SpringBoot——整合shiro(登录认证和权限管理)

最新推荐文章于 2023-06-15 17:32:19 发布
最新推荐文章于 2023-06-15 17:32:19 发布
阅读量203 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39309402/article/details/98126961
版权

在目前流行的安全框架中,除了Apache Shiro之外,Spring Security是比较常用的,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,那么,Spring Boot如何整合Shiro呢?

1、Apache Shiro是什么?有什么特点?

Apache Shiro是一个功能强大、灵活的开源安全框架,它可以干净利落地处理身份验证、授权、企业会话管理和加密。

Shiro能做什么呢?
A)验证用户身份
B)用户访问权限控制,比如:
==判断用户是否分配了一定的安全角色。
==判断用户是否被授予完成某个操作的权限
C)在非 web 或 EJB 容器的环境下可以任意使用Session API
D)可以响应认证、访问控制,或者 Session 生命周期中发生的事件
E)可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
F)支持单点登录(SSO)功能
G)支持提供“Remember Me”服务,获取用户关联信息而无需登录

2、Apache Shiro 的框架图

13566833-bf655fdecd3c4478.png
Apache Shiro框架图.png

Authentication(认证):用户身份识别,通常被称为用户“登录”
Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。
Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。
Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。

还有其他的功能来支持和加强对以下原型功能的支持:
Web支持:Shiro 提供的 web 支持 api ,可以很轻松的保护 web 应用程序的安全。
缓存:缓存是 Apache Shiro 保证安全操作快速、高效的重要手段。
并发:Apache Shiro 支持多线程应用程序的并发特性。
测试:支持单元测试和集成测试,确保代码和预想的一样安全。
“Run As”:这个功能允许用户假设另一个用户的身份(在许可的前提下)。
“Remember Me”:跨 session 记录用户的身份,只有在强制需要时才需要登录。
注意: Shiro不会去维护用户、维护权限,这些需要我们自己去设计/提供,然后通过相应的接口注入给Shiro

3、使用Apache Shiro开发,需要我们做什么?

需要我们实现Realms的Authentication 和 Authorization:
Authentication 是用来验证用户身份
Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

我们先看一下Apache Shiro的核心组件关系图:


13566833-e7e3f77544d22ac1.png
Shiro核心组件关系图.png

Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。
SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
Realms:用于进行权限信息的验证,需要我们自己实现。

Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

4、Spring Boot集成Shiro步骤

  • 引入依赖:
<!-- 引入shiro权限认证 -->
      <dependency>
           <groupId>org.apache.shiro</groupId>
           <artifactId>shiro-spring</artifactId>
           <version>1.3.2</version>
      </dependency>
  • 创建数据库表——用户表和角色表
DROP TABLE IF EXISTS `t_role`;
CREATE TABLE `t_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `role` varchar(20) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

INSERT INTO `t_role` VALUES ('1', 'admin');
INSERT INTO `t_role` VALUES ('2', 'user');

DROP TABLE IF EXISTS `t_user`;
CREATE TABLE `t_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `user_name` varchar(20) NOT NULL,
  `pass_word` varchar(20) NOT NULL,
  `role` varchar(20) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

INSERT INTO `t_user` VALUES ('1', 'xing', '123456', 'admin');
INSERT INTO `t_user` VALUES ('2', 'li', '123', 'user');
INSERT INTO `t_user` VALUES ('3', 'yao', '123', 'user');

采用jpa技术来自动生成基础表格,这个下一篇文章详细讲解

  • Shiro配置
    Apache Shiro 核心通过 Filter 来实现,即:通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。
    首先实现Realms(重写 doGetAuthenticationInfo 和 doGetAuthorizationInfo 两个方法)代码如下
package com.guxf.demo.config;

import java.util.HashSet;
import java.util.Set;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AccountException;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.guxf.demo.dao.UserMapper;
// 指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)
public class MyShiroRealm extends AuthorizingRealm {
    private UserMapper userMapper;

    @Autowired
    private void setUserMapper(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    /**
     * 获取身份验证信息
     * Shiro中最终是通过Realm来获取应用程序中的用户、角色及权限信息
     *
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) 
            throws AuthenticationException {
//        System.out.println("————身份认证方法————");
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // 从数据库获取对应用户名密码的用户
        String password = userMapper.getPassword(token.getUsername());
        if (null == password) {
            throw new AccountException("该账号不存在");
        } else if (!password.equals(new String((char[]) token.getCredentials()))) {
            throw new AccountException("密码不正确");
        }
        return new SimpleAuthenticationInfo(token.getPrincipal(), password, getName());
    }

    /**
     * 获取授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//        System.out.println("————权限认证————");
        String username = (String) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获得该用户角色
        String role = userMapper.getRole(username);
        Set<String> set = new HashSet<>();
        //需要将 role 封装到 Set 作为 info.setRoles() 的参数
        set.add(role);
        //设置该用户拥有的角色
        info.setRoles(set);
        return info;
    }
}

重写的两个方法分别是实现身份认证以及权限认证,shiro 中有个登陆操作的 Subject.login() 方法,当我们把封装了用户名,密码的 token 作为参数传入,便会跑进这两个方法里面(不一定两个方法都会进入)

doGetAuthorizationInfo 方法 :只有在需要权限认证时才会进入。
doGetAuthenticationInfo 方法:是需要身份认证时(比如方法中的 Subject.login() )才会进入
UsernamePasswordToken:从该对象拿到登陆时的用户名和密码(登陆时会使用 new UsernamePasswordToken(username, password);),而 get 用户名或密码有以下几个方法:

token.getUsername()        --获得用户名 String
token.getPrincipal()         --获得用户名 Object 
token.getPassword()        --获得密码 char[]
token.getCredentials()     --获得密码 Object

其次配置ShiroConfig类,代码如下:

package com.guxf.demo.config;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shirFilter(org.apache.shiro.mgt.SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 设置登陆URL 
        // 如果不设置值,默认会寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
        shiroFilterFactoryBean.setLoginUrl("/notLogin.do");
        // 设置无权限时跳转的URL
        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole.do");

        // 设置拦截器--进行权限认证
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //游客,开发权限
        filterChainDefinitionMap.put("/guest/**", "anon");
        //用户,需要角色权限 “user”
        filterChainDefinitionMap.put("/user/**", "roles[user]");
        //管理员,需要角色权限 “admin”
        filterChainDefinitionMap.put("/admin/**", "roles[admin]");
        //开放登陆接口
        filterChainDefinitionMap.put("/login", "anon");
        
        //其余接口一律拦截        
        //该这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        System.out.println("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }

    /**
     * 注入securityManager
     */
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(myRealm());
        return securityManager;
    }

    /**
     * 自定义身份认证 realm;
     * 加上 @Bean 注解,目的是注入Realm
     */
    @Bean
    public MyShiroRealm myRealm() {
        return new MyShiroRealm();
    }
}

登陆Controller,代码如下:

参考链接http://www.ityouknow.com/springboot/2017/06/26/springboot-shiro.html

南丘xf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合shiro实现登录验证
c1225992531的博客
08-02 8350
springboot整合shiro实现登录验证 今天第一次接触springboot,本来是要学习springbootshiro整合的,但是由于springboot结构还不太了解,所以先来了解一下springbootspringboot可以快速创建一个机遇spring的项目,而且让这个项目跑起来只需要很少的配置就可以了,主要有以下核心功能: 1.独立运行的spring项目:springboo...
Spring Boot (十四): Spring Boot 整合 Shiro-登录认证权限管理
weixin_45223949的博客
12-02 238
当访问到页面的时候,链接配置了相应的权限或者 Shiro 标签才会执行此方法否则不会执行,所以如果只是简单的身份认证没有权限的控制的话,那么这个方法可以不进行实现,直接返回 null 即可。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
9、SpringBootShiro
Surplus.的博客
10-13 455
文章目录8.1、Shiro快速开始8.2、Shiro快速开始8.3、Shiro的Subject分析8.4、SpringBoot整合Shiro环境搭建8.5、Shiro实现登录拦截8.6、Shiro实现用户认证8.7、Shiro整合Mybatis8.8、Shiro请求授权实现8.9、Shiro整合Thymeleaf 8.1、Shiro快速开始 8.2、Shiro快速开始 8.3、Shiro的Subject分析 8.4、SpringBoot整合Shiro环境搭建 8.5、Shiro实现登录拦截 8.6、Shir
SpringBoot整合Shiro并实现登录
qq_40738239的博客
02-14 993
SpringBoot整合Shiro并实现登录 和 退出登录
Shiro系列(四)--- Springboot整合Shiro实现基本的登录认证流程
FAIRYTAIL的博客
08-24 818
继续我们shiro系列博客相关的学习笔记,前几篇只是大体对shiro的基本概念、可以实现的基本功能、并通过官网提供的简单示例大体了解了一下shiro,感觉挺干的,不想再这样整理下去了,像是什么INI配置、Realm、拦截器机制、会话管理这些不再单独整理博客记录了,之后都通过代码的方式来体现并不断拓展;各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! 这一篇从用户登录到验证、授权整个流程通过代码简单梳理一下。 基础准备环境 首先我们引入相关依赖:
springboot(十四):springboot整合shiro-登录认证权限管理
热门推荐
纯洁的微笑
06-28 9万+
这篇文章我们来学习如何使用Spring Boot集成Apache Shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,这篇文章会先介绍一下Apache Shiro,在结合Spri
SpringBoot+shiro整合学习之登录认证和权限控制
qq_20954959的博客
02-13 8129
学习任务目标 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。 对链接进行权限控制,只有当当前登录用户有这个链接访问权限才可以访问,否则跳转到指定页面。 输入错误密码用户名或则用户被设置为静止登录,返回相应json串信息。 我是用的是之前搭建的一个springboot+mybatisplus+jsp的一个基础框架。在这之上进行shiro整合。需要的同学可以去我的码云下载。 导入shiro
SpringBootShiro整合-权限管理实战视频+源码
02-25
### SpringBootShiro整合-权限管理实战视频+源码 #### 一、Spring Boot简介 Spring Boot是由Pivotal团队提供的全新框架,其设计目标是简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式(比如...
SpringBoot基本操作(七)——SpringBoot整合Shiro权限管理(完整demo+界面)
zhulier1124的博客
09-01 3万+
SpringBoot2.0笔记 (一)SpringBoot基本操作——环境搭建及项目创建(有demo) (二)SpringBoot基本操作——使用IDEA打war包发布及测试 (三)SpringBoot基本操作——SpringBoot整合SpringDataJpa(有demo) (四)SpringBoot基本操作——SpringBoot使用RedisTemplate整合Redis(有dem...
SpringBootShiro整合-权限管理的简单权限系统.zip
最新发布
02-04
本项目“SpringBootShiro整合-权限管理的简单权限系统”旨在演示如何将两个流行的Java框架——SpringBoot和Apache Shiro结合,以实现一个简单的权限控制解决方案。下面将详细介绍这个系统的核心技术和实现步骤。 ...
springboot整合shiro新手教程(登陆部分)
兔子压倒窝边草
04-13 980
shiro有两个作用:登陆控制与权限控制,你可以只选择一种功能去实现。如果想要实现权限控制,那你还要根据你的业务去设计好权限划分。例如某种角色对某模块下某个资源的访问权限。在这里我只是实现了shiro登陆控制,登陆、记住我、注销功能。前置条件:用户登陆的业务代码完成,可以通过userId或者userName获得用户信息。1.引入依赖&lt;dependency&gt; &lt;groupI...
SpringBoot整合Shiro实现完整的用户登录
qq_42700766的博客
07-11 1015
一、简介 Apache Shiro是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 二、流程 用户输入用户名、密码–点击登录–> Shrio自封装成UsertnamePasswordToken----> 主体信息:Subject(可以是具体的人,也可以是其他实体…)---->Shiro的SecurityManager(用于管理
SpringBoot整合Shiro实现登录和注册功能
不愧是暮言的博客
04-25 843
Shiro的一个重要特点是它的易用性和灵活性,它可以与各种Java框架(如Spring、Spring Boot、Struts等)无缝集成,并提供了丰富的API和扩展点。同时,Spring Boot也是一个非常流行的Java框架,它提供了一种快速、方便、灵活地构建基于Spring的应用程序的方式。另一方面,Spring Boot是一个非常流行的Java框架,它可以提供快速、方便、灵活地构建基于Spring的应用程序的方式。至此,使用Shiro和Spring Boot整合实现登录和注册功能的过程已经完成了。
spring boot 整合mybatis 和 shiro 实现登录
yetaot的博客
03-22 820
目录 Spring boot 后台代码 项目目录结构 基本环境配置 修改pom文件 mybatis整合 添加jdbc.properties文件 数据源配置 添加mybatis-config.xml文件 mybatis配置 创建user对象测试 model dao service 访问测试 shiro整合 ShiroFilter工厂 测试登录 Spring ...
SpringBoot整合Shiro实现登录认证授权操作
02-21 1400
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序 Authentication:有时称为“登录”,这是证明用户是他们所说的用户的行为。Authorization:访问控制的过程,即确定“谁”有权访问“什么”。Session Ma...
springboot整合shiro进行安全登录,并且进行权限验证
weixin_71787144的博客
12-12 390
笔记
springboot整合shiro实现登录认证以及授权
baidu_35692846的博客
09-29 313
1.添加shiro的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web- starter</artifactId> <version>1.4.0</version> </dependency> 2.先创建一个Real
SpringBoot集成shiro认证,实现Shiro认证登录操作
Java开发,人工智能,边缘计算,致力于掌握前沿技术
08-25 1261
什么是Shiro权限管理? Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相 当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个 好,这个不必纠结,能更简单的解决项目问题就好...
SpringBoot整合Shiro登录认证和鉴权授权
weixin_41686525的博客
06-15 587
重点看第八个配置,如果用户还没有认证,就不能访问xxx目录下的其他地址。3、在需要特定权限的方法上加注解:@RequiresPermissions(“权限”)4、认证登录,创建MyRealm继承AuthorizingRealm,重写类中的方法。2、MyRealm中重写doGetAuthorizationInfo方法。1、建立角色表、权限表、角色权限关系表、角色用户关系表,做五表联查。3、写一大堆Shiro的配置,封装在配置类里。2、规定加密规则,并做一些测试数据。1、先把shiro环境搭起来。
SpringBoot2.0与Shiro整合权限管理实战教程
"本文主要探讨如何在SpringBoot2.0项目中整合Apache Shiro框架,以实现用户权限管理。通过示例代码详细讲解了整合过程和关键配置,旨在帮助开发者理解和掌握这一技术,以提升应用的安全性和用户体验。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值