Spring Boot 整合 Shiro 实现 Token 的登录和认证

最新推荐文章于 2024-04-15 18:08:17 发布
最新推荐文章于 2024-04-15 18:08:17 发布
阅读量5.9k 收藏 30
点赞数 8
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011202388/article/details/105534623
版权

Spring Boot 2.X 实战--Shiro (Token)登录和验证

 

主要介绍了 Spring Boot 整合 Spring Security 实现 Token 的登录和认证,这一小节中,我们将实现 Spring Boot 整合 Shiro 实现 Token 的登录和认证。

目录结构

1)Apache Shiro 简介

2)Shiro 项目配置

2.1)项目配置

3)开始使用 Shiro

2.1)实体类 Entity 和 Mapper

2.2)Token 配置

2.3)Shiro 配置

2.4)登录和注册接口

2.5)Shiro 的权限和角色

1)Apache Shiro 简介

在前面介绍过,Java 开发常用的安全框架有 Spring Security 和 Apache Shiro,这里将简要介绍一下 Shiro,Shiro 是一个功能强大的开源安全框架:

Apache Shiro™是一个功能强大且易于使用的 Java 安全框架,用于执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。

对于使用 Shiro,需要了解其三个核心概念:

  • Subject:主题,是一个安全术语,表示“当前正在执行的用户”

  • SecurityManager :  安全管理器,是 Shiro 的核心,提供各种安全管理的服务和管理所有的 Subject。

  • Realm : Realm 是应用程序和安全数据之间的“桥梁”或者“连接器”,当 Shiro 需要和安全数据(例如:用户账户信息)交互以实现身份验证(登录认证)和授权(访问控制),Shiro 会通过其配置的一个或者多个 Realm 实现。

扩展阅读:http://shiro.apache.org/architecture.html

2)Shiro 项目配置

新建一个项目,07-shiro,记得勾选 MySQL,MyBatis,Web 依赖。对于 Maven 项目,同样是在文章最后面给出对应的依赖配置。

Gradle 项目配置

 1    implementation 'org.springframework.boot:spring-boot-starter-web'
 2    implementation 'org.mybatis.spring.boot:mybatis-spring-boot-starter:2.1.2'
 3    runtimeOnly 'mysql:mysql-connector-java'
 4    testImplementation 'org.springframework.boot:spring-boot-starter-test'
 5    // https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-web-starter
 6    compile group: 'org.apache.shiro', name: 'shiro-spring-boot-web-starter', version: '1.5.2'
 7    // https://github.com/jwtk/jjwt
 8    compile 'io.jsonwebtoken:jjwt-api:0.11.1'
 9    runtime 'io.jsonwebtoken:jjwt-impl:0.11.1',
10            // Uncomment the next line if you want to use RSASSA-PSS (PS256, PS384, PS512) algorithms:
11            //'org.bouncycastle:bcprov-jdk15on:1.60',
12            // or 'io.jsonwebtoken:jjwt-gson:0.11.1' for gson
13            'io.jsonwebtoken:jjwt-jackson:0.11.1'

2.1)项目配置

配置 MySQL 数据库和 MyBatis 驼峰命名转换,application.properties

1# 数据库 URL、用户名、密码、JDBC Driver更换数据库只需更改这些信息即可
2# MySQL 8 需要指定 serverTimezone 才能连接成功
3spring.datasource.url=jdbc:mysql://localhost:3306/spring?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC
4spring.datasource.password=xiaoxian
5spring.datasource.username=root
6spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
7# MyBatis 驼峰命名转换
8mybatis.configuration.map-underscore-to-camel-case=true

添加 @MapperScan

1@MapperScan("org.xian.security.mapper")
2public class SecurityApplication {}

3)开始使用 Shiro

项目的主要结构:

  • controller 包:API 接口

  • service 包:为 API 提供接口服务

  • mapper 包:MyBatis Mapper 类

  • entity 包:实体类

  • Shiro 包:Token 拦截验证、Token 生成、Shiro 的 Realm 等配置

MyResponse :公共 Response 返回消息类:

1public class MyResponse implements Serializable {
2    private static final long serialVersionUID = -2L;
3    private String status;
4    private String message;
5}

2.1)实体类 Entity 和 Mapper

这里的表结构和上一节一样, 用户表 sys_user

字段 类型 备注
user_id bigint 自增主键
username varchar(18) 用户名,非空唯一
password varchar(128) 密码,非空
user_role varchar(8) 用户角色(USER / ADMIN)
user_permission varchar(36) 用户权限

这里用户角色有 USER / ADMIN ,对于一个用户可能有多个角色的情况暂不考虑。

 

Shiro 可以指定相应的权限控制,比如 Update 的权限,Create 的权限,使得可以更加细粒度的控制。这里的权限用英文分号 , 直接隔开,例如:update,create,delete ,表示该用户具有 Update 等三个权限。

 

密码使用 HASH 散列加密。

SQL

 1create table sys_user
 2(
 3    user_id         bigint auto_increment,
 4    username        varchar(18)  not null unique,
 5    password        varchar(128) not null,
 6    user_role       varchar(8)   not null,
 7    user_permission varchar(36)   not null,
 8    constraint sys_user_pk
 9        primary key (user_id)
10);

Entity 实体类:新建 package,名称为 entity 。在 entity下新建一个 SysUser 类:

1public class SysUser implements Serializable {
2    private static final long serialVersionUID = 4522943071576672084L;
3    private Long userId;
4    private String username;
5    private String password;
6    private String userRole;
7    private String userPermission;
8    // 省略 getter setter constructor
9}

Mapper 接口类:新建包 mapper,新建 SysUserMapper 类:

 1
最低0.47元/天 解锁文章
IT民工_GG
关注
  • 8
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5007
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
Springboot整合shiro_springboot shiro,带你一起探究网络安全事件分发机制
最新发布
m0_62289824的博客
04-15 718
加盐的意思就是加上。
008-shiro使用token认证
这个需求,做不了
05-25 8359
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
Shiro实现Token认证
梅子黄时雨
05-10 1318
shiro使用
springboot+shiro+jwt实现基于token的无状态授权认证
书生灬今天不吃饭的博客
07-11 1978
springboot+shiro+jwt实现基于token的无状态登录鉴权
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
springboot shiro 实现token
m0_67392409的博客
04-08 1137
要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客里面复制的 在原来的使用sessionId的项目基础上做以下修改: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2217
Springboot整合Shiro+JWT实现用户登录认证和权限授权
Spring BootShiro实现权限管理
11-12
要将Spring BootShiro整合,我们首先需要在项目中引入Shiro的依赖。在`pom.xml`文件中,添加如下Maven依赖: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring <version>1.7.2 ``` 接着,我们...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证和授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
Spring BootShiro和MyBatis这三大框架的组合提供了一种高效且灵活的方式来实现这一目标。本项目通过集成这三个工具,能够根据用户的登录身份展示不同的权限菜单,确保了用户只能访问他们被授权的功能。 **Spring ...
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1111
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
java单点登录token_简单实现Shiro单点登录(自定义Token令牌)
weixin_29157493的博客
02-26 489
/***单点登录(如已经登录,则直接跳转)*@paramuserCode登录用户编码*@paramtoken登录令牌,令牌组成:sso密钥+用户名+日期,进行md5加密,举例:*StringsecretKey=Global.getConfig("shiro.sso.secretKey");*Stringtoken=Digests.md5(secre...
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
ljlj8888的博客
03-12 1万+
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权一、引言二、相关说明三、项目准备配置四、实现颁发token4.1. 配置Redis:RedisConfig4.2. 编写工具类4.3. 编写登录接口:LoginController五、实现Shiro授权5.1. 重写过滤器:J...
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1306
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
SpringBoot&Shiro实现用户认证
Willis的博客
02-29 165
SpringBoot&Shiro实现用户认证 实现思路 思路:实现认证功能主要可以归纳为3点 1.定义一个ShiroConfig配置类,配置 SecurityManager Bean , SecurityManager为Shiro的安全管理器,管理着所有Subject; 注:如果有不太清楚shiro的朋友,可以去各大学习平台上学习一下。 2.在ShiroConfig中配置 ShiroFi...
spring boot 使用 shiro 1.10.0
05-24
要在 Spring Boot使用 Shiro 1.10.0,您需要执行以下步骤: 1. 添加 Shiro 依赖项 在 pom.xml 文件中添加以下依赖项: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.6.0</version> </dependency> ``` 2. 配置 Shiro 在 application.properties 或 application.yml 文件中添加以下 Shiro 配置: ```yaml shiro: # 开启 Shiro 的注解支持,例如 @RequiresRoles, @RequiresPermissions 等 enabled: true # Shiro 过滤器链配置 filter-chain-definition-map: # 可以在此处添加自定义的过滤器链规则 # /user/** 表示对 user 目录下的所有请求进行拦截,authc 表示需要认证才能访问 /user/**: authc # Shiro Realm 配置 realms: # 可以在此处添加自定义的 Realm 类 # realm1 表示 Realm 类的名称,com.example.MyRealm 表示该类的全限定名称 realm1: class-name: com.example.MyRealm ``` 3. 编写 Shiro Realm 类 编写一个自定义的 Realm 类,继承 org.apache.shiro.realm.AuthorizingRealm 类,并重写 doGetAuthorizationInfo 和 doGetAuthenticationInfo 方法,实现权限和认证的逻辑。 ```java public class MyRealm extends AuthorizingRealm { // 认证逻辑 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 在此处编写认证逻辑 return null; } // 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { // 在此处编写授权逻辑 return null; } } ``` 以上就是在 Spring Boot使用 Shiro 1.10.0 的基本步骤。需要注意的是,Shiro 的配置非常灵活,可以根据具体的需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值