炒干货!!!Springboot整合Shiro实现登录加密和权限

最新推荐文章于 2022-11-18 14:24:32 发布
最新推荐文章于 2022-11-18 14:24:32 发布
阅读量469 收藏 5
点赞数 1
分类专栏: Java 后端 程序员 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51954021/article/details/118187627
版权
Java 同时被 3 个专栏收录
212 篇文章 7 订阅
订阅专栏
程序员
140 篇文章 1 订阅
订阅专栏
后端
82 篇文章 0 订阅
订阅专栏

这篇文章实打实的技术指导,废话不多说,直接开始干,希望大家多多一键三连支持一下野生技术博客,毕竟这年头技术博士不多见了呀

先看看下面的teacher表

image1.jpeg

role表 image2.png

perms表 image3.png

image4.png

shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理 从外部来解析shiro框架:

image5.png

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

使用:

引入依赖

</dependency>
<!--Shiro整合-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

其他依赖

<!--thymeleaf依赖-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
    <version>2.1.1.RELEASE</version>
<!--thymeleaf页面使用shiro标签-->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
</dependency>
<!--shiro集成ehcache缓存-->

配置类ShiroConfig和自定义Realm

ShiroConfig初始3个bean

//创建ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    //设置安全管理器
    shiroFilterFactoryBean.setSecurityManager(securityManager);

    //添加Shiro内置过滤器
    /*Shiro内置过滤器,实现权限相关的拦截器
    *常用过滤器:
    *   anon:无需认证可以访问
    *   authc:必须认证才可以访问
    *   user:如果使用rememberMe功能可以直接访问
    *   perms:该资源必须得到资源权限才可以访问
    *   role:给资源必须得到角色权限才可以访问
    *
    * */
    Map<String,String> filterMap = new LinkedHashMap<>();
    filterMap.put("/test","anon");
    filterMap.put("/login","anon");
    filterMap.put("/doRegister","anon");
    filterMap.put("/register","anon");
    //授权过滤器
    //当前授权拦截和,shiro自动跳转到未授权页面
    filterMap.put("/add","perms[user:add]");
    filterMap.put("/update","perms[user:update]");
    filterMap.put("/*","authc");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
    //默认跳转到login.jsp,修改为toLogin
    shiroFilterFactoryBean.setLoginUrl("/toLogin");
    //设置未授权页面
    shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");
    return shiroFilterFactoryBean;
} 

//创建DefaultWebSecurityManager
@Bean("securityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    //关联Realm
    securityManager.setRealm(userRealm);
    //
    securityManager.setSessionManager( getDefaultWebSessionManager() );
    return securityManager;
}
//创建Realm
@Bean("userRealm")
public UserRealm getRealm(){
    return new UserRealm();
}

自定义Realm UserRealm.java

继承: extends AuthorizingRealm
重写两个方法

//执行授权逻辑
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    System.out.println("执行授权");
    return null;
}
//执行认证逻辑
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    System.out.println("执行认证"); 
}

Ctrl层

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(name,password);

登录
subject.login(token);

登出
subject.logout();

权限管理
认证时获取角色,权限

  • List<Role> rlist = rMapper.roleList(login.getRid());//获取用户角色
List<Perms> plist = pMapper.permList(login.getRid());//获取用户权限
List<String> roleStrlist=new ArrayList<>();用户的角色集合
List<String> perminsStrlist=new ArrayList<>();//用户的权限集合
for (Role role : rlist) {
    roleStrlist.add(role.getRole_name());
}
for (Perms uPermission : plist) {
    perminsStrlist.add(uPermission.getPerm());
}
login.setRoleStrlist(roleStrlist);
login.setPerminsStrlist(perminsStrlist);
授权时添加权限
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//用户的角色集合
info.addRoles(teacher.getRoleStrlist());
//用户的权限集合
info.addStringPermissions(teacher.getPerminsStrlist());

密码加密
Shiroconfig类中添加两个bean  ,定义加密方法,注入
@Bean("hashedCredentialsMatcher")
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    hashedCredentialsMatcher.setHashAlgorithmName("MD5");// 散列算法:这里使用MD5算法;
    hashedCredentialsMatcher.setHashIterations(1024);// 散列的次数,比如散列两次,相当于md5(md5(""));
    hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);//是否16进制
    return hashedCredentialsMatcher;
}
/**

 * 身份认证 realm
   */
   @Bean("myShiroRealm")
   public UserRealm myShiroRealm(){
   UserRealm myShiroRealm = new UserRealm();
   myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
   System.out.println("myShiroRealm 注入成功");
   return myShiroRealm;
   }
   Realm认证时
   SimpleAuthenticationInfo info = null;
    String realname = getName();
   // 盐值加密,可以用用户名
   ByteSource salt = ByteSource.Util.bytes(tname);
   info = new SimpleAuthenticationInfo(login,login.getPassword(),salt, realname);
   Session session = SecurityUtils.getSubject().getSession();
   session.setAttribute("USER_SESSION", login);
   盐:增加加密的复杂度,增加hash

Shiro中MD5加密方法

ByteSource credentialsSalt01 = ByteSource.Util.bytes("张三");
Object credential = "123456";//密码
String hashAlgorithmName = "MD5";//加密方式
//1024指的是加密的次数
Object simpleHash = new SimpleHash(hashAlgorithmName, credential,
        credentialsSalt01, 1024);
System.out.println("加密后的值----->" + simpleHash)

缓存机制

为什么要用缓存呢?在页面上访问一些需要角色或权限才能访问的url,你会发现每次访问都去数据库拿对应用户拥有的角色权限,试想一下,我每访问一个url,都要去数据库重复拿这些数据,显然是一个不成熟的做法,如果有了缓存,我们只需要查询一次数据库,之后访问url都将从缓存中拿数据而不是数据库,这样数据库压力明显降低,看起来也相对成熟。 添加依赖

Shiroconfig添加bean
@Bean
public EhCacheManager getCacheManager(){
    EhCacheManager ehCacheManager = new EhCacheManager();
    //ehCacheManager.setCacheManagerConfigFile("src\\main\\resources\\shiro-ehcache.xml");
    return ehCacheManager;
}
添加到securityManager
securityManager.setCacheManager(getCacheManager());

重复登录
Shiroconfig配置
//禁止重复登录
// 配置sessionDAO
@Bean(name="sessionDAO")
public MemorySessionDAO getMemorySessionDAO(){
    MemorySessionDAO sessionDAO = new MemorySessionDAO();
    return sessionDAO;
}

//配置shiro session 的一个管理器
@Bean(name = "sessionManager")
public DefaultWebSessionManager getDefaultWebSessionManager(){
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    // 设置session过期时间
    sessionManager.setGlobalSessionTimeout(60*60*1000);
    // 请注意看代码
    sessionManager.setSessionDAO(getMemorySessionDAO());
    //解决url携带jessionid问题
    sessionManager.setSessionIdUrlRewritingEnabled(false);
    return sessionManager;
}

Realm认证时判断删除session
//禁止同时登陆
if( tname.equals( login.getName() ) && md5.equals( login.getPassword() ) ){
    // 获取所有session
    Collection<Session> sessions = sessionDAO.getActiveSessions();
    for (Session session: sessions) {
        Teacher sysUser = (Teacher) session.getAttribute("USER_SESSION");
        // 如果session里面有当前登陆的,则证明是重复登陆的,则将其剔除
        System.out.println("seesion:"+session.getId());
        if( sysUser!=null ){
            if( tname.equals( sysUser.getName() ) ){
                session.setTimeout(0);
            }
        }
    }
}

其他

//配置ShiroDialect,用于thymeleaf和shiro标签配合使用
@Bean
public ShiroDialect getShiroDialect(){
    return new ShiroDialect();
}

最后想说的话

程序员到底应该关注哪些技术?

答:这些问题,每天都会有人在群里议论,也会有人经常在群里求工作职位坑。那么我的看法是不要纠结学什么,先学了再说,与其抓住变量(新的技术手段)还不如好好学习,我特别喜欢《暗时间》的一段重视知识的本质:对于程序员来说这一点尤其重要,程序员行业的知识芜杂海量,而且总是在增长变化。很多人感叹跟不上新技术。应对这个问题的办法只能是:抓住不变量。
底层知识永远都不过时。算法数据结构永远都不过时。基本的程序设计理论永远都不过时。良好的编码习惯永远都不过时。分析问题和解决问题的能力永远都不过时。强大的学习能力和旺盛的求知欲永远都不过时。你大脑的思维方式永远都不过时。

参考地址:GitHub

推荐阅读:《前三星程序员被无良HR欺骗,因祸得福竟“意外”拿下字节跳动offer(定薪45K)

更多阅读:《21年GitHub标星19.8k阿里腾讯百度Java面试全套真题解析在互联网火了 ,完整版开放下载

程序员阿轩
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot整合shiro实现登录验证
c1225992531的博客
08-02 8339
springboot整合shiro实现登录验证 今天第一次接触springboot,本来是要学习springbootshiro整合的,但是由于springboot结构还不太了解,所以先来了解一下springbootspringboot可以快速创建一个机遇spring的项目,而且让这个项目跑起来只需要很少的配置就可以了,主要有以下核心功能: 1.独立运行的spring项目:springboo...
SpringBoot整合Shiro实现登录认证的方法
08-27
SpringBoot整合Shiro实现登录认证的方法 SpringBoot作为一个流行的微服务框架,安全性是其重要组成部分,而Shiro作为一个功能强大、灵活的安全框架,经常被用于实现登录认证和授权。下面是SpringBoot整合Shiro实现...
SpringBoot+Mybatis+thymeleaf+shiro(注解实现!)实现角色权限管理配置,是小白?进来就对了!
weixin_48868742的博客
11-18 832
SpringBoot+Mybatis+thymeleaf+shiro(注解实现!)实现角色权限管理配置,是小白?进来就对了!
SpringBoot整合Shiro框架实现加密登录、授权
pan_junbiao的博客
05-30 7588
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 下面将使用SpringBoot整合Shiro框架实现加密登录、授权。 1、创建数据表 使用MySQL数据库,创建实例所需的数据表,用户信息表、角色信息表、权限信息表等。 1.1 数据表结构 1.2 数据表脚本 (1)创建数据表脚本。 -- 创建数据表:us.
Springboot +JWT实现登录认证,密码加密及Token校验全过程(附源码)
dingdingdandan
05-09 7692
JWT实现登录认证简介环境1. 依赖2. token生成及校验3. 登录4. 编写拦截器进行token校验5. 源码下载 简介 通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。JWT的认证流程如下: 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通
SpringBoot + Shiro实现登陆认证(实现过程 + 源码解析 + 代码展示)
m0_67402914的博客
04-25 1898
文章目录 1.概述 1.1 SpringBoot 1.2 Shiro 2.Shiro实现登录认证 导入pom依赖 配置核心方法 3.Shiro登录认证源码解析 代码地址 1.概述 1.1 SpringBoot 今天要做的是使用SpringBoot配合Shiro实现登陆的认证,所以SpringBoot是必不可少的,相信大家能用到Shiro了,SpringBoot一定不差,那就不做过多赘述,我们主要来介绍Shiro。 1.2 Shiro Shirojava的一个安全框架,
Shiro整合springboot登录认证和加密
云乐
05-01 341
参考博客:https://blog.csdn.net/bicheng4769/article/details/86668209?ops_request_misc=&request_id=&biz_id=102&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-0 今...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
SpringBoot整合Shiro实现免密登录
04-11
SpringBoot整合Shiro实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增...
springboot整合shiro实现权限控制.zip
02-04
Shiro提供了一套简单易用的API,可以方便地实现用户的登录权限分配和访问控制等功能。 整合Spring Boot和Shiro的过程主要包括以下几个步骤: 1. **添加依赖**:在Spring Boot的`pom.xml`文件中,我们需要引入...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot连接数据库用户名密码加密
走马川行雪的博客
08-10 5762
对数据库账号密码等信息进行加密,程序运行时进行解密。 另一个种方式详见Gitee wj项目
SpringBoot整合Shiro加密
qq_46585715的博客
04-01 5676
Shiro 是一个强大灵活的开源安全框架,提供认证、授权、会话管理以及密码加密等功能。 关于shiro的介绍,网上一大堆,但是,shiro整合springboot步骤和套路缺很少。下面是自己学习时候的一个总结 其基本功能点如下图所示 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具
Spring Boot2整合Shiro(2):用 BCrypt 加密密码
dora_310的博客
07-18 5075
上一篇文章,我们用spring boot2框架搭建了一个web项目,并且使用shiro作为安全管理框架实现了用户的身份认证,也就是登录。这篇文章首先简要介绍了密码储存的演进史,然后结合代码介绍了在shiro中怎么使用MD5、MD5加盐、Bcrypt等三种逐渐进步的方法加密密码。
SpringBoot学习:整合shiro(身份认证和权限认证),使用EhCache缓存
期待破茧成蝶
04-08 1万+
(一)在pom.xml中添加依赖: 1.3.2 org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${shiro.version} org.apa
Spring Apache Shiro 默认密钥致命令执行漏洞及解决方案
liqiang_8257的博客
04-08 4592
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同 漏洞检测工具 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 如图: OK,检测下漏洞: 这样,我们看到了,检测到了使用默认的shiro密钥 解决方案: 每个项目的情况都可能不一样,所以有不同的解决办法。 现象: 使用的是springmvc,shiro1.2.4,spring 4.2.5 shiro默认的安全管理器使用了默认的shi
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3049
Shiro1.7.1版本默认密钥的漏洞
学习加密(三)spring boot 使用RSA非对称加密,前后端传递参数加解密
热门推荐
街角有人祝福,巷口有人哭~
10-29 3万+
前言: 1.前面一篇是AES对称加密写了一个demo,为了后面的两者结合使用,今天去了解学习了下RSA非对称加密. 2.这是百度百科对(对称加密丶非对称加密)的解释:    (1)对称加密算法在加密和解密时使用的是同一个秘钥。    (2)非对称加密算法需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。 大...
shiro权限认证赋权,加密解密流程以及注意点
hyly_zhard的博客
08-28 472
一定要写
springboot整合shiro实现登录
最新发布
09-26
实现springboot整合shiro实现登录,你需要按照以下步骤进行操作: 1. 引入相关依赖:在项目的pom.xml文件中添加spring-boot-starter-web和spring-boot-starter-thymeleaf依赖。 2. 创建ShiroConfig类:在项目的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值