shiro学习记录

最新推荐文章于 2024-06-16 15:37:08 发布
最新推荐文章于 2024-06-16 15:37:08 发布
阅读量65 收藏
点赞数
分类专栏: mybatis spring boot shiro 文章标签: shiro spring boot mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46263502/article/details/121567481
版权
mybatis 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
spring boot
1 篇文章 0 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

Shiro

一、快速入门

  1. 导包
<dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.7.1</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>1.7.25</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.12</version>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
    </dependencies>
  1. 配置配置文件

log4j.properties

log4j.rootLogger=INFO, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

# General Apache libraries
log4j.logger.org.apache=WARN

# Spring
log4j.logger.org.springframework=WARN

# Default Shiro logging
log4j.logger.org.apache.shiro=INFO

# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

shiro.ini

log4j.rootLogger=INFO, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

# General Apache libraries
log4j.logger.org.apache=WARN

# Spring
log4j.logger.org.springframework=WARN

# Default Shiro logging
log4j.logger.org.apache.shiro=INFO

# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN
  1. Helloworld

完整代码参考博客 https://www.pangtun.com/4819.html

  1. API
DefaultSecurityManager securityManager = new DefaultSecurityManager();
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");//读取配置文件
securityManager.setRealm(iniRealm);//初始化securityManager
SecurityUtils.setSecurityManager(securityManager);//将securityManager注入到工具类
Subject currentUser = SecurityUtils.getSubject();//创建Subject对象
Session session = currentUser.getSession();//通过Subject获取session
currentUser.isAuthenticated();//判断用户是否认证
currentUser.hasRole("schwartz");//判断用户是否拥有某个角色
currentUser.isPermitted("lightsaber:wield");//判断用户是否有某种权限
currentUser.logout();//注销

二、使用shiro-编写配置类

  1. 编写ShiroConfig类 分别注册ShiroFilterFactoryBean,DefaultWebSecurityManager,UserRealm三个类
package com.liao.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {
    //ShiroFilterFactoryBean
    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean =new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        return shiroFilterFactoryBean;
    }

    //DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm对象
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建realm对象  自定义
    @Bean(name = "userRealm")
    public UserRealm getUserRealm(){
        return new UserRealm();
    }
}

2.添加权限认证

shiro内置的过滤器用于拦截请求

  • anon:无需认证就能访问
  • authc:必须认证了才能访问
  • user:必须拥有 记住我 功能才能访问
  • perms:必须拥有某个资源的权限才能访问
  • role:必须拥有某个角色权限才能访问

在shiro的配置类中添加内置的过滤器authc,拦截请求为"/user/add"和"/user/update",这样,当用户没有认证去访问这两个请求时会跳转到认证界面(登录界面)

Map<String, String> filterMap = new LinkedHashMap<>();//用于封装拦截的请求
filterMap.put("/user/add","authc");
filterMap.put("/user/update","authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
shiroFilterFactoryBean.setLoginUrl("/toLogin");//设置跳转的认证界面

认证方式

表单提交到控制器,接收用户名和密码后,封装成令牌,调用subject.login(token)到后台进行验证,令牌会封装到UsernamePasswordToken,在UserRealm中进行验证用户名和密码

controller

@RequestMapping("/login")
public String login(String username,String password,Model model){
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken(username,password);
    try{
        subject.login(token);
        return "index";
    }catch (UnknownAccountException e){
        model.addAttribute("msg","用户名错误");
        return "login";
    }catch (IncorrectCredentialsException e){
        model.addAttribute("msg","密码错误");
        return "login";
    }
}

UserRealm

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    System.out.println("进行了=>认证 doGetAuthorizationInfo");
    //用户名密码验证
    String username = "root";
    String password = "will";
    UsernamePasswordToken token1 = (UsernamePasswordToken)token;
    //验证用户名
    if (!token1.getUsername().equals(username)){
        return null;
    }
    //验证密码
    return new SimpleAuthenticationInfo("",password,"");
}

三、整合mybatis

导包

<!--整合mybatis-->
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.27</version>
</dependency>
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid</artifactId>
    <version>1.1.10</version>
</dependency>
<dependency>
    <groupId>log4j</groupId>
    <artifactId>log4j</artifactId>
    <version>1.2.17</version>
</dependency>
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.3</version>
</dependency>

四、授权

在数据库中增加字段,用于记录用户权限,当进行认证时,将查询到的用户,封装成principal对象并且通过SimpleAuthenticationInfo(user,token1.getPassword(),"");方法封装到Subject中,用户通过获取Subject,进而获取到权限信息,并授予用户,最后返回授权info对象

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println("进行了=>授权 doGetAuthorizationInfo");
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    Subject subject = SecurityUtils.getSubject();
    User currentUser = (User) subject.getPrincipal();
    info.addStringPermission(currentUser.getPerms());
    return info;
}

五、整合thymeleaf

  1. 导包
<!--整合thymleaf和shiro-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>
  1. 配置bean(在ShiroConfig中)
//整合ShiroDialect
@Bean
public ShiroDialect getShiroDialect(){
    return new ShiroDialect();
}
  1. 前端页面引入命名空间
xmlns:shiro="http://www.thymleaf.org/thymeleaf-extras-shiro
  1. 使用方法

可以通过session进行前后端传值,

后端存值代码

Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();
session.setAttribute("user",user);

前端取值代码

<div th:if="${session.user==null}">//若用户登录了,就隐藏标签
    <a th:href="@{/toLogin}" >去登录</a>
</div>
<div shiro:hasPermission="user:add">//当用户有user:add权限时,才显示
    <a th:href="@{/user/add}">add</a>
</div>
<div shiro:hasPermission="user:update">
    <a th:href="@{/user/update}">update</a>
</div>
weixin_46263502
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro学习笔记
04-03
shiro学习笔记以及代码,包括权限基础、shiro入门、shiro实例等
shiro学习笔记.rar
10-06
这是shiro学习笔记,包括学习时候自己写的代码,主要内容就是使用springboot整合shiro,实现对用户的认证和授权,以及图片验证码的实现
Shiro学习笔记
Fly_Lu的博客
12-14 2646
shiro笔记 什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Authorization:授权权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否 进行什么操作,如:验证某个用户是否拥有某个角色,或者细粒
shiro 学习笔记
低吟不作语的博客
11-28 2776
1. 权限管理 1.1 什么是权限管理? 权限管理实现对用户访问系统的控制,按照安全规则或者安全策略,可以控制用户只能访问自己被授权的资源 权限管理包括用户身份认证和授权两部分,简称认证授权 1.2 什么是身份认证? 身份认证就是判断一个用户是否为合法用户的处理过程,最常用的方式就是通过核对用户输入和用户名和口令是否与系统中存储的一致,来判断用户身份是否正确 1.3 什么是授权? 授权,即访问控制,控制谁能访问哪些资源,主体进行身份认证后需要分配权限方可访问系统资源,对于某些资源没有权限是无法访问的 2.
Shiro学习记录
qq_41670382的博客
03-21 101
Shiro学习记录1.介绍2.jdbcRealm工具类(身份验证)3.SSM整合(只包含登录认证)3.1.pom.xml文件添加相关依赖3.2.web.xml文件添加过滤器3.3.applicationContext.xml文件添加控制3.4.修改Controller层中login()内代码3.5.在myRealm中 Shiro主要功能:身份验证;授权;会话管理;密码 IDEA中ctrl+alt+v可自动生成对应变量及对应的数据类型 IDEA中ctrl+alt+t可自动提示一些可用的,例如try catc
shiro学习笔记0.0.0.0
12-21
笔记很少,不全,适合快速入门
shiro学习笔记(四次课,从入门到案例)
06-15
Shiro01-概念、入门、认证的基本使用; Shiro02-认证加密,授权; Shiro03-SpringBoot集成、注册、登录; Shiro04-SpringBoot授权,Shiro注解、Shiro标签
4.1 初探Spring Boot
最新发布
howard2005的专栏
06-16 162
Spring Boot通过其自动化配置和简化的配置方式,极大地提高了Java企业级应用的开发效率。它不仅适用于微服务架构,也适用于传统的单体应用,是现代Java开发中不可或缺的工具。通过本实战概述,开发者可以快速掌握Spring Boot的核心概念和开发流程,为构建高效、可维护的应用程序打下坚实基础。
spring boot logback.xml文件配置,info、error隔离
l2x1314258的博客
06-12 494
【代码】spring boot logback.xml文件配置,info、error隔离。
Spring Boot中的各种事件
小伍的程序之路
06-14 186
spring boot 各种事件贯穿整个启动的生命周期,读懂了这些时间也差不多理解了springboot的启动流程。接口表示springboot程序准备开始启动,这是最早的事件触发方法,它将触发。的方法定义很讲究,方法从上到下的顺序也正好是各事件触发的顺序。定义了spring启动过程中各个事件被触发的顶层方法。接口的唯一具体实现类是。
SpringBoot】理解Spring Boot自动配置的底层原理
Mia惠枫的博客
06-11 1156
在前文中,我们介绍了如何通过实现Condition接口并重写matches()方法来创建自定义条件类。Spring Boot的自动配置也是基于类似的条件机制。例如,Spring Boot的自动配置类会根据环境变量、类路径中的类以及现有的Bean来决定是否进行配置。@Override@Bean创建META-INF目录:在资源目录下(src/main/resources),创建META-INF目录。
第 5 章:面向生产的 Spring Boot
Binge毕设
06-12 660
Spring Boot Actuator 是 Spring Boot 的重要功能模块,能为系统提供一系列在生产环境中运行所必需的功能,比如监控、度量、配置管理等。只需引入起步依赖后,我们就可以通过 HTTP 来访问这些功能(也可以使用 JMX 来访问)。Spring Boot 还为我们预留了很多配置,可以根据自己的需求对 Spring Boot Actuator 的功能进行定制。
使用Spring Boot实现Redis多数据库缓存
行东的bug博客笔记
06-09 593
在我的系统中,为了优化用户行为数据的存储与访问效率,我引入了Redis缓存,并将数据分布在不同的Redis数据库中。通过这种方式,可以减少单一数据库的负载,提高系统的整体性能。
Spring Boot 面试热点(一)
Wells974
06-11 645
创建配置类: 创建一个带有注解的类。条件注解: 使用等注解控制配置的生效条件。注册到 SpringFactories: 在文件中注册自定义配置类。掌握 Spring Boot 的基本原理和项目结构,可以帮助你在面试中展示出对该框架的基础理解。通过实践自动配置和自定义配置,你将能够更加熟练地使用 Spring Boot 构建高效、可靠的应用程序。
Spring Boot 面试热点(三)
Wells974
06-12 403
本文介绍了 Spring Boot 的测试方法、高级话题以及一些实践经验。通过掌握这些内容,你将能够在面试中展示出对 Spring Boot 的全面理解和实际应用能力。不断学习和实践是提升技能的关键,希望这些内容能帮助你在面试中取得成功。
第 4 章:从 Spring Framework 到 Spring Boot
Binge毕设
06-12 754
如果工程的 Spring Bean 扫描路径是。
Spring Boot中的JDK 线程池以及Tomcat线程池使用与配置
weixin_65837469的博客
06-05 563
然而,线程的创建和销毁需要消耗大量的系统资源,尤其是在高并发场景下,如果频繁地创建和销毁线程,将会导致系统性能急剧下降。当需要执行新任务时,线程池会从中取出一个空闲线程来执行,执行完后再将线程放回池中,以供下次使用。Spring Boot作为当前最流行的Java框架之一,提供了丰富的配置和扩展能力,使得我们可以轻松地集成和使用线程池。Tomcat 的线程池,是先使用核心线程数配置,再使用最大线程配置,最后才使用队列长度。JDK 的线程池,是先使用核心线程数配置,接着使用队列长度,最后再使用最大线程配置。
Spring Boot 面试热点(二)
Wells974
06-11 300
创建模块: 创建一个新的 Maven/Gradle 模块。添加依赖: 在模块的pom.xml或中添加依赖。自动配置: 创建自动配置类,并在文件中注册。发布: 将模块发布到 Maven 中央仓库或内部仓库。扩展 WebSecurityConfigurerAdapter: 自定义安全配置类,重写configure方法。java复制代码import org.springframework.context.annotation.Configuration;
shiro框架如何学习
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者相关的教程来获得这些知识。 2. 安装和配置:安装Shiro框架并进行基本的配置。你可以在Shiro的官方网站上找到安装指南和配置示例。 3. 认证功能:学习如何使用Shiro进行用户认证,包括用户名密码认证、Remember Me功能、多Realm认证等。可以尝试编写简单的认证示例来理解这些功能。 4. 授权功能:学习如何使用Shiro进行用户授权,包括角色授权和权限授权。了解如何定义角色和权限,并且如何在代码中进行授权判断。 5. Session管理:了解Shiro如何管理用户的会话信息,包括会话超时、会话验证等。学习如何使用Shiro提供的Session API来管理会话。 6. 整合框架:如果你使用其他的Java框架,例如Spring或者Spring Boot学习如何将Shiro与这些框架进行整合,以便更好地利用Shiro的功能。 7. 安全性优化:深入了解Shiro的安全性能优化技巧,例如密码加密、安全配置、防止常见安全漏洞等。 8. 实战练习:通过编写实际的应用程序来巩固所学的知识。可以尝试开发一个简单的Web应用程序,使用Shiro进行用户认证和授权。 除了官方文档和教程,还可以参考一些优秀的书籍或在线教程,例如《Apache Shiro官方指南》、《深入浅出Shiro安全框架》等。此外,加入Shiro的社区或者论坛,与其他开发者交流经验也是一个很好的学习方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值