springSecurity和shrio分别实现权限和认证功能

最新推荐文章于 2024-01-12 16:52:16 发布
最新推荐文章于 2024-01-12 16:52:16 发布
阅读量261 收藏 1
点赞数
分类专栏: 笔记 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48595687/article/details/125724187
版权

web开发安全框架

提供认证和授权功能!

一.SpringSecurity

1.导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.6.9</version>
</dependency>

2.实现授权和认证功能

package com.springboot.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * @author panglili
 * @create 2022-07-10-17:18
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //http Security认证,首页所有人都可以访问,功能页只有相应权限的人才能访问
        //授权
        http.authorizeHttpRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限默认跳登录页面
        http.formLogin();
    }



    @Override
    //认证
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("tata").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1");

    }
}

3.超简单的注销功能

前端界面中,注销按钮处,使用thymeleaf点击到后端的security控制类中的logout

<!--注销-->
<a class="item" th:href="@{/logout}">
    <i class="sign-out icon"></i> 注销
</a>

security中的logout是spring security自己提供的,只需要用它的参数http.logout()即可。

http.logout()

4.权限控制

此功能展示相应的界面给不同用户,上面实现的功能会展示所有界面,只是不同用户点击不是自己的权限内的页面会无法展示。

导入依赖包,使得可以在thymeleaf中调用security的变量。

<!--security和thymeleaf整合包-->
<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>

在html头文件记得导入,才会有提示!!!

<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

实现不同用户的权限功能,只需要在不同前端内容中使用security的语句加以判断即可。

<div class="column" sec:authorize="hasRole('vip3')">
    <div class="ui raised segment">
        <div class="ui">
            <div class="content" >
                <h5 class="content">Level 3</h5>
                <hr>
                <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
            </div>
        </div>
    </div>
</div>

当用户角色为vip3时才展示div下面的内容。

5.记住我功能实现

后端security的参数http调用方法rememberme

http.rememberMe().rememberMeParameter("remember");

前端设置一个选择框,命名为remember

<div class="field">
    <input type="checkbox" name="remember"/>记住我
</div>
二.shrio

1.导入jar

<!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.29</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

2.写配置功能

subject用户,securityManager管理所有用户,realm连接数据。

三大对象

package com.springboot.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author panglili
 * @create 2022-07-10-21:15
 */
@Configuration
public class ShrioConfig {


    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefault") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean Bean = new ShiroFilterFactoryBean();
        Bean.setSecurityManager(defaultWebSecurityManager);

        //添加shrio内置过滤器
        Map<String,String> filterMap=new LinkedHashMap<>();

        //只允许带有user:add的用户去访问add页面
        filterMap.put("/user/add","perms[user:add]");
        filterMap.put("/user/update","perms[user:update]");
        Bean.setUnauthorizedUrl("/unauth");
        //设置页面认证后才能访问
        filterMap.put("/user/*","authc");
        Bean.setFilterChainDefinitionMap(filterMap);

        //设置登录页面
        Bean.setLoginUrl("/toLogin");



        return Bean;

    }


    @Bean(name="getDefault")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();

        securityManager.setRealm(userRealm);
        return securityManager;
    }

    @Bean(name = "userRealm")
    public UserRealm userRealm(){
        return new UserRealm();
    }

    //整合shrio和thymeleaf
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}

3.realm类实现授权和认证

package com.springboot.config;

import com.springboot.pojo.userDao;
import com.springboot.service.userDaoService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.security.oauth2.resource.OAuth2ResourceServerProperties;

/**
 * @author panglili
 * @create 2022-07-10-21:16
 */
public class UserRealm extends AuthorizingRealm {

    @Autowired
    userDaoService userDaoService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {


        System.out.println("授权功能=====>");
        //获取当前登录的对象
        Subject subject = SecurityUtils.getSubject();
        //通过当前对象取到认证里的userdao
        userDao currentUser = (userDao) subject.getPrincipal();

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //设置当前用户权限
        info.addStringPermission(currentUser.getPerms());


        return info;
    }


    //认证
    @Override
        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

            System.out.println("认证功能======>");
            UsernamePasswordToken usertoken = (UsernamePasswordToken) authenticationToken;

            //获取数据库中的名字
            userDao userDao = userDaoService.queryByName(usertoken.getUsername());

        if(userDao==null){
            return null; //返回null为一个异常,在controller中被捕获,会显示用户名错误。
        }
        return new SimpleAuthenticationInfo(userDao,usertoken.getPassword(),"");
    }
}

4.controller密码认证判断

 //登录界面
    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    //shrio的登录权限认证
    @RequestMapping("/login")
    public String login(String username,String password,Model md){

        System.out.println("进入了login");
        System.out.println(username+password);
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();

        //封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        //执行登录方法
        try{

            subject.login(token);
            return "index";

        }catch (UnknownAccountException e){

            md.addAttribute("msg","用户名错误");
            return "login";

        }catch (IncorrectCredentialsException e){

            md.addAttribute("msg","密码错误");
            return "login";

        }



    }

    //没有权限的情况
    @RequestMapping("/unauth")
    @ResponseBody
    public String unauth(){
        return "没有权限访问!";
    }

    //退出登陆
    @RequestMapping("/logout")
    public String logOut(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "login";
    }
不掉发的coder
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
认证鉴权之Spring Security与Shiro
lonely_baby的博客
02-23 270
Spring Security 是一个基于 Spring 框架的安全框架,它提供了全面的安全性支持,包括身份认证、授权、攻击防范和安全通信等功能。强大的身份认证和授权功能Spring Security 提供了灵活的身份认证和授权机制,支持多种身份认证方式和授权策略,可以根据应用程序的需求进行定制。可扩展性和灵活性:Spring Security 提供了许多可扩展的 API 和插件,可以方便地对其进行定制和扩展,以适应应用程序的需求。它还支持密码加密和解密的支持,可以保护用户密码的安全性。
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理一简介在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security认证和...
Spring Security和Shiro的比较和使用
热门推荐
it_java_shuai的博客
09-21 1万+
这里是我看到了几个博客,然后把他们总结到了这样一个文章里面,也不能说是总结吧,只是搬了个家,嘻嘻.
spring security和shiro 认证和授权过程
lizzehqs的博客
07-01 482
两种权限认证框架的工作原理 spring security和shiro 认证和授权过程
Spring Security 认证授权(一)
12-13 1321
Spring Security
Spring Security认证和授权(1)
weixin_43831002的博客
08-02 1939
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
Spring Security实现RBAC权限管理_RBAC_spring_spring security_springclou
09-24
在企业应用中,认证和授权是非常重要的一部分内容,业界最出名...由于Spring Boot非常的流行,选择Spring Security认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC的权限管理
Spring Security应用实践,整合redis缓存
01-04
Spring Security应用实践,整合redis缓存,实现用户利用token进行登录功能Spring Security*是 Spring 家族中的一...而认证和授权也是SpringSecurity作为安全框架的核心功能。 通过快速搭建SpringBoot框架来实现
SpringSecurity-从入门到精通 demo源码
06-21
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。...​ 而认证和授权也是SpringSecurity作为安全框架的核心功能
shiro 与 spring 整合、动态过滤链、以及认证、授权.docx
07-20
apache shiro 是一个安全认证框架,和 spring security 相比,在于他使用了比较简洁易懂的认证和授权方式。其提供的 native-session(即把用户认证后的授权信息保存在其自身提供Session 中)机制,这样就可以和 ...
Spring Security 认证授权详解
共勉
05-03 4417
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能
2021-11(java-springboot学习笔记四SpringSecurity和shiro)
qq_45688193的博客
11-29 553
在web的开发中,安全第一位!过滤器,拦截器shiro,SpringSecurity两个
Shiro和SpringSecurity的区别
HSQdePYZ的博客
08-30 351
Shiro 和 Spring Security 都是用于在Java应用程序中实现身份验证(Authentication)和授权(Authorization)功能的安全框架。它们的目标是保护应用程序免受恶意用户的攻击,并提供一系列工具来管理用户、角色和权限。Shiro更灵活、简单、独立,可以与各种Java应用程序集成。SpringSecurity更契合 Spring 模块(如 Spring BootSpring MVC)。
Spring Security介绍
weixin_53227829的博客
05-05 578
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“”和“”,一般来说,Web 应用的安全性包括两个部分,这两点也是 SpringSecurity 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。
SpringSecurity(安全)、Shiro简介
m0_51067047的博客
06-20 403
在web开发中,安全第一位!过滤器,拦截器~ 开发网站,安全应该在什么时候考虑? 漏洞,隐私泄漏~ 架构一旦确定~ shiro、SpringSecurity,这两个很像,除了类不一样,名字不一样; 认证,授权(每个用户都有哪些权限) 功能权限 访问权限 菜单权限 …拦截器,过滤器:大量的原生代码~冗余 AOP:横切~配置类 1、Spring Security 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spr
Shiro和Spring Security对比
m0_67392811的博客
08-24 653
认证”是为用户建立一个其声明的角色的过程,这个角色可以一个用户、一个设备或者一个系统。Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。
1 Spring Security详解(入门篇)
人生智慧的博客
02-01 1119
1 权限管理 1.1 权限管理概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个非常重要的名词: 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份(用户登录后获取角色身份)。 授权:系统根据当前用户的角色,给其授予对应可以操作的...
简要概述对spring securityshrio的认识与区别
weixin_30477797的博客
08-07 103
最近看到项目中使用到了shriospring security,这两者都是对权限的控制与管理,为了了解两者的区别,查阅了相关资料,进行了一个整理: Apache shrioJava的一个安全框架,但是shrio框架的一大特点强大而灵活并且简单,容易使用,相比spring security框架没有那么晦涩难懂,它能清晰的处理认证,授权,管理会话以及密码加密。但是相比于spring securi...
SpringSecurity权限认证框架(一)
最新发布
qq_54421200的博客
01-12 1129
SpringSecurity的使用,自定义校验成功和失败类,通过自定义校验规则,让SpringSecurity变得更加灵活
sa-token框架和springsecurity和shiro的区别
06-11
- sa-token:专注于会话管理,提供了轻量级的权限认证和角色认证功能,支持多种会话存储方案。 - Spring Security:提供了完整的安全框架,包含认证、授权、攻击防护等各种安全特性,但是配置相对复杂。 - Shiro:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值