SpringBoot整合Shiro框架

最新推荐文章于 2022-12-03 01:49:50 发布
最新推荐文章于 2022-12-03 01:49:50 发布
阅读量136 收藏 1
点赞数
分类专栏: 使用分享 文章标签: shiro spring boot 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42888747/article/details/114788405
版权

简介

Shiro是一款属于apache的轻量级框架,是开源项目。常见Java安全管理框架:

	Spring Security
		特点:
			基于Spring开发,契合度高
			功能多,社区资源丰富
			使用较复杂
	Shiro:
		特点
			不依赖于Spring
			简单易上手
			功能和社区资源比SpringSecurity稍弱

Shio拥有三大核心组件:

Subject:主体。一般指用户;
SecurityManager:安全管理器,管理所有的Subject,可以配合内部安全组件,类似于springmvc中的DispatcherServlet;
realms:用于进行用户权限信息的认证,一般需要自己实现;

如何使用

首先导入依赖
<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.7.0</version>
        </dependency>
再配置ShiroConfig
@Configuration
public class ShiroConfig {
    @Resource
    private ITGradeService gradeService;

@Bean
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    //将自定义的realm交给SecurityManager管理
    securityManager.setRealm(jwtRealm());
    return securityManager;
 }
/**
     * 配置Shiro的Web过滤器,拦截浏览器请求并交给SecurityManager处理
 *
 * @return
 */
@Bean
public ShiroFilterFactoryBean webFilter(SecurityManager securityManager) {
//        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 用自定义的FactoryBean来设置过滤器
        ShiroFilterFactoryBean shiroFilterFactoryBean = new RestShiroFilterFactoryBean();

    shiroFilterFactoryBean.setSecurityManager(securityManager);
    Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
    filters.put("perms", new RestAuthorizationFilter());
    filters.put("authc", new ShiroFormAuthenticationFilter());
    List<TGradeBean> functionInfoBeans = gradeService.list();

    Map filterChainMap = ShiroUtil.loadFilterChainMap(functionInfoBeans);
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
    return shiroFilterFactoryBean;

}
public class ShiroUtil {
public static Map loadFilterChainMap(List<TGradeBean> gradeBeans){
    //配置拦截链 使用LinkedHashMap,因为LinkedHashMap是有序的,shiro会根据添加的顺序进行拦截
    // Map<K,V> K指的是拦截的url V值的是该url是否拦截
    Map<String, String> filterChainMap = new LinkedHashMap<String, String>(16);
    //authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问,先配置anon再配置authc。
    filterChainMap.put("/users/login", "anon");
    filterChainMap.put("/swagger-ui.html", "anon");
    filterChainMap.put("/webjars/**", "anon");
    filterChainMap.put("/swagger-resources/**", "anon");
    filterChainMap.put("/v2/api-docs", "anon");
    filterChainMap.put("/users/token", "authc");

    for (TGradeBean gradeBean:gradeBeans) {
        if (gradeBean.getGradeUrl() != null && !gradeBean.getGradeUrl().equals("")) {
            String url = gradeBean.getGradeUrl();
            if(gradeBean.getGradeMethod() != null && !gradeBean.getGradeMethod().equals("")){
                url += "==" + gradeBean.getGradeMethod();
            }
            filterChainMap.put(url,"perms["+gradeBean.getGradeName()+"]");
        }
    }
    filterChainMap.put("/**", "authc");
    return  filterChainMap;
}
再配置realm
public class CustomRealm extends AuthorizingRealm {
@Resource
private ITUserService userService;
@Resource
private ITGradeService gradeService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    //获取当前登录的用户
    TUserBean userBean = (TUserBean) principalCollection.getPrimaryPrincipal();
    //通过SimpleAuthenticationInfo做授权
    SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    // 得到当前用户包含的所有角色
    List<TRoleBean> roleBeans = userBean.getRoleBeans();
    List<TGradeBean> gradeBeans = gradeService.selectByRoleId(roleBeans);
    for (TRoleBean role : roleBeans) {
        //添加角色
        simpleAuthorizationInfo.addRole(role.getName());
    }
    for (TGradeBean gradeBean : gradeBeans) {
        //添加权限
        simpleAuthorizationInfo.addStringPermission(gradeBean.getGradeName());
    }
    return simpleAuthorizationInfo;
}

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    // 身份认证的操作
    //1.获取用户输入的账号
    String username = (String) authenticationToken.getPrincipal();
    //2.通过username从数据库中查找到user实体
    TUserBean userBean = userService.findByCode(username);
    if (userBean == null) {
        return null;
    }
    //3.通过SimpleAuthenticationInfo做身份处理
    SimpleAuthenticationInfo simpleAuthenticationInfo =
            new SimpleAuthenticationInfo(userBean, userBean.getPwd(), getName());
    //4.返回身份处理对象
    return simpleAuthenticationInfo;
}

}

流程总结
认证过程:
	1、创建SecurityManager安全管理器
	2、获取登录用户信息
	3、根据用户名查询数据库得到用户实体,并通过SimpleAuthenticationInfo作身份处理再返回
	4、调用框架内部方法进行比对验证

 授权流程:
	1、创建SecurityManager安全管理器
	2、Subject主体带授权信息,请求到SecurityManager
	3、SecurityManager调用Aythorizer授权
	4、Authorizer结合主体一步步传递过来的授权信息,与realm中的数据比对,授权
整体请求流程

1、创建SecurityManager安全管理器
2、接收请求、根据请求路径先匹配匿名路径(anon),如果没有符合的就继续匹配权限拦截器链,,有就进行权限授权,如果没有,就再匹配身份认证路径,进行身份认证
3、返回请求结果成功或者失败

注意:

1、路径匹配(拦截器链)只能匹配单个,而且只能从最上面开始对比匹配,一旦匹配成功,就不再进入后续的拦截器中,即使后面的路径也能匹配
2、拦截器链设置顺序最先应该为匿名路径,即不需要身份认证的路径(比如登录、注册等等,不需要用户信息的请求路径);然后是权限请求拦截器、最后才是身份认证的拦截器

直越
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Shiro框架集成权限管理
06-17
1、SpringBoot框架的优秀整合能力结合Shrio轻量安全高适用的权限框架,可以将权限运用到实质,方便高效 2、该文件中包含有shiro的介绍及整合过程 3、SpringBoot整合Shiro的相关教程视频
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 756
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
Springboot集成shiro框架
Li_582258的博客
12-03 2303
shiro整合springboot项目
SpringBoot集成Shiro框架
qq_33945802的博客
06-20 117
1.简介 Shiro 是一个强大、简单易用的 Java 安全框架,可使认证、授权、加密,会话过程更便捷,并可为应用提供安全保障。本节课重点介绍下 Shiro 的认证和授权功能。 2.Shiro的三大组件 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。先来看一下它们之间的关系。 2.1 Subject 为认证主体 包含 Principals 和 Credentials 两个信息。我们看下两者的具体含义。 Principals:代表身份。可以是用户名、邮件、手
极简shiro入门
czhAL的博客
12-07 389
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
springboot-shiro
10-18
使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例。
SpringBoot整合Shiro权限框架
06-03
SpringBoot整合Shiro权限框架,可以参考我的博客文章进行学习https://blog.csdn.net/sujin_/article/details/80558287
springboot整合shiro讲解
最新发布
04-14
pache Shiro 是 Java 的一个安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等...
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
SpringBoot2整合shiro
11-05
SpringBoot2整合
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring BootShiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring BootShiro整合实现用户认证; Spring BootShiro整合实现用户授权; thymeleaf和shiro标签整合使用。
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
OA:基于 springboot+mybatis_+shiro + redis+activiti+quarts+quartz+vue 写的一个前后分离办公企业管理系统 ,通用服务端,用于学习
05-13
OA 介绍 一个学习用的简化版办公OA 在线体验老版本的 老版本已经不维护 老版本地址: 或者 管理员 账号:admin 密码:admin 领导角色演示账号/密码:manager、123456 员工角色演示账号密码:employee /123456 新版体验地址: 账号:admin/admin 系统开在开发中 新版本体验地址: 使用技术 服务端: springboot(2.2.1) + mybatis-push + shiro(1.4.0) + redis + activiti(5.2.1) pc端:vue2.0 + element-ui 项目结构 web_pc:新版本的pc端 sys-oa: 新版本的服务端 部署缺失的jar包在 根目录的lib下,解压后放到自己的本地maven仓库中 旧的是:前后一体的 1、新版本功能: 1、基本的用户管理模块 权限管理 :check_box_with_check: 用户管理 :check_box_with_check: 部门
Spring Boot Shiro实战
11-14
Spring Boot中集成Shiro,可以了解到如何使用Spring MVC,;如何使用Spring Data JPA进行数据的持久化;如何使用Shiro安全框架;如何使用Thymeleaf模板引擎;如何使用ehcache缓存管理!
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
热门推荐
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
SpringBoot集成Shiro安全框架
begefefsef的博客
04-26 3343
SpringBoot集成Shiro安全框架 1.shiro的定义 2.SpringBoot集成shiro的步骤 3.完成的效果 1.shiro的定义 1.shiro的作用 认证、授权、加密、会话管理、Web集成、缓存 2.shiro的名词 Authentication:身份认证/登录,验证用户是不是拥有相应的身份 Authorization:授权,即权限 管理,验证某个人已经登录的人是否拥有某些权限 Session Management:会话管理,即用户登录后就是一次会话,在没有退出之前所有的
spring-boot集成shiro+jwt框架(下载项目能直接用,简单易懂,里面惊喜多多)
zhangtao_sb的博客
10-19 179
spring-boot集成shiro+jwt框架,有git源码地址项目大体框架shiro+jwt装饰器模式实现整体aop切面操作文件上传使用FastDFSswagger工具类项目地址 项目大体框架 项目整体框架使用springboot + mybatis-plus + shiro +jwt,实现了简单的htpp传输加密,日志,防止xss攻击(没啥用),令牌桶,参数验证,统一异常处理。 shiro+jwt 具体实现请看代码,这里就不做截图了: 1.唯一注意的是shiroRealm里面注入的对象要么使用spr
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用中使用 Apache Shiro 来管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值