springboot+shiro实现登陆验证、权限验证

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量454 收藏 1
点赞数 1
分类专栏: shiro 文章标签: spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51751522/article/details/121161596
版权

shiro介绍

Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。

  1. 引入shiro依赖
<!--        shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>
  1. 创建shiroConfig类(shiro的基本配置),其中包含过滤器,开启注解配置权限以及加密方法(注册时调用)
package com.example.demo.config;

import com.example.demo.service.CustomRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.util.ByteSource;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;
import org.springframework.context.annotation.DependsOn;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @author ligaode
 * @date 2021/11/5 9:47
 * ShiroConfig
 */
@Configuration
public class ShiroConfig {

    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/api/login");
        shiroFilterFactoryBean.setUnauthorizedUrl("/api/notRole");
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        //放行Swagger2页面,需要放行这些
        filterChainDefinitionMap.put("/swagger-ui.html","anon");
        filterChainDefinitionMap.put("/swagger/**","anon");
        filterChainDefinitionMap.put("/webjars/**", "anon");
        filterChainDefinitionMap.put("/swagger-resources/**","anon");
        filterChainDefinitionMap.put("/v2/**","anon");
        filterChainDefinitionMap.put("/static/**", "anon");
//        放行登录注册接口
        filterChainDefinitionMap.put("/api/getCode", "anon");//放行获取验证码
        filterChainDefinitionMap.put("/api/login", "anon");//放行登录
        filterChainDefinitionMap.put("/api/register", "anon");//放行注册
//        filterChainDefinitionMap.put("/api/**", "anon");
//        filterChainDefinitionMap.put("/admin/**", "authc");
//        filterChainDefinitionMap.put("/user/**", "authc");
        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截 剩余的都需要认证
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;

    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(customRealm());
        return defaultSecurityManager;
    }

    @Bean
    public CustomRealm customRealm() {
        CustomRealm customRealm = new CustomRealm();
        // 告诉realm,使用credentialsMatcher加密算法类来验证密文
        customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        customRealm.setCachingEnabled(false);
        return customRealm;
    }
//    利用注解配置权限:
//    其实,我们完全可以不用注解的形式去配置权限,因为在之前已经加过了:DefaultFilter类中有perms(类似于perms[user:add])这种形式的。但是试想一下
//    ,这种控制的粒度可能会很细,具体到某一个类中的方法,那么如果是配置文件配,是不是每个方法都要加一个perms?但是注解就不一样了,直接写在方法上面,简单快捷。
//    很简单,主需要在config类中加入如下代码,就能开启注解:
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * *
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * *
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }
//加密
@Bean(name = "credentialsMatcher")
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    // 散列算法:这里使用MD5算法;
    hashedCredentialsMatcher.setHashAlgorithmName("md5");
    // 散列的次数,比如散列两次,相当于 md5(md5(""));
    hashedCredentialsMatcher.setHashIterations(2);
    // storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
    hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
    return hashedCredentialsMatcher;
}
//在注册的时候调用此方法用来加密密码
    public static String MD5Pwd(String phone, String pwd) {
        // 加密算法MD5
        // salt盐 username + salt
        // 迭代次数
        String md5Pwd = new SimpleHash("MD5", pwd,
                ByteSource.Util.bytes(phone + "salt"), 2).toHex();
        return md5Pwd;
    }

}

Subject: 代表当前正在执行操作的用户,但Subject代表的可以是人,也可以是任何第三方系统帐号。当然每个subject实例都会被绑定到SercurityManger上。
SecurityManger:SecurityManager是Shiro核心,主要协调Shiro内部的各种安全组件,这个我们不需要太关注,只需要知道可以设置自定的Realm。
Realm:用户数据和Shiro数据交互的桥梁。比如需要用户身份认证、权限认证。都是需要通过Realm来读取数据。

  1. 创建customRealm类
    customRealm配置:
package com.example.demo.service;

import com.example.demo.entity.User;
import com.example.demo.mapper.LoginMapper;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.authc.*;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.Set;

/**
 * @author ligaode
 * @date 2021/11/5 9:46
 * Realm
 */
@Slf4j
public class CustomRealm extends AuthorizingRealm {

    @Autowired
    private LoginMapper loginMapper;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username = (String) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Set<String> stringSet = new HashSet<>();
        stringSet.add("user:admin");
        stringSet.add("user:user");
        info.setStringPermissions(stringSet);
        return info;
    }

//进行身份验证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("-------身份认证方法--------");
        String userPhone = (String) authenticationToken.getPrincipal();
//        String userPwd = new String((char[]) authenticationToken.getCredentials());
        //根据用户名从数据库获取密码
        User user=loginMapper.login_shiro(userPhone);
        String phone=user.getPhone();
        String password = user.getPassword();
        if (phone == null) {
            throw new AccountException("用户名不正确");
        }
//        else if (!userPwd.equals(password )) {
//
//            throw new AccountException("密码不正确");
//        }
//交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配
//注册的加密方式和设置的加密方式还有Realm中身份认证的方式都是要一模一样的。

        return new SimpleAuthenticationInfo(phone, password,
                ByteSource.Util.bytes(phone + "salt"), getName());
    }
}
  1. 登陆接口
@GetMapping(value = "api/login")
@ResponseBody
public String login(
        @RequestParam(value = "phone") String phone,
   @RequestParam(value = "password") String password,
   @RequestParam(value = "code") @ApiParam(value = "验证码") String code,
   HttpServletRequest httpServletRequest)
{
            //判断验证码是否正确
    if (code!=null){
        String Code= httpServletRequest.getSession().getAttribute("rightCode").toString();
        if (!Code.equalsIgnoreCase(code)){
            return "验证码错误";
        }
    }else {
        return "请输入验证码";
    }

        // 从SecurityUtils里边创建一个 subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备 token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(phone, password);
        // 执行认证登陆
        try {
            subject.login(token);
        } catch (UnknownAccountException uae) {
            return "未知账户";
        } catch (IncorrectCredentialsException ice) {
            return "密码不正确";
        } catch (LockedAccountException lae) {
            return "账户已锁定";
        } catch (ExcessiveAttemptsException eae) {
            return "用户名或密码错误次数过多";
        } catch (AuthenticationException ae) {
            return "用户名或密码不正确!";
        }
        if (subject.isAuthenticated()) {
            return "登录成功";
        } else {
            token.clear();
            return "登录失败";
        }
}
  1. 权限验证测试类
package com.example.demo.controller;

import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.springframework.stereotype.Controller;
import org.springframework.stereotype.Repository;
import org.springframework.web.bind.annotation.*;

/**
 * @author ligaode
 * @date 2021/11/5 10:26
 * UserController
 */

@RestController
public class UserController {
//注解配置权限
    @RequiresPermissions("user:user")
    @CrossOrigin
//    @ResponseBody
    @GetMapping("/show")
    public String showUser() {
        return "这是学生信息";
    }
}
  1. 退出登录接口,清楚shiro的session
//退出登录
    @CrossOrigin
    @GetMapping(value = "api/logout")
    public String logout( HttpServletRequest httpServletRequest){
        Subject subject = SecurityUtils.getSubject();
        if(subject.isAuthenticated()) {
            subject.logout();
        }
        return "退出登录";
    }
  1. 新建NoPermissionException类,用于解决当没有权限时,系统会报错,而没有跳转到对应的没有权限的页面,也就是setUnauthorizedUrl这个方法没起作用
package com.example.demo.service;

import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * @author ligaode
 * @date 2021/11/5 13:26
 * NoPermissionException
 */
@ControllerAdvice
public class NoPermissionException {
    @ResponseBody
    @ExceptionHandler(UnauthorizedException.class)
    public String handleShiroException(Exception ex) {
        return "无权限";
    }
    @ResponseBody
    @ExceptionHandler(AuthorizationException.class)
    public String AuthorizationException(Exception ex) {
        return "权限认证失败";
    }
}

附带当时学习shiro时的参考博客:https://blog.csdn.net/bicheng4769/article/details/86668209

weixin_51751522
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro 之 CredentialsMatcher
Zllvincent的博客
09-22 1万+
一、简介 应有系统中需要保存用户登录账号、密码以供用户登录校验。如果在数据库中保存密码明文则有一定的安全性,通常对密码使用Hash运算保存,常见的Hash算法有MD5、SHA等。 二、INI 配置CredentialsMatcher [main] #自定义Reaml 实现认证、授权 realm=com.vincent.UserRealm #定义凭证匹配器 credentialsMatcher=or...
springboot整合shiro实现登录验证授权
灰太狼
01-25 673
springboot整合shiro实现登录验证授权 1.添加依赖: <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version&gt
Shiro加密
阿劼
01-09 542
shiro md5 加密 java.lang.IllegalArgumentException: Odd number of characters
给AuthenticatingRealm设置CredentialsMatcher
ITWANGBOIT的博客
10-11 1822
1:通过查看AuthenticatingRealm的构造方法,看到第一,二个构造函数中没有传入CredentialsMatcher,则AuthenticatingRealm自己创建了SimpleCredentialsMatcher。即默认情况下AuthenticatingRealm的CredentialsMatcher 是SimpleCredentialsMatcher。 2:无论开发者调用...
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 454
Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限
Shiro功能应用(六)--登陆失败重试次数控制
假人一个的博客
04-26 721
文章目录代码实现:执行过程:      主要就是用来限制用户登录尝试次数的,登陆失不失败,与密码认证有关,所以要自定义一个密码匹配器,继承原来的HashedCredentialsMatcher密码匹配器,重写验证方法doCredentialsMatch。本文在上一篇文章Shiro功能应用(五)–Session管理的登陆人数控制代码基础进行添加登陆次数限制。...
shiro安全框架、MD5加密、自定义realm
m0_58212960的博客
08-08 352
Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序...
springboot集成shiro并利用jwt完成登录验证权限验证
JEROCHAN的博客
07-08 1211
springboot集成shiro并利用jwt完成登录验证权限验证 最近想在一个后台管理系统加上多角色多权限的功能,了解到了现有的安全框架后决定使用shiro,学习成本相对较低,而shiro默认使用session机制来实现用户的登录验证,而原先项目里面已使用jwt机制,并且前后端项目分离,所以对shiro加以改进。 数据库 首先在有用户表的前提下,需要有角色表和权限表,还有他们的关联表,在此简单的介绍下表结构,相信大家都会创建啦! user id,name role id,name user_ro
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
本项目采用SpringBoot、Apache Shiro以及LayuiMini框架来实现这一目标。接下来,我们将深入探讨这三个技术栈如何协同工作,构建出高效、安全的权限管理体系。 **SpringBoot** SpringBoot是Spring框架的轻量级衍生品...
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
这个Demo提供了一个使用SpringBootShiro实现简单登录验证权限控制的实例,对于学习和理解这两个框架的集成非常有帮助。通过阅读和实践这个Demo,开发者可以更好地掌握如何在实际项目中应用SpringBoot的便捷性和...
springboot+shiro+mybatis+Thymeleaf实现用户权限框架
11-29
本项目名为“springboot+shiro+mybatis+Thymeleaf实现用户权限框架”,它整合了四个关键的技术组件,旨在提供一个易于上手、功能丰富的解决方案。下面将详细阐述这些技术及其在框架中的作用。 1. **Spring Boot**: ...
shiro源码分析(六)CredentialsMatcher 的案例分析
08-08
NULL 博文链接:https://lgbolgger.iteye.com/blog/2170522
SpringBoot + Shiro + Vue 实现权限管理系统.zip
03-23
SpringBoot + Shiro + Vue 实现权限管理系统详解》 在现代软件开发中,权限管理是不可或缺的一部分,尤其是在企业级应用中。本项目通过结合SpringBootShiro和Vue.js三大技术栈,构建了一个完整的权限管理系统,...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot中集成Shiro,可以创建Filter进行登录验证权限校验: ```java @Configuration @EnableWebSecurity public class ShiroConfig extends WebSecurityConfigurerAdapter { @Autowired private ...
SpringBoot使用Shiro实现权限验证
默存
10-09 2097
一、Shiro简介 Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject、SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,...
springboot整合shiro进行权限验证
sqlgao22的博客
08-05 3649
springboot整合shiro进行权限验证 shiro shiro是目前主流的java安全框架,主要用来更便捷的认证,授权,加密,会话管理。 验证的过程是: 1.创建SecurityManager安全管理器; 2.Subject主体带授权信息执行授权,请求到SecurityManager 3.SecurityManager安全管理器调用Authorizer授权 4.Authorizer结合主...
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6547
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
基于Shiro框架的登录功能
程序员小火龙的知识分享
07-21 964
Apache Shiro是一个Java安全框架,它提供了一套易于使用的API,用于身份验证、授权、加密和会话管理等安全操作。Shiro框架的主要目标是提供易于使用的安全功能,同时保持灵活性和可扩展性。
shiro登录认证过程
web13116256725的博客
08-24 153
当前项目中只配置了一个realm,则会进入doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken)方法,并且会将 realm和token作为参数传入,这里的realm其实就是自己定义的UserRealm,继续进入doSingleRealmAuthentication方法。如果是第一次登陆,缓存中肯定没有认证信息,所以会执行this.doGetAuthenticationInfo(token)这个方法,
springboot+shiro如何实现权限管理
05-28
在Spring Boot应用中,可以使用Apache Shiro框架实现权限管理。下面是一个简单的实现步骤: 1. 引入Shiro和Spring Boot的依赖库。 2. 配置Shiro的安全管理器,包括认证器和授权器。认证器用于验证用户身份,授权器用于控制用户访问权限。 3. 在Spring Boot中配置Shiro的过滤器,用于拦截请求并根据用户权限判断是否允许访问。 4. 在用户登录时,使用Shiro的Subject对象进行身份认证,如果验证通过则将用户信息存储在Shiro的Session中,用于后续的权限判断。 5. 在需要进行权限控制的方法或请求上,使用Shiro的注解标记需要的角色或权限。 6. 在应用中提供管理界面,用于管理用户、角色和权限等信息。 需要注意的是,Shiro只提供了基础的安全功能,具体的权限管理实现需要根据具体的应用场景和需求进行设计和开发。同时,为了保证安全性,开发人员需要仔细阅读Shiro的文档,并遵循最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值