Shiro介绍 并与 Spring Boot 简单整合小案例

最新推荐文章于 2021-12-19 16:40:59 发布
最新推荐文章于 2021-12-19 16:40:59 发布
阅读量184 收藏
点赞数
文章标签: Shiro Spring Boot 案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43998613/article/details/99848476
版权

Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。

Authentication身份认证/登录,验证用户是不是拥有相应的身份;

Authorization授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;

我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图:

 

可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个API的含义:

Subject主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,是一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

 

从Shiro内部来看下Shiro的架构,如下图所示:

 

 

Subject主体,可以看到主体可以是任何可以与应用交互的“用户”;

SecurityManager相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

Authrizer授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

Realm可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;

shiro的认证流程(创建token令牌使用JWT创建,后期文章会详细说明)

  1. 创建token令牌,token中有用户提交的认证信息即账号和密码
  2. 执行subject.login(token),最终由securityManager通过Authenticator进行认证
  3. Authenticator的实现ModularRealmAuthenticator调用realm从ini配置文件取用户真实的账号和密码,这里使用的是IniRealm(shiro自带)
  4. IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModularRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。

shiro的授权流程

1、对subject进行授权,调用方法isPermitted("permission串")

2、SecurityManager执行授权,通过ModularRealmAuthorizer执行授权

3、ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据

调用realm的授权方法:doGetAuthorizationInfo

4、realm从数据库查询权限数据,返回ModularRealmAuthorizer

5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对

6、如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,否则 没有权限,抛出异常。

接下来写一个小demo:

1.Shiro 的配置文件

@Configuration  
public class ShiroConfig {
    //3,配置shiro过滤器 注入到spring ioc
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //注入安全管理器securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        //保证顺序 "/**", "authc" 放到最后,否则其他的 anno就失效
        //所以这里不能用 HashMap 而需要使用 LinkedHashMap
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/2/login", "anon");
        filterChainDefinitionMap.put("/sys/login", "anon");
        filterChainDefinitionMap.put("/sys/logout", "logout");

        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        //各种配置
        shiroFilterFactoryBean.setLoginUrl("/2/login");
        shiroFilterFactoryBean.setUnauthorizedUrl("/refuse.html");

        return shiroFilterFactoryBean;
    }

    //2, 配置安全管理器securityManager(子类DefaultWebSecurityManager) 注入到spring ioc
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager securityManager(CustomRealm customRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(customRealm);//自定义realm注入到安全管理器
        return securityManager;
    }

    //1,产生一个 CustomeRealm类的对象,并且注入到Spring IOC容器当中
    @Bean(name = "customRealm")
    public CustomRealm customRealm(HashedCredentialsMatcher matcher){
        CustomRealm customRealm = new CustomRealm();

        customRealm.setCredentialsMatcher(matcher);
        return  customRealm;
    }


    //4. 产生一个凭证器类的对象 ,并且交给Spring IOC 容器,还要给 CutomRealm
    //设置默认加密方式
    @Bean(name = "matcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("MD5"); //加密方式为MD5
        credentialsMatcher.setHashIterations(1); //加密次数为1次
        credentialsMatcher.setStoredCredentialsHexEncoded(true);//采用hash散列算法加密
        return credentialsMatcher;
    }
}

2..登录的controller

    @PostMapping(value = "/login")
	@ResponseBody
	public ResponseResult login(Model model, @RequestParam("usercode")String             
                                usercode, @RequestParam("password")String password) {
		//生成一个主体
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(usercode,password);

		try {
			subject.login(token);


			ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
			System.out.println(activeUser);
			model.addAttribute("activeUser",activeUser);
			String tokens = Jwts.builder()//头部
					.setId(activeUser.getUserid()) //载荷
					.setSubject(activeUser.getUsername()) //载荷
					.signWith(SignatureAlgorithm.HS256, "client").compact();//加盐方式  盐
			Map<String,Object> map = new HashMap<>();
			map.put("tokenstr",tokens);
			return new  ResponseResult(StatusCode.SUCCESS,true,"登陆成功",map);
		} catch (Exception e) {
			throw new BaseException("登陆失败");
		}

	}

3.自定义的CustomRealm 继承 AuthorizingRealm

public class CustomRealm extends AuthorizingRealm{
	@Autowired
	private ISysService sysService;
	
//AuthenticationInfo 认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

		UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
		String username = token.getUsername();
		
		User user = sysService.selectUserByUserCode(username);
		
		if(user==null) {
			throw new UnknownAccountException("用户不存在");
		}else if(user.getLocked().equals("0")) {
			throw new DisabledAccountException("账号被锁定");
		}

		//ActiveUser 自定义的bean 用来存放用户基本数据和权限
		ActiveUser ac = new ActiveUser();
		ac.setUserid(user.getId());
		ac.setUsername(user.getUsername());
		ac.setUsercode(user.getUsercode());
		
        //查询该用户的对应权限
		List<Permission> findMeauByUserId=null;
		try {
			findMeauByUserId = sysService.findMeauByUserId(user.getId());
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		ac.setMenuList(findMeauByUserId);
		
		//账号存在
		AuthenticationInfo authentication = 
				new SimpleAuthenticationInfo(ac,user.getPassword(),ByteSource.Util.bytes(user.getSalt()),"customRealm");
		
		return authentication;
	}
	//AuthorizationInfo  授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		
		ActiveUser activeUser = (ActiveUser) principals.getPrimaryPrincipal();
		List<Permission> permission=null;
		try {
			permission = sysService.findPermissionByUserId(activeUser.getUserid());
			if(permission!=null) {
				activeUser.setPermissionList(permission);
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
		Set<String> set = new HashSet<String>();
		for(Permission p : permission) {
			set.add(p.getPercode());
		}
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		authorizationInfo.setStringPermissions(set);
		return authorizationInfo;
	}

	

}

 

liy6722
关注
Springboot+shiro简单登录案例
06-06
Shiro简单登录,如若没有足够积分下载可留下邮箱或者私信我,直接发到你们邮箱,文章链接:https://blog.csdn.net/sutongxuevip/article/details/80584607
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
shiro(三)shiro实战——Spring 集成 Shiro(案例)
牧小农
11-24 5324
**步骤 加入 jar 包 配置 web.xml 文件 在 Spring 的配置文件中配置 Shiro**配置 web.xml 文件配置启动 Spring IOC 容器的 Filter 配置 WEB 应用中的 Shiro Filter 在 Spring 的配置文件中配置 Shiro配置自定义 Realm:实现自定义认证和授权 配置 Shiro 实体类使用的缓存策略 配置 SecurityM
SpringBoot+Shiro实战小案例
weixin_47382783的博客
12-19 1748
目录 一、目的 二、系统概述 1、角色设定 2、数据库设计 (1)课程表 (2)用户表 (3)角色表 (4)权限表 (5)用户与角色的中间表 (6)角色与权限字符串中间表 三、关键技术 1、技术选择 2、Shiro中常见过滤器 3、md5+hash+salt的密码加密 5、页面中shiro的使用 五、总结 六、代码 一、目的 本文是基于SprongBoot,实现集成Shiro框架,并对角色进行授权以及权限控制的小案例进行详述,部分展示界面如下:...
shiro整合spring简单小例子
tomorrow_fine的博客
07-09 2642
这里不对shiro做详细介绍,仅仅是做一个基本功能可以用的例子供大家参考,网上例子大多详细,不能实现。 1创建4张表: desc tb_user; +------------+-------------+------+-----+---------+----------------+ | Field      | Type        | Null | Key | Default | E
SpringBoot整合Shiro(Java安全框架)案例(含源码)
白大锅的博客,毕设WangLoveBai_999
06-25 1万+
流程图 1.主要功能介绍 Subject:主体,一般指用户。 SecurityManager:Shiro的核心部分,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用,本质上就是一个工厂类似Spring中的ApplicationContext安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一般需要自己实现,Shiro需要根据用户名和密码首先判断登录
Spring boot shiro
12-25
**Spring Boot Shiro 知识点详解** ...通过以上介绍,我们可以看到Spring Boot与Apache Shiro的结合,为Java开发提供了强大的安全保障。合理利用这两个框架,可以轻松地构建起一套健壮的、易于维护的安全系统。
spring boot 实践学习案例,与其它组件整合
09-18
spring boot 实践学习案例,与其它组件结合如 mybatis、jpa、dubbo、redis、mongodb、memcached、kafka、rabbitmq、activemq、elasticsearch、security、shiro等 #### Spring Boot 版本 - 2.0.3.RELEASE #### 模块...
基于springboot整合shiro完整代码案例demo
最新发布
06-21
SpringBootShiro整合...以上就是基于Spring Boot整合Shiro的完整代码案例涉及的关键知识点,通过这个案例,你可以学习到如何在Spring Boot应用中实现实现用户认证、授权和会话管理,为你的项目提供强大的安全支持。
springboot+shiro入门案例
12-21
shiro入门案例
springboot简单整合shiro
qq_24790827的博客
05-24 164
springboot简单整合shiro 文章目录springboot简单整合shiro目录结构ShiroConfigUserRealmUserControllerUserMapperUserUserServiceUserServiceImplShiroSpringbootApplicationUserMapper.xmladd.htmlupdate.htmlindex.htmllogin.htmlapplication.propertiesapplication.ymlpom.xml数据库 目录结构 S
SpringBoot 整合shiro简单应用
caojidasabi的博客
09-02 422
写在前面,本次 SpringBoot 整合shiro 用的是 shiro-spring 更优雅的方式应该是 shiro-spring-boot-starter ,这个整合详见官网教程:https://shiro.apache.org/spring-boot.html 好了,下面是本次整合的教程。 一.创建一个SpringBoot的Maven项目,你可以来这里:https://start.spr...
Spring boot 整合 shiro简单例子
博客咳咳咳-Jayszxs
07-02 467
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。模拟用户登录情况:ShiroConfiguration.java [shiro配置信息]package jz.shiro.config; import java.util.HashM...
9、SpringBootShiro
Surplus.的博客
10-13 460
文章目录8.1、Shiro快速开始8.2、Shiro快速开始8.3、Shiro的Subject分析8.4、SpringBoot整合Shiro环境搭建8.5、Shiro实现登录拦截8.6、Shiro实现用户认证8.7、Shiro整合Mybatis8.8、Shiro请求授权实现8.9、Shiro整合Thymeleaf 8.1、Shiro快速开始 8.2、Shiro快速开始 8.3、Shiro的Subject分析 8.4、SpringBoot整合Shiro环境搭建 8.5、Shiro实现登录拦截 8.6、Shir
shiro+springboot使用demo小案例
qq_38316726的博客
05-10 2566
shiro+springboot使用 1、什么是shiro shiro一款java安全框架,提供认证、授权、会话管理、加密等功能。 2、核心组件 subject:表示当前操作用户(包含用户、第三方进程、后台账户);代表了当前用户的安全操作 SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过该组件来管理内部组件实例,并通过它来提供安全管理...
Spring Boot Shiro 权限管理
热门推荐
小单的博客专栏
01-14 15万+
本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro权限管理,就先总结下发出来了。使用Shiro之前用在Spring MVC中,是通过XML文件进行配置。 既然现在在写Spring Boot的帖子,就将Shiro应用到Spring Boot中,我本地已经完成了SpringBoot使用Shiro实例,将配置方法共享一下。先简单介绍一下Shiro,对于没有用过Shiro
SpringBoot整合mybatis、shiro、redis实现基于数据库的细粒度动态权限管理系统实例
poorCoder_的博客
05-07 7万+
1.前言 本文主要介绍使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例。 使用技术:SpringBoot、mybatis、shiro、thymeleaf、pagehelper、Mapper插件、druid、dataTables、ztree、jQuery 开发工具:intellij idea 数据库:mysql、redis 基本上是基于使用SpringSecu
springboot + shiro 简单实例
qiufengzh的博客
06-14 1192
本文属于原创,说明简介,如果有问题,可留言一起探讨1.搭建springboot项目,这里不做概述2.引入shiro 依赖&lt;!-- apache shiro 权限框架 --&gt;&lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值