shiro(二)

最新推荐文章于 2024-06-25 10:19:00 发布
最新推荐文章于 2024-06-25 10:19:00 发布
阅读量54 收藏
点赞数
分类专栏: java 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39997751/article/details/116660443
版权

Springboot整合shiro

了解了shiro的基本概念后,现在就基于springboot整合shiro

pom
<dependencies>
        <!-- spring -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.6.0</version>
        </dependency>
    </dependencies>
model
/**
 * 用户实体类
 */
public class UserDO {

    private Long userId;
    private String username;
    private String password;

    public Long getUserId() {
        return userId;
    }

    public void setUserId(Long userId) {
        this.userId = userId;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

/**
 * 资源实体类
 */
public class ResourceDO {

    String resId;
    String resName;

    public String getResId() {
        return resId;
    }

    public void setResId(String resId) {
        this.resId = resId;
    }

    public String getResName() {
        return resName;
    }

    public void setResName(String resName) {
        this.resName = resName;
    }
}
service层
@Service
public class BaseService {

    /**
     * 根据用户名查询用户
     * @param username
     * @return
     */
    public UserDO selectByUsername(String username) {
        // 模拟DAO查询结果
        UserDO user = new UserDO();
        user.setUserId(1L);
        user.setUsername(username);
        user.setPassword("123456");
        return user;
    }

    /**
     * 根据用户名查询用户权限列表
     * @param username
     * @return
     */
    public List<ResourceDO> selectResourceByUsername(String username) {
        // 模拟DAO查询结果
        List<ResourceDO> resourceDOList = new LinkedList<>();
        ResourceDO res1 = new ResourceDO();
        res1.setResId("CLIENT:ADD");
        res1.setResName("客户新增");
        resourceDOList.add(res1);
        ResourceDO res2 = new ResourceDO();
        res2.setResId("CLIENT:UPDATE");
        res2.setResName("客户修改");
        resourceDOList.add(res2);
        ResourceDO res3 = new ResourceDO();
        res3.setResId("CLIENT:DEL");
        res3.setResName("客户删除");
        resourceDOList.add(res3);
        ResourceDO res4 = new ResourceDO();
        res4.setResId("CLIENT:QUERY");
        res4.setResName("客户查询");
        resourceDOList.add(res1);
        resourceDOList.add(res4);
        return resourceDOList;
    }
}
controller层
@RestController
@RequestMapping("admin")
public class BaseController {

    /**
     * 登陆接口
     * @param username
     * @param password
     */
    @PostMapping("login")
    public void login(String username, String password) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        token.setRememberMe(false);
        SecurityUtils.getSubject().login(token);
    }

    @RequiresPermissions("CLIENT:QUERY")
    @GetMapping("user/query")
    public List<UserDO> queryUser(Long page, Long pageSize, String username) {
        System.out.println("客户信息查询开始");
        System.out.println("客户信息查询结束");
        return new ArrayList<>();
    }

    @RequiresPermissions("CLIENT:UPDATE")
    @PutMapping("user/update")
    public void updateUser(UserDO user) {
        System.out.println("客户信息修改开始");
        System.out.println("客户信息修改结束");
    }

    @RequiresPermissions("CLIENT:DEL")
    @DeleteMapping("user/del")
    public void delUser(Long id) {
        System.out.println("客户信息删除开始");
        System.out.println("客户信息删除结束");
    }

    @RequiresPermissions("CLIENT:ADD")
    @PostMapping("user/add")
    public void addUser(Long id) {
        System.out.println("客户信息新增开始");
        System.out.println("客户信息新增结束");
    }
}

这里的@RequiresPermissions("xxx")注解,是用于权限验证的,有这个注解标识的,客户端请求时候就会去执行realm里的权限验证方法。

shiro配置

  • shiroConfig

    /**
 * shiro配置类
 */
@Configuration
public class ShiroConfig {

    /**
     * 核心工厂类 配置url过滤、安全管理器等信息
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 至上而下判断
        // url拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 以下放行
        filterChainDefinitionMap.put("/admin/login", "anon");
        filterChainDefinitionMap.put("/admin/user/query", "anon");
        filterChainDefinitionMap.put("/anon/**", "anon");
        // 其他不放行
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        // login url
        shiroFilterFactoryBean.setLoginUrl("/admin/login");
        // authc
        shiroFilterFactoryBean.getFilters().put("authc", new MyShiroFilter());
        return shiroFilterFactoryBean;
    }

    /**
     * 安全管理器
     * @return
     */
    @Bean
    public SecurityManager securityManager(MyShiroRealm realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }

    /**
     * shiro域
     * @return
     */
    @Bean
    public MyShiroRealm myShiroRealm(MyCredentialMatcher matcher) {
        MyShiroRealm realm = new MyShiroRealm();
        realm.setCredentialsMatcher(matcher);
        return realm;
    }

    /**
     * 密码比较器
     * @return
     */
    @Bean
    public MyCredentialMatcher myCredentialMatcher() {
        return new MyCredentialMatcher();
    }

    /**
     * 权限验证aop注解支持
     * @param manager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager manager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(manager);
        return advisor;
    }

    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    @DependsOn({ "lifecycleBeanPostProcessor" })
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        // 设置代理类
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }
}

    最后两个Bean是为了让项目支持shiro的aop注解。如果项目中已经引入了spring-boot-starter-aop的依赖,则可以不需要配置这两个Bean。这里是个坑,当时也研究了很久

  • MyRealm

    /**
 * shiro域——身份验证、权限验证
 */
public class MyShiroRealm extends AuthorizingRealm {

    @Autowired
    private BaseService baseService;

    /**
     * 权限
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        UserDO user = (UserDO)principalCollection.getPrimaryPrincipal();
        List<ResourceDO> resourceDOList = baseService.selectResourceByUsername(user.getUsername());
        Set<String> collect = resourceDOList.stream().map(ResourceDO::getResId).collect(Collectors.toSet());
        authorizationInfo.setStringPermissions(collect);
        return authorizationInfo;
    }

    /**
     * 身份
     * @param token
     * @return
     * @throws AuthenticationException
     *
     * */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UserDO user = baseService.selectByUsername((String)token.getPrincipal());
        if (user == null) {
            throw new AuthenticationException("用户名或密码错误");
        }
        return new SimpleAuthenticationInfo(
                user, // 用户
                token.getCredentials(), // 表单输入的密码
                getName() // realm name
        );
    }
}

  • MyShiroFilter

    public class MyShiroFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        boolean loginRequest = this.isLoginRequest(request, response);
        HttpServletResponse res = (HttpServletResponse) response;
        String message = "未登录,请先登陆";
        res.addHeader("Content-Type", "text/html;CHARSET=UTF-8");
        res.addHeader("sessionstatus", "timeout");
        PrintWriter out = response.getWriter();
        out.write(message);
        out.close();
        return false;
    }
}

  • MyCredentialMatcher

    /**
 * 密码比较器 如果密码加密方式比较简单 也可以不需要这个比较器 直接在realm里边完成验证
 */
public class MyCredentialMatcher extends SimpleCredentialsMatcher {

    /**
     * @param authenticationToken
     * @param info realm里边身份验证通过后的认证信息
     * @return
     */
    @Override
    public boolean doCredentialsMatch(AuthenticationToken authenticationToken, AuthenticationInfo info) {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        UserDO user = (UserDO)info.getPrincipals().getPrimaryPrincipal();
        String pwdInput = new String(token.getPassword());
        // 项目中密码加密的方式
        String password = new Md5Hash(pwdInput).toHex();
        //if (!user.getPassword().equals(password)) {
            //throw new AuthenticationException("用户名或密码错误");
        //}
        return true;
    }
}

按照上述配置,项目里就可以整合进shiro了。整合进shiro的主要优势,个人感觉最大的就是权限管理逻辑清晰、拓展方便

一键破光阴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro使用
qq_40951656的博客
11-20 245
springboot整合shiro
47-级缓存 Hibernate-Shiro-MyBatis
03-02
**Shiro级缓存** Apache Shiro是一个强大的安全管理框架,它提供了认证、授权、会话管理和加密等功能。Shiro的缓存主要用于存储用户的权限信息,减少对数据库的查询。Shiro支持JCache(JSR-107)规范,可以通过...
Java基础之《shiro(2)—初识》
csj50的专栏
12-13 334
1、建立shiro.ini文件 #格式:用户名=密码,角色1,角色2 [users] zhangsan=123,admin lisi=456,manager,seller wangwu=789,clerk #预定权限 [roles] admin=* clerk=user:query,user:detail:query manager=user:* 2、pom文件引入依赖包 <?xml version="1.0" encoding="UTF-8"?> <project xmln
springboot集成shiros自定义md5加密自定义token认证
a360284634的博客
06-18 859
spring boot 集成 shiroshiro介绍,shiro与springSecurity区别,shiro优缺点
SpringBootShiro使用
Daylight629博客
02-21 840
SpringBootShiro使用 一、Shiro简介 1、Shiro 是什么? Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 下载地址 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2
springboot使用shiro
qq_40137193的博客
07-26 231
1、springboot 默认访问路径 resources 下的 static(好像最高级别),所以静态资源文件(js,css,jpg等)的访问配置要去掉 /static (/static/js/**=anon) 2、/** 必须要放在最下面 ,注意是必须 3、shiro查询到的用户信息在控制台上输入会抛异常 ...
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
Apache Shiro 使用手册(Shiro 认证
09-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权和会话管理功能。本文主要关注其认证过程,即验证用户身份的环节。 在 Shiro 的认证过程中,用户需要提供实体信息(Principals)和凭据信息...
shiro学习笔记
04-03
### Shiro的主要功能 1. **密码加密**:Shiro 提供了多种加密工具,如MD5、SHA等,用于对用户密码进行安全存储。 2. **Web 支持**:Shiro 可以方便地与Servlet容器集成,提供Web 应用的安全控制。 3. **缓存...
shiro视频教程
02-12
#### Shiro 的核心组件 1. **Subject**:所有与应用交互的对象都是 Subject(主题),它是 Shiro 的核心概念之一。 - **Subject 的作用**:代表用户或任何需要访问资源的实体。 - **Subject 的操作**:...
springboot使用shiro
bobasyu的博客
01-08 132
shiro shiro 核心组件 名称 含义 usernamePassword shiro用来封装用户登陆信息,使用用户的登录信息来创建Token SecurityManager shiro的核心部分,负责安全认证和授权 subject shiro的一个抽象概念,包含了用户信息 authenticationInfo 用户角色信息集合,认证是使用 authorizationInfo 角色权限信息集合,授权时使用 DefaultWebSecurityDMmanager 安全管
SpringBoot使用Shiro
qq_44255146的博客
12-30 122
SpringBoot使用Shiro 1、导入maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> 2、创建配置类 config>ShiroConfig.java @C
SpringBoot项目使用Shiro
Mr_ZTQ
04-08 203
一:添加Shiro的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.2</version...
SpringBootshiro使用
qq_45742386的博客
04-21 195
shiro使用 什么都不用说了,我们直接看代码吧!! pom.xml 导入依赖 <!-- shiro安全框架 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version> </d
SpringBoot-Shiro使用
qq_42861526的博客
12-15 2161
一、什么是Shiro 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
ShiroSpringBoot中的使用
最新发布
年轻就是资本的专栏
06-25 593
1. 添加依赖 <!-- Apache Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version&g...
2-SpringBoot使用Shiro
诗人不写诗
08-01 113
Shiro的认证功能靠的是Filter来实现,默认情况下,Shiro会注册一个名为shiroFilter的Filter到容器中,这个Filter拦截的url一般是
SpringBoot使用Shiro认证进行登录和权限管理
学而不思则忘
06-28 469
这篇文章设置了Shiro认证,结合上一篇文章的登录即可完成登录功能。起初引进Shiro的目的是为了实现权限控制,在本项目中就是不用用户拥有对库存管理的不同的权限,最后就整合了登录功能一起实现。 文件目录 ShiroConfig.java文件设置 package pinksmile.database.config; import at.pollux.thymeleaf.shiro.dialect.ShiroDialect; import org.apache.shiro.spring.security.
全面解析Apache Shiro教程
章"集成验证码"提供了将验证码功能融入Shiro的指南。 第十三章"多项目集中权限管理及分布式会话"探讨了在多个项目间共享权限管理和会话的策略。 第十四章"在线会话管理"讨论了监控和管理当前在线用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值