SpringBoot 整合 Shiro (一)用户认证

最新推荐文章于 2022-04-25 22:57:11 发布
最新推荐文章于 2022-04-25 22:57:11 发布
阅读量207 收藏
点赞数
分类专栏: shiro 文章标签: shiro java spring boot 后端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46548064/article/details/106175223
版权
SpringBoot 整合 Shiro 进行用户认证主要是通过以下三点:
(1)定义一个ShiroConfig,配置SecuityManager,其中SecurityManagershiro的管理器,管理着所有的Subject
(2) 在 ShiroConfig 配置 Shiro 的过滤工厂类 ShiroFilterFactoryBean,用于过滤一些不需要的资源,如静态资源;其依赖于 SecurityManager;
(3) 自定义认证过程 Realm 的实现,Realm 包含授权 doGetAuthorizationInfo() 和 认证 doGetAuthenticationInfo()

ok,开始实现,技术选型:springboot + h2数据库 + shiro + mybatis-plus
1、先引入依赖:

		<!--thymeleaf-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- shiro-spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!--hutool-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.2.0</version>
        </dependency>
        <!--junit-->
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <!--h2-->
        <dependency>
            <groupId>com.h2database</groupId>
            <artifactId>h2</artifactId>
            <scope>runtime</scope>
        </dependency>
        <!--lombok-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <!--mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.1.tmp</version>
        </dependency>

2、建立数据库:在 resources 目录下新建一个包db,导入schema-h2.sqldata-h2.sql这两个文件,
schema-h2.sql

DROP TABLE IF EXISTS user;

CREATE TABLE user
(
	id BIGINT(20) NOT NULL COMMENT '主键ID',
	username VARCHAR(30) NULL DEFAULT NULL COMMENT '姓名',
	password VARCHAR(128) NULL DEFAULT NULL COMMENT '密码',
	create_time DATE NULL DEFAULT NULL COMMENT '创建时间',
	status CHAR(2) NULL DEFAULT NULL COMMENT '状态',
    PRIMARY KEY (id)
);

data-h2.sql

DELETE FROM user;

INSERT INTO user (id, username, password, create_time, status) VALUES
(1, 'Jone', 'e10adc3949ba59abbe56e057f20f883e', null, '1'),
(2, 'Jack', 'e10adc3949ba59abbe56e057f20f883e', null, '1'),
(3, 'Tom', 'e10adc3949ba59abbe56e057f20f883e', null, '1'),
(4, 'Sandy', 'e10adc3949ba59abbe56e057f20f883e', null, '0'),
(5, 'Billie', 'e10adc3949ba59abbe56e057f20f883e', null, '0');

3、建立和数据库对应的实体类:

@Data
public class User implements Serializable {

    private Long   id;
    @TableField("username")
    private String userName;
    @TableField("password")
    private String password;
    @TableField("create_time")
    private Date   createTime;
    @TableField("status")
    private String status;
}

4、建立 dao层 和 service层

dao层:

public interface UserMapper extends BaseMapper<User> {
}

service层:
接口:

public interface UserService extends IService<User> {

    User findUserByUserName(String userName);
}
--------------------------------------------------------------
实现类:

@Service
@Slf4j
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {

    @Override
    public User findUserById(Long id) {
        return baseMapper.selectById(id);
    }

    @Override
    public User findUserByUserName(String userName) {
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper();
        queryWrapper.eq(User::getUserName, userName);
        return baseMapper.selectOne(queryWrapper);
    }
}

5、编写 ShiroConfig 和 自定义Realm
ShiroConfig :

@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //设置登录的url
        shiroFilterFactoryBean.setLoginUrl("/login");
        //设置未授权的url
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        LinkedHashMap<String, String> filterChainMap = new LinkedHashMap<>();

        //定义filterChain,设置静态资源不拦截
        filterChainMap.put("/css/**", "anon");
        filterChainMap.put("/js/**", "anon");
        filterChainMap.put("/fonts/**", "anon");
        filterChainMap.put("/img/**", "anon");
        //配置退出过滤器,shiro已帮我们实现了
        filterChainMap.put("/logout", "logout");
        filterChainMap.put("/", "anon");
        //除以上url,其他url都必须通过认证,未认证默认自动访问loginUrl
        filterChainMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm());
        return securityManager;
    }

    @Bean
    public ShiroRealm shiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        return shiroRealm;
    }
}

自定义Realm:

@Slf4j
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    /**
     * 授权,获取用户角色和权限
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 登录认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 获取用户输入的用户名和密码
        String username = (String)authenticationToken.getPrincipal();
        String password = new String((char[]) authenticationToken.getCredentials()); //特别注意这里转String要这样写
        log.info("用户:{}, 密码:{}", username, password);
        //查询用户信息
        User user = userService.findUserByUserName(username);
        if (user == null) {
            throw new UnknownAccountException("用户名或密码错误");
        }
        if (!password.equals(user.getPassword())) {
            throw new IncorrectCredentialsException("用户名或密码错误");
        }
        if (user.getStatus().equals("0")) {
            throw new LockedAccountException("账号状态异常,请联系管理员!");
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName());
        return authenticationInfo;
    }
}

6、编写 controller 层

@Slf4j(topic = "UserController")
@Controller
public class UserController {

    @Autowired
    private UserService userService;
    
    @GetMapping("/login")
    public String login() {
        return "login";
    }

    @PostMapping("/login")
    @ResponseBody
    public ServerResponse login(@RequestParam("username") String userName, @RequestParam("password") String password) {
        //md5加密
        password = SecureUtil.md5(password);
        log.info("加密后的密码:{}", password);
        UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
        //获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            return ServerResponse.createBySuccessMessage("登录成功");
        } catch (AuthenticationException e) {
            return ServerResponse.createByErrorMessage("登录失败");
        }
    }
}

7、编写一个极其简陋的登录页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
    <form action="/login" method="post">
        <input type="text" placeholder="用户名" name="username"><br>
        <input type="password" placeholder="密码" name="password"><br>
        <input type="submit" value="登录">
    </form>
</body>
</html>

8、开始测试,启动项目,访问http://localhost:8080/login 输入用户名Jone 和 密码123456
在这里插入图片描述
测试结果:
在这里插入图片描述
整合认证ok

(注意:)(1)ServerResponse 为自己写的相应类,可以上网搜一下。
(2)用了 h2内存数据库,这里贴一下在 yml 中的配置
spring:
  #h2内存数据库
  datasource:
    driver-class-name: org.h2.Driver
    schema: classpath:db/schema-h2.sql
    data: classpath:db/data-h2.sql
    url: jdbc:h2:mem:test
    username: root
    password: test
wzp、、、
关注
专栏目录
shiro的doGetAuthorizationInfo授权方法始终进不去
天才战士的博客
08-13 3万+
感慨:大二刚开始学java,只顾埋头照着敲,什么语法什么意思通通不知道,敲完运行看看效果正确就洋洋得意一番。后来慢慢懂了基本语法,基本意思,想实现什么功能就百度一下,面向对象编程成了面向百度编程。开始了抄,第一阶段直接抄,代码实现错误就是辣鸡答案。第二阶段,看看代码的基本如何实现,对它进行一些更改达到自己的预期效果。第三阶段,抄它的思想,从它的思想中获得灵感。到了这个阶段,觉得自己好像什么都会,又...
shiro授权流程
magicproblem的博客
02-03 304
1、授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法(也可认证) public class MyRealm extends AuthorizingRealm 2、实现doGetAuthorizationInfo方法 /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection
自定义realm出现doGetAuthorizationInfo多次重复调用
3k油:知道的越多,不知道的越多
10-09 1648
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么会有多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro的配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复调用了。于是定位到了下边的这个方法。 a)d.
权限项目总结(四) shiro 授权
柏修的专栏
06-05 2096
概述Authorization(授权):不难理解,授权就是用来控制当前访问用户在访问系统资源权限。这个词也做证书的解释,从证书这个角度来讲,判断是否拥有对资源访问的权限时,当前用户需要提供证书。授权的核心用户—角色—权限,以角色为中心,一般情况将权限分配给某个角色,然后给用户分配某个权限或是一组权限。基本的流程 当前用户调用isPermitted方法,携带着当前用户访问资源的路径,一般是字符串或者是
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot整合shiro
03-30
总之,SpringBoot整合Shiro可以有效地帮助我们构建权限管理体系,实现用户认证和授权。结合ZTree,我们可以提供直观的权限分配界面,提升管理效率。在实际开发过程中,要根据项目需求定制Shiro的配置,确保安全性...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目...Springboot 整合 Shiro 的代码实例提供了一个基本的身份验证和授权管理示例,开发者可以根据实际需求进行修改和扩展。
shiro中Realm什么时候会执行doGetAuthorizationInfo(PrincipalCollection principalCollection)方法
f498906080的博客
11-01 3716
1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候,或者xml中配置了某个请求需要什么权限的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasP...
shiro什么时候会进入doGetAuthorizationInfo(PrincipalCollection principals)
热门推荐
Optimistic
03-21 3万+
shiro
第六章 Realm及相关对象(四) PrincipalCollection
yifanSJ的博客
08-24 2万+
之前使用过的(来点印象) login("classpath:shiro-authenticator-all-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一个身份集合,其包含了Realm验证成功的身份信息 PrincipalCollection principalCollection = subject.getP
Shiro:登陆成功并未执行doGetAuthorizationInfo
Sunny
10-09 2万+
package com.hk3t.core.security; import java.util.Set; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authentic
Java安全管理器——SecurityManager
一只小棉花的博客
10-19 6010
原文出处:http://bubuko.com/infodetail-306759.html 转自:https://blog.csdn.net/okjxp/article/details/78581599 总的来说,Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是J...
SecurityManager 是什么?有什么作用?
Shockang的博客
06-30 2794
前言 本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系 正文 SecurityManager 主要对账号、权限及身份认证进行设置和管理。 如果 Spark 的部署模式为 YARN ,则需要生成 secret key (密钥)并存入 Hadoop UGI 。 而在其他模式下,则需要设置环境变量 _SPARK_AUTH_SECRET (优先级更高)或 spark.aut
shiro授权,自定义realm实现授权,shiro与项目集成,在项目中实现认证及授权
wumengjie123的博客
11-15 6908
讲前必读 第一节:shiro授权 1. 重点:讲解授权流程并实现对用户授权。 2. 课程实际内容 a)    简介:回顾shiro架构及相关对象以及认证流程 b)    重点:shiro授权流程 c)     简介:授权方式 d)    重点:授权实现 e)    简介:测试 3. 重点:课堂总结 a)    授权实现 练习20分钟 第二节:自定义Realm实现授权 1.
第二关 request进阶
weixin_64672972的博客
04-25 4984
编程要求 根据提示,在右侧编辑器 Begin-End 区间补充代码,完善函数 get_html(),使用 requests 创建 session 对指定网址发出请求 import requests def get_html(url): ''' 两个参数 :param url:统一资源定位符,请求网址 :param headers:请求头 :return html 网页的源码 :return sess 创建的会话 ''' # **...
SpringBoot整合Shiro教程:认证、授权、加密与Web集成
在本视频教程中,你将学习如何将 ShiroSpringBoot 和 Mybatis 整合,构建一个完整的权限管理系统。 1. **Authentication(认证)** 认证是验证用户身份的过程。在 Shiro 中,你可以创建自定义 Realm(域)来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值