SpringBoot 集成Shiro

最新推荐文章于 2019-10-14 16:38:42 发布
最新推荐文章于 2019-10-14 16:38:42 发布
阅读量133 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangsdsdfds/article/details/103034191
版权

Apache Shiro是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。

  • 验证用户以验证其身份

  • 为用户执行访问控制,例如:

    • 确定是否为用户分配了某个安全角色
    • 确定是否允许用户执行某些操作

  • 在任何环境中使用Session API,即使没有Web容器或EJB容器也是如此。

  • 在身份验证,访问控制或会话生命周期内对事件做出反应。

  • 聚合用户安全数据的1个或多个数据源,并将其全部显示为单个复合用户“视图”。

  • 启用单点登录(SSO)功能

  • 无需登录即可为用户关联启用“记住我”服务
    Shiro针对Shiro开发团队所称的“应用程序安全的四大基石” - 身份验证,授权,会话管理和加密:

  • 身份验证:有时称为“登录”,这是证明用户是他们所说的人的行为。

  • 授权:访问控制的过程,即确定“谁”可以访问“什么”。

  • 会话管理:即使在非Web或EJB应用程序中,也可以管理特定于用户的会话。

  • 密码学:使用加密算法保持数据安全,同时仍然易于使用。
    具体参考: http://shiro.apache.org/reference.html

技术背景

  • 开发工具:STS(eclipse)
  • 技术选择: SpringBoot, SpringDataJpa, shiro
  • 数据库选择: MySQL, Redis

创建项目

创建maven子项目 study-springboot-backstage 引入一下依赖pom.xml

    <project xmlns="http://maven.apache.org/POM/4.0.0"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>study-springboot</groupId>
        <artifactId>study-springboot</artifactId>
        <version>0.0.1-SNAPSHOT</version>
    </parent>
    <artifactId>study-springboot-backstage</artifactId>
    <description>后台管理</description>
    <dependencies>
        <!-- 实体项目 -->
        <dependency>
            <groupId>study-springboot</groupId>
            <artifactId>study-springboot-domain</artifactId>
            <version>0.0.1-SNAPSHOT</version>
        </dependency>
        <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!-- shiro+redis缓存插件 -->
        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>2.4.2.1-RELEASE</version>
        </dependency>
        <!-- 开启注解 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
       </dependency>
    </dependencies>

    <!-- 打包 -->
    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

配置AuthorizingRealm,创建SysUserRealm.java

/**
 * @describe shiro认证
 * @author Bertram.Wang
 */
@Component
public class SysUserRealm extends AuthorizingRealm {

    @Autowired
    private SysUserRepository sysUserRepository;
    @Autowired
    private SysUserService sysUserService;

    
    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUser user = (SysUser) principals.getPrimaryPrincipal();
        Integer userId = user.getId();

        // 用户权限列表
        Set<String> permsSet = sysUserService.getAuthorityByUserId(userId);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        // 查询用户信息
        SysUser user = sysUserRepository.findOneByNameAndPassword(username, password);

        // 账号不存在
        if (user == null) {
            throw new UnknownAccountException("账号或密码不正确");
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userInfo, password, getName());
        return info;
    }

}

shiro配置类,主要是设置shiroFilter,securityManager, sessionManage等信息
自定义SessionManager

/**
 * @Date 2019年4月10日
 * @Sgin MySessionManager
 * @Author Bertram.Wang
 */
public class MySessionManager extends DefaultWebSessionManager {
 
    private static final String AUTHORIZATION = "Authorization";
 
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
 
    public MySessionManager() {
        super();
    }
 
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        //如果请求头中有 Authorization 则其值为sessionId
        if (!StringUtils.isEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

shiroConfig.java

/**
 * @Date 2019年4月10日
 * @Sgin ShiroConfig
 * @Author Bertram.Wang
 */
@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 没有登陆的用户只能访问登陆页面
        shiroFilterFactoryBean.setLoginUrl("/initlogin");
        // 登录成功后要跳转的链接
        //shiroFilterFactoryBean.setSuccessUrl("/auth/index");
        // 未授权界面; ----这个配置了没卵用,具体原因想深入了解的可以自行百度
        shiroFilterFactoryBean.setUnauthorizedUrl("/initlogin");
        //自定义拦截器
        Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
        //限制同一帐号同时在线的个数。
        filtersMap.put("kickout", kickoutSessionControlFilter());
        shiroFilterFactoryBean.setFilters(filtersMap);
        // 权限控制map.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/**/kickout", "anon");
        filterChainDefinitionMap.put("/**", "authc,kickout");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager(SysUserRealm sysUserRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(sysUserRealm);
        // 自定义缓存实现 使用redis
        securityManager.setCacheManager(cacheManager());
        // 自定义session管理 使用redis
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }


    /**
     * cacheManager 缓存 redis实现 使用的是shiro-redis开源插件
     * @return
     */
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

    /**
     * shiro redisManager 使用的是shiro-redis开源插件
     * @return
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost("localhost");
        redisManager.setPort(6379);
        redisManager.setExpire(1800);// 配置缓存过期时间
        redisManager.setTimeout(0);
        redisManager.setPassword("Redis1234!");
        return redisManager;
    }

    /**
     * Session Manager 
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        MySessionManager mySessionManager = new MySessionManager();
        mySessionManager.setSessionDAO(redisSessionDAO());
        return mySessionManager;
    } 

    /**
     * RedisSessionDAO shiro 
     */
    @Bean
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        return redisSessionDAO;
    }

    /**
     * *限制同一账号登录同时登录人数控制
     * @return
     */
    @Bean
    public KickoutSessionControlFilter kickoutSessionControlFilter() {
        KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
        kickoutSessionControlFilter.setCacheManager(cacheManager());
        kickoutSessionControlFilter.setSessionManager(sessionManager());
        kickoutSessionControlFilter.setKickoutAfter(false);
        kickoutSessionControlFilter.setMaxSession(1);
        kickoutSessionControlFilter.setKickoutUrl("/auth/kickout");
        return kickoutSessionControlFilter;
    }


    /***
     * *授权所用配置
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /***
     * *使授权注解起作用不如不想配置可以在pom文件中加入
     * <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
       </dependency>
     * @param securityManager
     * @return
     */
//    @Bean
//    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
//      AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
//        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
//        return authorizationAttributeSourceAdvisor;
//    }

    /**
     * Shiro生命周期处理器
     */
    @Bean
    public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
}

限制规则:


10879157-2d1f6672e86fdcb3.png
引用图
  • anon:准许直接访问
  • authc:要求对请求用户进行身份验证,以便请求继续,如果没有验证,则强制用户通过将其定向到您配置的LoginUurl来登录。
  • logout:接收到请求后,将立即注销当前正在执行的子节点,然后将它们重定向到已配置的redirecturl。
  • perms: 如果当前用户具有映射值指定的权限,则允许访问;如果用户没有指定的所有权限,则拒绝访问
    具体参考:http://shiro.apache.org/static/1.4.0/apidocs/org/apache/shiro/web/filter/

测试控制器

@RestController
public class TestController {
    @Autowired
    private SysUserService sysUserService;
    @GetMapping("/hello")
    public Response<?> hello() {
        SysUser sysUser = sysUserRepository.findOneById(2);
        return success(authorityByUserId);
    }
}

测试类

/**
 * <p> 测试<p>
 * @Author Bertram.Wang 
 */
@RunWith(SpringRunner.class)   
@SpringBootTest(classes=Application.class, webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
public class ApplicationTest {
    private static final Logger log = LoggerFactory.getLogger(ApplicationTest.class);
    @LocalServerPort
    private int port;
    private String base;
    @Autowired
    private TestRestTemplate restTemplate;
    @Before
    public void setUp() throws Exception {
        this.base = String.format("http://localhost:%d/%s", port, "/backstage");
    } 
    /**
     * *设置请求消息头
     */
    private static HttpHeaders setHttpHeaders() {
        HttpHeaders headers = new HttpHeaders();
        headers.add("Content-type", "application/json;charset=utf-8;Accept:application/json;");// 设置编码 这个一定不能去
        headers.add("Authorization", AUTHORIZATION);
        return headers;
    }
    // sessionID
    private static final String AUTHORIZATION = "sessionId";
    
    private String requestGET(String url){
        HttpEntity<Object> requestEntity = new HttpEntity<>(setHttpHeaders());
        ResponseEntity<String> rest = restTemplate.exchange(this.base + url, HttpMethod.GET, requestEntity, String.class);
        return rest.getBody();
    }
    private String requestPOST(String url, Object data){
        HttpEntity<Object> requestEntity = new HttpEntity<>(data, setHttpHeaders());
        ResponseEntity<String> rest = restTemplate.postForEntity(this.base + url, requestEntity, String.class);
        return rest.getBody();
    }
    // ---------------------LoginController--------------------------
    @Test
    public void logoutTest() throws Exception {
        String requestGET = requestGET("/logout");
        log.info("===================rest:{}", requestGET);
    }
    @Test
    public void loginTest() throws Exception {
        SysUserAO sysUserAO = new SysUserAO();
        sysUserAO.setUsername("admin");
        sysUserAO.setPassword("admin");
        String requestPOST = requestPOST("/login", sysUserAO);
        log.info("===================rest:{}", requestPOST);
    }
    
    @Test
    public void helloTest() throws Exception {
        String requestGET = requestGET("/hello");
        log.info("===================rest:{}", requestGET);
    }
}

执行helloTest方法,

rest:{"code":20303,"message":"请先登录","time":1555320155};

先执行loginTest方法:

rest:{"code":0,"message":"成功","time":1555320426,"data":{"id":"a521dbf5-6a63-45d2-85de-95c121aeb0e9","host":"127.0.0.1","lastAccessTime":"2019-04-15T09:27:05.985+0000","timeout":1800000,"attributeKeys":["org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY","org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION_KEY"],"startTimestamp":"2019-04-15T09:27:05.985+0000"}}

把rest.data.id替换sessionId,再执行helloTest方法:

rest:{"code":0,"message":"成功","time":1555328243,"data":{"id":2,"createDate":"2019-04-10T09:31:51.000+0000","modifyDate":"2019-04-10T09:31:53.000+0000","name":"admin","password":"8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918","roles":[{"id":1,"createDate":"2019-04-03T06:53:22.000+0000","modifyDate":"2019-04-03T06:53:25.000+0000","name":"ADMIN","parentId":0,"menus":[{"id":1,"createDate":"2018-08-30T09:27:32.000+0000","modifyDate":"2018-10-10T08:44:03.000+0000","name":"系统管理","parentId":0,"permission":null,"type":0,"url":null,"icon":"fa fa-cog","orderNum":1}]}]}}
A.Wang
关注
shiro缓存与session持久化
Bugxiu_fu的博客
09-12 814
shiro的session持久化与缓存配置
springboot+shiro+redis项目整合
无恋-zx的博客
10-09 595
springboot+shiro+redis项目整合 介绍:   Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。(摘自百度百科) 本文使用springboot+mybatisplus+shiro实现数据库动态的管理用户、角色...
tomcat和shiro的关于session的问题
〖我的第七章 〗的专栏
04-03 2375
tomcat重启之后,session不会失效,会将session保存在本地文件中。详见https://blog.csdn.net/li2054/article/details/78470072解决tomcat服务器重启之后session不失效的问题。 所以在使用shiro的时候就出现了一个问题,调用的subject.isAuthenticated()方法的时候,会发...
Shiro身份验证----subject提交
Entodie的博客
09-03 842
获取subject对象 1、SecurityUtils.getSubject() 2、调用的是ThreadContext 2、从ThreadContext获取Subject 1、其内部有静态创建了ThreadLocal<Map<Object,Object>> 2、获取subject的key:org.apache.shiro.util.ThreadCon...
Shiro获取当前用户信息
weixin_33828101的博客
11-30 5884
Shiro获取当前登录的用户信息,User是ream中登录时放进去的对象信息 User user = (User) SecurityUtils.getSubject().getPrincipal(); 转载于:https://blog.51cto.com/1197822/2324183
SpringBoot集成shiro,MyRealm中无法@Autowired注入Service的问题
08-26
总结来说,Spring Boot集成Shiro时,如果在`MyRealm`中遇到`@Autowired`注入Service的问题,需要检查是否正确地将`MyRealm`声明为Spring Bean,并通过`@Bean`注解进行管理。同时,确保所有依赖都遵循Spring的依赖...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
shiro使用JSESSIONID获取用户信息和判断是否登陆
fuck487的博客
11-16 9523
原文:https://blog.csdn.net/zmken497300/article/details/52278913/ /** * 验证是否登陆 * * org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY ; true * org.apa...
Shiro源码学习之二
编程的本质是数学问题
03-15 2486
3.subject.login try { subject.login(token); } catch (AuthenticationException ae) { logger.info("登录失败!"); return; } login方法 public void lo
Shiro学习】ShiroFilterFactoryBean源码分析
fxkcsdn的博客
10-14 1137
通过前两节的学习,我们知道shiroFilter会使用FilterChainManager来代理过滤器链,从而先执行shiro的过滤器链,然后再执行原过滤器链。平时我们都是如何使用shiro的登陆验证,权限验证的? 配置shiro过滤器 下面的代码是不是很熟悉。 @Bean public ShiroFilterFactoryBean shiroFilter2(final Securi...
学习springBoot(11)shiro安全框架
weixin_34049948的博客
12-28 93
今天研究一下 常用的安全框架shiro 先好好研究一下shiro 的实现原理,方便后面的学习 shiro (java安全框架) Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以 快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 软件名称 Apache Shiro 开发商 Apach...
session过期,调到登录页面操作
Hue3921的博客
11-23 409
import java.io.IOException; import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRe...
shiro学习记录(一)
m0_43584016的博客
01-15 275
1 配置文件 import com.chaoqi.springboot_shiro_redis.secutity.KickoutSessionControlFilter; import com.chaoqi.springboot_shiro_redis.secutity.MyShiroRealm; import org.apache.shiro.mgt.SecurityManager; impor...
shiro-根据JSESSIONID获取用户信息和判断是否登陆
热门推荐
Java_feng的博客
08-22 4万+
/** * 验证是否登陆 * * org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY ; true * org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION
springboot集成shiro
最新发布
07-27
对于Spring Boot集成Shiro,你可以按照以下步骤进行操作: 1. 首先,在你的Spring Boot项目中添加Shiro的依赖。你可以在pom.xml文件中添加以下依赖关系: ```xml <groupId>org.apache.shiro <artifactId>shiro-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值