Spring Boot 安全框架 Shiro 入门

最新推荐文章于 2022-04-08 13:31:07 发布
最新推荐文章于 2022-04-08 13:31:07 发布
阅读量136 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43434182/article/details/109803029
版权

 

 

参考地址:http://www.iocoder.cn/Spring-Boot/Shiro/

《认证 (authentication) 和授权 (authorization) 的区别》

打飞机举例子:

  • 【认证】你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication。
  • 【授权】而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。

论坛举例子:

  • 【认证】你要登录论坛,输入用户名张三,密码 1234,密码正确,证明你张三确实是张三,这就是 authentication。
  • 【授权】再一 check 用户张三是个版主,所以有权限加精删别人帖,这就是 authorization 。

简单来说:认证解决“你是谁”的问题,授权解决“你能做什么”的问题

pom

    <dependencies>
        <!-- 实现对 Spring MVC 的自动化配置 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- 实现对 Shiro 的自动化配置 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-starter</artifactId>
            <version>1.4.2</version>
        </dependency>
    </dependencies>

配置shiro

package cn.iocoder.springboot.lab01.shirodemo.config;

import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    /**
     * SimpleAccountRealm 是使用内存作为数据源,我们可以手动往里面添加用户、角色、权限等数据。
     * @return
     */
    @Bean
    public Realm realm() {//作用:身份验证和授权
        // 创建 SimpleAccountRealm 对象
        SimpleAccountRealm realm = new SimpleAccountRealm();
        // 添加两个用户。参数分别是 username、password、roles 。
        realm.addAccount("admin", "admin", "ADMIN");
        realm.addAccount("normal", "normal", "NORMAL");
        return realm;
    }

    @Bean
    public DefaultWebSecurityManager securityManager() {
        // 创建 DefaultWebSecurityManager 对象
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置其使用的 Realm
        securityManager.setRealm(this.realm());
        return securityManager;
    }

    /**
     * #setLoginUrl(String loginUrl) 方法,设置登录 URL 。在 Shiro 中,约定 GET loginUrl 为登录页面,POST loginUrl 为登录请求。
     * #setSuccessUrl(String successUrl) 方法,设置登录成功 URL 。在登录成功时,会重定向到该 URL 上。
     * #etUnauthorizedUrl(String unauthorizedUrl) 方法,设置无权限的 URL 。在请求校验权限不通过时,会重定向到该 URL 上
     * 上述的 URL 对应的接口,都需要我们自己来实现
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        // 创建 ShiroFilterFactoryBean 对象,用于创建 ShiroFilter 过滤器
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();

        // 设置 SecurityManager
        filterFactoryBean.setSecurityManager(this.securityManager());

        // 设置 URL 们
        filterFactoryBean.setLoginUrl("/login"); // 登陆 URL
        filterFactoryBean.setSuccessUrl("/login_success"); // 登陆成功 URL
        filterFactoryBean.setUnauthorizedUrl("/unauthorized"); // 无权限 URL

        // 设置 URL 的权限配置
        filterFactoryBean.setFilterChainDefinitionMap(this.filterChainDefinitionMap());

        return filterFactoryBean;
    }

    /**
     * 比较常用的过来器有:
     *
     *     anon :AnonymousFilter :允许匿名访问,即无需登录。
     *     authc :FormAuthenticationFilter :需要经过认证的用户,才可以访问。如果是匿名用户,则根据 URL 不同,会有不同的处理:
     *         如果拦截的 URL 是 GET loginUrl 登录页面,则进行该请求,跳转到登录页面。
     *         如果拦截的 URL 是 POST loginUrl 登录请求,则基于请求表单的 username、password 进行认证。认证通过后,默认重定向到 GET loginSuccessUrl 地址。
     *         如果拦截的 URL 是其它 URL 时,则记录该 URL 到 Session 中。在用户登录成功后,重定向到该 URL 上。
     *     logout :LogoutFilter :拦截的 URL ,执行退出操作。退出完成后,重定向到 GET loginUrl 登录页面。
     *     roles :RolesAuthorizationFilter :拥有指定角色的用户可访问。
     *     perms :PermissionsAuthorizationFilter :拥有指定权限的用户可以访问
     * @return
     */
    private Map<String, String> filterChainDefinitionMap() {
        Map<String, String> filterMap = new LinkedHashMap<>(); // 注意要使用有序的 LinkedHashMap ,顺序匹配
        filterMap.put("/test/demo", "anon"); // 允许匿名访问
        filterMap.put("/test/admin", "roles[ADMIN]"); // 需要 ADMIN 角色
        filterMap.put("/test/normal", "roles[NORMAL]"); // 需要 NORMAL 角色
        filterMap.put("/logout", "logout"); // 退出
        filterMap.put("/**", "authc"); // 默认剩余的 URL ,需要经过认证
        return filterMap;
    }

}

controller

package cn.iocoder.springboot.lab01.shirodemo.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.ExpiredCredentialsException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;

@Controller
@RequestMapping("/")
public class SecurityController {

    private Logger logger = LoggerFactory.getLogger(getClass());

    @GetMapping("/login")
    public String loginPage() {
        return "login.html";
    }
    /**
     * 对于登录请求,会被我们配置的 Shiro FormAuthenticationFilter 过滤器进行拦截,进行用户的身份认证。整个过程如下:
     *
     *     FormAuthenticationFilter 解析请求的 username、password 参数,创建 UsernamePasswordToken 对象。
     *     然后,调用 SecurityManager 的 #login(Subject subject, AuthenticationToken authenticationToken) 方法,执行登录操作,进行“身份验证”(认证)。
     *     在这内部中,调用 Realm 的 #getAuthenticationInfo(AuthenticationToken token) 方法,进行认证。此时,根据认证的是否成功,会有不同的处理:
     *         如果认证通过,则 FormAuthenticationFilter 会将请求重定向到 GET loginSuccess 地址上。
     *         【重要】如果认证失败,则会将认证失败的原因设置到请求的 attributes 中,后续该请求会继续请求到 POST login 地址上。这样,在 POST loginUrl 地址上,我们可以从 attributes 中获取到失败的原因,提示给用户。
     *
     * 所以,POST loginUrl 的目的,实际是为了处理认真失败的情况
     */
    @ResponseBody
    @PostMapping("/login")
    public String login(HttpServletRequest request) {
        // 判断是否已经登陆
        Subject subject = SecurityUtils.getSubject();
        if (subject.getPrincipal() != null) {
            return "你已经登陆账号:" + subject.getPrincipal();
        }

        // 获得登陆失败的原因
        String shiroLoginFailure = (String) request.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
        // 翻译成人类看的懂的提示
        String msg = "";
        if (UnknownAccountException.class.getName().equals(shiroLoginFailure)) {
            msg = "账号不存在";
        } else if (IncorrectCredentialsException.class.getName().equals(shiroLoginFailure)) {
            msg = "密码不正确";
        } else if (LockedAccountException.class.getName().equals(shiroLoginFailure)) {
            msg = "账号被锁定";
        } else if (ExpiredCredentialsException.class.getName().equals(shiroLoginFailure)) {
            msg = "账号已过期";
        } else {
            msg = "未知";
            logger.error("[login][未知登陆错误:{}]", shiroLoginFailure);
        }
        return "登陆失败,原因:" + msg;
    }

    @ResponseBody
    @GetMapping("/login_success")
    public String loginSuccess() {
        return "登陆成功";
    }

    @ResponseBody
    @GetMapping("/unauthorized")
    public String unauthorized() {
        return "你没有权限";
    }

}

测试controller

package cn.iocoder.springboot.lab01.shirodemo.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 权限测试
 */
@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping("/demo")
    public String demo() {
        return "示例返回";
    }

    @GetMapping("/home")
    public String home() {
        return "我是首页";
    }

    @GetMapping("/admin")
    public String admin() {
        return "我是管理员";
    }

    @GetMapping("/normal")
    public String normal() {
        return "我是普通用户";
    }

}

启动类

package cn.iocoder.springboot.lab01.shirodemo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

}

使用注解方式

package cn.iocoder.springboot.lab01.shirodemo.controller;

import org.apache.shiro.authz.annotation.RequiresGuest;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/demo")
public class DemoController {
    /**
     * 验证不起作用,暂时无法解决
     * @return
     */
    @RequiresGuest
    @GetMapping("/echo")
    public String demo() {
        return "示例返回";
    }

    @RequiresGuest
    @GetMapping("/aaa")
    public String aaa() {
        return "aaa示例返回";
    }

    @GetMapping("/home")
    public String home() {
        return "我是首页";
    }

    @RequiresRoles("ADMIN")
    @GetMapping("/admin")
    public String admin() {
        return "我是管理员";
    }

    @RequiresRoles("NORMAL")
    @GetMapping("/normal")
    public String normal() {
        return "我是普通用户";
    }

}

3.1 @RequiresGuest

@RequiresGuest 注解,和 anon 等价。

3.2 @RequiresAuthentication

@RequiresAuthentication 注解,和 authc 等价。

3.3 @RequiresUser

@RequiresUser 注解,和 user 等价,要求必须登录。

3.4 @RequiresRoles

@RequiresRoles 注解,和 roles 等价。

// 属于 NORMAL 角色
@RequiresRoles("NORMAL")

// 要同时拥有 ADMIN 和 NORMAL 角色
@RequiresRoles({"ADMIN", "NORMAL"})

// 拥有 ADMIN 或 NORMAL 任一角色即可
@RequiresRoles(value = {"ADMIN", "NORMAL"}, logical = Logical.OR)

3.5 @RequiresPermissions

@RequiresPermissions 注解,和 perms 等价

// 拥有 user:add 权限
@RequiresPermissions("user:add")

// 要同时拥有 user:add 和 user:update 权限
@RequiresPermissions({"user:add", "user:update"})

// 拥有 user:add 和 user:update 任一权限即可
@RequiresPermissions(value = {"user:add", "user:update"}, logical = Logical.OR)
learning coding
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot搭建Shiro的快速入门
菩提小猿的博客
06-18 1284
章节目录1. Shiro1.1 Shiro简介1.2 Shiro三大核心组件1.2.1 Subject1.2.2 SecurityManager1.2.3 Realm1.3 Shiro的认证和授权流程1.3.1 认证流程1.3.2 授权流程2. SpringBoot集成Shiro并完成登录操作2.1 集成Shiro 1. Shiro Shiro官网 1.1 Shiro简介 以下为Shiro的简单介绍: Shiro 是一个强大、简单易用的 Java 安全权限框架 Shiro 可以非常容易的开发出足够好的应用
springboot整合shiro入门
qiuxinfa123的博客
04-04 149
shiro作为安全框架,使用还是比较多,而且相对来说,比较容易上手。下面将使用springboot来整合shiro,实现的功能如下: (1)实现访问控制,未登录时,只能访问登录接口 (2)实现角色和权限的访问控制 示例代码,已放在了GitHub上:https://github.com/qiuxinfa/shiro-study 先看下目录结构: 1.maven依赖: ...
六、SpringBoot权限框架零基础入门到实战(shiro)
believer
04-12 863
目录SpringBoot权限框架零基础入门到实战(shiro)一、从零开始认识 shiro1.1、shiro 简介1.2、shiro 基本功能点1.3、认证流程1.4、授权流程二、Spring Boot 集成 shiro 快速入门2.1、idea Spring Initializr 快速创建项目2.2、加入shiro 所需的依赖2.3、shiro 用户认证2.4、shiro 用户授权三、Sprin...
SpringBoot添加视图控制器来简写controller页面跳转
weixin_47409774的博客
03-23 1145
发送一个请求,跳转到一个页面 前言 发送一个请求,跳转到一个页面,通常是在controller定义一个空方法进行跳转 例如: @GetMapping("/login.html") public String loginPage(){ return "login"; } 可以使用springmvc的 viewcontroller 将请求和页面映射 一、使用方法 1.新建配置类 package cn.cloud.xmall.auth.confi.
springboot整合shiro (一) ShiroConfig配置类编写
m0_67402731的博客
04-08 548
shiro实现用户登录认证需要三个核心api Subject 用户主体 SecurityManager 安全管理器 Realm 连接数据的桥梁 1. 导入shiro的maven依赖 导入shirospring整合的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
Spring Boot整合Shiro搭建权限管理系统教学提纲.pdf
06-07
而Apache Shiro则是一个强大且易用的Java安全框架,用于处理认证、授权、加密以及会话管理等问题。本文将详细介绍如何利用Spring BootShiro进行整合,搭建一套完善的权限管理系统。 ### 一、Spring Boot入门 ###...
SpringBoot+Mybatis+Thymeleaf整合Shiro入门
最新发布
06-05
Shiro可以理解为一个“轻量级”的安全框架,它并不像Spring Security那样庞大,但功能同样强大,适用于快速开发。 接下来,我们将介绍如何整合这四大技术: 1. **创建SpringBoot项目**:首先,我们需要创建一个新...
慕课中Shiro安全框架入门代码
05-03
在这个"慕课中Shiro安全框架入门代码"中,我们可以深入理解Shiro的核心概念,并通过实际的代码示例来学习如何在项目中应用它。 首先,让我们来看看Shiro的三大核心组件: 1. **认证**:这是验证用户身份的过程。...
Shiro框架入门到实战
06-09
3. **配置Shiro**:学习如何在SpringSpring Boot环境中集成Shiro,配置SecurityManager、Realm以及相关的过滤器。 4. **身份验证流程**:理解Shiro的认证流程,包括提交凭证、验证凭证、处理结果和Remember Me...
spring-boot示例项目
03-25
本项目示例基于spring boot 最新版本(2.1.9)实现,Spring BootSpring Cloud 学习示例,将持续更新…… 在基于Spring BootSpring ...Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Sprin
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2840
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
springboot下的shiro配置类需要干什么?
weixin_44967080的博客
06-28 175
shiro配置类主类,shiroconfig.java (1)配置shiro过滤器工厂ShiroFilterFactoryBean ■创建过滤器工厂 ■注入安全管理器 ■通用配置(跳转登录页面,为授权跳转的页面) ■设置过滤器集合 // 配置shiro过滤器工厂ShiroFilterFactoryBean @Bean public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManag
Spring-shiro-Boot-1 整合shiro的配置文件1-ShiroConfig
良之才的专栏
03-04 1207
shiro是纯java的权限管理框架,可以处理认证、权限、加密等标准需求。 shiro的思路就是给控制处理。封装处理的其实很不错,使用起来很方便。 但是,使用shiro得了解一些它的基本特点。 ======================================= 一、shiro权限模型 (1)配置之前,需要知道基本的权限控制概念。这里使用数据库模型控制。【用户-角色-权限】 (2)权限表--sys_permission (3)角色表-sys_role (4)角色...
shiro+springboot:MyFormAuthenticationFilter(自定义认证拦截)
qq_597950687的博客
07-27 4817
 在自定义认证拦截中,onAccessDenied 为入口,在onAccessDenied中调用自定义的认证方式(也可直接使用 FormAuthenticationFilter的父类的认证方式,但是使用默认的无法自定义认证成功/失败后的操作) executeLogin(ServletRequest request, ServletResponse response) 认证方式 onLogin...
Spring Boot Shiro权限管理--自定义 FormAuthenticationFilter验证码整合
热门推荐
爱笑的博客
08-29 2万+
验证码 思路 shiro使用FormAuthenticationFilter进行表单认证,验证校验的功能应该加在FormAuthenticationFilter中,在认证之前进行验证码校验。 需要写FormAuthenticationFilter的子类,继承FormAuthenticationFilter,改写它的认证方法,在认证之前进行验证码校验。 自定义FormAuthen
spring boot配置shiro自定义shiro filter匹配异常
carllucasyu的博客
03-06 1万+
原文地址:http://www.hillfly.com/2017/179.html最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。自定义 FilterTOCShiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 A...
django面试题总结
weixin_39247197的博客
09-11 2036
列举HTTP中常见的请求方式 HTTP请求的方法: HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 注意: 1)方法名称是区分大小写的,当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Mothod Not Allowed);当服务器不认识或者不支持对应的请求方法时,应返回状态码501(Not Implemented)。 2)HTTP服务器至少应该实现GET和HEAD/POST方法,其他方法都是可选的,此
shiro学习(一)springboot 整合 shiro的基本配置
我是混IT圈的
01-14 367
Spring Boot + Shiro +thymeleaf 整合,以及一些页面标签的使用 shiro的功能介绍以及一些特点之类的这里就不介绍了,百度下就ok了,这里只是介绍如何与spring boot进行整合。 后续还有一些关于shiro加密、多realm验证、缓存替换为redis等等。 springboot版本: <version>1.5.20.RELEASE</...
使用Spring BootShiro构建权限管理
本教程主要讲解如何使用Spring Boot与Apache Shiro框架结合,构建一个完善的权限管理系统。首先,我们从Spring Boot的基础入手,逐步搭建项目环境。 一、Spring Boot入门 1. 创建Maven工程 开始构建项目时,第一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值