model.addAttribute("msg","密码错误");
            return  "login";
        }catch (UnknownAccountException e){
            /**
              * 登录失败:用户名不存在   UnknownAccountException
             */
            model.addAttribute("msg","用户名不存在");
            return  "login";
        }

    }

3.3.2  编写Realm的判断逻辑

/**
 * 之定义Realm
 */
public class UserRealm extends AuthorizingRealm {
    /**
     * 执行授权逻辑
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权逻辑");
        return null;
    }

    /**
     * 执行认证逻辑
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
        System.out.println("执行认证逻辑");
        //假设数据库的用户名和密码;
        String name="ano";
        String password="123456";
        //编写shiro判断逻辑,判断用户名和密码
//        1.判断用户名
        if(!token.getUserName().equals(name)){
//            用户名不存在
            return null;//shiro底层会抛出UnknownAccountException
        }
//        2.判断密码
        return new SimpleAuthenticationInfo("",password,"");
    }
}

4. mybatis整合

4.1导入mybatis相关依赖

4. 2 配置文件 application.properties

位置:根目录src/main/resources

参数:连接数据库的参数、 阿里连接池参数

spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/yunshan?characterEncoding=utf-8&useSSL=true&useUnicode=true
spring.datasource.username=root
spring.datasource.password=123456

spring.datasource.type=com.alibaba.druid.pool.Druid

 

smile&$
关注
Springboot整合安全框架
dongrixueyang的博客
02-07 4814
Springboot 整合安全框架 Spring Security 一、Spring Security是什么 按照官网解释,Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。参见 Spring Security 中文手册 。 二、Spring Security 核心模块 认证(Authentication) 验证某个用户是否为系统中的合法主体,也就是说用
Spring Boot 安全框架 Spring Security & Shiro
陌尘吖的博客
08-16 477
1、 Spring Security 1.1、概述 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean ,充分利用了 Spring IoC , DI (控制反转 Inversion of Control, DI:Dependency Injection 依赖注入)和 AOP (面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码
SpringBoot整合SpringSecurity安全框架
weixin_43246215的博客
09-06 1179
目录官方文档以及参考资料安全简介SpringSecurity的简介项目环境搭建1、新建一个SpringBoot项目,导入Web的功能,添加Thymeleaf依赖。2、导入素材到static内,导入页面到templates目录下,并且在application.yml文件中关闭模板引擎缓存3、书写跳转的页面Controller,启动测试一下认识SpringSecurity用户认证和权限控制编写配置类SecurityConfig授权管理请求身份认证内存中的身份认证JDBC验证(参考)注销和权限控制注销权限控制记住
6.Springboot集成安全框架
小门的博客
08-24 506
艾编程架构课程第十节笔记未完待续SpringSecurity1.Springboot集成SpringSecurity1.1SpringSecurity简介WebSecurityConfigurerAdpater:AuthenticationManagerBuilder:1.2开始导入SpringSecurity SpringSecurity 1.Springboot集成SpringSecurity 它是一个安全组件:shiro 在web开发中,安全是第一位的,我们可以通过拦截器、过滤器来做权限认证 安全应该在
SpringBoot——安全框架SpringSecurity
仙女的博客
03-29 804
SpringSecurity是撒子? SpringSecurity是针对Spring项目的安全框架,是身份认证和访问控制(授权)的一个框架。之前我们都是使用拦截器来实现,但是大量的原生代码,太繁琐,所以就有了SpringSecurity。 WebSecurityConfigurerAdapter:自定义sercurity策略 AuthenticationManagerBuilder:自定义认...
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
Spring Boot、Shiro和MyBatis这三大框架的组合提供了一种高效且灵活的方式来实现这一目标。本项目通过集成这三个工具,能够根据用户的登录身份展示不同的权限菜单,确保了用户只能访问他们被授权的功能。 **Spring ...
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。下面将详细阐述它们在权限认证管理中的应用及其相关知识点。 一、Spring Boot 概述 ...
spring-boot+shiro+jpa
07-12
在IT领域,Spring Boot、JPA(Java Persistence API)和Shiro都是常见的技术框架,用于构建高效、便捷的Web应用程序。下面将详细解释这三个技术及其在"spring-boot+shiro+jpa"项目中的应用。 首先,Spring Boot是...
spring boot+shiro
02-11
Spring Boot和Shiro是两个在Java开发中广泛使用的框架,它们在构建权限管理系统中发挥着重要作用。Spring Boot简化了Spring应用程序的配置和启动过程,而Apache Shiro则是一个强大且易用的安全框架,用于处理认证、...
spring boot+shiro.zip_java shir_springBoot 权限
09-20
在IT领域,Spring Boot和Shiro是两个非常重要的框架,它们在构建现代Java Web应用程序时起着关键作用。本文将详细介绍如何使用Spring Boot与Shiro结合,并利用Redis来实现细粒度的权限控制。 首先,Spring Boot是...
spring boot集成shrio
11-15
spring boot 集成 权限框架shrio 适合ajax开发模式
Spring boot安全框架spring security09
helloworld工程师的博客
08-16 194
Spring boot安全框架spring security09 web安全 在我们之前学到的技术中,关于web安全方面了解到过滤器,拦截器,来保护我们的网站安全. 安全框架 shiro,spring security. 主要处理认证和授权. spring security的简介 也是spring系列的产品,主要处理身份验证和权限控制也就是我们说的认证和授权.是一个强大的身份验证和访问控制的自定义框架对于我们的java应用(不仅限于我们的web开发),比我们之前了解到的过滤器和拦截器更加的简
SpringBoot 两大安全框架 Shiro 和 SpringSecruity
纯纯打工人
02-27 364
SpringBoot的默认安全技术模块 1、需要引入的starter spring-boot-starter-security 2、关联到的类 WebSecurityConfigurationAdapter: 【适配器模式】自定义Security策略 AuthenticationManagerBuilder【建造者模式】自定义认证策略 @EnableWebSecurity 开启WebSecurity模式 ...
SpringBoot 中使用Security安全框架
热门推荐
技术无止境
04-25 2万+
网上有很多关于SpringBoot中使用SpringSecurity安全框架的教程,但是都是讲的不够清晰易懂,首先来讲,为什么我们要使用SpringSecurity,以前没有这个框架的时候,我们要想实现权限页面拦截,都采用的拦截器(interceptor)或者过滤器(filter),特别的麻烦,在使用SpringSecurity后,一切都变的很简单,只需要几个简单的配置就能实现权限身份认证已经对数...
springboot配置security安全框架
kobe_IT的博客
03-20 1822
springboot配置security安全框架
Springboot--整合安全框架Spring Security
sout
11-28 266
Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。几个类: WebSecurityConfigurerAdapter:自定义Security策略 Authenticat...
SpringBoot安全框架 Spring Security 详解一
small_love的专栏
12-09 820
一、基本用法 1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置方案,可以让Spring Security的使用更加便捷。 2,安装配置 我们只需要编辑pom.xml,添加spring-boot...
Spring Security权限taglib
qq的博客
08-19 2585
应用标签库: 是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数: ifAllGranted——是一个由逗号分隔的权限列表,用户必须拥有所有列出的权限时显示; ifAnyGranted——是一个由逗号分隔的权限列表,用户必须至少拥有其中的一个权限时才能显示; ifNotGranted——是一个由逗号分隔的权限列表,用户未拥有所有列出的权限时才能显
SpringSecurity框架快速搭建(SpringBoot整合Security)
最新发布
weixin_67573348的博客
06-16 1680
框架整合
Spring Boot + Shiro + JWT:前后端分离权限管理实战
Shiro是一个强大的企业级身份和访问管理框架,而JWT则用于安全地在客户端和服务端之间传递信息,特别适用于无状态的API。 首先,确保在项目的pom.xml文件中添加了Shiro和JWT的相关依赖。Shiro的版本是1.4.0,这里...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值