Springboot整合Shiro(包含记住我功能)

最新推荐文章于 2022-01-01 15:29:15 发布
最新推荐文章于 2022-01-01 15:29:15 发布
阅读量586 收藏 1
点赞数
分类专栏: Shiro springboot 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44391036/article/details/105978077
版权

虽然都2020年了,但我确实还不大会用shiro,所以利用空闲时间学习了一下基础的用法,参考网上的资料,总结一下自己的理解,也方便自己偶尔看看0.0。

Shiro是什么?

Shiro是一个轻量级的安全认证框架,他可以完成认证,授权,会话管理,缓存等一系列功能。

这是从百度百科kiang来的结构图:

img

我个人对于这些结构及概念性的文字很头疼,一看就容易云里雾里,但是概念确实还是非常重要的,所以我大部分时候还是结合着代码理解概念。

怎么操作?(springboot整合Shiro)

  1. 首先,创建一个普通的springboot项目,除springboot之外的依赖

    <dependency>
	<groupId>org.projectlombok</groupId>
	<artifactId>lombok</artifactId>
	<optional>true</optional>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.4.0</version>
</dependency>

    我这里用了lombok插件,可以理解成是一个使用注解给实体类生成get/set,toString。。这些方法的插件,很好用。

  2. 三个实体类

    @Data 会生成各属性get/set,重写equals(),hashCode(),toString()方法

    @AllArgsConstructor 会生成全参构造方法

    @NoArgsConstructor 即为无参构造方法

    User.java(用户信息)

    @Data
@AllArgsConstructor
@NoArgsConstructor
public class User {

    private int id;
    private String username;
    private String password;
    private Set<Role> roles;
}

    Role.java (角色)

    @Data
@AllArgsConstructor
@NoArgsConstructor
public class Role {

    private int id;
    private String roleName;
    private Set<Permission> permissions;
}

    Permission.java (权限)

    @Data
@AllArgsConstructor
@NoArgsConstructor
public class Permission {

    private int id;
    private String permissionName;

}

  3. 草率的业务实现类

    假装我们是从持久层拿到的数据,我一共准备了两个用户(zhangsan,lisi),两个角色(admin,user),两个权限字符(query,add)。

    zhangsan 为 admin 拥有 query,add 两个权限。

    lisi 为 user 拥有 query 权限。

    @Service
public class LoginServiceImpl implements LoginService {

    /**
     * 模拟数据库查询用户信息
     *
     * @param name
     * @return
     */
    @Override
    public User getUserByName(String name) {
        //一共两个权限 query和add 管理员拥有两个权限 用户只拥有query
        Permission p1 = new Permission(1,"query");
        Permission p2 = new Permission(2,"add");
        Set<Permission> ap = new HashSet<>();
        ap.add(p1);
        ap.add(p2);
        Set<Permission> up = new HashSet<>();
        up.add(p1);

        Role r1 = new Role(1,"admin",ap);
        Role r2 = new Role(2,"user",up);
        Set<Role> ar = new HashSet<>();
        ar.add(r1);
        Set<Role> ur = new HashSet<>();
        ur.add(r2);

        //张三为管理员角色 李四为普通用户角色
        User u1 = new User(1,"zhangsan","123456",ar);
        User u2 = new User(2,"lisi","123456",ur);

        Map<String,User> map = new HashMap<>();
        map.put("zhangsan",u1);
        map.put("lisi",u2);

        return map.get(name);
    }
}

  4. 自定义Realm用于查询用户的角色和授权信息

    需要继承 AuthorizingRealm 并重写他的两个方法,上面的是授权,下面的是登录认证。

    /**
 * 自定义Realm用于查询用户的角色和权限信息并保存到权限管理器
 */
public class CustomRealm extends AuthorizingRealm {
    
    @Autowired
    LoginService loginService;

    /**
     * 授权
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取用户名
        String name = (String) principalCollection.getPrimaryPrincipal();
        //获取用户
        User user = loginService.getUserByName(name);
        //添加角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        for (Role r : user.getRoles()) {
            //添加角色
            simpleAuthorizationInfo.addRole(r.getRoleName());
            //添加权限
            for (Permission p : r.getPermissions()) {
                simpleAuthorizationInfo.addStringPermission(p.getPermissionName());
            }
        }
        return simpleAuthorizationInfo;
    }

    /**
     * 登录验证
     *
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (null == authenticationToken.getPrincipal()) return null;
        //获取用户
        String name = authenticationToken.getPrincipal().toString();
        User user = loginService.getUserByName(name);
        if (null == user) return null;

        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(name, user.getPassword(), getName());
        return simpleAuthenticationInfo;
    }
}

  5. 把一系列东西放入spring容器

    把自定义的Realm和实现记住我功能的 cookieRememberMeManager 放进 SecurityManager,再把 SecurityManager 放入spring容器。

    再配置Shiro的过滤器。

    tips:map.put("/**",“user”); 这个是指放行登录认证成功或记住我的用户。

    /**
 * 把CustomRealm和SecurityManager等加入到spring容器
 */
@Configuration
public class ShiroConfig {

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAAPC = new DefaultAdvisorAutoProxyCreator();
        defaultAAPC.setProxyTargetClass(true);
        return defaultAAPC;
    }

    //自定义的验证方式
    @Bean
    public CustomRealm myShiroRealm(){
        CustomRealm cr = new CustomRealm();
        return cr;
    }

    //配置cookie基础属性
    public SimpleCookie simpleCookie(){
        SimpleCookie sc = new SimpleCookie("rememberMe");
        //cookie有效时间 单位秒 以下设置了30天
        sc.setMaxAge(30 * 24 * 60 * 60);
        return sc;
    }

    //cookie管理器
    public CookieRememberMeManager cookieRememberMeManager(){
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(simpleCookie());
        // cookieRememberMeManager.setCipherKey用来设置加密的Key,参数类型byte[],字节数组长度要求16
        cookieRememberMeManager.setCipherKey(Base64.decode("3AvVhmFLUs0KTA3Kprsdag=="));
        return cookieRememberMeManager;
    }

    //权限管理
    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager dsm = new DefaultWebSecurityManager();
        //自定义验证方式
        dsm.setRealm(myShiroRealm());
        //记住我
        dsm.setRememberMeManager(cookieRememberMeManager());
        return dsm;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String,String> map = new HashMap<>();
        //登出
        map.put("/logout", "logout");
        //对所有用户认证
        map.put("/**","user");
        //登录
        shiroFilterFactoryBean.setLoginUrl("/login");
        //首页 登录成功跳转
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //验证失败跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

  6. 登录控制器

    重点是学校Shiro,所以就不写页面了,直接返回字符串。

    @RestController
public class LoginController {

    @RequestMapping("/login")
    public String login(String username, String password, boolean rememberMe) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken upt = new UsernamePasswordToken(username, password);

        try {
            upt.setRememberMe(rememberMe);
            subject.login(upt);
            //可以在逻辑中检查用户有没有相应角色或权限 没有的话会抛出AuthorizationException异常
//            subject.checkRole("admin");
//            subject.checkPermission("add");
        } catch (AuthenticationException e) {
            //不同的操作错误会抛出不同的异常
            e.printStackTrace();
            return "账号或密码错误";
        } catch (AuthorizationException e) {
            e.printStackTrace();
            return "无权限";
        }
        return "login success";
    }

    /**
     * 注解验证
     */
    @RequiresRoles("admin")
    @RequiresPermissions("add")
    @RequestMapping("/index")
    public String index() {
        return "index";
    }
}

  7. 由于注解方式不方便捕获异常,所以增加了一个类拦截异常

    /**
 * 通过注解的方式无法捕捉到抛出的异常,也就没有办法很好的给前端反馈
 * 所以使用这个类拦截注解方式抛出的无权限异常
 *
 */
@ControllerAdvice
@Slf4j
public class MyExpectHandle {
    @ExceptionHandler
    @ResponseBody
    public String ErrorHandle(AuthorizationException e){
        log.error("未通过权限验证",e);
        return "使用注解方式拦截下的未通过权限验证异常";
    }
}

  8. 启动

    访问: http://localhost:8080/login?username=zhangsan&password=123456&rememberMe=1

    提示 login success 也就是登录成功了

    再访问: http://localhost:8080/index

    ok 没问题 证明登录成功,且权限没问题

    重启浏览器

    再访问 : http://localhost:8080/index

    ok 还是没问题,证明记住我功能生效了

    检测权限,访问: http://localhost:8080/login?username=lisi&password=123456&rememberMe=0

    返回 login success 后再访问:http://localhost:8080/index

    提示没有权限,ok,权限判断生效了

    重启浏览器

    再访问:http://localhost:8080/index

    需要重新登录,ok

参考: https://www.jianshu.com/p/7f724bec3dc3

感谢大佬!

younger。
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5.springboot整合Shiro:RememberMe功能
qq_45394274的博客
02-28 966
记住功能,使用的是cookie实现的 接之前的案例修改: 1.ShiroConfig.java中添加rememberMeManager的配置. 为了可读性,就不把所有代码堆到ShiroConfig这个类里 建一个配置类 >public class RememberMeConfig { /** * cookie设置 * */ public Simpl...
springboot整合shiro
11-27
以上就是SpringBoot整合Shiro的基本流程和关键点。这个过程中涉及到了SpringBoot的自动配置、Shiro的核心组件使用、权限控制策略、以及密码加密等知识点。通过这样的整合,你可以构建出一套高效且易于维护的权限管理...
使用SpringBoot+Shiro实现记住功能
nov4th的博客
12-27 3873
一、实现记住功能 1、在页面表单中添加 “记住我” 功能的多选框 <input type="checkbox" name="rememberMe"/>记住我 2、自定义MyShiroRealm配置类 package com.demo.ch009.config; import com.demo.ch009.entity.User; import com.demo.ch009.ser...
springboot集成shiro实现权限缓存和记住
weixin_34336526的博客
08-10 259
到这节为止,我们已经实现了身份验证和权限验证。但是,如果我们登录之后多次访问http://localhost:8080/userInfo/userDel的话,会发现权限验证会每次都执行一次。这是有问题的,因为像用户的权限这些我们提供给shiro一次就够了。 下面,我们开始给shiro添加缓存支持: 1.添加依赖 <!-- shiro ehcache -->...
springboot整合shiro-(2)配置记住
zlt的博客
06-21 560
记住功能在各各网站是比较常见的,实现起来也都差不多,主要就是利用cookie来实现,而shiro记住功能的实现也是比较简单的,只需要几步即可。 Shiro提供了记住我(RememberMe)的功能,比如访问一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问 配置步骤 ShiroConfig.java /** * (新增方法) *...
SpringBoot学习:整合shiro(rememberMe记住功能
热门推荐
期待破茧成蝶
04-08 1万+
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public
SpringBoot整合Shiro【代码及SQL脚本】.rar
04-30
SpringBoot整合Shiro与MyBatis是现代Java Web开发中常用的一种安全权限管理方案。SpringBoot以其便捷的初始化和配置,使得快速构建应用成为可能,而Shiro则是一款轻量级的安全框架,提供了身份认证、授权、会话管理...
springbootshiro安全框架的整合
08-05
3. **SpringBoot整合Shiro** 整合SpringBootShiro主要涉及以下步骤: - 添加依赖:在SpringBoot的`pom.xml`或`build.gradle`文件中引入Shiro的依赖。 - 配置Shiro:创建一个自定义的Shiro配置类,配置Realm以...
SpringBoot整合shiro实现登录
最新发布
08-10
SpringBoot整合Shiro实现登录是一项常见的任务,尤其是在构建基于Java的Web应用时。Spring Boot以其简洁的配置和快速开发的特点,已经成为许多开发者的首选。而Apache Shiro则是一个强大且易用的安全管理框架,用于...
springboot整合shiro-记住
起名好难呀!
01-01 396
源码:https://gitee.com/xxxiaowu/springboot-shiro 首先导入依赖 <!--shiro整合springboot的依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> &l
Springboot整合Shiro实现记住功能
10-16 950
有关验证码的博客请参看:https://hcshow.blog.csdn.net/article/details/109124877 修改ShiroConfig 首先在基中添加配置: //记住我 @Bean(name = "rememberMeManager") public CookieRememberMeManager rememberMeManager(){ CookieRememberMeManager cookieRememberMeManager = new CookieRemember
四、Springboot 整合Shiro---02认证---记住
itxsl的博客
07-21 2573
本章基于上一章节:三、Springboot 整合Shiro---01认证 在上一章节上进行了一些小小改动: 实现了用户登陆记住功能: 一、将BeetlAction.class中的登陆方法提取到,新创建类中: package com.xslde.action; import org.apache.shiro.SecurityUtils; import org.apache.shi...
SpringBoot2 学习9 集成Shiro 记住
心猿意码
08-24 540
导包 <!-- shiro-spring --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</versio...
springboot + shiro 实现记住
快乐的小三菊的博客
05-21 1730
第一次登录的时候,需要用户自己输入用户名和密码,选中记住的标签。登录成功之后,此时关掉浏览器,再打开浏览器,再次输入刚才的网址,即可发现这次登录不需要再输入用户名和密码,即可直接进入验证通过的界面。达到的最终效果就是第一次使用账号和密码登录(登录成功),此时退出浏览器,然后重新打开网页登录界面,就会自动登录到登录成功的网页上。我们平常在登录网站的时候,经常会发现网页上有个。是如何实现,说白了就是携带参数,将请求发送到。此时,启动工程,输入网址。类是如何实现,需要注意的是。,看下浏览器帮我们保存的。
spring boot shiro权限管理
ForeverLove的博客
09-04 540
1). Shiro简单介绍 对shiro不了解的可以前往http://www.vxzsk.com/560.html学习 Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与 Spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shi
springboot+shiro入门学习(四)记住我设置
java_chegnxuyuan的博客
06-10 515
在上一篇中当我们将浏览器关闭,然后重新打开浏览器访问时会提示你没有权限。 在上一篇的基础上来实现记住功能ShiroConfig注入CookieRememberMeManager @Bean public SimpleCookie rememberCookie() { SimpleCookie rememberCookie = new SimpleCookie("re...
shiro + springboot记住密码(java配置版)
qq_45554909的博客
04-06 308
前端页面 <div style="margin-left:auto; margin-right:auto;width:200px;height:100px;"> <form th:action="@{/login}"> <h1 style="text-align:center">登录</h1><br/> <p style="color:red;" th:text="${msg}"></p&g
spring boot+shiro 记住我 会话失效(已解决)
weixin_43750315的博客
12-28 1921
标题spring boot+shiro 记住我 会话失效(已解决) 看了很多博客,发现大部分都是使用拦截器。个人感觉还是非常繁琐的,所以自己也做了一个比较简单的。 自定义一个过滤器,代码的意思注释写的很清楚了 package com.example.demo.filter; import com.example.demo.entity.User; import org.apache.shir...
SpringBoot整合Shiro实战:快速入门与配置详解
springboot结合shiro.pdf”是一个关于如何在Spring Boot项目中集成Apache Shiro进行权限管理和认证的实战教程。资源包含了必要的依赖配置、配置文件设置以及相关的页面示例。 在Spring Boot项目中整合Shiro,首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值