SpringBoot(二)整合安全框架Shiro

最新推荐文章于 2023-04-01 15:23:47 发布
最新推荐文章于 2023-04-01 15:23:47 发布
阅读量282 收藏
点赞数
分类专栏: Spring Boot 文章标签: shiro spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44215363/article/details/111769093
版权

基于:【狂神说Java】SpringBoot最新教程IDEA版通俗易懂

目录

1 Shiro架构

Shiro三个核心组件:Subject, SecurityManager 和 Realms.

  • Subject:主体,可以看到主体可以是任何可以与应用交互的 “用户”;
  • SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher;是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
  • Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

2 使用SpringBoot整合Shiro

2.1 导入依赖

<!-- shiro-spring -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.6.0</version>
</dependency>

2.2 编写配置文件ShiroConfig

@Configuration
public class ShiroConfig {

    //创建reaml对象,需要自定义
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    //SecurityManager
    @Bean
    public DefaultWebSecurityManager SecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm,因为是他的管理者
        securityManager.setRealm(userRealm);

        return securityManager;
    }

    //ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("SecurityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        // 设置SecurityManager
        factoryBean.setSecurityManager(securityManager);

        // 添加过滤器
        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();

        /*
            anon:不需要登录就能访问,一般用于静态资源,或者移动端接口
            authc:需要登录认证才能访问的资源
            perms:验证用户是否拥有资源权限
            roles:验证用户是否拥有资源角色
            user:用户已经身份验证 / 记住我登录的都可
        */

        // 直接访问
        filterMap.put("/","anon");
        filterMap.put("/index","anon");
        filterMap.put("/user/login","anon");

        //登录了的才能查看自己和注销
        filterMap.put("/user/me","authc");
        filterMap.put("/user/layout","authc");

        // 登录了都能访问鸢尾花
        filterMap.put("/iris","authc");
//        filterMap.put("/pm25","authc");

        // 授权canVisitPM25的用户才能访问pm链接
        filterMap.put("/pm25","perms[canVisitPM25]");

        // 把map放进去
        factoryBean.setFilterChainDefinitionMap(filterMap);

        // 设置登录失败的跳转权限
        factoryBean.setLoginUrl("/pleaseLogin");

        // 权限不足跳的链接
        factoryBean.setUnauthorizedUrl("/insufficientAuthority");

        return factoryBean;
    }

}

这是Shiro的核心配置文件,依次有三个核心对象,UserRealmDefaultWebSecurityManagerShiroFilterFactoryBean基本是固定写法,需要根据业务来配置的就是过滤器的规则,即哪些页面需要哪些权限才能访问。

2.2 编写自定义的Realm

public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserServiceImpl userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行shiro授权");

        // 权限
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("canVisitPM25");

        // 参数principalCollection就是登录成功后,user对象信息,可以根据数据库情况决定是否授权

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行shiro认证");

        // 把传入参数的token转为UsernamePasswordToken
        UsernamePasswordToken userToken=(UsernamePasswordToken)authenticationToken;

        // 数据库取信息
        User user = userService.getUserByUname(userToken.getUsername());

        if(user==null) return null;//没有这个用户

        // 判断密码
        return new SimpleAuthenticationInfo(user,user.getUpassword(),"");
    }
}

配置文件定义了完整的访问权限和规则,那么Relm就是具体的授权和认证功能,二者都需要去数据库查询;

2.3 ShiroService服务类

@Service
public class ShiroServiceImpl implements ShiroService {

    @Override
    public String login(String username, String pwd) {
        // 获得当前访问的用户
        Subject subject = SecurityUtils.getSubject();
        // 封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, DigestUtils.md5DigestAsHex(pwd.getBytes()));
        // 开始验证
        try {
            subject.login(token);
            return "登录成功";
        }catch (UnknownAccountException e){//用户名不存在
            return "用户名不存在";
        }catch (IncorrectCredentialsException e){//密码错误
            return "密码错误";
        }
    }

    @Override
    public String showMe() {
        return SecurityUtils.getSubject().toString();
    }

    @Override
    public String logout() {
        SecurityUtils.getSubject().logout();
        return "注销成功";
    }
}

SecurityUtils.getSubject()可以获得当前的用户,然后对其进行相应的权限控制。

3 原理

  • SpringBoot对于Shiro的封装较深,逻辑层面不是很好理解,直接使用官网的非web项目例子比较好理解;
  • 如何判断当前访问的用户就是已经登录过的,还需要了解ThreadLocal相关的知识;
  • 如何绑定浏览器访问者和subject用户,需要靠cookie来保证,这部分知识可以通过实践的出来;
你佳哥
关注
专栏目录
springboot+shiro处理shiro中的异常
大海无量的博客
04-12 6542
1.自定义realm中抛出异常信息 /** * @description:自定义Realm * @author: Administrator * @date: 2019-03-27 13:30 */ @Component public class MyRealm extends AuthorizingRealm { public static Log log = LogFacto...
Springboot整合shiro_springboot shiro,程序人生
最新发布
m0_60567881的博客
04-18 483
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
添加shiro拦截器之后,放行无效,无法进入控制层
weixin_43677541的博客
05-20 5609
我最初的时候是这样的,但是在登陆页面提交之后,根本就进入不了控制层的方法。 filterMap.put("/",“authc”); filterMap.put("/add",“perms[user:add]”); filterMap.put("/update",“perms[user:update]”); filterMap.put("/doLogin",“anon”); 很是苦恼,然后突发奇想,...
SpringBoot(21)Shiro的登录拦截
OVO_LQ_Start的博客
09-12 408
拦截功能的实现 注意:环境搭建参考上一篇文章。 【1】.Map<String, String> filterMap = new LinkedHashMap<>();//创建拦截map,用来保存过滤的信息 【2】.filterMap.put("/user/add",“authc”);//添加拦截的请求,和权限设置 【3】.shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);//添加内置过滤器 【4】.shiroFi
Springboot整合Shiro --- ShiroRealm 中service使用@Autowired 注入为空
_修铁路的、的博客
01-09 2169
场景:       在Springboot整合shiro过程中,在shiroRealm中需要注入userService 去数据库中查询用户的权限等信息,期间遇到 userService为空的情况,检查了N遍,在网上搜了好久都没有找到解决办法,甚至一度以为是因为 Spring没有把 shiroRealm加载进来,使用@Component 注解进行标记,但结果还是一直为空,然后一直在往这个方向检索,...
Shiro学习】ShiroFilterFactoryBean源码分析
fxkcsdn的博客
10-14 1134
通过前两节的学习,我们知道shiroFilter会使用FilterChainManager来代理过滤器链,从而先执行shiro的过滤器链,然后再执行原过滤器链。平时我们都是如何使用shiro的登陆验证,权限验证的? 配置shiro过滤器 下面的代码是不是很熟悉。 @Bean public ShiroFilterFactoryBean shiroFilter2(final Securi...
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
springbootshiro安全框架整合
08-05
3. **SpringBoot整合Shiro** 整合SpringBootShiro主要涉及以下步骤: - 添加依赖:在SpringBoot的`pom.xml`或`build.gradle`文件中引入Shiro的依赖。 - 配置Shiro:创建一个自定义的Shiro配置类,配置Realm以...
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
SpringBoot2.0整合Shiro框架实现用户权限管理的示例 本文主要介绍了SpringBoot2.0整合Shiro框架实现用户权限管理的示例,通过详细的示例代码,展示了如何使用Shiro框架来实现用户权限管理。下面是对应的知识点: 1...
如何用Springboot快速整合shiro安全框架
qhdttt的博客
04-01 399
咱们先来普及一下什么是shiroshiro原名Apache Shiro 是一个Java安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等高级应用。再就是前端resources里面的static和templates,由于文件过多不变多写,如果小伙伴们想要源码可以直接私聊我博客账号。controller层MyController类。config层配置两个类。
教你 Shiro 整合 SpringBoot,避开各种坑
weixin_33725239的博客
04-30 1905
最近搞了下 Shiro 安全框架,找了一些网上的博客文章,但是一到自己实现的时候就遇到了各种坑,需要各种查资料看源码以及各种测试。 那么这篇文章就教大家如何将 Shiro 整合SpringBoot 中,并避开一些小坑,这次实现了基本的登陆以及角色权限,往后的文章也讲解了其他的功能,如 《教你 Shiro + SpringBoot 整合 JWT》 附上源码:github.com/HowieYu...
整合Shiro、Swagger、出现循环依赖
qq_53587460的博客
07-15 890
springboot整合Shiro、Swagger、出现循环依赖
shiro整合swagger2出现的循环依赖问题:defaultWebSecurityManager ,SpringfoxWebMvcConfiguration
qq_39594499的博客
11-05 3644
shiro整合swagger2出现的循环依赖问题: *************************** APPLICATION FAILED TO START *************************** Description: The dependencies of some of the beans in the application context form a cycle: objectMappe...
关于Springboot整合Shiro面临的循环依赖问题
KevenPotter的博客
12-22 2149
一家之言 姑妄言之 絮絮叨叨 不足为训 笔者废话:    BD我也无所谓了,GG也是抄抄抄,抄个der。烦S了! 进入正题:    在进行Springboot整合Shrio编写配置文件的时候,如果碰到下述错误(下面的aaa/bbb/ccc/config/ShiroConfig.class是你的ShrioConfig.java文件的路径): *************************** APPLICATION FAILED TO START ***************************.
springboot 配置全局响应数据_SpringBoot实战 - 接口响应体统一封装
weixin_39923599的博客
12-21 468
目录前言在之前的文章中我们有介绍过,如何更好、更简单的写好一个接口《接口返回值》,今天的这篇文章我们主要介绍,怎么统一处理下接口的返回格式问题。问题分析我们先来分析下我们所面临的问题在哪里,然后接着给出解决方案。在写一个接口时,我们通常会先统一定义一下接口的返回格式是什么,然后在跟前端去对接,通常的返回格式大体两种(我们以保存用户为例):1.成功/失败响应格式不一致(此种方式作为我们默认的接口响应...
SpringBoot(三):Respond封装
yjgithub的博客
05-28 2972
Spring Boot系列 SpringBoot(一)Quick start SpringBoot()多环境切换 目录 一.简介 .Respond封装 三.请求测试 一.简介 在实际的开发过程中,我们会面临着服务接口调用,接口中返回的数据格式各种,没有一个统一的标准,会造成在前端和后端,后端与后端数据对接的过程中出现各种数据格式异常,所以有必要对数据处理有有一定的状...
oracle 报错 “Insufficient authority” 原因
weixin_30295091的博客
09-25 293
今天在oracle跨用户查询表中数据时,报错“Insufficient authority”,刚开始以为是查询语句出了问题,后来一查,原来是,表的所属用户没有把表的操作权限给赋予我当前用户,赋一下权即可。 转载于:https://www.cnblogs.com/xiaolinlin/p/7592743.html...
SpringBoot接口返回结果封装方法(记录)
lpCrazyBoy的博客
10-29 2487
rest接口会返回各种各样的数据,如果对接口的格式不加约束,很容易造成混乱。 在实际项目中,一般会把结果放在一个封装类中,封装类中包含http状态值,状态消息,以及实际的数据。这里主要记录两种方式:(效果如下) 1、采用Map对象作为返回对象。 /** * Http请求接口结果封装方法 * * @param object 数据对象 * @param msgSuccess 提示信息(请求成功) * @param msgFailed 提示信息(请求失败) * @param isO.
Springboot接口响应体封装
一只有大国梦兔子的博客
01-06 489
Response import lombok.Data; import java.io.Serializable; /** * 接口返回 */ @Data public class Response<T> implements Serializable { private static final long serialVersionUID = -6806276312394164937L; /** * 是否成功 true是 false否 */ .
springboot整合shiro框架
03-16
Spring Boot 整合 Shiro 框架是指在 Spring Boot 应用中使用 Apache Shiro 来管理身份验证和授权。主要步骤如下: 1. 引入 Shiro 依赖; 2. 配置 Shiro; 3. 编写自定义 Realm; 4. 安全配置过滤器; 5. 使用 Shiro ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值