springboot结合shiro的demo

最新推荐文章于 2024-05-17 08:58:37 发布
最新推荐文章于 2024-05-17 08:58:37 发布
阅读量162 收藏
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44830665/article/details/104828922
版权

项目结构

在这里插入图片描述

如图所示,项目一共分为6层,分别是:

  • common公共层:主要是放置一些公共的模块
  • controller层:数据的表示层,俗称vo
  • dao层: 用于操作数据库,增删改查
  • Exception异常层:定义一些全局的异常,方便维护
  • model层: 数据库表的映射
  • shiro层:主要是配置shiro的授权和认证

认证过程

// LoginController.java
@PostMapping("/login")
    public Response login(@RequestBody User user) {
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(user.getUsername(),user.getPassword());
        Subject subject = SecurityUtils.getSubject();
        subject.login(usernamePasswordToken);
        if(!subject.isAuthenticated()) {
            throw new AuthenticationException("认证失败");
        }
        return new Response(200,"登录成功",user);
    }
    
    
// CustomRealm.java
 // 认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        log.info("**************authenticationToken->{}", JSONUtil.toJsonStr(authenticationToken));
        if(authenticationToken.getPrincipal() == null) {
            return null;
        }
        // 获得用户名
        String username = authenticationToken.getPrincipal().toString();
        User user = userDao.findByUsername(username);
        if(user == null) {
            throw new UnknownAccountException("用户名或密码错误");
        }

        // 认证信息
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), ByteSource.Util.bytes("wuyilong"),getName());
        log.info("**************返回认证结果->{}", JSONUtil.toJsonStr(simpleAuthenticationInfo));
        return simpleAuthenticationInfo;
    }

用户发起登录请求,经过login控制器,接受用户名和密码初始化一个用户密码认证token,然后再用SecurityUtils(这个封装了SecurityManager)获得当前环境的主体Subject、,通过login的方法,接收token,实质上就是SecurityManager里面的login方法,这里进行跳转到我们自定义的CustomRealm,进行真正的认证,认证通过就会返回simpleAuthenticationInfo,实质上就是principa(代码上的user.getUsername())l用于授权。

授权过程

// UserController.java
 @RequiresPermissions("/user/page")
    @GetMapping("/page")
    public Response<User> getUserPage(@RequestParam(value = "pageNum",defaultValue = "1")  Integer pageNum,
                                      @RequestParam(value = "pageSize", defaultValue = "10") Integer pageSize) {
        Sort sort = Sort.by(Sort.Direction.DESC, "id");
        Pageable pageable = PageRequest.of(pageNum-1, pageSize, sort);
        Page<User> userPage = userDao.findAll(pageable);
        return new Response(200,"操作成功",userPage);
    }
    
 // CustomRealm.java
 // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        log.info("**********principalCollection->{}",principalCollection);
        // 获得用户名 这个用户名是从认证来的
        String username = principalCollection.getPrimaryPrincipal().toString();
        User user = userDao.findByUsername(username);
        // 授权信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 添加角色
        Role role = roleDao.findById(user.getRoleId()).get();
        simpleAuthorizationInfo.addRole(role.getRoleName());
        // 添加权限
        List<RolePermission> rolePermissionListList = rolePermissionDao.findByRoleId(role.getId());
        rolePermissionListList.stream()
                .map(rolePermission -> permissionDao.findById(rolePermission.getPermissionId()).get())
                .map(Permission::getAction)
                .forEach(simpleAuthorizationInfo::addStringPermission);

        log.info("*********返回授权结果->{}",JSONUtil.toJsonStr(simpleAuthorizationInfo));
        return simpleAuthorizationInfo;

    }

用户首先访问带有权限控制的注解@RequiresPermissions,从而进入授权过程。查询数据库当前用户的角色和权限,分别添加到simpleAuthorizationInfo并返回.这个时候我们还不清楚到底是怎么验证授权的,只有debug了!

 public void assertAuthorized(Annotation a) throws AuthorizationException {
        if (!(a instanceof RequiresPermissions)) return;

        RequiresPermissions rpAnnotation = (RequiresPermissions) a;
        String[] perms = getAnnotationValue(a);
        Subject subject = getSubject();

        if (perms.length == 1) {
            subject.checkPermission(perms[0]);
            return;
        }
        if (Logical.AND.equals(rpAnnotation.logical())) {
            getSubject().checkPermissions(perms);
            return;
        }
        if (Logical.OR.equals(rpAnnotation.logical())) {
            // Avoid processing exceptions unnecessarily - "delay" throwing the exception by calling hasRole first
            boolean hasAtLeastOnePermission = false;
            for (String permission : perms) if (getSubject().isPermitted(permission)) hasAtLeastOnePermission = true;
            // Cause the exception if none of the role match, note that the exception message will be a bit misleading
            if (!hasAtLeastOnePermission) getSubject().checkPermission(perms[0]);
            
        }
    }
}

debug到里面你会看到如上的代码,可以看到,解析了注解上的权限标识,并检测当前环境下的主体用户是否拥有这个权限。

ShiroConfig

/**
 * @ClassName ShiroConfig shiro的配置文件
 * @Description
 * @Author yilongwu
 * @DATE 2020-03-11 15:34
 * @Version 1.0.0
 **/
@Configuration
@Slf4j
public class ShiroConfig {

    /**
     * 把自定义的CustomRealm注入到spring容器中
     * @return
     */
    @Bean
    public CustomRealm customRealm() {
        CustomRealm customRealm = new CustomRealm();
        customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return customRealm;

    }

    /**
     * 注入securityManager
     * @return
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    // 设置用于匹配密码的CredentialsMatcher
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName(Md5Hash.ALGORITHM_NAME);  // 散列算法,这里使用更安全的sha256算法
        credentialsMatcher.setStoredCredentialsHexEncoded(false);  // 数据库存储的密码字段使用HEX还是BASE64方式加密
        credentialsMatcher.setHashIterations(1);  // 散列迭代次数
        return credentialsMatcher;
    }


    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 这个在做前后端分离时,如果你没有登录就访问其他的资源就会跳到这个设置的url
        shiroFilterFactoryBean.setLoginUrl("/notLogin");
        // 没有权限时进行跳转(ps:在没有使用注解的情况下能自动捕获异常,并跳转到该指定的路径)
        //shiroFilterFactoryBean.setUnauthorizedUrl("/unAuthorized");


        // 设置拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        // 开放接口
        filterChainDefinitionMap.put("/login","anon");;
        // 其余的需要认证
        filterChainDefinitionMap.put("/**","authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;

    }


    //加入注解的使用,不加入这个注解不生效
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

这个配置文件有很多注释了,并不用多说,这里要说的是密码匹配器,其实还有很多密码匹配器的
查看源代码就知道,一共有6种。

在这里插入图片描述

那么如何生成呢?

 String wuyilong = new SimpleHash(Md5Hash.ALGORITHM_NAME, "123456", ByteSource.Util.bytes("wuyilong"), 1).toBase64();
        System.out.println(wuyilong);

shiro里面自带有生成的类,我们直接调用即可。

最后

其他的就不多说了,需要的盆友,请到我的github上下载。
项目地址:springboot-shiro

龙泉诗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+shiro代码demo
09-12
资源分数不能设置为0,没有分的可以直接进我博客看代码。新手程序员根据网上学习写的小demo,我都能看懂基本上所有人都差不多能看懂吧。对应博客https://blog.csdn.net/qq_32786139/article/details/82658197也可直接进入俺的个人博客进行查看。
springboot集成shiro demo
04-13
在项目`springboot-shiro-demo`中,你可以找到这些配置和实现的示例代码,这将有助于你理解如何在实际项目中运用Shiro进行权限管理。通过学习和实践这个小例子,你将能够更好地掌握SpringBootShiro的整合,提升你...
SpringBoot整合shiro——简单的demo
Lifetime的博客
08-10 373
第一步:导入依赖 <!-- 导入shiro整合spring的包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> <!-- thyme
一个springboot整合shirodemo的学习分享及心得
weixin_39274753的博客
12-13 809
前言 最近学习了一个18年黑马springboot整合shirodemo,比之前看的shiro学习视频感觉更容易理解一些,故作分享。之前在尚硅谷看过的视频,是shiro与spring整合,用的是xml配置方式,跟现在流行使用springboot的开发方式略有不同,因此黑马的此视频更容易让人看懂。当然,黑马跟尚硅谷相比,前者符合实际容易理解,后者涉及到更多shiro的功能,建议都看。 ps:本...
Spring Boot集成Shiro快速入门Demo
最新发布
HBLOG
05-17 722
Shiro是一个功能强大、灵活的,开源的安全框架,主要可以帮助我们解决程序开发中认证和权限等问题。基于拦截器做的权限系统,权限控制的粒度有限,为了方便各种各样的常用的权限管理需求的实现,我们有必要使用比较好的安全框架。早期Spring security 作为一个比较完善的安全框架比较火,但是Springsecurity学习成本比较高,于是就出现了shiro安全框架,学习成本降低了很多,而且基本的功能也比较完善。Shiro的架构Subject:主题。被验证的对象,一般指的当前用户对象。
一、springbootshiro整合的测试Demo(亲测,干货)
码农小默
03-17 1219
一、springboot准备,整理 1.pom.xml &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocat...
SpringBoot整合ShiroDemo测试项目:登录、角色、权限、MD5、排查自定义Relam后角色失效问题
Zhou_LC的博客
11-03 209
排查源码后,看到需要自定义的 Realm 属于 Authorizer 的子类才可以,而这里写的 Relam 并不是 Authorizer 的子类,所以直接走的 for 循环中的 continue,没有进行角色判断,当然也没有后续的鉴权了。
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
总结来说,"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"项目是一个使用Spring Boot作为基础框架,结合Shiro进行权限控制,借助MyBatis Plus简化数据库操作的示例。通过这个项目,开发者可以学习到如何...
SpringBoot+Shirodemo
07-04
描述中的链接指向了一个博客文章,文章详细介绍了如何在Spring Boot项目中结合Shiro实现用户登录和权限控制。在这个过程中,我们可能会涉及以下几个核心知识点: 1. **Spring Boot集成Shiro**: 首先,我们需要在...
springboot-shiro-demo.zip
06-22
SpringBootShiro 结合使用,可以构建出高效、灵活的安全管理应用。 标题 "springboot-shiro-demo.zip" 提示我们这是一个关于 SpringBoot 整合 Shiro 的演示项目。在这个项目中,我们可以学习到如何在 ...
springboot+shiro最简单的demo
01-17
springboot+shiro+mybatis+thymeleaf整合的最简单的demo,并且注释齐全
springboot demo-shiro
01-17
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); // 配置不会被拦截的链接 顺序判断 filterChainDefinitionMap.put("/static/**", "anon"); filterChainDefinitionMap.put("/public/**", "anon"); filterChainDefinitionMap.put("/ajaxLogin", "anon"); filterChainDefinitionMap.put("/login", "anon");
spring boot与shiro集成demo
09-11
spring boot与shiro集成demo,maven工程,简单的一个demo,文档请参考博文
spring boot shiro demo项目
04-03
springboot shiro 做的一个小demo ,方便快速入门shiro 会比security容易上手很多;
一个简单的springboot整合shirodemo
reg183的专栏
06-27 198
index.html login.html /user/add.html /user/edit.html MyController.java UserRealm.java ShiroConfig.java 账户错误如图 密码错误 账户密码正确调到首页 首页的页面这时候可以点击进入了下载源码
springboot::】集成shiro 笔记+demo
wonderful Code
01-06 240
一、 1.Subject 是与程序进行交互的对象,可以是人也可以是服务或者其他,通常就理解为用户。所有Subject 实例都必须绑定到一个SecurityManager上。我们与一个 Subject 交互,运行时shiro会自动转化为与 SecurityManager交互的特定 subject的交互。 2.SecurityManager 是 Shiro的核心,初始化时协调各个模块运行。然而,一旦 ...
SpringBoot基本操作(七)——SpringBoot整合Shiro权限管理(完整demo+界面)
热门推荐
zhulier1124的博客
09-01 3万+
SpringBoot2.0笔记 (一)SpringBoot基本操作——环境搭建及项目创建(有demo) (二)SpringBoot基本操作——使用IDEA打war包发布及测试 (三)SpringBoot基本操作——SpringBoot整合SpringDataJpa(有demo) (四)SpringBoot基本操作——SpringBoot使用RedisTemplate整合Redis(有dem...
SpringBoot整合shiro的一个完整的小案例
lhc0512的博客
04-10 7916
SpringBoot整合配置版的shiro很简单,逻辑清 首先在pom.xml的配置如下,shiro使用缓存ehcache <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache</artifactId> <version>2.10.4
狂神springbootshiro
11-26
狂神springboot中的shiro是指在使用Spring Boot框架进行开发时,集成和使用Apache Shiro框架来实现身份认证和权限控制的功能。 Apache Shiro是一个强大且易于使用的Java安全框架,它支持身份验证、授权、加密、会话管理等常见的安全功能。在Spring Boot中使用Shiro可以轻松地集成安全功能,提供精确的用户认证和授权控制。 在狂神springboot中,通过引入Apache Shiro的相关依赖,并进行相应的配置,可以实现基于角色或权限的访问控制。可以使用Shiro的注解配置方式,简化了权限控制的代码编写,提高了开发效率。可以使用Shiro提供的Filter对URL进行权限控制,比如只有具有某个角色或权限的用户才能访问某个URL。 另外,在狂神springboot中,还可以使用Shiro的Session来管理用户会话,可以通过配置设置会话过期时间、会话验证等功能。同时,也可以通过Shiro提供的Remember Me功能实现自动登录。 总的来说,狂神springboot中的Shiro通过与Spring Boot框架的集成,实现了安全认证和权限控制的功能。通过简单的配置和注解,可以快速搭建一个安全可靠的后台系统,保护系统资源的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值