springboot集成shiro

最新推荐文章于 2021-12-08 15:33:43 发布
最新推荐文章于 2021-12-08 15:33:43 发布
阅读量101 收藏
点赞数 1
分类专栏: springboot 文章标签: shiro spring 过滤器 springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/super1223/article/details/118548008
版权

springboot集成shiro

未命名文件 (3)

Shiro和Security其实还是蛮类似的,至少大致的流程是差不多的,区别在于

  • shiro通过token来传递前端的数据,而Security通过绑定特定的页面和属性来实现前端数据的传输。
  • shiro和Security对数据处理功能的封装方式不一样。

而如果我们需要使用Security,只需要自定义一个AuthorizingRealm,并且将自定义的Realm注入容器,并且设置为DefaultWebSecurityManagerInfo的属性,并将DefaultWebSecurityManagerInfo注入到容器,并且设置为ShiroFilterFactoryBean的属性即可。将ShiroFilterFactoryBean注入到IOC容器。

下面用一个Demo来讲解一下大致流程

  1. 前端发送请求

    <a th:href="@{/user/add}">add</a>

  2. 拦截请求并处理,需要拦截请求,配置我们的Shiro

    package com.lyj.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    //整合shiroDialect:用来整和shiro thymeleaf
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }

    //1.Realm 授权器注入容器
    @Bean
    public MyRealm myRealm(){
        return new MyRealm();
    }

    //2.DefaultWebSecurityManager权限管理器注入容器,在权限管理器加入我们自己的授权器
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("myRealm") MyRealm myRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm
        securityManager.setRealm(myRealm);
        return securityManager;
    }


    //3.ShiroFilterFactoryBean 权限规则设置工厂注入容器,在
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultWebSecurityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //添加shiro的内置过滤器
        /**
         * anon:无需认证即可访问
         * authc:必须认证才可以访问
         * user:必须拥有 记住我 才能用
         * perms:拥有对某个资源的权限才能访问
         * role: 必须拥有某个权限才能访问
         * */

        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/user/add","perms[user:add]");
        filterMap.put("/user/update","perms[user:update]");
        filterMap.put("/user/*","authc");
        //filterMap.put("/user/*","authc");

        //放入过滤链中
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        //设置登录的请求
        shiroFilterFactoryBean.setLoginUrl("/toLogin");

        //设置权限验证失败界面
        shiroFilterFactoryBean.setUnauthorizedUrl("/noauth");

        return shiroFilterFactoryBean;
    }

}


    package com.lyj.config;


import com.lyj.pojo.User;
import com.lyj.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

//自定义realm
public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权中");

        //授权器
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //info.addStringPermission("user:add"); //全部统一加上权限。

        //it acquires the Subject based on user data associated with current thread or incoming request.
        //获取当前线程的用户
        Subject subject = SecurityUtils.getSubject();

        //Returns this Subject's principals (identifying attributes) in the form of a {@code PrincipalCollection}
        //获取当前subject的身份属性(之前封装成了token)
        User user = (User) subject.getPrincipal();

        //设置用户当前权限
        info.addStringPermission(user.getPerms());
        return info;
    }

    //从数据库中拿到用户名与密码,并验证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("验证密码中");

        //2.得到前端存入的token
        UsernamePasswordToken token= (UsernamePasswordToken) authenticationToken;

        User user = userService.queryUserByName(token.getUsername());
        if (user==null){
            return null;    //
        }

        SecurityUtils.getSubject()
                .getSession()
                .setAttribute("loginUser",user.getName());
        //密码认证,shiro做
        System.out.println("密码验证中");
        return new SimpleAuthenticationInfo(user,user.getPwd(),"");
    }
}

  3. 将前端的请求进行过滤

    Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","perms[user:update]");
filterMap.put("/user/*","authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

  4. 若不在过滤规则,放行

    若已登陆,无权限访问,跳转到指定页面

    shiroFilterFactoryBean.setUnauthorizedUrl("/noauth");

    若未登录,跳转到登录页面的请求

    shiroFilterFactoryBean.setLoginUrl("/toLogin");

  5. 定义跳转到登录页面的请求

    @RequestMapping("/toLogin")
public String toLogin(){
    return "login";
}

  6. 登录页面发送登录请求

    <form th:action="@{/login}">
    <input name="username" type="text">
    <input name="password" type="password">
    <input type="submit" value="提交">
</form>

  7. 定义登录请求(传入参数,封装到token中,调用shiro处理)

    @RequestMapping("/login")
public String login(String username, String password, Model model){
    System.out.println("我刚通过login接口进入");
    //获取当前用户
    Subject subject = SecurityUtils.getSubject();    //it acquires the Subject based on user data associated with current thread or incoming request.
    //封装用户数据
    System.out.println("封装前端的数据");
    UsernamePasswordToken token = new UsernamePasswordToken(username, password);
    System.out.println("封装完毕");
    //执行登录方法
    try{
        //将封装的信息放入subject并且调用shiro的拦截验证
        subject.login(token);
        return "index";
    }catch (UnknownAccountException e){ //用户名不存在
        model.addAttribute("msg","用户名不存在");
        return "login";
    }catch (IncorrectCredentialsException e){
        model.addAttribute("msg","密码错误");
        return "login";
    }

}

  8. 验证用户名是否正确

    @Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    System.out.println("验证密码中");

    //2.得到前端存入的token
    UsernamePasswordToken token= (UsernamePasswordToken) authenticationToken;

    User user = userService.queryUserByName(token.getUsername());
    if (user==null){
        return null;    //
    }

    SecurityUtils.getSubject()
            .getSession()
            .setAttribute("loginUser",user.getName());
    //密码和用户名认证,shiro做
    System.out.println("密码验证中");
    return new SimpleAuthenticationInfo(user,user.getPwd(),"");
}

  9. 给用户授予权限

    //授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println("授权中");

    //授权器
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    //info.addStringPermission("user:add"); //全部统一加上权限。

    //it acquires the Subject based on user data associated with current thread or incoming request.
    //获取当前线程的用户
    Subject subject = SecurityUtils.getSubject();

    //Returns this Subject's principals (identifying attributes) in the form of a {@code PrincipalCollection}
    //获取当前subject的身份属性(之前封装成了token)
    User user = (User) subject.getPrincipal();

    //设置用户当前权限
    info.addStringPermission(user.getPerms());
    return info;
}

  10. 再次经过过滤链过滤请求

    Map<String, String> filterMap = new LinkedHashMap<>();
filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","perms[user:update]");
filterMap.put("/user/*","authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

  11. 请求通过

去海边钓猪
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springBoot集成shiro
06-20
该demo实现了:spring集成shiro。 用户角色校验,用户权限校验。链接mysql。 对应文章url: https://blog.csdn.net/zhou199252/article/details/80741361
SpringBoot集成Shiro安全框架
m0_54849806的博客
03-29 652
SpringBoot集成Shiro安全框架 1.shiro的定义 2.SpringBoot集成shiro的步骤 3.完成的效果 1.shiro的定义 1.shiro的作用 认证、授权、加密、会话管理、Web集成、缓存 2.shiro的名词 Authentication:身份认证/登录,验证用户是不是拥有相应的身份 Authorization:授权,即权限 管理,验证某个人已经登录的人是否拥有某些权限 Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前所有的
Springboot集成Shiro--自定义权限过滤器
PrimaryMe的博客
11-15 1381
在使用Shiro进行权限判断的时候,某一个访问路径,可能只需要两种权限的其一个,就可以访问。但是Shiro,提供的权限过滤,必须都满足两个权限之后,才能访问,这样会造成一些权限控制的不合理人性化。因此自定义权限过滤器是非常有必要的,在日后的开发,自定义权限过滤器是很频繁的操作。
springboot+shiro
weixin_41988875的博客
11-01 644
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于Spr...
springboot整合shiro(超详细,你想要的都在这了)
热门推荐
GOV_D的博客
12-08 1万+
Springboot整合Shiro 文章目录pom依赖前端页面(thymeleaf整合shiro)thymeleafshiro标签解释数据库理解shiro的几个组成部分编写Shiro配置类 pom依赖 <dependencies> <!--thymeleaf--> <dependency> <groupId>org.springframework.boot</groupId>
SpringBoot集成Shiro、Jwt和Redis
10-24
SpringBoot集成Shiro、Jwt和Redis,使用MyBatisPlus框架实现后台数据库操作。
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
主要介绍了SpringBoot集成Shiro进行权限控制和管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot集成富文本编辑器
super1223的博客
07-07 1751
springboot集成富文本编辑器 Editor.md : The open source embeddable online markdown editor (component), based on CodeMirror & jQuery & Marked. Editor.md:一款开源的在线富文本编辑器,需要在jQuery或者CodeMirror或者Marked的支持下使用 Full-featured: Real-time Preview, Image (cross-domain)
最详细简单的开始一个Maven示例(图文)
super1223的博客
12-04 1179
idea快速开始一个简单的Maven示例 1.创建Maven工程 1.选择New Project新建一个工程 2.选择Maven选项,选择SDK。 3.自定义名字和位置。 2.导入springboot相关的依赖 1,浏览器上找到springboot的官网,然后点击->学习->参考文献。按步骤点击,如果想快一些的直接跳到第三步。 2,点击Get start 3,找到Creating the POM。在Maven项目的pom文件加入以下springboot相关依赖。 <!--快速.
SpringBoot个性化定制启动banner图案
super1223的博客
07-03 835
SpringBoot个性化定制启动banner图案 我们正常在启动项目时,springboot的默认启动banner是这样的 而这个图案是默认的,我们可以专门为其定制化我们喜欢的banner 在resourse文件目录下新建一个banner.txt文件 生成banner 我们可以在线生成我们的bannerSpring Boot banner在线生成工具,制作下载banner 拷贝结果到banner.txt文件(不能直接复制文件至文件目录,会出问题) 重启项目,查看结果 这样一个有意思的个
springboot定制error错误页面
super1223的博客
07-07 583
springboot定制error错误页面 在大部分时候,一个网站都不会让一个用户在自己域名上访问的时候出现原生的错误页面。 我们在templates目录下新建一个error文件夹,放入自定义的404.html,500.html,4xx.html即可解决这个问题。 ...
Thymeleaf的使用与整合Springboot
super1223的博客
07-03 577
目录springboot整合ThymeleafThymeleaf用法Thymeleaf常用语法th:text,th:utext,th:content渲染对象th:if,th:each,th:switchURl的渲染组件组件传递参数(可以重载)组件使用页面的参数局部替换组件基本对象ctx:上下文对象请求/会话属性工具类支持渲染的属性 springboot整合Thymeleaf 在spring使用spring5 和thymeleaf-extras-java8time这两个依赖来整合thymeleaf。而在sp
Springboot之yaml语法与使用
super1223的博客
07-03 463
yml语法 在springboot,我们可以使用两种配置文件形式 application.properties 语法结构 : key=value application.yml 语法结构 :key:空格 value 这两种形式都一定成都上简化了我们以前使用xml配置文件的方式。 而一些稍微复杂的yml语法在这里简单的记录一下。 普通的值 [ 数字,布尔值,字符串 ] 普通的值直接写在后面即可,没有特殊格式,字符串默认不用引号。 k: v 双引号不会转义特殊字符,特殊字符出现效果。
springboot自动配置MVC原理
super1223的博客
07-03 309
目录springboot自动配置MVC原理分析内容协商视图解析源码,加入我们自己的视图解析器。横向拓展功能 springboot自动配置MVC原理 springboot官方文档对springboot的MVC配置原理是这么说明的: 官方说明 Spring MVC Auto-configuration // Spring Boot为Spring MVC提供了自动配置,它可以很好地与大多数应用程序一起工作。 Spring Boot provides auto-configuration for Spring M
Springboot网站角标个性化
super1223的博客
07-03 300
网站角标个性化 在SpringBoot2.2.x之前的版本Spring Boot对Favicon进行了默认支持。 只需要将favicon.ico图标文件放在四个静态资源目录任意一个。 并需要在application.yml通过如下配置关闭默认的图标 spring.mvc.favicon.enabled=false #关闭 这样简单的方式下,就可以将网站图标进行个性化定制。 但是在SpringBoot2.2.x之后,由于提供默认的Favicon可能会导致网站信息泄露。所以不再提供默认的方式进行角
idea快速打包Springboot应用
super1223的博客
12-04 288
springboot应用打包一个可执行的jar包1.导入插件2.运行插件3.找到存储位置4.运行jar包 1.导入插件 1.1 在pom文件导入maven插件,如下代码: <!-- 打包使用的插件,能够将应用打包成一个可执行的jar包--> <build> <plugins> <plugin> <groupId>org.springframework.boot

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值