SpringBoot整合Shiro做登录认证和鉴权授权

于 2023-06-15 17:32:19 发布
阅读量366 收藏
点赞数
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41686525/article/details/131230825
版权

登录认证

1、先把shiro环境搭起来

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.3.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.3.2</version>
        </dependency>

2、规定加密规则,并做一些测试数据
创建一个类ShiroUtil,封装这些操作

import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;
import java.util.HashMap;
import java.util.Map;

public class ShiroUtil {
    static final String SHA="SHA-1";
    static final Integer COUNT=369;//加密次数
	//生成测试数据
    public static void main(String[] args) {
        Map<String, String> map = encodePassword("123456");
        System.out.println(map);
    }

    //生成混淆字符串(盐)
    public static String generateSalt(){
        SecureRandomNumberGenerator salt = new SecureRandomNumberGenerator();
        return salt.nextBytes().toHex();
    }

    //加密
    public static String encode(String input,String salt){
        return new SimpleHash(SHA,input,salt,COUNT).toString();
    }

    //详细信息
    public static Map<String,String> encodePassword(String input){
        Map<String,String> map=new HashMap<>();
        String salt=generateSalt();
        String password = encode(input, salt);
        map.put("salt",salt);
        map.put("password(明文)",input);
        map.put("password(密文)",password);
        return map;
    }
}

3、写一大堆Shiro的配置,封装在配置类里

import com.apesource.common.MyRealm;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.context.annotation.DependsOn;
import org.springframework.scheduling.annotation.EnableScheduling;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    //创建shiro自带的cookie对象
    @Bean
    public SimpleCookie sessionIdCookie(){
        SimpleCookie simpleCookie = new SimpleCookie();
        simpleCookie.setName("ShiroSession");
        return simpleCookie;
    }

    //创建realm
    @Bean
    public MyRealm getRealm(){
        return new MyRealm();
    }

    //创建会话管理器
    @Bean
    public DefaultWebSessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(false);
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.setSessionIdCookie(sessionIdCookie());
        sessionManager.setGlobalSessionTimeout(3600000);
        return sessionManager;
    }

    //创建安全管理器
    @Bean
    public SecurityManager defaultWebSecurityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getRealm());
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }
    /**
     * 5.保证实现了Shiro内部lifecycle函数的bean执行
     */
    @Bean(name = "lifecycleBeanPostProcessor")
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 6.开启对shior注解的支持
     *   AOP式方法级权限检查
     *   @DependsOn意思是我这个组件要依赖于另一个组件,也就是说被依赖的组件会比该组件先注册到IOC容器中
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /**
     * 7.配合DefaultAdvisorAutoProxyCreator事项注解权限校验
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(defaultWebSecurityManager());
        return authorizationAttributeSourceAdvisor;
    }
    //8.配置shiro的过滤器工厂再web程序中,shiro进行权限控制全部是通过一组过滤器集合进行控制
    @Bean
    public ShiroFilterFactoryBean shiroFilter() {
        //1.创建过滤器工厂
        ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
        //2.设置安全管理器
        filterFactory.setSecurityManager(defaultWebSecurityManager());
        //3.通用配置(跳转登录页面,为授权跳转的页面)
        filterFactory.setLoginUrl("/authentic_error");//跳转url地址
        //4.设置过滤器集合
        //key = 拦截的url地址
        //value = 过滤器类型
        Map<String,String> filterMap = new LinkedHashMap<>();
        //key:请求规则   value:过滤器名称
        filterMap.put("/xxx/login","anon");//当前请求地址可以匿名访问
        filterMap.put("/xxx/*","authc");//当前请求地址必须认证之后可以访问
       
        //在过滤器工程内设置系统过滤器
        filterFactory.setFilterChainDefinitionMap(filterMap);
        return filterFactory;
    }
}

重点看第八个配置,如果用户还没有认证,就不能访问xxx目录下的其他地址。只有login可以登录。
4、认证登录,创建MyRealm继承AuthorizingRealm,重写类中的方法

//认证(authentic)
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取登录的用户名密码(username-password)
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //登录的用户的用户名
        String username = token.getUsername();
        System.out.println("登录用户:"+username);
        //根据username去数据库查表,获得emp对象(emp的基本信息)
        Employee employee = service.findEmpByUsername(username);
        //查到emp的全部信息,包括用户的角色权限(多表联查)
        Employee empData = service.findEmpAndRole(employee.getId());
        System.out.println("数据库用户数据:"+empData.toString());
        if(empData!=null){
            System.out.println("数据库有这个数据");
            SimpleAuthenticationInfo info =
                    new SimpleAuthenticationInfo(empData,empData.getPassword(),
                           ByteSource.Util.bytes(empData.getSalt()),this.getName());
            System.out.println("登录用户:"+info);
            return info;
        }
        return null;
    }
    /**
     * @Description 自定义密码比较器
     * @param
     * @return
     * bean标签 init-method属性
     */
    @PostConstruct
    public void initCredentialsMatcher() {
        //指定密码算法
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher("SHA-1");
        //指定迭代次数
        hashedCredentialsMatcher.setHashIterations(369);
        //生效密码比较器
        setCredentialsMatcher(hashedCredentialsMatcher);
    }

鉴权授权

1、建立角色表、权限表、角色权限关系表、角色用户关系表,做五表联查
在这里插入图片描述
级联步骤:
http://t.csdn.cn/plVrn
2、MyRealm中重写doGetAuthorizationInfo方法

//授权(authorize)
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1.获取已认证的用户数据(已经登录的用户)
        Employee employee = (Employee) principalCollection.getPrimaryPrincipal();//得到唯一的安全数据
        System.out.println("授权用户:"+employee);
        //2.根据用户数据获取用户的权限信息(所有角色,所有权限)
        Set<String> roles = new HashSet<>();//所有角色
        Set<String> perms = new HashSet<>();//所有权限
        for (Role role : employee.getRoleList()) {
            roles.add(role.getRoleName());
            for (Permission perm : role.getPermissionList()) {
            //code中的字符串保存了权限信息,@RequiresPermissions("xxx")可用
                perms.add(perm.getCode());
            }
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(perms);
        info.setRoles(roles);
        return info;
    }

3、在需要特定权限的方法上加注解:@RequiresPermissions(“权限”)

SavySavy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合shiro实现登录验证
c1225992531的博客
08-02 8315
springboot整合shiro实现登录验证 今天第一次接触springboot,本来是要学习springbootshiro整合的,但是由于springboot结构还不太了解,所以先来了解一下springbootspringboot可以快速创建一个机遇spring的项目,而且让这个项目跑起来只需要很少的配置就可以了,主要有以下核心功能: 1.独立运行的spring项目:springboo...
shiro认证
qq_41617261的博客
08-10 1112
shiro框架 shiro:强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”; SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心 脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证授权、及会 话、缓存的管理。 Authenticator:认证器,负
SpringBootShiro请求授权实现
qq_43880100的博客
10-22 799
SpringBootShiro请求授权实现
SpringBoot + Shiro实现登陆认证(实现过程 + 源码解析 + 代码展示)
m0_67402914的博客
04-25 1889
文章目录 1.概述 1.1 SpringBoot 1.2 Shiro 2.Shiro实现登录认证 导入pom依赖 配置核心方法 3.Shiro登录认证源码解析 代码地址 1.概述 1.1 SpringBoot 今天要的是使用SpringBoot配合Shiro来实现登陆的认证,所以SpringBoot是必不可少的,相信大家能用到Shiro了,SpringBoot一定不差,那就不过多赘述,我们主要来介绍Shiro。 1.2 Shiro Shiro是java的一个安全框架,
SpringBoot整合Shiro实现登录和注册功能
不愧是暮言的博客
04-25 816
Shiro的一个重要特点是它的易用性和灵活性,它可以与各种Java框架(如Spring、Spring Boot、Struts等)无缝集成,并提供了丰富的API和扩展点。同时,Spring Boot也是一个非常流行的Java框架,它提供了一种快速、方便、灵活地构建基于Spring的应用程序的方式。另一方面,Spring Boot是一个非常流行的Java框架,它可以提供快速、方便、灵活地构建基于Spring的应用程序的方式。至此,使用Shiro和Spring Boot整合实现登录和注册功能的过程已经完成了。
SpringBoot整合Shiro实现认证授权以及整合MongoDB,开箱即用。
09-01
适合对shiro以及Mongodb不太熟悉想入门的小伙伴。 通过这份源码你可以学到: 1.SpringBoot整合Shiro实现授权认证等相关技术。 2.SpringBoot整合Mongodb,Oracle数据库。
SpringBoot+shiro+redis+jwt .zip
01-03
本项目通过`SpringBoot`整合`Shiro`和`Redis`,利用`JWT`来实现用户,旨在提供一种简洁、高效的解决方案。 首先,`SpringBoot`简化了传统`Spring`项目的配置和依赖管理,通过自动配置特性,开发者可以快速构建...
Shiro + Java-JWT无状态认证机制
07-30
SpringBoot项目中集成Shiro和JWT,我们需要创建一个Shiro配置类,配置Realm(认证授权信息的来源)、Filter链等。JWT的生成和验证可以通过第三方库如jjwt来完成。在每次请求时,Shiro会检查JWT的有效性,如果...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态机制
10-17
在这个项目中,SpringBoot作为基础框架,整合Shiro、JWT、数据库和Redis等组件,提供了RESTful API的入口和处理逻辑。 **MySQL数据库** MySQL是广泛使用的开源关系型数据库,用于存储用户信息、限规则等数据。...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入限判断进行处理!
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2218
Springboot整合Shiro+JWT实现用户登录认证授权
shiro】一、基础概念
weixin_34212762的博客
07-05 170
来源:http://blog.csdn.net/swingpyzf/article/details/46342023/ &amp;&amp;&amp;&amp; http://jinnianshilongnian.iteye.com/blog/2018936 什么是Apache Shiro 1、什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Ja...
html登录页面代码_Spring Security接管Swagger认证授权,我发现仅用了3行关键代码!
weixin_39589923的博客
11-26 605
接上篇《Apache Shiro 接管Swagger认证授权》,有热心网友反应Apache Shiro似乎太简单。针对这个问题,个人不任何评价(一切技术服务于需求)。今天主要分享内容为:在Spring Security下如何接管Swagger的认证授权工作。1.添加依赖假定你对Swagger和Spring Security已经有一定的基础,现在开始检查你的项目中是否添加了Swagger和Spri...
Spring Boot 访问安全之认证
布道
07-04 1万+
在web应用中有大量场景需要对用户进行安全校,一般人的法就是硬编码的方式直接埋到到业务代码中,但可曾想过这样法会导致代码不够简洁(大量重复代码)、有个性化时难维护(每个业务逻辑访问控制策略都不相同甚至差异很大)、容易发生安全泄露(有些业务可能不需要当前登录信息,但被访问的数据可能是敏感数据由于遗忘而没有受到保护)。为了更安全、更方便的进行访问安全控制,我们可以想到的就是使用springmvc的...
springboot-shiro用户登录
weixin_47681367的博客
12-11 635
springboot-shiro用户登录;重定向login.jsp
Shiro认证授权
编程小白养成手记
08-12 481
shiro实战教程 一、限管理 1.1什么是限管理 基本上涉及到用户参与的系统都需要进行限管理,限管理属于系统安全的范畴,限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
基于Spring Boot2 + Spring Security OAuth2 实现单点登陆(一)
热门推荐
火星人专栏
03-30 3万+
关于OAuth2的基本介绍:点这里 Spring Security 5.0开始对密码相关内容了修改,具体查看这里 实现一个最基本的OAuth2认证 项目使用3个独立的工程分别实现认证服务、资源服务器和单点登陆服务器 源码地址 添加项目依赖 allprojects { apply plugin: 'idea' apply plugin: 'java' }...
springboot整合shiro实现登录
最新发布
09-26
要实现springboot整合shiro实现登录,你需要按照以下步骤进行操作: 1. 引入相关依赖:在项目的pom.xml文件中添加spring-boot-starter-web和spring-boot-starter-thymeleaf依赖。 2. 创建ShiroConfig类:在项目的配置包中创建一个名为ShiroConfig的Java类,并在该类中进行相关的配置,包括: - 创建Realm对象并设置认证授权方法 - 创建SecurityManager对象并设置Realm - 创建ShiroFilterFactoryBean对象并设置SecurityManager和过滤规则 - 配置Shiro登录页面和登录成功后的跳转页面等 3. 创建自定义Realm类:在项目中创建一个自定义的Realm类,并继承org.apache.shiro.realm.AuthenticatingRealm类。在该类中实现认证授权的方法。 4. 创建登录页面和相关的Controller:创建一个登录页面,并在项目中创建一个Controller类,负责处理登录请求和跳转页面的逻辑。 5. 配置拦截规则:在ShiroConfig类中配置拦截规则,包括哪些URL需要进行拦截,哪些URL不需要拦截等。 6. 启动项目:运行SpringbootShiroApplication的main方法,启动项目。 7. 访问登录页面:在浏览器中输入项目的URL,访问登录页面。 8. 输入用户名和密码:在登录页面输入正确的用户名和密码,点击登录按钮。 9. 登录成功:如果用户名和密码匹配成功,则跳转到登录成功页面;否则,返回登录页面并显示错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值