Shiro在SpringBoot中的使用

最新推荐文章于 2024-08-01 10:57:45 发布
最新推荐文章于 2024-08-01 10:57:45 发布
阅读量609 收藏 15
点赞数 14
文章标签: spring boot java 后端 spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012554661/article/details/140196186
版权

1. 添加依赖

<!-- Apache Shiro -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.1</version> <!-- 请替换为最新稳定版本 -->
</dependency>

2. 创建 Shiro 相关配置类

@Configuration
public class ShiroConfig {

    @Bean
    public MyShiroRealm myShiroRealm() {
        return new MyShiroRealm();
    }

    @Bean
    protected SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();

        chainDefinition.addPathDefinition("/api/**", "authc");
        //或者 全局设置,所有接口都需要登录
      //  chainDefinition.addPathDefinition("/**", "authc");
        return chainDefinition;
    }

    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

    @Bean
    @DependsOn("securityManager")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        bean.setLoginUrl("/login");
        bean.setUnauthorizedUrl("/unauthorized");
        bean.setFilterChainDefinitionMap(shiroFilterChainDefinition().getFilterChainMap());
        return bean;
    }
}

3. 创建自定义 Realm 类

public class MyShiroRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        User user = userService.findByUsername(username);
        if (user == null) {
            throw new UnknownAccountException("账号不存在");
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        User user = (User) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        // 加载用户的权限和角色信息
        Set<String> roles = userService.findRolesByUserId(user.getId());
        info.setRoles(roles);
        Set<String> permissions = userService.findPermissionsByUserId(user.getId());
        info.setStringPermissions(permissions);
        return info;
    }
}

4. 创建登录和注销处理逻辑

@Controller
public class LoginController {

    @Autowired
    private SubjectService subjectService;

    @GetMapping("/login")
    public String showLoginForm() {
        return "login"; // 返回登录页面
    }

    @PostMapping("/login")
    public String login(String username, String password, Model model) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        Subject currentUser = SecurityUtils.getSubject();
        try {
            currentUser.login(token);
            return "redirect:/dashboard"; // 登录成功,重定向至首页
        } catch (AuthenticationException e) {
            model.addAttribute("error", "用户名或密码错误");
            return "login"; // 登录失败,返回登录页面
        }
    }

    @GetMapping("/logout")
    public String logout() {
        Subject currentUser = SecurityUtils.getSubject();
        currentUser.logout();
        return "redirect:/login"; // 注销成功,重定向至登录页面
    }
}

5. 在 Controller 中进行权限控制

@Controller
public class UserController {

    @RequiresPermissions("user:view") // 使用 Shiro 注解进行权限控制
    @GetMapping("/users")
    public String listUsers(Model model) {
        // 只有拥有 "user:view" 权限的用户才能访问该方法
        // ...
    }
}

6. 页面权限控制(可选)

在 Thymeleaf 视图中,可以通过 Shiro Dialect 进行权限控制:

<a th:href="@{/users}" sec:authorize="hasPermission('user', 'view')">用户管理</a>

详解

Realm

  • 定义 Realm:Realm 是 Shiro 中负责安全认证的核心模块,它负责从数据源获取用户、角色和权限信息。这里我们定义一个自定义的 MyShiroRealm 并将其注入为一个 Bean。
@Bean
public MyShiroRealm myShiroRealm() {
    return new MyShiroRealm();
}

SecurityManager

  • 配置 SecurityManager:SecurityManager 是 Shiro 的核心,所有具体的交互都通过它进行。我们需要将之前定义的 Realm 注入到 SecurityManager 中。
@Bean
@Override
protected SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(myShiroRealm());
    return securityManager;
}

Shiro Filter Chain

  • 配置 Shiro Filter Chain:定义哪些 URL 需要经过哪些过滤器,例如 "/api/**" 需要经过 "authc" 过滤器,表示这些路径需要认证后才能访问。
@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
    chainDefinition.addPathDefinition("/api/**", "authc");
    // 添加更多过滤规则...
    return chainDefinition;
}

自定义 Realm 类

MyShiroRealm 类需要实现 AuthorizingRealm 接口,重写 doGetAuthenticationInfodoGetAuthorizationInfo 方法。

  • doGetAuthenticationInfo:这个方法会在用户尝试登录时被调用,用于验证用户的用户名/密码。通常我们会从数据库或其他数据源查询用户信息并返回 AuthenticationInfo

    // 在自定义的 Realm 中实现认证逻辑
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
   String username = (String) token.getPrincipal();
   // 查询数据库或其他数据源获取用户信息
   User user = userService.findByUsername(username);
   if (user == null) {
       throw new UnknownAccountException("用户不存在");
   }
   
   // 验证密码,此处假设密码已经过适当的哈希处理
   if (!passwordService.validate(user.getPassword(), token.getCredentials())) {
       throw new IncorrectCredentialsException("密码错误");
   }

   // 返回认证所需信息
   return new SimpleAuthenticationInfo(user, user.getPassword(), getName());
}

  • doGetAuthorizationInfo:这个方法会在用户登录成功后被调用,用于获取用户的权限信息。返回 AuthorizationInfo,包括角色和权限列表。

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    User user = (User) principals.getPrimaryPrincipal();
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    Set<String> roles = userService.findRolesByUserId(user.getId()); // 假设userService能找到用户的角色
    info.setRoles(roles);
    Set<String> permissions = userService.findPermissionsByUserId(user.getId()); // 假设userService能找到用户的权限
    info.setStringPermissions(permissions);
    return info;
}

4. 配置 Shiro Filter

在 ShiroFilterChainDefinition 中定义的过滤规则会被注册到 Shiro 的 FilterChainManager 中。例如 "authc" 过滤器意味着必须先通过认证(Authentication)才能访问对应的 URL。

汉源魂
关注
  • 14
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合shiro使用
李星的博客
08-07 226
实现登录的拦截和授权的管理 数据库: 添加依赖spring整合shiro的依赖: <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <dependency> <groupId>org.apache.shiro</groupId> ...
springboot整合shiro使用
qq_40951656的博客
11-20 265
springboot整合shiro
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3518
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
springboot系列教程(二十八):springboot整合Shiro框架,实现用户权限管理
最新发布
weixin_43860634的博客
08-01 395
springboot系列教程(二十八):springboot整合Shiro框架,实现用户权限管理
SpringBootShiro使用
Daylight629博客
02-21 847
SpringBootShiro使用 一、Shiro简介 1、Shiro 是什么? Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 下载地址 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2
springboot使用shiro
chenyidong521的博客
04-04 598
首先在pom文件添加shiro的jar包 &lt;!--权限验证Shiro--&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;versio...
springboot使用shiro
bobasyu的博客
01-08 153
shiro shiro 核心组件 名称 含义 usernamePassword shiro用来封装用户登陆信息,使用用户的登录信息来创建Token SecurityManager shiro的核心部分,负责安全认证和授权 subject shiro的一个抽象概念,包含了用户信息 authenticationInfo 用户角色信息集合,认证是使用 authorizationInfo 角色权限信息集合,授权时使用 DefaultWebSecurityDMmanager 安全管
SpringBoot使用Shiro
qq_44255146的博客
12-30 131
SpringBoot使用Shiro 1、导入maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> 2、创建配置类 config>ShiroConfig.java @C
SpringBoot项目使用Shiro
Mr_ZTQ
04-08 228
一:添加Shiro的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.2</version...
shiro整合springboot后端分离
08-25
然后,在前端使用ajax请求来调用后端的API: ```javascript $.ajax({ type: "GET", url: "/api/login", data: { username: "admin", password: "password" }, success: function(data) { alert("Login ...
shiro整合SpringBoot
10-14
例如,可以在模板文件使用 Shiro 提供的 EL 函数 `sec:user?` 或 `sec:hasRole?` 来决定是否显示某些内容。 5. **API 接口拦截**: - 对于 RESTful API,Shiro 也可以进行拦截。你可以配置一个专门处理 API 请求...
shiro_springboot
10-04
在 "shiro_springboot" 这个项目,我们将重点探讨如何在 Spring Boot 应用程序集成 Apache Shiro 实现用户认证和授权。 **Shiro 的核心组件** 1. **认证**:验证用户的身份,即用户提供的凭证(如用户名和密码...
shiro-springboot.zip
05-24
在本项目 "shiro-springboot.zip" ,我们将探讨如何将 Shiro 集成到 Spring Boot 应用,实现基本的身份验证和权限控制。 首先,`pom.xml` 文件是 Maven 项目的配置文件,它包含了 ShiroSpring Boot 相关...
Springboot整合shiro_springboot shiro,程序人生
m0_60567881的博客
04-18 470
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统的个体,可以被授予一个或多个角色
SpringBootshiro使用
qq_45742386的博客
04-21 201
shiro使用 什么都不用说了,我们直接看代码吧!! pom.xml 导入依赖 <!-- shiro安全框架 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version> </d
SpringBoot-Shiro使用
qq_42861526的博客
12-15 2185
一、什么是Shiro 权限体系在现代软件应用有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache ShiroSpring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
2-SpringBoot使用Shiro
诗人不写诗
08-01 118
Shiro的认证功能靠的是Filter来实现,默认情况下,Shiro会注册一个名为shiroFilter的Filter到容器,这个Filter拦截的url一般是
shiro整合springboot
07-28
对于使用Shiro整合Spring Boot,你可以按照以下步骤进行操作: 1. 添加Shiro依赖:在你的Spring Boot项目的pom.xml文件添加Shiro的依赖。你可以在Maven央仓库找到最新版本的Shiro依赖。 2. 配置Shiro:创建一个Shiro配置类,可以使用`@Configuration`注解标记。在配置类,你可以定义Shiro的安全管理器、Realm、过滤器链等。 3. 定义自定义Realm:创建一个自定义的Realm类,继承`AuthorizingRealm`。在这个类,你需要实现Shiro提供的方法来完成认证和授权操作。 4. 配置安全管理器:在Shiro配置类使用`DefaultWebSecurityManager`类来配置安全管理器,并将自定义的Realm设置到安全管理。 5. 配置过滤器链:在Shiro配置类使用`ShiroFilterFactoryBean`类来配置过滤器链。过滤器链定义了请求的拦截规则和访问权限控制。 6. 开启注解支持:在Spring Boot的配置类上添加`@EnableAspectJAutoProxy`和`@EnableWebMvc`注解,以启用Shiro的注解支持和Web MVC支持。 7. 编写登录和权限验证相关代码:根据你的业务需求,在控制器或服务层编写登录验证、权限验证等相关代码。 以上是一个基本的Shiro整合Spring Boot的流程,具体的配置和代码实现可以根据你的项目需求进行调整。希望对你有所帮助!如有更多问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值