springboot12-shiro

最新推荐文章于 2024-08-09 07:25:19 发布
最新推荐文章于 2024-08-09 07:25:19 发布
阅读量108 收藏
点赞数
分类专栏: Springboot学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44172800/article/details/106434746
版权
本文介绍了Apache Shiro框架的认证、授权、加密和会话管理功能,并详细阐述了Shiro的核心API,包括Subject、SecurityManager和Realm的关系。接着,文章展示了如何初次在SpringBoot项目中使用Shiro,包括导入依赖、配置文件创建和自定义Realm的实现。在配置过程中,重点解释了Shiro拦截器的配置和执行流程,强调了配置顺序的重要性。
摘要由CSDN通过智能技术生成

shiro

shiro介绍

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

Apache Shiro 体系结构

在这里插入图片描述

1、 Authentication 认证 ---- 用户登录
2、 Authorization 授权 — 用户具有哪些权限
3、 Cryptography 安全数据加密
4、 Session Management 会话管理
5、 Web Integration web系统集成
6、 Interations 集成其它应用,spring、缓存框架

Shiro的核心API

  • Subject: 用户主体(把操作交给SecurityManager)
  • SecurityManager:安全管理器(关联Realm)
  • Realm:Shiro连接数据的桥梁

三个核心api的关系是:
sbuject ==》 SecurityManager ==》 Realm

初次使用shiro

导入shiro与spring整合依赖

<!-- shiro与spring整合依赖 -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.4.0</version>
</dependency>

创建shiro配置文件

在这里插入图片描述

具体的代码如下:
shiro配置文件

package edu.cjdx.shiro.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;


@Configuration
public class shiroConfig {

    /**
     *创建ShiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager")DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        Map<String,String> filterMap = new LinkedHashMap<String,String>();

        //设置放行,注意放行需要在设置权限之前
        filterMap.put("/HC/test","anon");
        filterMap.put("/HC/login","anon");

        //授权过滤器
        //注意:当授权拦截后,shiro会自动跳转到未授权的页面
        filterMap.put("/HC/add","perms[user:add]");
        filterMap.put("/HC/update","perms[user:update]");


        //设置认证才可访问  /*要放在filterMap最下面
        filterMap.put("/HC/*","authc");

        //设置跳转登录页面
        shiroFilterFactoryBean.setLoginUrl("/HC/toLogin");

        //设置未授权提示页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/HC/noAuth");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

    /**
     *创建DefaultWebSecurityManager
     */
    @Bean(name = "defaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();


        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }

    /**
     *创建Realm
     */
    @Bean(name = "userRealm")
    public UserRealm getRealm(){
        return new UserRealm();
    }
}

Realm代码
要注意自定义的Realm方法必需要继承AuthorizingRealm类

package edu.cjdx.shiro.config;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import edu.cjdx.shiro.entity.Perms;
import edu.cjdx.shiro.entity.User;
import edu.cjdx.shiro.service.impl.PermsServiceImpl;
import edu.cjdx.shiro.service.impl.UserServiceImpl;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

/**
 * 自定义Realm
 * Authorizing:授权
 */

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserServiceImpl userService;
    @Autowired
    PermsServiceImpl permsService;
    /**
     * 执行授权逻辑
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权逻辑");

        //给资源授权
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //到数据库查询当前登录用户的授权字符串
        //获取当前登录用户
        Subject subject = SecurityUtils.getSubject();
        //传对象因为热部署的原因没办法转换
        Integer uid = (Integer) subject.getPrincipal();
        QueryWrapper<Perms> wrapper = new QueryWrapper<>();
        wrapper.eq("uid",uid);
        List<Perms> permsList = permsService.list(wrapper);

        for (Perms perms : permsList) {
            info.addStringPermission(perms.getPerms());
        }

        return info;
    }


    /**
     * 执行认证逻辑
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证逻辑");

        //编写shiro判断逻辑
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("username",token.getUsername());
        User user = userService.getOne(wrapper);
        if(user==null){
            //用户名不存在
            return null;//shiro底层会跑出UnknownAccountExpection
        }
        //密码校验
        return new SimpleAuthenticationInfo(user.getId(),user.getPassword(),"");
    }
}

代码解析

在这里插入图片描述
创建Realm对象,供DefaultWebSecurityManager依赖使用。

在这里插入图片描述
DefaultWebSecurityManager对象用哪个与对安全事务的管理,需要注入Realm对象实现对事务的处理。

在这里插入图片描述
ShiroFilterFactoryBean是shiro拦截器的bean工厂,这里面配置shiro的拦截请求的集合,以及放行集合。下面是shiro拦截器的内置过滤器种类。

/**
     * shiro内置过滤器,可以实现权限相关的拦截器
     *      常用的过滤器:
     *          anon:无需认证(登录),可以访问
     *          authc:必须认证才可以访问
     *          user:如果使用了Rememberme的功能可以访问
     *          perms:该资源必须得到资源权限才可以访问
     *          role:该资源必须得到角色权限才可以访问
     */

通常使用LinkHashMap<>存储设置的请求。

LinkedHashMap 是HashMap的一个子类,保存了记录的插入顺序,在用Iterator遍历LinkedHashMap时,先得到的记录肯定是先插入的.也可以在构造时用带参数,按照应用次数排序。在遍历的时候会比HashMap慢,不过有种情况例外,当HashMap容量很大,实际数据较少时,遍历起来可能会比 LinkedHashMap慢,因为LinkedHashMap的遍历速度只和实际数据有关,和容量无关,而HashMap的遍历速度和他的容量有关。

为了保证数据的顺序行,所以采用了LinkHashMap

需要注意的是:
放行权限需要先设置,后面再设置授权和登录权限,最后设置拦截所有的页面
否则会由于执行顺序的问题导致部分配置会失效。
在这里插入图片描述

shiro执行流程路

在这里插入图片描述
执行分析:外部发来请求,shirofilter首先根据配置文件判断是否需要拦截,如果需要拦截并且是没有认证的则直接跳转到登录页面进行登录认证和授权,如果不需要拦截则直接放行。

yeLinMe
关注
专栏目录
springboot-mybatisplus集成Shiro
weixin_42549400的博客
09-14 447
​ Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。 ​
SpringBoot使用shiro-ehcache缓存
、思考致富的博客
05-09 4753
由于网上教程很多,对于shiro的概念和用法已经讲解非常详细,这里直接给出介绍shiro概念的博主连接Shiro笔记(一)----Shiro安全框架简介 以及写的不错的博客:springboot(十四):springboot整合shiro-登录认证和权限管理 这里是本项目源码,已经上传github,感兴趣的小伙伴可以下载 : 去下载 话不多说,先上pom文件: <?xml version="...
SpringBoot-Shiro-Vue 项目教程
gitblog_00251的博客
08-09 667
SpringBoot-Shiro-Vue 项目教程 SpringBoot-Shiro-Vue提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮/接口级别的权限。(当前新版本已移除shiro依赖,简化了配置)项目地址:https://gitcode.com/gh_mirrors/sp/SpringBoot-Shiro-Vue 项目介绍 SpringBo...
SpringBoot-Shiro的使用
qq_42861526的博客
12-15 2205
一、什么是Shiro 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
SpringBoot3 集成 Shiro
同步云
08-05 1541
是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、桌面应用、RESTful服务、移动应用和大型企业级应用。没有 Spring Security 那么多晦涩的概念和术语,其原理非常清晰易懂,也非常容易集成到自己的项目中。
springboot 2.0 集成 shiro 和 thymeleaf-extras-shiro 2.0 使用过程遇到的问题
linzi19900517的博客
08-31 7607
springboot 2.0 集成 shiro 和 thymeleaf-extras-shiro 2.0 使用过程遇到的问题
基于SpringBoot-shiro-vue的权限管理
Syd丶
08-28 6625
前后端都加以控制,做到按钮/接口级别的权限 DEMO 测试地址 admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 设计思路 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 RBAC新解 . 通常我们的权限设计都是 用户--角色--权限 ,其中角色是我们写代码的人...
SpringBoot-Shiro示例
qq_36364521的博客
06-06 137
https://github.com/hiwayzhu/SpringBoot-Shiro.git
SpringBoot整合shiro-spring-boot-starter
xiyafei122的博客
08-12 1241
shiro
SpringBoot之整合Shiro(最详细)
热门推荐
Java追求者的博客
05-31 4万+
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 ...
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
本项目"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"结合了这三个技术,旨在实现一个高效且安全的权限管理系统。下面将详细介绍这些知识点。 **Spring Boot** Spring Boot是基于Spring框架的轻量级开发...
springboot-shiro
10-18
SpringBootShiro构建细粒度动态权限管理系统详解》 在现代Web开发中,权限管理是不可或缺的一部分,尤其对于企业级应用来说更是如此。SpringBoot以其轻量级、便捷的特性,已经成为Java开发的首选框架之一。而...
springboot-08-shiro.rar
03-31
SpringBoot整合Shiro实战详解》 在现代Java Web开发中,SpringBoot以其简洁的配置、快速的开发效率以及强大的生态系统成为了主流框架。而Shiro则是一款轻量级的安全框架,它提供了身份验证、授权、会话管理和安全...
Springboot-Shiro-Activiti
05-14
Springboot-Shiro-Activiti 是一个基于Java的项目框架,结合了Spring Boot、Apache Shiro和Activiti三个关键组件,用于构建高效、安全且流程化的Web应用。在这里,我们将深入探讨这三个技术及其在项目中的作用。 ...
动态加载概述与原理.docx
最新发布
11-07
动态加载概述与原理.docx
LOL_params_0900000.pt
11-07
LOL_params_0900000.pt
分群用户详情_7_2024-09-06 09_49_58.xlsx
11-07
分群用户详情_7_2024-09-06 09_49_58
动态加载的高级主题:懒加载与按需加载.docx
11-07
动态加载的高级主题:懒加载与按需加载.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值