SpringBoot 集成 shiro安全框架

最新推荐文章于 2023-01-15 12:18:42 发布
最新推荐文章于 2023-01-15 12:18:42 发布
阅读量222 收藏
点赞数 1
分类专栏: java 文章标签: shiro java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43477950/article/details/109753868
版权

SpringBoot 集成 shiro安全框架

1、导入依赖

<!-- shiro安全框架依赖 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.2</version>
</dependency>
<!--  shiro+redis缓存插件 -->
<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis</artifactId>
    <version>3.1.0</version>
</dependency>

2、核心概念

  1. Shiro主要功能:身份认证
    Authentication, 身份证认证,一般就是登录
  2. 授权:
    Authorization, 给用户分配角色或者访问某些资源的权限
  3. 会话管理
    Session Management,用户的会话管理员,多数情况下是web session
  4. 加密
    Cryptography, 数据加解密,比如密码加解密等

shiro关键字

  • Subject (把操作交给SecurityManager):我们把用户或者程序称为主体(如用户,第三方服务,cron作业) ,主体去访问系统或者资源
  • SecurityManager( 关联Realm):安全管理器,Subject的认证和授权都要在安全管理器下进行
  • Realm(Shiro 连接数据的桥梁):数据域,Shiro和安全数据的连接器,好比jdbc连接数据库; 通过realm获取认证授权相关信息
  • Authenticator:认证器,主要负责Subject的认证
  • Authorizer:授权器,主要负责Subject的授权,控制subject拥有的角色或者权限
  • Cryptography:加解密,Shiro的包含易于使用和理解的数据加解密方法,简化了很多复杂的api
  • Cache Manager:缓存管理器,比如认证或授权信息,通过缓存进行管理,提高性能

用户的登录流程
在这里插入图片描述

3、shiro验证类方法

//用户是否登陆(验证)成功,验证成功返回true
subject.isAuthenticated()
//检查用户是否有对应的角色
subject .hasRole("root")
//获取subject名
subject. getprincipal()
//检查是否有对应的角色,无返回值,直接在SecurityManager 里面进行判断
subject . checkRole( " admin" )
/ /退出登录
subject. logout();

4、Session管理

在这里插入图片描述

5、shiro内置过滤器

简介:内置过滤器 => 身份验证

  • 核心过滤器类: DefaultFilter, 配置哪个路径对应哪个拦截器进行处理
  1. authc: org.apache.shiro.web.filter.authc.FormAuthenticationFilter
    。需要认证登录才能访问
  2. user: org.apache.shiro.web.filter.authc.UserFilter
    。用户拦截器,表示必须存在用户。
  3. anon: org.apache.shiro.web.filter.authc.AnonymousFilter
    *匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,- -般用于过滤静态资源。
  4. roles: org.apache.shiro.web.filter .authz.RolesAuthorizationFilter
    。角色授权拦截器,验证用户是或否拥有角色。
    。参数可写多个,表示某些角色才能通过,多个参数时写roles[“admin,user”], 当有多个参数时必须每个
    参数都通过才算通过
  5. perms: org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
    。权限授权拦截器,验证用户是否拥有权限
    。参数可写多个,表示需要某些权限才能通过,多个参数时写perms[“user, admin”], 当有多个参数时必须每个参数都通过才算可以

在这里插入图片描述

6、实例—前后端分离

自定义Realm

●步骤:
。创建一个类,继承AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm
。重写授权方法doGetAuthorizationInfo
。重写认证方法doGetAuthenticationInfo
●方法:
。当用户登陆的时候会调用doGetAuthenticationInfo
。进行权限校验的时候会调用: doGetAuthorizationInfo
●对象介绍
。UsernamePasswordToken :对应就 是shiro的token中有Principal和Credential
UsernamePasswordToken-》HostAuthenticationToken-》AuthenticationToken
。SimpleAuthorizationInfo: 代表用户角色权限信息
。SimpleAuthenticationInfo :代表该用户的认证信息

public class CustomRealm extends AuthorizingRealm {

    @Autowired
    TeacherDAO teaDao;

//    用户授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//        为用户授权
//        (1) 拿到当前登录的用户
        Subject subject = SecurityUtils.getSubject();
        Teacher tea = (Teacher) subject.getPrincipal();
//        (2) 给用户授权,根据他的字段中有的权限进行授权
        info.addStringPermission(tea.getTeaSecurity());

        System.out.println("正在授权");
        return info;
    }

//    用户认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//          获取封装的用户信息
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//          验证用户名是否正确
        Teacher tea =  teaDao.findByTeaUser(userToken.getUsername());
        if(tea==null){
            return null;
        }
//          框架验证密码是否正确 ,注意:传递的第一个参数,在用户授权的doGetAuthorizationInfo方法中可以拿到,否则拿不到
        System.out.println(this.getClass().getName());
        return new SimpleAuthenticationInfo(tea,teaDao.findByTeaUser(userToken.getUsername()).getTeaPass(),this.getClass().getName());
    }
}

7、自定义SessionManager管理器

public class CustomSessionManager extends DefaultWebSessionManager {
   
    private static final String AUTHORIZATION = "token";
    private static final Logger log = LoggerFactory.getLogger(DefaultWebSessionManager.class);

    public CustomSessionManager() {
        super();
    }

    /***
     * 获取sessionid
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String sessionid = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        if (sessionid != null) {
            System.out.println(111111);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,
                    ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);
//            判断sessionid是否有效
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionid);
//            表示sessionid为有效
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return sessionid;
        } else {
            System.out.println(22222);
            return super.getSessionId(request, response);
        }
    }
}

搭建shiro环境

import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    //  核心类:  ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager")
                                                                    DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
//      关联DefaultWebSecurityManager对象,设置安全管理器
        bean.setSecurityManager(securityManager);
//        *********************** 检查是否非法访问 ****************************
//        bean.setLoginUrl("/tea/toLogin");                //        (1)检测没有登录时(非法访问),跳转的url,,
//        bean.setSuccessUrl("/tea/index");                //        (2)登陆成功后,跳转的url,
//        bean.setUnauthorizedUrl("/tea/yz");              //        (3)认证不通过跳转,先验证登陆,再验证是否有权限
        /***
         * 添加shiro的内置过滤器
         * anon: 无需认证就可以访问,               游客状态
         * authc: 必须认证了才能访问,            登陆状态
         * user: 必须有 “记住我” 功能才能用
         * perms: 拥有某个资源的权限才能访问,    资源状态 perms[user:add]
         * role: 拥有某个角色权限才能访问         角色状态 role[mldn,admin]
         * 注意:过滤连是顺序执行,从上到下,一般/** 发到最下面
         */
//        必须使用LinkedHashMap对象,表示有序的
        Map<String, String> filterMap = new LinkedHashMap<>();

//        *********************** 为URL路径设置访问权限****************************
        filterMap.put("/upload/**", "anon");
        filterMap.put("/static/**", "anon");
        filterMap.put("/tea/getAll", "authc");

//        ***********************************************************************
//        将添加的验证规则添加到安全管理器中
        bean.setFilterChainDefinitionMap(filterMap);
        return bean;
    }

    //  核心类:  DefaultWebSecurityManager
    @Bean(name = "defaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") CustomRealm customRealm,
                                                                  @Qualifier("sessionManager") SessionManager sessionManager,
                                                                  @Qualifier("redisCacheManager") RedisCacheManager redisCacheManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

//      前后端分离必须设置下面的sessionManager,使用自定义的session管理类
        securityManager.setSessionManager(sessionManager);

//      关联自定义类UserRealm
        securityManager.setRealm(customRealm);

//      启用缓存,使用自定义cacheManager,在使用redis缓存时,必须保证启动了redis服务
//        securityManager.setCacheManager(redisCacheManager);



        return securityManager;
    }

    //  核心类:  创建realm对象,需要自定义类,并添加进容器中
    @Bean
    public CustomRealm userRealm() {
        CustomRealm customRealm = new CustomRealm();
//        userRealm.setCredentialsMatcher();    密码加密
        return customRealm;
    }

    //    自定义SessionId,用于前后端分离
    @Bean
    public SessionManager sessionManager(@Qualifier("redisSessionDAO") RedisSessionDAO redisSessionDAO) {
        CustomSessionManager manager = new CustomSessionManager();
//        sessionId超时时间,默认 30分钟,
//        manager.setGlobalSessionTimeout(3000000);

//        配置session持久化,有可能subject.getPrincipal();在强转为vo对象时失败
//        manager.setSessionDAO(redisSessionDAO);
        return manager;
    }

    //    密码加密
//    @Bean
//    public HashedCredentialsMatcher hashedCredentialsMatcher(){
//        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//        hashedCredentialsMatcher.setHashAlgorithmName("md5");
////        散列两次,相当于两次加密
//        hashedCredentialsMatcher.setHashIterations(2);
//    }


//  ******************************************以下需要依赖redis服务************************************************

    //    配置redisManger
    @Bean(name = "RedisManager")
    public RedisManager getRedisManager() {
        RedisManager manager = new RedisManager();
        manager.setHost("localhost");
//        设置Redis的默认端口
        manager.setPort(6379);
        return manager;
    }

    /***
     * 配置cache具体实现类
     * @return
     */
    @Bean
    public RedisCacheManager redisCacheManager(@Qualifier("RedisManager") RedisManager redisManager) {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager);
//        设置过期时间、单位是秒,20s
        redisCacheManager.setExpire(20);
        return redisCacheManager;
    }

    /***
     * 自定义session持久化
     * @return
     */
    @Bean(name = "redisSessionDAO")
    public RedisSessionDAO redisSessionDAO(@Qualifier("RedisManager") RedisManager redisManager) {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager);
        return redisSessionDAO;
    }
}

注解方式

@RequiresRoles(value={"admin", "editor"}, logical= Logical.AND)            
            。需要角色admin和editor两个角色AND表示两个同时成立
@RequiresPermissions (value={"user:add", "user:del"}, logical= Logical.OR)
            。需要权限user:add或user:del权限其中-个,OR是或的意思。
@RequiresAuthentication
            。已经授过权(已经登录过),调用Subject.isAuthenticated()返回true
@RequifesUser
            。身份验证或者通过记住我登录的
夜林天
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro】使用org.crazycake依赖的ShiroConfig
kevin的博客
06-02 1047
整个Shiro专题中,这个部分是最早需要开始看的,主要先了解ShiroConfig都有哪些东西;由于这个项目使用的redis依赖是org.crazycakeshiro-redis,与我后面所用的不同,所以该部分只是简单的梳理了一下。PS:这里并没有使用到jwt,只是单纯的shiro+redis。因为之前的理解,全都作为注释写在了代码上,所以该篇的介绍主要都在代码中。整体来说,该部分内容并不难,如果感兴趣的大佬可以自行往下深入了解,如果多少还有点迷糊的小伙伴,消化消化继续往专题往下看😉。
springboot 整和 shiro + redis 验证header令牌,实现前后端分离认证
weixin_44972575的博客
07-03 455
springboot 整和 shiro + redis 验证header令牌,实现前后端分离认证一、整个项目结构1.引入pom依赖:(数据源之类的依赖导入自己的就好 ,本文不讲数据源)2.自定义Realm ,创建 UserRealm.java 文件3.shiro配置文件,创建 ShiroConfig.java 文件4.上面代码中 会话管理器中shiro默认使用的是 httpSession 我们使用自定义session会话:创建 CustomSessionManager.java 文件5.测试登录权限验证
springboot使用shiro-整合redis作为缓存(十)
热门推荐
这个名字想了很久
09-03 3万+
原文地址,转载请注明出处:&amp;amp;amp;amp;nbsp;http://blog.csdn.net/qq_34021712/article/details/79746413&amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp;©王赛超&amp;amp;amp;amp;nbsp; 说在前面 本来的整合过程是顺着博客的顺序来的
SpringBoot 整合Shiro实现动态权限加载更新+Session共享+单点登录
z_ssyy的博客
01-15 1667
ADMIN这个号现在没有sys:info:all这个权限的,所以无法访问getInfoAll接口,我们要动态分配权限后,要清掉缓存,在访问接口时候,Shiro会去重新执行授权方法,之后再次把权限和角色数据放入缓存中。Shiro是一个安全框架,项目中主要用它做认证,授权,加密,以及用户的会话管理,虽然Shiro没有SpringSecurity功能更丰富,但是它轻量,简单,在项目中通常业务需求Shiro也都能胜任.再次访问getInfoAll接口,因为缓存中没有数据,Shiro会重新授权查询权限,拦截通过。
SpringBoot集成Shiro实现动态加载权限
xiaomojun的专栏
02-01 566
一、前言 本文小编将基于SpringBoot集成Shiro实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权限,不用重启项目,以及在页面分配给用户角色、按钮、uri权限后,后端动态分配权限,用户无需在页面重新登录才能获取最新权限,一切权限动态加载,灵活配置 基本环境 spring-boot 2.1.7 mybatis-plus 2.1.0 mysql 5.7.24 redis 5.0.5 温馨小提示:案例demo源码附文章末尾,有需要的小伙伴们可参考哦 ...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
springbootshiro安全框架的整合
08-05
SpringBootShiro是两个在Java开发中广泛使用的框架SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理和安全相关的过滤器。当我们把它们整合...
springboot集成freemarker和shiro框架
03-14
**SpringBoot集成Freemarker与Shiro框架详解** 在现代Web开发中,SpringBoot因其简洁、高效的特性,已经成为很多开发者的选择。而FreeMarker和Shiro则分别是常用的模板引擎和安全框架,它们能帮助我们构建出功能...
SpringBoot集成Shiro、Jwt和Redis
10-24
SpringBoot项目中集成Shiro,可以轻松地处理用户的登录、权限验证等安全问题。Shiro通过配置拦截器,可以对URL进行访问控制,实现权限的动态分配。 **Jwt** 是一种开放标准(RFC 7519),定义了一种紧凑的、自...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot之整合Shiro(最详细)
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
SpringBoot使用shiro-ehcache缓存
、思考致富的博客
05-09 4690
由于网上教程很多,对于shiro的概念和用法已经讲解非常详细,这里直接给出介绍shiro概念的博主连接Shiro笔记(一)----Shiro安全框架简介 以及写的不错的博客:springboot(十四):springboot整合shiro-登录认证和权限管理 这里是本项目源码,已经上传github,感兴趣的小伙伴可以下载 : 去下载 话不多说,先上pom文件: <?xml version="...
org.crazycake.shiro.RedisSessionDAO : serialize session error. session id=
yuguang的博客
01-21 2854
1、报错内容 2021-01-21 15:48:49.448 ERROR 14640 --- [nio-8999-exec-2] org.crazycake.shiro.RedisSessionDAO : serialize session error. session id=b679129369eb48ce88cba6200112351c 2、排查报错查看原因 2.1查找org.crazycake.shiro.RedisSessionDAO // // Source..
解决使用redis进行基于shiro的session集群共享,shiro+redis
cow5287687的博客
01-09 6182
说明:无需写一行代码,直接配置就可以无缝衔接当前的shiro项目。 步骤一,pom配置:         org.crazycake shiro-redis 2.4.2.1-RELEASE redis.clients jedis 2.7.2 步骤二,shiro的配置文件的修改
org.crazycake.shiro.exception.SerializationException解决方案
qq_37713266的博客
04-20 651
问题描述: 之前项目使用的shiro,转移到另一个项目之后并没有变动,但是发现登陆接口无法登录, 仔细debug之后发现账号密码及验证过程无任何问题 然后仔细看控制台日志,发现给的一下报错 Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@4815b48] 2021-04-20 15:28:13.393 ERROR 9888 --- [io-22077-exec-1] org.
Springboot+Shiro+Redis 整合(踩坑-整不明白你打我)
Lycode
04-08 7290
说起来都是辛酸泪 看他们的文章都是有点问题,还是看项目源码来的直接。废话不多说下面上代码 Maven 依赖 <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifa...
springboot集成shiro框架
最新发布
06-28
Spring Boot 集成 Shiro 框架可以实现在应用中实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件中添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值