SpringBoot整合shiro(一)基础配置

最新推荐文章于 2024-03-17 18:59:19 发布
最新推荐文章于 2024-03-17 18:59:19 发布
阅读量1.4w 收藏 27
点赞数 6
分类专栏: 项目经验 文章标签: springboot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011456867/article/details/80483854
版权

公司项目采用的spring-boot框架。在做用户权限功能的时候准备采用shiro权限框架。前面也考虑过spring家族的spring security安全框架。但是经过网上查询对比最终选择了shiro。因为shiro含有基本的安全控制功能,并且配置更为简单,使用也更加简洁。
首先引入shiro依赖jar包

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!--shiro缓存插件-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.2</version>
        </dependency>

本次shiro插件缓存功能实现采用的是ehcahe。前面也尝试过使用Redis。但是在配置数据源那块报错,无法解决数据源的问题。所以直接改用了ehcahe。后面如果解决了数据源问题。再发整合Redis的教程。
首先我在系统建立用户权限关系
这里我们需要三张表:
SysUser: 用来存储用户的密码,用户名等等信息。
SysRole: 角色表,存放所有的角色信息
SysAuth:权限表,定义了一些操作访问权限信息。
还有两张关联表(这里我们用JPA自动生成。):
SysUserRole: SysUser和SysRole的关联表。
SysRoleAuth:SysRole和SysAuth的关联表。
这里贴三张表的字段设计

public class SysUser {
    private Integer userId; 
    private String userAccount;//用户账号
    private String userPassword;//用户密码
}
public class SysRole {
    private Integer sysRoleId;
    private Byte sysRoleAva; //角色是否生效
    private String sysRoleDes;//角色描述
    private String sysRoleName;//角色名称
}
public class SysAuth {
    private Integer sysAuthId;
    private String sysAuthCode; //权限编号
    private String sysAuthName; //权限名称
    private String sysAuthUrl; //权限请求的url 例如: user/login
    private String sysAuthPermission; //权限的的名称例如 user:login
    private Byte sysAuthAva; //权限是否有效
    private Byte sysAuthType; //权限类型。菜单还是按钮
    private String sysAuthDes; //权限描述
}

1.配置Realms
Realm是一个Dao,通过它来验证用户身份和权限。这里Shiro不做权限的管理工作,需要我们自己管理用户权限,只需要从我们的数据源中把用户和用户的角色权限信息取出来交给Shiro即可。Shiro就会自动的进行权限判断。在项目包下建一个ShiroRealm类,继承AuthorizingRealm抽象类。

import com.lingjiugis.ocr.domain.SysAuth;
import com.lingjiugis.ocr.domain.SysRole;
import com.lingjiugis.ocr.domain.SysUser;
import com.lingjiugis.ocr.service.SysAuthService;
import com.lingjiugis.ocr.service.SysRoleService;
import com.lingjiugis.ocr.service.UserService;
import org.apache.commons.lang.exception.ExceptionUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.annotation.Resource;
import java.util.List;
public class ShiroRealm extends AuthorizingRealm {
    private static Logger logger = LoggerFactory.getLogger(ShiroRealm.class);
    //这里尝试过使用@Autowired 但是发现会报错。这个是spring的注解。如果有知道原因的可以留言。谢谢
    @Resource
    private UserService userService;
    @Resource
    private SysRoleService sysRoleService;
    @Resource
    private SysAuthService authService;
    /**
     * 配置权限 注入权限
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
        System.out.println("--------权限配置-------");
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        SysUser user = (SysUser) principals.getPrimaryPrincipal();
        try {
            //注入角色(查询所有的角色注入控制器)
            List<SysRole> list = sysRoleService.selectRoleByUser(user.getUserId());
            for (SysRole role: list){
                authorizationInfo.addRole(role.getSysRoleName());
            }
            //注入角色所有权限(查询用户所有的权限注入控制器)
            List<SysAuth> sysAuths = authService.queryByUserId(user.getUserId());
            for(SysAuth sysAuth:sysAuths){
                authorizationInfo.addStringPermission(sysAuth.getSysAuthPermission());
            }
        }catch (Exception e){
            e.printStackTrace();
            logger.error(ExceptionUtils.getFullStackTrace(e));
        }
        return authorizationInfo;
    }

    /**
     * 用户验证
     * @param token 账户数据
     * @return
     * @throws AuthenticationException 根据账户数据查询账户。根据账户状态抛出对应的异常
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        //获取用户的输入的账号
        String username = (String) token.getPrincipal();
        //这里需注意。看别人的教程有人是这样写的String password = (String) token.getCredentials();
        //项目运行的时候报错,发现密码不正确。后来进源码查看发现将密码注入后。Shiro会进行转义将字符串转换成字符数组。
        //源码:this(username, password != null ? password.toCharArray() : null, false, null);
        //不晓得是否是因为版本的原因,建议使用的时候下载源码进行查看
        String password = new String((char[]) token.getCredentials());
        //通过username从数据库中查找 User对象,如果找到,没找到.
        //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
        SysUser user = userService.selectByAccount(username);
        if(null == user){
            throw new UnknownAccountException();
        }else {
            if(password.equals(user.getUserPassword())){
                if(0 == user.getUserState()){
                    throw new LockedAccountException();
                }else if (2 == user.getUserState()){
                    throw new DisabledAccountException();
                }else{
                    SimpleAuthenticationInfo authorizationInfo = new SimpleAuthenticationInfo(user,user.getUserPassword().toCharArray(),getName());
                    return authorizationInfo;
                }
            } else {
                throw new IncorrectCredentialsException();
            }
        }
    }
}

2.接下来配置Shiro的关键部分

这里要配置的是ShiroConfig类,Apache Shiro 核心通过 Filter 来实现,就好像SpringMvc 通过DispachServlet 来主控制一样。 既然是使用 Filter 一般也就能猜到,是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。

import com.lingjiugis.ocr.config.GlobalExceptionResolver;
import com.lingjiugis.ocr.filter.ShiroSessionManager;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.HandlerExceptionResolver;

import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        System.out.println("--------------------shiro filter-------------------");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        //注意过滤器配置顺序 不能颠倒
        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了,登出后跳转配置的loginUrl
        // 配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/favicon.ico", "anon");
        //拦截其他所以接口
        filterChainDefinitionMap.put("/**", "authc");
        //配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据
        shiroFilterFactoryBean.setLoginUrl("/user/unlogin");
        // 登录成功后要跳转的链接 自行处理。不用shiro进行跳转
        // shiroFilterFactoryBean.setSuccessUrl("user/index");
        //未授权界面;
         shiroFilterFactoryBean.setUnauthorizedUrl("/user/unauth");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * shiro 用户数据注入
     * @return
     */
    @Bean
    public ShiroRealm shiroRealm(){
        ShiroRealm shiroRealm = new ShiroRealm();
        return shiroRealm;
    }

    /**
     * 配置管理层。即安全控制层
     * @return
     */
    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm());
        return  securityManager;
    }
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    /**
     * 开启shiro aop注解支持 使用代理方式所以需要开启代码支持
     *  一定要写入上面advisorAutoProxyCreator()自动代理。不然AOP注解不会生效
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

3.修改我们的Controller中的登录请求

// 这里如果不写method参数的话,默认支持所有请求,如果想缩小请求范围,还是要添加method来支持get, post等等某个请求。
    @RequestMapping("/login")
    public String login(HttpServletRequest request, Map<String, Object> map) throws Exception {
        BaseResponse<String> baseResponse = new BaseResponse<>();
        Subject subject = SecurityUtils.getSubject();
        //数据库的密码我进行了Md5加密。如果没有进行加密的无需这个
        user.setUserPassword(MD5Util.getPwd(user.getUserPassword()));
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUserAccount(),user.getUserPassword());
        try {
            subject.login(token);
            //System.out.println(getSession().getId());
            baseResponse.success(getSession().getId());
        } catch (UnknownAccountException e){
            baseResponse.setMsg("用户名不存在");
        } catch (IncorrectCredentialsException e){
            e.printStackTrace();
            baseResponse.setMsg("密码错误");
        } catch (LockedAccountException e){
            baseResponse.setCode(CodeField.ACCOUNT_NOT_ACTIVAT);
            baseResponse.setMsg(CodeField.ACCOUNT_NOT_ACTIVAT_MSG);
        }catch (DisabledAccountException e){
            baseResponse.setCode(CodeField.ACCOUNT_BAN);
            baseResponse.setMsg(CodeField.ACCOUNT_BAN_MSG);
        } catch (Exception e){
            e.printStackTrace();
            logger.error(ExceptionUtils.getFullStackTrace(e));
        }
        return baseResponse;
    }

这里@RequestMapping之所以没加method是因为如果用户没登录,Shiro会调用get方法请求/login,而后面我们在login页面会用post请求发送form表单,所以这里就没设置method(默认支持所有请求)。
配置完成了就可以运行起来了。

猿团长
关注
  • 6
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增...
SpringBootShiro快速入门(精讲)
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-18 1167
Apache Shiro 是一个java的安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaEE环境中,也可以用在JavaSE环境中 Shiro可以完成认证、授权、加密、会话管理、web集成、缓存等。 ...
shiro配置详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
08-24 2676
*Shiro 从 ****Realm 获取安全数据(如用户、角色、权限),****就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作.5.添加shiro与spring集成的配置文件application-shiro.xml。4.首先在web.xml中加入shiro过滤器。2.shiro架构的核心内容介绍。且其管理着所有Subject。7.自定义realm。
Springboot集成shiro框架
weixin_35654814的博客
03-17 806
Shiro是一个功能强大且易于使用的Java安全框架,可以运行在JavaSE和JavaEE项目中,可执行身份验证、授权、加密和会话管理。
2021-02-02
weixin_43436478的博客
02-02 178
1.@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 2.@RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。 3.@RequiresGuest 验证是否是一个guest的请求,与@RequiresUser...
shiro学习笔记四:shiro拦截器与url匹配规则
chunlulin2540的博客
08-17 1882
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
SpringBoot整合Shiro
热门推荐
上善若水
12-28 3万+
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。所以很多框架都在使用shiroShiro含了三个核心组件:Subject, SecurityManager 和 Realms。Subject代表了当前用户的安全操作。 SecurityManager则管理所有用
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建+源代码+文档说明
11-28
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 ================= #### 1 . 这是基于SpringBootShiro实现的一个角色权限访问控制(RBAC)的系统。 基本描述 : 1 . 一个用户具有一...
积分管理系统java源码-springbootadmin:springboot+shiro后台模板
06-06
SpringBootAdmin是在SpringBoot基础上搭建的一个Java基础开发框架,以Spring MVC为模型视图控制器,MyBatis为数据访问层, Apache Shiro为权限授权层,Ehcahe对常用数据进行缓存。 SpringBootAdmin主要定位于微应用...
基于SpringBoot+Shiro+Redis+Jwt+Thymeleaf+MyBatis 开发的后台用户、角色+源代码+文档
11-28
Geek-Framework是在SpringBoot基础上搭建的一个Java基础开发框架,以Spring MVC为模型视图控制器,MyBatis为数据访问层, Apache Shiro和Spring-Security为权限授权层,redis进行缓存。 Geek-Framework主要定位于微...
Springboot + shiro权限管理 这或许是流程最详细、代码最干净、配置最简单的shiro上手项目了.zip
最新发布
04-24
1. SpringBoot Starter:他将常用的依赖分组进行了整合,将其合并到一个依赖中,这样就可以一次性添加到项目的Maven或Gradle构建中。 2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且...
从零开始学Spring Boot与Shiro教程
01-11
从零开始学Spring Boot,Shiro教程,PDF电子书!2合一下载
springboot+shiro最简单的demo
01-17
springboot+shiro+mybatis+thymeleaf整合的最简单的demo,并且注释齐全
springboot+shiro代码demo
09-12
资源分数不能设置为0,没有分的可以直接进我博客看代码。新手程序员根据网上学习写的小demo,我都能看懂基本上所有人都差不多能看懂吧。对应博客https://blog.csdn.net/qq_32786139/article/details/82658197也可直接进入俺的个人博客进行查看。
springboot 完美整合shiro脚手架demo
02-20
本项目采用 springboot mybatis 整合shiro脚手架demo,非常适合零基础学习shiro框架的人学习,入门级demo简单易懂
Shiro简介及SpringBoot整合Shiro
qq_33755556的博客
05-10 2674
此文章作为自己学习总结用。请各位看官多多指正留言或发邮件给我。邮箱地址:[email protected]Shiro简介(仅仅是简介,只实现了用户登录认证、授权认证和用户权限缓存功能,可以满足小型项目的登录功能。如果想深入了解shiro,可以搜索《跟我学shiro》。)Shiro架构:1、Subject(org.apache.shiro.subject.Subject): 简称用户,但这个用户不一定...
springboot-shiro 入门
qq_49074573的博客
06-04 134
springboot-shiro入门
springboot整合shiro-配置记住我(四)
这个名字想了很久
09-02 1万+
原文地址,转载请注明出处:&amp;amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80306432&amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp;©王赛超&amp;amp;amp;amp;nbsp; shiro系列 springboot整合s
SpringBoot整合shiro(二)自定义sessionManager
迈向编程之路
05-28 2万+
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。自定义ShiroSessionManager类继承DefaultWebSessionManager类,重写getSessionId方法, import org.ap...
springboot整合 shiro
09-03
为了在Spring Boot中整合Shiro,需要进行以下几个步骤: 1. 在application.properties文件中配置Shiro相关的属性,比如服务器端口号、应用名称、视图前缀和后缀等。 2. 在pom.xml文件中引入Shiro的依赖,使用shiro-spring-boot-starter的版本为1.5.3。 3. 自定义Realm,Realm是Shiro的核心组件之一,用于验证用户身份和授权。可以自定义一个类继承自org.apache.shiro.realm.Realm,并实现相应的方法,如doGetAuthenticationInfo和doGetAuthorizationInfo等。 4. 可以选择使用Redis作为缓存实现,在pom.xml文件中引入spring-boot-starter-data-redis依赖,并在application.properties文件中配置Redis的连接信息,如端口号、主机名和数据库等。然后启动Redis服务。 通过以上步骤,就可以完成Spring Boot与Shiro整合,实现身份验证和授权的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值