spring-boot集成shiro安全框架

最新推荐文章于 2022-09-15 08:22:52 发布
最新推荐文章于 2022-09-15 08:22:52 发布
阅读量123 收藏
点赞数
文章标签: springboot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45415885/article/details/102179832
版权

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。学习成本比spring-security要低很多。
shiro有三个核心组件:Subject, SecurityManager 和 Realms
Subject: 即“当前操作用户”, 它仅仅意味着“当前跟软件交互的东西”。
SecurityManager : 安全管理器,则管理所有用户的安全操作。
Realms:充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。
本文使用springboot和shiro集成,做一个小demo,分享如何简单的应用shiro
总共分成以下步骤:

第一步,创建springboot工程,引入shiro依赖

创建springboot工程可以参考我的这篇文章https://blog.csdn.net/weixin_45415885/article/details/100864980
springboot工程创建好之后 在pom.xml中引入shiro依赖,‘

  <!-- shiro 安全框架 -->
	<dependency>
	    <groupId>org.apache.shiro</groupId>
	    <artifactId>shiro-spring</artifactId>
	    <version>1.4.0</version>
	</dependency>

第二步,自定义realm类,继承AuthorizingRealm

重写两个方法
doGetAuthorizationInfo : 用来执行授权逻辑
doGetAuthenticationInfo: 用来执行认证(登录)用户逻辑
具体代码如下:

package com.example.springshirodemo1.shiro;
import com.example.springshirodemo1.entity.SysUser;
import com.example.springshirodemo1.mapper.UserMapper;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import javax.annotation.Resource;
import java.util.List;
public class CustomRealm extends AuthorizingRealm {
    @Resource
    UserMapper userMapper;
    //执行授权逻辑
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权逻辑:doGetAuthorizationInfo");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Subject subject = SecurityUtils.getSubject();
        SysUser user =  (SysUser)subject.getPrincipal();
        List<String> permission = userMapper.findAclByUserId(user.getId());
        info.addStringPermissions(permission);
        return info;
    }
    //执行认证逻辑(登录逻辑)
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证(登录)逻辑:doGetAuthenticationInfo");
        //判断用户名和密码
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        SysUser user = userMapper.findByUsername(token.getUsername());  //通过用户名查询用户信息
        if (user == null){  //如果为空,证明没有改用户
            return null;  //返回null代表用户不存在
        }
        return  new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }
}

第三步,编写Shiro配置类,配置相关的bean

package com.example.springshirodemo1.config;
import com.example.springshirodemo1.shiro.CustomRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    /**
     * Subject: 用户主体 --- 把操作交给 manager
     * SecurityManager: 安全管理器--关联Realm
     * Realm: shiro连接数据的桥梁
     */
    //创建ShiroFilterFactoryBean
    @Bean
     public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager securityManager){
         ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
         //设置安全管理器
         /*
          * 添加过滤器
          * anon: 无需登录可以访问
          * authc: 必须得到登录认证才可以访问
          * user: 如果使用rememberMe的功能可以直接访问
          * perms: 该资源必须得到资源权限才可以访问
          * role: 该资源必须得到角色权限才可以访问
          */
         Map<String,String> filterMap = new LinkedHashMap();
         filterMap.put("/user/add","perms[user:add]");
         filterMap.put("/user/update","perms[user:update]");
         filterMap.put("/user/*","anon");
         filterMap.put("/*","anon");
         shiroFilterFactoryBean.setUnauthorizedUrl("/user/unAthor");  //如果不在url前面加 / ,默认把当前的请求URL加进来,会包404
         shiroFilterFactoryBean.setLoginUrl("/user/unLogin");
         shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
         shiroFilterFactoryBean.setSecurityManager(securityManager);
         return shiroFilterFactoryBean;
     }

    //创建DefaultWebSecurityManager
    @Bean(name = "defaultWebSecurityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("customRealm") CustomRealm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }

    //创建Realm
    @Bean(name = "customRealm")
    public CustomRealm getCustomRealm(){
        return new CustomRealm();  //new刚才自定义的realm
    }
}

第四步,编写测试的controller进行验证

package com.example.springshirodemo1.controller;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.Map;
@RestController
@RequestMapping("/user")
public class UserController {
    @RequestMapping("/login")
    public String login(@RequestBody Map map){
        String username = map.get("username")+"";  //获取登录账号和密码
        String password = map.get("password")+"";
        Subject subject = SecurityUtils.getSubject();  //通过SecurityUtils得到subject
        UsernamePasswordToken token = new UsernamePasswordToken(username, password); //获取token
        try {
            subject.login(token);  //验证是否能登录
            return "登录成功";
        }catch (UnknownAccountException e){
            return "用户名不存在!";
        }catch (IncorrectCredentialsException e){
            return "密码错误!";
        }catch (Exception e){
            return "未知异常!"+e.getMessage();
        }
    }
    @RequestMapping("add")
    public String add(){
        return "添加成功!";
    }
    @RequestMapping("update")
    public String update(){
        return "修改成功!";
    }
    @RequestMapping("/unAthor")
    public String unAthor(){
        return "您没有权限访问!";
    }
    @RequestMapping("/unLogin")
    public String unLogin(){
        return "您没有登录!";
    }
}

测试结果

1,没有登录就访问user/add进行增加操作,则提示“您没有登录!”
在这里插入图片描述
2,当前用户没有权限则提示“您没有权限访问!”
在这里插入图片描述
3,当用户有权限时,则访问成功
在这里插入图片描述

黄恒愉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-boot集成shiro
ltx1143181624的博客
09-15 633
spring-boot集成shiro
Spring-boot集成Shiro安全框架的步骤及代码解析
chenchenmua的博客
09-14 266
Spring-boot集成Shiro安全框架的步骤及代码解析
springboot整合shiro的认证与授权流程
健康平安的活着的专栏
05-30 426
一 .整合流程 流程图: 结论: 1.服务启东加载顺序是:先加载reaml,再加载securitymanager,最后shirofilter。而调用顺序是shirofilter调用securitymanager,securitymanager调用reaml。 2.在登录认证时,shirofilter对请求进行过滤,公共资源放行,受限资先认证后授权,其中认证调用xx.login(xxx)就是调用自定义reaml中的doAuthenticationIfo(xxx)方法。 2.在登录授权时,x.
SpringBoot实现基于shiro安全框架的,配合thymeleaf模板引擎的用户认证和授权
New_joined_lion的博客
01-02 324
SpringBoot实现基于shiro安全框架的,配合thymeleaf模板引擎的用户认证和授权,及其思路介绍和流程详解1 用户、角色和权限的概念及关系2 shiro安全框架部分基本功能2.1 用户认证2.2 用户授权3 不同用户系统功能的差异性实现3.1 准备工作-引入shiro相关依赖3.2 基于代码的shiro框架的简单架构与运行机制介绍3.3 具体shiro环境配置代码3.3.1 shiro环境配置 - ShiroConfig.java3.3.2 自定义Realm类实现 - UserRealm.ja
shiro 权限验证 AuthorizingRealm doGetAuthorizationInfo
weixin_34293059的博客
10-13 1042
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot 实战系列之四:SpringBoot+Shiro安全认证和授权
Peter_Changyb的博客
08-21 636
Shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。 先介绍概念: Subject:主体,可以看到主体可以是任何与应用交互的“用户”。 SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负
前后端分离SpringBoot集成shiro权限安全框架搭建和执行流程
adminDemo的博客
11-18 544
1.首先导入pom.xml的依赖(主要看shiro的就行) <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.2.4.RELEASE</version> </parent> <properties>
spring-boot集成shiro步骤
kka1299的博客
09-15 221
shiro使用
spring-boot-shiro-demo
04-22
总的来说,"spring-boot-shiro-demo"项目展示了如何在Spring Boot环境中利用Shiro实现动态权限管理、Session共享和单点登录,这些都是企业级应用中必备的安全特性。通过深入研究和实践这个项目,开发者可以更好地...
my-spring-boot集成shiro
04-18
在本文中,我们将深入探讨如何将`Spring Boot`与`Apache Shiro`进行集成,以构建一个安全的基础框架。`Spring Boot`以其便捷的启动和配置方式,为开发者提供了快速开发现代Java应用的能力,而`Apache Shiro`则是一个...
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
spring-boot-shiro
05-14
2. **Spring Boot集成Shiro** 集成Shiro首先需要添加依赖,Spring Boot项目可以通过Maven或Gradle引入Shiro的依赖。然后,配置Shiro的 Realm,实现用户认证和授权。这通常需要自定义 Realm 类,连接数据库或其他...
spring-boot-plus后台框架-其他
06-12
spring-boot-plus是一套集成spring boot常用开发组件的后台快速开发框架。是易于使用,快速,高效,功能丰富,开源的spring boot脚手架。 spring-boot-plus前后端分离的框架,可以让用户专注于后端服务。 spring-...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源码-优质项目实战.zip
07-26
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源码_优质项目实战
基于JAVA局域网监听软件的设计与开发(源代码+论文).rar
07-26
基于JAVA局域网监听软件的设计与开发(源代码+论文).rar
小程序-光影娱乐带后台(源码).zip
最新发布
07-26
小程序-光影娱乐带后台(源码).zip
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值