SpringBoot整合Shiro安全框架

最新推荐文章于 2024-04-14 18:28:42 发布
最新推荐文章于 2024-04-14 18:28:42 发布
阅读量936 收藏 10
点赞数 3
分类专栏: SpringBoot+SpringCloud shiro从入门到精通 SpringBoot 文章标签: shiro java spring springboot 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014553029/article/details/106579537
版权

一、什么是Shiro

Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解,通过Shiro易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序最大的网络和企业应用程序。

二、Shiro架构

2.1 Shiro架构图

shiro架构图

  • Authentication:身份认证/登录
  • Authorization:验证权限,即,验证某个人是否有做某件事的权限。
  • Session Management:会话管理。管理用户特定的会话,支持web,非web,ejb。
  • Cryptography: 加密,保证数据安全。
  • Web Support:web支持,更容易继承web应用。
  • Caching:缓存
  • Concurrency :多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
  • Testing:提供测试支持。
  • Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
  • Remember Me:记住我,即记住登录状态,一次登录后,下次再来的话不用登录了

2.2 Shiro 工作原理

Shiro的架构有三个主要概念:Subject, SecurityManager 和 Realms。
shiro工作原理

  • Subject: 当前参与应用安全部分的主角。可以是用户,可以试第三方服务,可以是cron 任务,或者任何东西。主要指一个正在与当前软件交互的东西。所有Subject都需要SecurityManager,当你与Subject进行交互,这些交互行为实际上被转换为与SecurityManager的交互。
  • SecurityManager:安全管理员,Shiro架构的核心,它就像Shiro内部所有原件的保护伞。然而一旦配置了SecurityManager,SecurityManager就用到的比较少,开发者大部分时间都花在Subject上面。当你与Subject进行交互的时候,实际上是SecurityManager在背后帮你举起Subject来做一些安全操作。
  • Realms: Realms作为Shiro和你的应用的连接桥,当需要与安全数据交互的时候,像用户账户,或者访问控制,Shiro就从一个或多个Realms中查找。Shiro提供了一些可以直接使用的Realms,如果默认的Realms不能满足你的需求,你也可以定制自己的Realms。

2.3 Shiro详细架构图

Shiro详细架构

  • Subject:与应用交互的主体,例如用户,第三方应用等。
  • SecurityManager:shiro的核心,负责整合所有的组件,使他们能够方便快捷完成某项功能。例如:身份验证,权限验证等。
  • Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
  • Authorizer:决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能。
  • SessionManager:会话管理。
  • SessionDAO:数据访问对象,对session进行CRUD。
  • CacheManager:缓存管理器。创建和管理缓存,为 authentication, authorization 和 session management 提供缓存数据,避免直接访问数据库,提高效率。
  • Cryptography;密码模块,提供加密组件。
  • Realms:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提 供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm。

三、SpringBoot 整合Shiro

3.1 引入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

3.2 编写自定义Realm

Realm是shiro进行登录或者权限校验的关键位置,我们需要重写里面的方法,分别是:

  1. doGetAuthorizationInfo:权限校验
  2. doGetAuthenticationInfo:登录认证校验
/**
 * @Author: oyc
 * @Date: 2020-06-02 16:12
 * @Description:
 */
public class CustomRealm extends AuthorizingRealm {

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录用户名
        String name = (String) principalCollection.getPrimaryPrincipal();
        //根据用户名去数据库查询用户信息,此处模拟
        User user = new User(1,name,"123456");
        // 添加角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		//添加角色
		simpleAuthorizationInfo.addRole(user.getAccount());
		//添加权限,admin:add/user:add
		simpleAuthorizationInfo.addStringPermission(user.getAccount()+":add");
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //加这一步的目的是在Post请求的时候会先进认证,然后在到请求
        if (authenticationToken.getPrincipal() == null) {
            return null;
        }
        //获取用户信息
        String name = authenticationToken.getPrincipal().toString();
        // 根据用户名获取用户信息,此处模拟
        User user = new User(1,name,"123456");
        if (user == null) {
            //这里返回后会报出对应异常
            return null;
        } else {
            //这里验证authenticationToken和simpleAuthenticationInfo的信息
            return new SimpleAuthenticationInfo(name, user.getPassword(), getName());
        }
    }
}

3.3 配置Shiro

/**
 * @Author: oyc
 * @Date: 2020-06-02 16:11
 * @Description: Shiro 配置
 */
@Configuration
public class ShiroConfig {
	@Bean
	public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		//拦截器
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
		//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
		filterChainDefinitionMap.put("/login", "anon");
		filterChainDefinitionMap.put("/logout", "logout");
		//过滤链定义,从上向下顺序执行,一般将/**放在最为下边
		//authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
		filterChainDefinitionMap.put("/static/**", "anon");
		filterChainDefinitionMap.put("/**", "authc");
		//未登录,重定向到登录页面,如果是前后端分离,不需要
		shiroFilterFactoryBean.setLoginUrl("/login");
		return shiroFilterFactoryBean;
	}

	/**
	 * 将自己的验证方式加入容器
	 */
	@Bean
	public CustomRealm myShiroRealm() {
		CustomRealm customRealm = new CustomRealm();
		return customRealm;
	}

	/**
	 * 安全管理器
	 */
	@Bean
	public SecurityManager securityManager(CustomRealm myShiroRealm) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		// 设置realm
		securityManager.setRealm(myShiroRealm);
		return securityManager;
	}

	@Bean(name = "lifecycleBeanPostProcessor")
	public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	/**
	 * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
	 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
	 *
	 * @return
	 */
	@Bean
	@DependsOn({"lifecycleBeanPostProcessor"})
	public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		advisorAutoProxyCreator.setProxyTargetClass(true);
		return advisorAutoProxyCreator;
	}

	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager(myShiroRealm()));
		return authorizationAttributeSourceAdvisor;
	}
}

3.4 全局异常处理

/**
 * @Author: oyc
 * @Date: 2020-06-02 16:41
 * @Description: 全局异常处理
 */
@RestControllerAdvice
@Slf4j
public class ExceptionController {

	@ResponseStatus(HttpStatus.FORBIDDEN)
    @ExceptionHandler(AuthorizationException.class)
    public ResponseEntity ErrorHandler401(AuthorizationException e) {
        log.error("没有通过权限验证!", e);
		Map<String, String> result = new HashMap<String, String>();
		result.put("status", "401");
		//获取错误中中括号的内容
		String message = e.getMessage();
		String msg=message.substring(message.indexOf("[")+1,message.indexOf("]"));
		//判断是角色错误还是权限错误
		if (message.contains("role")) {
			result.put("msg", "对不起,您没有" + msg + "角色");
		} else if (message.contains("permission")) {
			result.put("msg", "对不起,您没有" + msg + "权限");
		} else {
			result.put("msg", "对不起,您的权限有误");
		}
		return new ResponseEntity(result, HttpStatus.FORBIDDEN);
    }

    /**
     * shiro的异常
     */
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(ShiroException.class)
    public ResponseEntity handleShiroException(ShiroException e) {
		log.error("系统发生异常!", e);
        return new ResponseEntity(e.getMessage(), HttpStatus.UNAUTHORIZED);
    }

	/**
	 * 	捕捉其他所有异常
 	 */
    @ExceptionHandler(Exception.class)
    public ResponseEntity globalException(HttpServletRequest request, Throwable e) {
		log.error("系统发生异常!", e);
        return new ResponseEntity(e.getMessage(), HttpStatus.valueOf(getStatus(request).value()));
    }

    private HttpStatus getStatus(HttpServletRequest request) {
        Integer statusCode = (Integer) request.getAttribute("javax.servlet.error.status_code");
        if (statusCode == null) {
            return HttpStatus.INTERNAL_SERVER_ERROR;
        }
        return HttpStatus.valueOf(statusCode);
    }
}

链接不存在异常处理:

/**
 * @Description: 404 异常处理
 * @Author oyc
 * @Date 2020/6/6 12:14 上午
 */
@RestController
public class NotFoundException implements ErrorController {

    private static final String ERROR_PATH = "/error";

    @Override
    public String getErrorPath() {
        return ERROR_PATH;
    }

    @RequestMapping(ERROR_PATH)
    public ResponseEntity error(){
        return ResponseEntity.badRequest().body("接口不存在!");
    }
}

3.5 编写登录类

/**
 * @Author: oyc
 * @Date: 2020-06-02 16:39
 * @Description: 登录控制类
 */
@RestController
public class LoginController {

	@GetMapping("/login")
	public String login(User user) {
		//添加用户认证信息
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(user.getAccount(), user.getPassword());
		try {
			//进行验证,这里可以捕获异常,然后返回对应信息
			subject.login(usernamePasswordToken);
		} catch (AuthenticationException e) {
			e.printStackTrace();
			return "账号或密码错误!";
		} catch (AuthorizationException e) {
			e.printStackTrace();
			return "没有权限!";
		}
		return "用户["+SecurityUtils.getSubject().getPrincipal()+"]登录成功";
	}

	/**
	 * 注解检验角色-admin
	 */
	@RequiresRoles("admin")
	@RequestMapping("role/admin")
	public String roleAdmin() {
		return "当前登录用户拥有admin角色";
	}

	/**
	 * 注解检验角色-user
	 */
	@RequiresRoles("user")
	@RequestMapping("role/user")
	public String roleUser() {
		return "当前登录用户拥有user角色";
	}

	/**
	 * 注解检验权限 -- admin:add
	 */
	@RequiresPermissions("admin:add")
	@RequestMapping("perm/adminAdd")
	public String userAdd() {
		return "当前登录用户拥有user:add权限";
	}

	/**
	 * 注解检验权限 -- user:add
	 */
	@RequiresPermissions("user:add")
	@RequestMapping("perm/userAdd")
	public String userView() {
		return "当前登录用户拥有user:add权限";
	}
	/**
	 * 注解检验权限 --user user:add
	 */
	@RequiresRoles("user")
	@RequiresPermissions("user:add")
	@RequestMapping("role/perm/userAdd")
	public String rolePermserAdd() {
		return "当前登录用户拥有admin角色和user:add权限";
	}
}

3.6 登录以及权限测试

用户登录admin
admin
role admin权限
admin角色权限
role user角色
在这里插入图片描述
user:add 权限
检验user:add权限
参考源码:https://github.com/oycyqr/springboot-learning-demo/tree/master/springboot-shiro

忧伤夏天的风
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:https://blog.csdn.net/weixin_42686388/article/details/103084289
springboot整合Shiro框架
qq_51476114的博客
01-06 2613
Shiro介绍 Shiro是一款安全框架,主要的三个类Subject、SecurityManager、Realm Subject:表示当前用户 SecurityManager:安全管理器,即所有与安全有关的操作都会与SecurityManager交互;且其管理着所有Subject;可以看出它是Shiro的核心,它负责与Shiro的其他组件进行交互,它相当于SpringMVC中DispatcherServlet的角色 Realm:Shiro从Realm 获取安全数据(如用户、角色、权限) Shiro
解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器
最新发布
2301_81327376的博客
04-14 764
在【Shiro 身份认证流程】小节中,我介绍了当用户提交 Token 后,Shiro 框架的整体认证流程,其中提到当 SecurityManager 配置了多个 Realm 实例时,认证器。INI 易于阅读,易于配置,易于设置,非常适合大多数应用程序。最常用的认证方式是系统核对用户输入的用户名和密码,查看是否与系统存储的用户名和密码匹配,来判断用户身份的正确性。在 Shiro 中,在使用 Realm 实例尝试身份认证前,它的 supports 方法会被调用,只有当 supports 返回true时,
SpringBoot整合Shiro(最详细)
热门推荐
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
SpringBootShiro整合
fangliangke的博客
02-01 6098
本文章介绍了Spring boot下shiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
Springboot整合shiro
chao的博客
07-10 2256
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
SpringBoot整合Shiro框架
Joe_Min的博客
04-13 267
文章目录1.1 配置项目环境 1.1 配置项目环境 Shiro是现在最为流行的权限认证开发框架,与它齐名的只有最初的SpringSecurity(这个开发框架非常不好用,但是千万不要以为SpringSecurity没有用处,它在SpringCloud阶段将发挥重大作用)。但是现在如果要想整合Shiro开发框架有一点很遗憾,SpringBoot没有直接的配置支持,它不像整合所谓的Kafka、Redi...
SpringBoot整合日志框架
qq_45860824的博客
11-26 604
整合日志框架日志管理使用logback记录日志日志级别appication.xml文件整合配置 日志管理 使用logback记录日志 Springboot 已经默认帮你整合好了logback 日志输出文件在当前项目路径log文件夹下 Maven依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </depend
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
springbootshiro安全框架整合
08-05
3. **SpringBoot整合Shiro** 整合SpringBootShiro主要涉及以下步骤: - 添加依赖:在SpringBoot的`pom.xml`或`build.gradle`文件中引入Shiro的依赖。 - 配置Shiro:创建一个自定义的Shiro配置类,配置Realm以...
SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架是将SpringBoot与Apache Shiro这两个流行的技术栈结合,用于实现Web应用的安全控制和用户权限管理。SpringBoot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则是一个轻量级的...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者快速实现身份验证和授权管理。 一、...
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 775
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache ShiroJava 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 2781
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
SpringBoot整合Shiro
初学者
03-16 1662
Shiro简介   Apache Shiro是一个开源的轻量级的Java安全框架,它提供了身份认证、授权、密码管理、会话管理等操作。我们知道在Spring中也有一个跟它功能差不多的框架Spring Security,Shiro框架可以更加直观的提供安全性操作,在SSM框架整合Shrio的配置步骤比较多。但是争对SpringBoot,在SpringBoot官方也提供了对应的启动器。这样的话化简了S...
Springboot整合Shiro
不惧困难 顽强拼搏
07-07 782
springboot整合shiro完成登录,权限。完成前后端分离。shiro权限对象缓存到redis中+使用Swagger2接口文档测试
Springboot整合Shiro框架入门
web15285868498的博客
04-08 5025
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用中使用 Apache Shiro 来管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值