Shiro整合SpringBoot-前后端分离项目

最新推荐文章于 2022-06-21 09:33:26 发布
最新推荐文章于 2022-06-21 09:33:26 发布
阅读量743 收藏 4
点赞数 1
文章标签: java shiro spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43544077/article/details/110285589
版权

1 什么是shiro?

​ 《官方解释》:“Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.”

​ shiro是一个强大的java安全框架,支持认证、授权、加密、会话管理等。

2 为什么使用shiro?

​ 使用shiro能够简化开发,使开发人员不必在鉴权上付出大量的精力,而去更多的进行核心业务的开发。学习shiro很有必要,可以为之后学习spirng security打下基础。并且shiro提供了很多强大的功能且开箱即用,开发人员只需要必要的一些配置便能够享受shiro带来的便利。

3 shiro整合springboot

3.1 shiro获取用户-角色-权限数据

​ 一般来说,后台数据库层面会使用RBAC的思想(用户+角色+权限的表设计),而为了能够让shiro进行鉴权,需要为其提供认证和授权的数据接入。我们需要自定义Realm,来获取用户角色权限信息。

自定义Realm:

import com.jgerp.pojo.User;
import com.jgerp.service.IUserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Date;


/**
 * @author: theTian
 */
public class UserRealm extends AuthorizingRealm {
    private static Logger logger = LoggerFactory.getLogger(UserRealm.class);
    @Autowired
    private IUserService userService;

    /**
     * 授权操作
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Subject subject = SecurityUtils.getSubject();
        User curUser = (User) subject.getPrincipal();
        info.setRoles(userService.getRolesById(curUser.getUserId()));
        info.setStringPermissions(userService.getPermsById(curUser.getUserId()));
        return info;
    }

    /**
     * 认证操作
     *
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        User user = userService.selectByUsername(userToken.getUsername());
        if (user == null) return null;
        // 更新用户登陆时间
        user.setLastLoginTime(new Date());
        User updUser = new User();
        updUser.setUserId(user.getUserId());
        updUser.setLastLoginTime(user.getLastLoginTime());
        userService.updateUserLoginTime(updUser);
        return new SimpleAuthenticationInfo(user, user.getPassword(), "");
    }
}

3.2 shiro会话管理

shiro的会话管理是从cookies中获取jsessionid找到对应的session,一般来说在前后端分离的项目中,由于跨域请求默认不会携带cookies,此时后端可以将登陆成功后的jsessionid打包成参数返回给前端,前端将其放到header中,后端每次先从header中获取jsessionid,如果获取不到再从cookies中寻找。

自定义会话管理:

import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.util.StringUtils;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
 * 自定义sessionId获取
 */
public class MySessionManager extends DefaultWebSessionManager {

    private static final String AUTHORIZATION = "Authorization";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public MySessionManager () {
        super();
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        //如果请求头中有 Authorization 则其值为sessionId
        if (!StringUtils.isEmpty(id)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

3.3 将自定义配置加载到shiro

完成了自定义的realm和session manager后通过配置类的方式将其加载进shiro中使其生效。

ShiroConfig:

import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author: theTian
 */
@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(getDefaultWebSecurityManager());
        bean.getFilters().put("authc", new AuthcFilter());
        bean.getFilters().put("roles", new RoleFilter());
        // 添加shiro的内置过滤器
        Map<String, String> map = new LinkedHashMap<>();
        // 自定义拦截uri
//        map.put("/**", "anon");

        /**
         * 跳转登录(未认证时跳转)
         */
        bean.setLoginUrl("/toLogin");

        /**
         * 未授权时跳转
         */
        bean.setUnauthorizedUrl("/unAuth");

        bean.setFilterChainDefinitionMap(map);
        return bean;
    }

    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    @Bean
    public SessionManager sessionManager() {
        MySessionManager mySessionManager = new MySessionManager();
        return mySessionManager;
    }
}

3.4 shiro配置过滤器解决跨域问题

在前后端分离的项目中,前端的非简单请求(preflight)不会携带jsessionid,从而被302。需要配置对应类型接口的过滤器来处理这个options请求。

AuthcFilter:

import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

/**
 * 解决认证接口跨域
 * @author: theTian
 */
public class AuthcFilter extends FormAuthenticationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        boolean allowed = super.isAccessAllowed(request, response, mappedValue);
        if (!allowed) {
            String method = WebUtils.toHttp(request).getMethod();
            if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
                return true;
            }
        }
        return allowed;
    }
}

RoleFilter:

import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.web.filter.authz.RolesAuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
 * 解决权限接口跨域
 * @author: theTian
 */
public class RoleFilter extends RolesAuthorizationFilter {
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        boolean allowed = super.isAccessAllowed(request, response, mappedValue);
        if (!allowed) {
            String method = WebUtils.toHttp(request).getMethod();
            if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
                return true;
            }
        }
        return allowed;
    }
}

3.5 配置跨域

解决前后端分离跨域问题

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author: theTian
 * @date: 2020/5/28 0:08
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer,Filter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
                .allowCredentials(true)
                .maxAge(3600)
                .allowedHeaders("*");
    }
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); //允许任何域名
        corsConfiguration.addAllowedHeader("*"); //允许任何头
        corsConfiguration.addAllowedMethod("*"); //允许任何方法
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig()); //注册
        return new CorsFilter(source);
    }
    @Override
    public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
            throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) arg1;
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "*");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "*");
        response.setHeader("Access-Control-Request-Headers", "*");
        response.setHeader("Access-Control-Expose-Headers", "*");
        arg2.doFilter(arg0,arg1);
    }
}
行之则易
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot 集成 Shiro 实现前后端分离
进阶的球儿
09-27 4877
近期,工作需求也是涉及到 Shiro 权限的问题,而且目前项目前后端分离的,所以要求做到实现前后端分离。作为一个攻城狮,自然不能推辞。 鉴于之前未接触过 SpringBoot 中 用 ShIro 做授权和认证,然后去各大网站上搜了一番,果然,还和以前一样,千篇一律,Copy的居多,而且即使 GitHub 上有 demo 的,下载之后也是跑步不起来,无计可施。 ...
Spring Boot 整合 Shiro ,两种方式全总结!
最新发布
2401_83977705的博客
04-26 733
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…链图片转存中…(img-krjNciKT-1714147007185)]
前后端分离项目SpringBoot整合Shiro
lin8k12q的博客
06-21 430
前后端分离项目中,前端使用Angular,后端使用SpringBoot整合Shiro。 1.SpringBoot的设置 SpringBoot添加跨域设置 @SpringBootApplication public class PostfinanceApplication { @Configuration @EnableWebMvc public class WebMvcConfg implements WebMvcConfigurer { @Override public void a
springBoot整合shiro前后端分离模式
qq_1641486826的博客
11-26 804
springBoot框架下我们使用shiro做权限登录验证,首先要建好五张表: 1:user表 CREATE TABLE `user` ( `id` int(16) NOT NULL AUTO_INCREMENT COMMENT '用户ID', `basic_info_id` int(11) NOT NULL COMMENT '企业外键', `user_account` varcha...
基于spring boot+Shiro搭建的前后端分离鉴权架构
m0_67391518的博客
04-28 991
一.简介 为何选择Shiro? Apache Shiro是一个强大且易用的Java安全框架。开发者使用shiro可以轻松完成身份验证、授权、密码和会话管理。 Shiro的主要API Authentication**:**身份认证/登录,验证用户是不是拥有相应的身份; Authorization**:**授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manag
前后端分离SpringBoot项目集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
SpringBoot 整合 shiro 前后端分离
爱码猿的博客
06-28 756
SpringBoot 整合 shiro 前后端分离 最近看了个 github 的开源项目,里面就使用到了shiro实现前后端分离权限认证,写的挺好的,并且现在也刚刚学完Vue,就那这个项目练练手了。我会将写这个项目的经验分享出来。 虽然自己还很菜,当仍在努力中!! 附那个github的开源项目的地址:https://github.com/zykzhangyukang/Xinguan 1.导入依赖,编写工具类 Mavne 依赖 <!-- 前后端分离 采用 jwt生成token--> .
shiro整合springboot前后端分离
08-25
"shiro整合springboot前后端分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
springboot+shiro+swagger2前后端分离整合
03-03
springboot+shiro+swagger2前后端分离整合: https://blog.csdn.net/wmlwml0000/article/details/104631552
SpringBoot + Shiro前后端分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后端分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
Shiro+Cas微服务化及前后端完全分离
08-25
"Shiro+Cas微服务化及前后端完全分离" Shiro+Cas微服务化及前后端完全分离是当前热门的IT技术方向之一,本文将为大家详细介绍Shiro+Cas微服务化及前后端完全分离的相关知识点。 一、Shiro简介 Shiro是一个基于...
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 2947
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
springboot shiro 前后端分离
09-23
SpringBoot中实现前后端分离的开发模式下使用Shiro,可以通过以下步骤进行操作: 1. 配置Shiro的Maven依赖,添加ShiroSpringBoot的相关依赖。 2. 创建自定义的Realm,继承自`AuthorizingRealm`,并实现其中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值