shiro实现认证与授权

已于 2023-11-24 01:09:44 修改
阅读量84 收藏
点赞数
文章标签: springboot
于 2023-11-23 23:01:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42510217/article/details/134588230
版权

shiro实现认证与授权

贴一段官网文字

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

Apache Shiro™是一个功能强大且易于使用的Java安全框架,可用于身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序,从最小的移动应用程序到最大的web和企业应用程序。

注:此文档例子基于springboot version2.7.17

1.引入Maven依赖

		<!-- shiro -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.13.0</version>
		</dependency>

2.设置realm

Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。

Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

/**
 * 定义自己的realm,实现doGetAuthorizationInfo和doGetAuthenticationInfo方法
 */
public class MyRealm extends AuthorizingRealm {
    /**
     * 授权,从数据源获取用户的角色和权限列表
     * @param principalCollection Subject的principal集合,主要属性是primaryPrincipal
     * @return simpleAuthorizationInfo Simple POJO implementation of the AuthorizationInfo interface
     *          that stores roles and permissions as internal attributes.
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 获取principal,subject的唯一标识,一般是userId,主要看登录时设置的是什么
        String primaryPrincipal = (String)principalCollection.getPrimaryPrincipal();
        // 通过上面的principal获取角色和权限列表
        // 模拟数据源获取角色
        List roleList = Arrays.asList("user_admin","blog_admin","system_admin");
        List permissionList = Arrays.asList("user:*","blog:*","system:*");
        // SimpleAuthorizationInfo是AuthorizationInfo接口的简单POJO实现,该接口将角色和权限存储为内部属性。
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(new HashSet<>(roleList));
        simpleAuthorizationInfo.setStringPermissions(new HashSet<>(permissionList));
        return simpleAuthorizationInfo;
    }

    /**
     * 登录认证,对登录携带的“token”进行登录认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String principal = (String)authenticationToken.getPrincipal();
        // 从数据源中查找是否存在principal的对象,可能是mysql,redis等等
        // 模拟判断数据源是否存在该数据,不存在返回空,标识认证不通过
        String account = "zhangsan";
        String password = "123456";
        if (!principal.equals(account)){
            return null;
        }
        // 存在返回SimpleAuthenticationInfo
        // 另外,SimpleAuthenticationInfo有
        SimpleAuthenticationInfo simpleAuthenticationInfo =
                new SimpleAuthenticationInfo(principal,password,this.getName());
        return simpleAuthenticationInfo;
    }
}

3.配置ShiroConfig

引入shiro,写好realm,我们需要使其生效,因而需要编写config类进行基础配置

/**
 * shiro配置类
 */
@Configuration
public class ShiroConfig {


    /**
     * 配置一个自定义的Realm的bean,最终将使用这个bean返回的对象来完成我们的认证和授权
     */
    @Bean
    public MyRealm myRealm() {
        MyRealm myRealm = new MyRealm();
        return myRealm;
    }

    /**
     *
     * @param myRealm
     * @return
     */
    @Bean
    public SecurityManager securityManager(Realm myRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //设置一个Realm,这个Realm是最终用于完成我们的认证号和授权操作的具体对象
        securityManager.setRealm(myRealm);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        // 认证失败(用户没登录时)会重定向到这个loginUrl
        shiroFilter.setLoginUrl("/");
        // 授权失败重定向路径
        shiroFilter.setUnauthorizedUrl("/noPermission");
        // 定义一个LinkHashMap,保存认证的路径和规则
        Map<String,String> map = new LinkedHashMap();
        // key为uri,anon为标识符,标识不需要验证
        map.put("/login","anon");
        // authc表示Authentication,即是需要认证
        map.put("/admin/**","authc");
        // key “/**"表示所有uri,”/**“必须写在最后,如果不写该项,默认放行所有没配置的uri
        map.put("/**","authc");
        // 将该map设置进shiroFilter
        shiroFilter.setFilterChainDefinitionMap(map);
        return shiroFilter;
    }
}

4.测试接口类

@RestController
public class TestController {

    /**
     * 登录接口
     * @param username
     * @param password
     * @return
     */
    @GetMapping("/login")
    public String login(String username,String password){
            // 获取当前主体
            Subject subject = SecurityUtils.getSubject();
            // 构建登录token,login方法进入中进入我们自定义的realm的doGetAuthenticationInfo方法
            UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
            subject.login(usernamePasswordToken);
            return "登陆成功";
    }

    /**
     * 验证登录才能访问的接口
     * @return
     */
    @GetMapping("/testIndex")
    public String testIndex(){
        Subject subject = SecurityUtils.getSubject();
        System.out.println(subject.getSession().getId());
        return "成功进入主页";
    }

    /**
     * 重定向需要登录的接口
     * @return
     */
    @GetMapping("/")
    public String needLoginPage(){
        return "需要登录";
    }

}

测试结果如期望所得

  • 登录前访问 /testIndex 接口,跳转 / 接口提示 “需要登录”
  • 访问http://127.0.0.1:8080/login?username=zhangsan&password=123456进行登录,显示登录成功
  • 接着访问 /testIndex 接口,显示 “成功进入主页”

5. 权限校验

以上的测试展示了shiro的认证功能,但是授权并没涉及。下面讲一下shiro的授权。

首先,shiro是可以通过代码去进行校验是否认证通过或者有某个角色或权限的。

    public String testIndex(){
        // 检查是否已经登录(通过认证)
        boolean authenticated = SecurityUtils.getSubject().isAuthenticated();
        // 检查是否属于某个角色
        boolean user_admin = SecurityUtils.getSubject().hasRole("user_admin");
        // 检查是否拥有某个权限
        boolean permitted = SecurityUtils.getSubject().isPermitted("user:add");
        if (authenticated && user_admin && permitted){
            return "校验成功";
        }else{
            return "校验失败";
        }
    }

在执行SecurityUtils.getSubject().hasRole("user_admin")SecurityUtils.getSubject().isPermitted("user.add") 的时候,会进入realm的doGetAuthorizationInfo方法中,获取AuthorizationInfo对象(里面含有roles和permissions集合),然后进行对比。返回boolean值。

然后,为了减少shiro跟业务代码的耦合,shiro也提供了注解的方式进行拦截判断,但需要先在shiro的配置中开启shiro 的aop支持。

在上面介绍到的ShiroConfig配置类中添加方法

    /**
     * 开启shiro aop支持,(通过注解实现登录认证和权限校验)
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

然后就可以在方法前面添加@RequiresAuthentication@RequiresRoles@RequiresPermissions 进行配置实现。

    @GetMapping("/testIndex")
    @RequiresAuthentication     // 需要登录
    @RequiresRoles("user_admin")    // 需要user_admin角色
    @RequiresPermissions("user:add")    // 需要user.add权限
    public String testIndex(){
        return "成功进入首页";
    }

好,至此,shiro的认证与授权的简单实现就完成了。

此外,shiro在认证的doGetAuthenticationInfo方法的返回AuthenticationInfo对象中还能对密码进行加密,加密算法需要在ShiroConfig中设置,但是我没用过,我喜欢在自己的service中实现加密功能,因而不在本文中介绍,下次需要用的时候再补充。

曾大浩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro认证授权
程序猿康康的博客
05-26 495
发现这个报错,检查了很多次代码发现没有问题,以为方法错了。 Error starting ApplicationContext. To display the conditions report re-run your application with 'debug' enabled. 2020-05-26 20:15:07.721 INFO 20084 --- [ restartedMain] trationDelegate$BeanPostProcessorChecker : Bean 'shiro
shiro授权认证流程
遇见未知的自己
08-15 1405
shiro中有两个比较重要的流程,一个是认证流程,一个是授权流程。 一、认证流程     Authentication是指身份验证的过程,即证明一个用户实际上是不是他们所说的他们是谁。也就是用户提交身份和凭证给shiro,然后来判断他们是否和可以登录系统。 1.概念 Principals(身份):是subject的标识属性,比如:提交的用户名 Credenticals(凭
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证授权
m0_52479012的博客
04-13 3288
springboot项目:通过shiro实现用户的认证授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
Shiro安全框架——【快速入门、登录拦截、用户认证,2024年最新你还看不明白
2401_83973943的博客
04-14 877
/退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBootShiro 整合包的依赖SpringBootShiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
springboot整合shiro入门,实现认证授权功能(非常详细)
沐雨橙风ιε的博客
07-02 5713
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult<Void> jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
Shiro认证授权过程
weixin_44736853的博客
07-30 2265
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
探索 SpringBoot-Shiro:一体化的身份认证授权解决方案
gitblog_00059的博客
03-28 320
探索 SpringBoot-Shiro:一体化的身份认证授权解决方案 项目地址:https://gitcode.com/zhangyd-c/springboot-shiro 在开发 web 应用程序时,安全问题始终是不可忽视的重点。Spring Boot 和 Apache Shiro 是两个强大的框架,前者简化了 Java 应用的启动和配置,后者则专注于身份验证和授权。现在,让我们一起深入了解一...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
CAS+Shiro实现认证授权
11-15
本文将深入探讨如何使用Apache Shiro和Central Authentication Service(CAS)来实现高效的用户认证授权。这两个工具都是在Java环境中广泛使用的安全框架,它们能帮助开发者构建安全、健壮的Web应用。 首先,...
shiro权限认证授权
02-26
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。在本文中,我们将深入探讨Shiro的核心概念,包括权限认证授权,以及如何在实际...
2.Shiro框架(1)---认证
2302_76812487的博客
03-01 956
org.apache.shiro shiro-spring-boot-starter 1.5.3
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro权限控制+整合shiro
Armymans的博客
03-02 1万+
Shiro权限控制 0.1传统的权限认证方式 特点:为每个人单独的分配权限模块,能够实现权限控制,但是当公司人员庞大之后,非常难管理 上述权限控制如何设计表? 关系:员工和菜单权限的关系:多对多 员工id 菜单名称 1 取派管理 2 快递员管理 2 运单管理 好处:可以方便的 实现权限控制 缺陷:比如当修改权限的时候,公司统一的给组长级别的人 加一个“计算工资”权限,...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Shiro认证授权
编程小白养成手记
08-12 483
shiro实战教程 一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权
2401_83329718的博客
04-17 441
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
ASP外观专利图像检索平台(源代码+论文).rar
最新发布
07-21
ASP外观专利图像检索平台(源代码+论文)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值