【安全框架】浅谈Shiro在项目中的应用

最新推荐文章于 2023-04-04 09:29:03 发布
最新推荐文章于 2023-04-04 09:29:03 发布
阅读量239 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web18334137065/article/details/124461416
版权

Shiro是什么?简单来说它是Apache的一个Java安全框架(Apache是一个很牛的团体,除了Shiro,还有Lucene、Elasticsearch、Activiti等等也是Apache的,后续博主可能会讲到),具体这里就不详细赘述了,请大家自行查看百度百科。这里博主只介绍怎么使用。
博主是java后台开发的研发经理,平时不怎么写Web端代码,所以代码是博主照着“java知识分享网”上面的一个商品管理系统来敲的,也算是“现炒现卖”,和大家一起学习。
第一步,在pom.xml文件里面添加Shiro依赖,如下。

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

第二步,编写MyRealm类,这个类要继承AuthorizingRealm,首先要重写doGetAuthorizationInfo方法,这个方法是用来授权的,即把当前用户拥有的所有角色和菜单权限加载到subject里面。然后要重写doGetAuthenticationInfo方法,这个方法是用来身份验证的,如果验证不通过,会向上抛AuthenticationException异常。下面我直接贴代码。

package com.zznode.realm;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

import javax.annotation.Resource;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.zznode.entity.Menu;
import com.zznode.entity.Role;
import com.zznode.entity.User;
import com.zznode.repository.MenuRepository;
import com.zznode.repository.RoleRepository;
import com.zznode.repository.UserRepository;

/**
 * 自定义Realm
 * 
 * @author Administrator
 *
 */
public class MyRealm extends AuthorizingRealm {

	@Resource
	private UserRepository userRepository;

	@Resource
	private RoleRepository roleRepository;

	@Resource
	private MenuRepository menuRepository;

	/**
	 * 授权,这个方法是懒加载,第一次使用权限的时候才会执行此方法
	 * 比如在遇到@RequiresPermissions和@RequiresRoles注解的时候会执行此方法
	 * 
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String userName = (String) SecurityUtils.getSubject().getPrincipal();
		User user = userRepository.findByUserName(userName);
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		List<Role> roleList = roleRepository.findByUserId(user.getId());
		Set<String> roles = new HashSet<String>();
		for (Role role : roleList) {
			roles.add(role.getName());
			List<Menu> menuList = menuRepository.findByRoleId(role.getId());
			for (Menu menu : menuList) {
				// 把每个菜单名称都放到subject里面,与@RequiresPermissions等注解配合使用,来进行权限验证
				info.addStringPermission(menu.getName());
			}
		}
		info.setRoles(roles);
		return info;
	}

	/**
	 * 身份认证
	 * 
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 获取token中的用户名
		String userName = (String) token.getPrincipal();
		// 根据token中的用户名从数据库中查出用户实体
		User user = userRepository.findByUserName(userName);
		if (user != null) {
			// 将token中的用户名密码与数据库查出的用户名密码进行比较,如果不一致,则向上抛AuthenticationException异常
			AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), "xxx");
			return authcInfo;
		} else {
			// 如果用户实体为null,直接向上抛AuthenticationException异常
			throw new AuthenticationException("用户名不存在");
		}
	}

}

第三步,编写ShiroConfig类,这个类定义了可以匿名访问的url,其他的代码都是固定套路的,以后开发中基本不用改,我还是直接贴代码,注释写的很详细,大家都能看懂。

package com.zznode.config;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import com.zznode.realm.MyRealm;

/**
 * Shiro配置类
 * 
 * @author Administrator
 *
 */
@Configuration
public class ShiroConfig {

	/**
	 * ShiroFilterFactoryBean 处理拦截资源文件问题。 
	 * 注意:单独一个ShiroFilterFactoryBean配置是或报错的
	 * 因为在初始化ShiroFilterFactoryBean的时候需要注入SecurityManager
	 *
	 * Filter Chain定义说明 : 
	 * 1、一个URL可以配置多个Filter,使用逗号分隔 
	 * 2、当设置多个过滤器时,全部验证通过,才视为通过
	 * 3、部分过滤器可指定参数,如perms、roles
	 *
	 */
	@Bean
	public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

		// 必须设置 SecurityManager
		shiroFilterFactoryBean.setSecurityManager(securityManager);

		// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
		shiroFilterFactoryBean.setLoginUrl("/login.html");

		// 拦截器.
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		// 配置不会被拦截的链接,顺序判断,anon:所有url都都可以匿名访问
		filterChainDefinitionMap.put("/static/**", "anon");
		filterChainDefinitionMap.put("/user/login", "anon");
		filterChainDefinitionMap.put("/drawImage", "anon");

		// 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
		filterChainDefinitionMap.put("/logout", "logout");

		// 配置会被拦截的链接,一般将这句话放在最为下边,authc:所有url都必须认证通过才可以访问
		filterChainDefinitionMap.put("/**", "authc");

		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		return shiroFilterFactoryBean;
	}

	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		// 设置realm
		securityManager.setRealm(myRealm());
		return securityManager;
	}

	/**
	 * realm实现类
	 * 
	 * @return
	 */
	@Bean
	public MyRealm myRealm() {
		MyRealm myRealm = new MyRealm();
		return myRealm;
	}

	/**
	 * Shiro生命周期处理器
	 * 
	 * @return
	 */
	@Bean
	public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	/**
	 * 开启Shiro的注解(如@RequiresRoles、@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
	 * 配置以下两个bean,DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor即可实现此功能
	 * 
	 * @return
	 */
	@Bean
	@DependsOn({ "lifecycleBeanPostProcessor" })
	public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		advisorAutoProxyCreator.setProxyTargetClass(true);
		return advisorAutoProxyCreator;
	}

	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
		return authorizationAttributeSourceAdvisor;
	}

}

下面,我们看一个controller的login方法的例子,代码如下。在执行subject.login方法的时候,会自动调用MyRealm类里面的doGetAuthenticationInfo方法,并且可以catch到这个方法的异常。

    @ResponseBody
	@RequestMapping("/login")
	public Map<String, Object> login(String imageCode, @Valid User user, BindingResult bindingResult,
			HttpSession session) {
		Map<String, Object> map = new HashMap<String, Object>();
		if (StringUtil.isEmpty(imageCode)) {
			map.put("success", false);
			map.put("errorInfo", "请输入验证码!");
			return map;
		}
		if (!session.getAttribute("checkcode").equals(imageCode)) {
			map.put("success", false);
			map.put("errorInfo", "验证码输入错误!");
			return map;
		}
		if (bindingResult.hasErrors()) {
			map.put("success", false);
			map.put("errorInfo", bindingResult.getFieldError().getDefaultMessage());
			return map;
		}
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword());
		try {
			// 下面这句话,会调用MyRealm类里面的doGetAuthenticationInfo方法,并且可以catch到这个方法的异常
			subject.login(token);
			// 如果上面这句话执行没有异常,则说明登陆成功
			// 从subject里获得当前的用户名
			String userName = (String) SecurityUtils.getSubject().getPrincipal();
			// 根据当前用户名查出用户实体信息
			User currentUser = userService.findByUserName(userName);
			// 将用户实体信息放入HttpSession
			session.setAttribute("currentUser", currentUser);
			// 根据用户实体id查出角色列表(一个用户可以对应多个角色)
			List<Role> roleList = roleService.findByUserId(currentUser.getId());
			map.put("roleList", roleList);
			map.put("roleSize", roleList.size());
			map.put("success", true);
			// 记录操作日志
			logService.save(new Log(Log.LOGIN_ACTION, "用户登录"));
			return map;
		} catch (Exception e) {
			e.printStackTrace();
			map.put("success", false);
			map.put("errorInfo", "用户名或者密码错误!");
			return map;
		}
	}

最后我们再看一个controller的save方法的例子,这个比较简单易懂,代码如下。@RequiresPermissions(value = “商品管理”)这个注解的意思是,判断subject里面有没有“商品管理”这个菜单权限,如果有,才允许执行save这个方法,否则会向上抛出AuthorizationException异常。

    @RequestMapping("/save")
	@RequiresPermissions(value = "商品管理")
	public Map<String, Object> save(GoodsUnit goodsUnit) throws Exception {
		Map<String, Object> resultMap = new HashMap<>();
		goodsUnitService.save(goodsUnit);
		logService.save(new Log(Log.ADD_ACTION, "添加商品单位信息"));
		resultMap.put("success", true);
		return resultMap;
	}

至此,Shiro就介绍完了,掌握这些基本就够了。

web18334137065
关注
专栏目录
浅谈Shiro框架在Spring Boot的认证应用
hogwarts_ziqi的博客
08-05 342
客户端提交用户账号和密码,在Controller拿到账号和密码封装到token对象,然后借助subject的login方法,把数据提交给SecurityManager,使用Authenticator处理token,Authenticator从Realm列表获取LdapRealm,LdapRealm从token获取数据,交给authenticate进行比对,对比通过返回AuthenticationInfo。另一种是注解的方式,实现细粒度控制,但只能是在方法上控制,无法控制类级别访问。...
在web项目应用Shiro
02-27
该文档详细地介绍了如何将shiro框架应用到web项目,对开发很有帮助
Shiro框架项目应用
weixin_54685622的博客
04-03 6321
1、Shiro 框架简介 Shiro 概述 Shiro 是Apache公司推出一个权限管理框架,其内部封装了项目认证,授权,加密,会话等逻辑操作,通过Shiro框架可以简化我们项目权限控制逻辑的代码的编写。其认证和授权业务分析,如图所示: Shiro 框架概要架构 Shiro 框架主要通过Subject,SecurityManager,Realm对象完整认证和授权业务,其简要架构如下: 其: Subject 此对象负责提交用户身份、权限等信息 SecurityManager 负责完成认证、授权等核
shiro权限项目的简单应用
Lone-路痴的博客
06-15 4829
SpringMVC+maven项目需要使用shiro,所以自学了几天,仅提供给新手,请根据文档查看…该项目仅是测试项目,并不完善,只实现了需要使用的基本功能,并且只提供了使用shiro模块的代码。楼主新人第一次写,如有问题希望能提出来,由衷的感谢。首先是pom.xml:<dependency> <groupId>org.apache.shiro</groupId> <artifact
项目shiro应用
ITWANGBOIT的博客
10-14 249
1:项目,用户-角色-权限的关系如下图: 2:用户登录时,可以借用shiro的认证,仅仅需要userInfo的信息就可以完成认证。 3:用户登录成功之后,达到系统主页面时,有以下信息会根据用户角色和权限的不同,显示的不同: (1):菜单 (2):页面上的元素(按钮之类的) (3):通过浏览器访问一个当前用户没有被分配权限的资源 4:菜单:开发者可以通过登录用户获取到被分配的菜单(...
浅谈shiro的SecurityManager类结构
08-29
在实际应用,通常会通过配置文件或代码设置 `SecurityManager`,并根据需求选择合适的子类实现,如单服务器应用可能选择内存的 `SessionManager`,而在分布式环境可能需要使用 `ClusteredSessionManager`。...
浅谈Shiro框架的加密算法,以及校验
热门推荐
qq383264679的专栏
07-23 1万+
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。为什么要加密:网络安全问题是一个很大的隐患,用户数据泄露事件层出不穷,比如12306账号泄露。 Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作,想了解自己百度API操作用法。 看一张图,了解Shiro提供的加密算法: 本文重点讲shiro提供的
关于shiro的和spring_boot集成shiro一些浅谈
weixin_71139319的博客
09-14 314
本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。(勿喷)
shiro最简单整合版本
06-08
shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本
shiro1.6版本
09-07
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。这里面包含1.1、1.6版本的jar包
shiro与spring整合在web项目应用
两碗面的博客
01-24 307
一、思想认识 这里shiro就相当于一个拦截器,这个拦截器与spring整合在了一起,当一个URL请求的时候首先--->走shiro拦截器------>springMVC的handler函数; 二、shiro与spring项目的整合 1、shiro在web.xml的配置 在web系统shiro也通过filter进行拦截。filter拦截后将操作权交给spring配置的filte
shiro真正项目的实战应用核心代码!!!
lvjingang的博客
09-28 2062
欢迎转载!!!请注明出处!!! 说道shiro的学习之路真是相当坎坷,网上好多人发的帖子全是简单的demo样例,核心代码根本没有,在学习过程遇到过N多坑。 经过自己的努力,终于整出来了,等你整明白之后发现,确实没那么难,只是没人告诉你,自己去想向确实不好办,只能通过看源码加上自己猜想,不断尝试。 直接看主题。我就直接说受权这了,不说认证登录了,这种帖子n多个,我要说的是真正
springboot项目整合shiro的简单实现(一)
S_Y_C_1的博客
05-31 325
最近在学习shiro框架使用,在网上找了个免费的shiro视频学习,然后整合进springboot项目,这里只是实现了登录验证与简单的权限验证功能demo,暂时没有添加cache缓存功能。这里做一个记录。 shiro视频学习网站:https://www.imooc.com/video/16949 shiro内置两个realm ,iniRealm和jdbcRealm,但是一般我们都自定义realm @Service public class ShiroRealm extends Authorizing
Java Web项目整合Shiro(一)
我爱编程持之以恒
12-16 975
Shiro官网:https://shiro.apache.org/ Shiro是一个强大的、易用的Java安全框架,可以执行身份验证、授权、加密、会话管理。通过Shiro便于理解的API,你可以快速地给任何应用加固安全,小到手机移动应用程序,大到企业级应用程序。 点击导航栏的Docs,选择Reference Manual 选择Configuration 由于我们的项目使用了S...
SpringBoot 项目 Shiro 的实现
RobertChao的博客
05-08 728
SpringBoot 整合 Shiro一、Shiro 的简介 2019-04-30, 明天是五一劳动节,准备在4月结束前把 Token 令牌登录(SpringBoot 整合 JWT )的项目接口与将文件管理系统的接口对接,发现学长给的这个用户认证登录的接口有些问题(后续再说),没能顺利的进行。 在学习 SSM 框架的时候,有接触到 Shiro ,其的登录是通过 Token 完成的。这样我开始...
结合自己的项目,设计一套Shiro安全验证方案,融合到模块内。
最新发布
weixin_67118509的博客
04-04 81
注册账号进行登录授权,然后后台对用户信息进行保存,保存后会对用户信息进行加密,选择对用户重要的信息进行加密;(3)会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话;6)shiro支持多线程应用的并发验证,即如在一个线程开启另一个线程,能把权限自动传播过去;4)加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;(8)允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限。(7)提供测试支持;
shiro笔记(九)springboot 项目整合shiro框架,实现的详细步骤(一步一步整合,拿上用就可以)
一天不写代码难受的博客
08-07 289
目录 具体功能: 使用shiro框架实现登录功能,这个登录功能有记住我功能,加密密码验证功能。不同用户权限不一样,看到的东西不一样。从数据库里面查询出来的权限放到缓冲里面。 1 首先创建一个springboot的maven项目 2 导入依赖 <!--配置继承--> <parent> <groupId>org.springframework.boot</groupId> <artifactId>sp
Shiro框架Java后端项目的实践应用
项目应用Shiro框架,首先需要在项目集成Shiro的库文件。在Maven项目,这通常通过pom.xml文件来完成。pom.xml是Maven项目的核心配置文件,通过配置其的依赖声明,可以将Shiro框架的相关库文件引入到项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值