Spring Boot集成Shiro

最新推荐文章于 2024-04-23 21:59:29 发布
最新推荐文章于 2024-04-23 21:59:29 发布
阅读量195 收藏 1
点赞数 1
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52572813/article/details/132351502
版权

目录

概述

一、技术栈

二、环境搭建

1、数据库设计

 2、相关坐标

3、配置文件application.yml(resources文件夹下)

4、实体类

5、数据访问层(Mapper映射、dao层)

6、业务层(service层)

 7、控制器层(controller层)

8、Shiro身份认证、授权、鉴权

三、测试结果

概述

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份 认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。本篇博客将使用Spring Boot框架集成Shiro,同时结合mybatis框架实现用户的认证以及授权功能。

一、技术栈

主框架:springboot

响应层:springMVC

持久层:mybatis

二、环境搭建

1、数据库设计

(1)pe_user:用户表

(2)pe_user_role:用户角色关系表

(3)pe_role:角色表

(4)pe_role_permission:角色权限关系表

(5)pe_permission:权限表

 2、相关坐标
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.28</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.29</version>
        </dependency>

        <!-- mybatis+mp -->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3</version>
        </dependency>
        
        <!-- mysql -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.29</version>
        </dependency>
        
        <!-- SECURITY begin -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <!-- Shiro版本 -->
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro.version}</version>
        </dependency>
</dependency>
3、配置文件application.yml(resources文件夹下)
spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/shiro_db?serverTimezone=GMT
    username: root
    password: 123456

mybatis:
  configuration:
    map-underscore-to-camel-case: true
  type-aliases-type: com.dytx.shiro_demo_05.doamin
4、实体类

User类:

@Data
@AllArgsConstructor
@NoArgsConstructor
@TableName(value = "pe_user")
public class User {
    @TableId(value = "id")
    private String id;
    @TableField(value = "username")
    private String username;
    @TableField(value = "password")
    private String password;
    @TableField(value = "salt")
    private String salt;

    private Set<Role> roles;//存储用户所拥有的角色(用户与角色 ==> 多对多)
}

Role类:

@Data
@NoArgsConstructor
@AllArgsConstructor
@TableName(value = "pe_role")
public class Role {
    @TableId(value = "id")
    private String id;
    @TableField(value = "name")
    private String name;
    @TableField(value = "code")
    private String code;
    @TableField(value = "description")
    private String description;

    private Set<Permission> permissions;//存储角色所拥有的权限(角色与权限 ==> 多对多)
}

Permission类:

@Data
@AllArgsConstructor
@NoArgsConstructor
@TableName(value = "pe_permission")
public class Permission {
    @TableId(value = "id")
    private String id;
    @TableField(value = "name")
    private String name;
    @TableField(value = "code")
    private String code;
    @TableField(value = "description")
    private String description;
}
5、数据访问层(Mapper映射、dao层)

UserMapper接口:

@Mapper
public interface UserMapper extends BaseMapper<User> {
    
    //按照姓名查询
    @Select("select * from pe_user where username = #{username}")
    User findUserByName(String name);

    //级联查询(按照id查询)
    @Results({
            @Result(column = "id", property = "id"),
            @Result(column = "username", property = "username"),
            @Result(column = "password", property = "password"),
            @Result(column = "salt", property = "salt"),
            @Result(column = "id", property = "roles",
                    many = @Many(select = "com.dytx.shiro_demo_05.dao.RoleMapper.findRoleById"))
    })
    @Select("select * from pe_user where id = #{id}")
    User findUserById(String id);
}

RoleMapper接口:

@Mapper
public interface RoleMapper extends BaseMapper<Role> {

    //级联查询
    @Results({
            @Result(column = "id", property = "id"),
            @Result(column = "name", property = "name"),
            @Result(column = "code", property = "code"),
            @Result(column = "description", property = "description"),
            @Result(column = "id", property = "permissions",
                    many = @Many(select = "com.dytx.shiro_demo_05.dao.PermissionMapper.findPermissionById"))
    })
    @Select("select * from pe_role where id in (select role_id from pe_user_role where user_id = #{id})")
    Set<Role> findRoleById(String id);
}

PermissionMapper接口:

@Mapper
public interface PermissionMapper extends BaseMapper<Permission> {
    
    //级联查询
    @Results({
            @Result(column = "id", property = "id"),
            @Result(column = "name", property = "name"),
            @Result(column = "code", property = "code"),
            @Result(column = "description", property = "description")
    })
    @Select("select * from pe_permission where id in (select permission_id from pe_role_permission where role_id = #{id})")
    Set<Permission> findPermissionById(String id);
}
6、业务层(service层)

UserService类:

@Service
public class UserService {

    //自动注入
    @Autowired(required = false)
    private UserMapper userMapper;

    //按照姓名查询
    public User findUserByName(String name){
        return userMapper.findUserByName(name);
    }

    //按照id查询
    public User findUserDetailById(String id){
        return  userMapper.findUserById(id);
    }
}
 7、控制器层(controller层)

UserController类:

@RequiresPermissions()  --> 访问此方法必须具备的权限

@RestController
public class UserController {

    @Autowired
    private UserService service;

    //个人主页
    @RequestMapping(value = "/user/home")
    public String home() {
        return "访问个人主页成功";
    }

    //添加
    @RequiresPermissions("user-add")
    @RequestMapping(value = "/user",method = RequestMethod.POST)
    public String add() {
        return "添加用户成功";
    }

    //查询
    @RequestMapping(value = "/user",method = RequestMethod.GET)
    public String find() {
        return "查询用户成功";
    }

    //更新
    @RequestMapping(value = "/user/{id}",method = RequestMethod.PUT)
    public String update(@PathVariable String id) {
        return "更新用户成功";
    }

    //删除
    @RequestMapping(value = "/user/{id}",method = RequestMethod.DELETE)
    public String delete(@PathVariable String id) {
        return "删除用户成功";
    }

    //用户登录
    @RequestMapping(value = "/login")
    public String login(User user){
        try {
            //1.构造登录令牌
            UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(),user.getPassword());
            //2.获取subject
            Subject subject = SecurityUtils.getSubject();
            //3.调用subject进行登录
            subject.login(token);
            return "登陆成功!";
        } catch (AuthenticationException e) {
            return "用户名或密码错误!";
        }
    }

    //未登陆与未授权页面
    @RequestMapping(value = "/autherror")
    public String autherror(){
        return "未登录!";
    }
}
8、Shiro身份认证、授权、鉴权

shiro.ini配置文件:(resources文件夹下)

[main]
definitionRealm=com.dytx.shiro_demo_05.realm.MyRealm
securityManager.realms=$definitionRealm

ShiroConfiguration配置类:

@Configuration
public class ShiroConfiguration {
    /**
     * 1.创建shiro自带cookie对象
     */
    @Bean
    public SimpleCookie sessionIdCookie(){
        SimpleCookie simpleCookie = new SimpleCookie();
        simpleCookie.setName("ShiroSession");
        return simpleCookie;
    }

    //2.创建realm
    @Bean
    public MyRealm getRealm(){
        return new MyRealm();
    }

    /**
     * 3.创建会话管理器
     */
    @Bean
    public DefaultWebSessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(false);
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.setSessionIdCookie(sessionIdCookie());
        sessionManager.setGlobalSessionTimeout(3600000);
        return sessionManager;
    }

    //4.创建安全管理器
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getRealm());
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * 5.保证实现了Shiro内部lifecycle函数的bean执行
     */
    @Bean(name = "lifecycleBeanPostProcessor")
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 6.开启对shiro注解的支持
     *   AOP式方法级权限检查
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /**
     * 7.配合DefaultAdvisorAutoProxyCreator事项注解权限校验
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(defaultWebSecurityManager());
        return authorizationAttributeSourceAdvisor;
    }

    //8.配置shiro的过滤器工厂再web程序中,shiro进行权限控制全部是通过一组过滤器集合进行控制
    @Bean
    public ShiroFilterFactoryBean shiroFilter(){
        //1.创建过滤器工厂
        ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
        //2.设置安全管理器
        filterFactory.setSecurityManager(defaultWebSecurityManager());
        //3.通用配置(跳转登录页面,为授权跳转的页面)
        filterFactory.setLoginUrl("/autherror");//跳转url地址
        //4.设置过滤器集合
        //key = 拦截的url地址
        //value = 过滤器类型
        Map<String,String> filterMap = new LinkedHashMap<>();
        //key:请求规则   value:过滤器名称
        filterMap.put("/login","anon");//当前请求地址可以匿名访问
        filterMap.put("/user/**","authc");//当前请求地址必须认证之后可以访问
        //在过滤器工程内设置系统过滤器
        filterFactory.setFilterChainDefinitionMap(filterMap);
        return filterFactory;
    }
}

DigestsUtil类:获取加密后的密码和盐值存入数据库,在认证时,Shiro会自动按照加密算法实现对明文的加密,然后与数据库进行匹配,成功则登录认证成功,否则失败。

public class DigestsUtil {

    //加密算法名称
    public static final String SHA1 = "SHA-1";

    //加密次数
    public static final Integer COUNTS =369;

    /**
     * @Description sha1方法
     * @param input 需要散列字符串
     * @param salt 盐字符串
     * @return
     */
    public static String show(String input, String salt) {
        return new SimpleHash(SHA1, input, salt,COUNTS).toString();
    }

    /**
     * @Description 随机获得salt字符串
     * @return
     */
    public static String generateSalt(){
        SecureRandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
        return randomNumberGenerator.nextBytes().toHex();
    }

    /**
     * @Description 生成密码字符密文和salt密文
     * @param
     * @return
     */
    public static Map<String,String> entryptPassword(String passwordPlain) {
        Map<String,String> map = new HashMap<>();
        String salt = generateSalt();
        String password =show(passwordPlain,salt);
        map.put("salt", salt);
        map.put("password", password);
        return map;
    }

    //将控制台输出的密文和盐值以及张三新增进数据库中的pe_user表中
    public static void main(String[] args) {
//        String name = "张三";
//        String pwd = "123456";
//        Map map = entryptPassword(pwd);
//        System.out.println(map.toString());

        String name = "张三";
        String pwd = "123456";
        Map map = entryptPassword(pwd);
        System.out.println(map.toString());
    }
}

MyRealm类:

public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserService service;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1.获取已认证的用户数据
        String id = (String) principalCollection.getPrimaryPrincipal();//得到唯一的安全数据
        //2.根据用户数据获取用户的权限信息(所有角色,所有权限)
        User user = service.findUserDetailById(id);
        Set<String> roles = new HashSet<>();//所有角色
        Set<String> perms = new HashSet<>();//所有权限
        for (Role role : user.getRoles()) {
            roles.add(role.getId());
            for (Permission permission : role.getPermissions()) {
                perms.add(permission.getCode());
            }
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(perms);
        info.setRoles(roles);
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.获取登录的用户名密码(token)
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();//用户录入的账号
        //2.根据用户名查询数据库
        //mybatis情景下:user对象中包含ID,name,pwd(匿名)
        //JPA情景下:user对象中包含ID,name,pwd(匿名),set<角色>,set<权限>
        User user = service.findUserByName(username);
        //3.判断用户是否存在或者密码是否一致
        if (user != null) {
            //4.如果一致返回安全数据
            //构造方法:安全数据,密码(匿名),混淆字符串(salt),realm域名
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getId(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()), "myRealm");
            return info;
        }
        //5.不一致,返回null(抛出异常)
        return null;
    }

    @PostConstruct
    public void initCredentialsMatcher() {
        //指定密码算法
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(DigestsUtil.SHA1);
        //指定迭代次数
        hashedCredentialsMatcher.setHashIterations(DigestsUtil.COUNTS);
        //生效密码比较器
        setCredentialsMatcher(hashedCredentialsMatcher);
    }
}

BaseExceptionHandler类:(自定义异常处理器)

//自定义的公共异常处理器
// 1.声明异常处理器
// 2.对异常统一处理
@ControllerAdvice
public class BaseExceptionHandler {
    @ExceptionHandler(value = AuthorizationException.class)
    @ResponseBody
    public String error(HttpServletRequest request, HttpServletResponse response,AuthorizationException e){
        return "未授权-异常处理器实现";
    }
}

三、测试结果

利用DigestsUtil类获取用户张三和李四的密文密码、盐值插入到数据库pe_user表中,张三的id为1,李四的id为2。有数据库表关系可知,张三拥有的角色有系统管理员和普通员工,拥有的权限有添加用户、查询用户、更新用户和删除用户;李四拥有的角色有普通员工,拥有的权限仅有用户主页。

1、张三

用户登录:

 权限查询(以新增为例):

 2、李四

用户登录:

 权限查询:(李四没有用户新增的权限,由自定义异常处理器处理异常)

是大眼同学!
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
详解Spring Boot 集成Shiro和CAS
08-30
主要介绍了详解Spring Boot 集成Shiro和CAS,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java web项目里ehcache.xml的参数说明
涂作权的博客
02-23 1547
name:缓存名称。        maxElementsInMemory:缓存最大个数。        eternal:对象是否永久有效,一但设置了,timeout将不起作用。        timeToIdleSeconds:设置对象在失效前的允许闲置时间(单位:秒)。仅当eternal=false对象不是永久有效时使用,可选属性,默认值是0,也就是可闲置时间无穷大。        t
SpringBoot之整合Shiro(最详细)
热门推荐
Java追求者的博客
05-31 3万+
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
spring boot 集成shiro详细教程
weixin_36897721的博客
02-22 330
我们开发时候有时候要把传统spring shiro转成spring boot项目,或者直接集成,name我们要搞清楚一个知识,就是 xml配置和spring bean代码配置的关系,这一点很重要,因为spring boot是没有xml配置文件的(也不绝对,spring boot也是可以引用xml配置的) 引入依赖: <dependency> <art...
Springboot整合Shiro框架入门
web15285868498的博客
04-08 2648
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
Springboot整合Shiro
不惧困难 顽强拼搏
07-07 685
springboot整合shiro完成登录,权限。完成前后端分离。shiro权限对象缓存到redis中+使用Swagger2接口文档测试
SpringBootShiro整合
fangliangke的博客
02-01 5717
本文章介绍了Spring bootshiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
Springboot整合shiro
chao的博客
07-10 2085
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架。Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
极简shiro入门
czhAL的博客
12-07 381
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
Springboot集成shiro框架:
Li_582258的博客
12-03 2299
shiro整合springboot项目
spring boot 集成 shiro
05-03
NULL 博文链接:https://huangyongxing310.iteye.com/blog/2428129
spring boot 集成shiro的配置方法
08-28
要在spring boot集成其他框架,首先要会spring javaconfig方法,利用此方法同样可以配置其他模块。这篇文章主要介绍了spring boot 集成shiro的配置方法,需要的朋友可以参考下
spring boot集成shiro详细教程(小结)
08-28
主要介绍了spring boot 集成shiro详细教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
主要给大家介绍了关于Spring Boot集成Shiro实现动态加载权限的完整步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
基于 Spring Boot 博客系统开发(三)
呆萌很的博客
04-23 1092
在Thymeleaf中,如果你想要抽取公共页面(例如,头部、底部、导航栏等),可以通过定义和使用片段(fragments)和包含(includes)来实现。首页head部分的公共代码抽取成碎片,使用 thymeleaf 的标签 th:fragment 和 th:include。然后,在你的主页面(比如index.html)中,使用Thymeleaf的th:include来复用这段代码。将需要抽取的代码放到include fragment中,需要用到这些代码的地方使用th:include引用。
spring boot的项目+nginx,怎么预防点击劫持(clicekJacking)
最新发布
keyboard专栏
04-23 474
通过这些措施,你可以在Spring Boot和Nginx层面有效防御点击劫持攻击。综合使用这些技术能够确保你的应用不仅安全,还能适应各种不同的部署环境和安全需求。这样的配置不仅增加了安全性,也提高了应用的健壮性。
Spring Boot 中Mybatis使用Like的使用方式和注意点
程序人生
04-19 795
使用Springboot简单配置一下Mybatis,然后进行说明。Springboot集成Mybatis这里就不做介绍了,这里我们主要介绍一下在mybatis配置文件中怎么使用模糊查询。
Spring Boot集成Mybatis Plus快速入门Demo
HBLOG
04-22 778
1.什么事Mybatis Plus?MyBatis-Plus(opens new window)(简称 MP)是一个MyBatis(opens new window)的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。特性无侵入:只做增强不做改变,引入它不会对现有工程产生影响,如丝般顺滑损耗小:启动即会自动注入基本 CURD,性能基本无损耗,直接面向对象操作强...
spring boot整合shiro
04-03
4. 配置Spring BootShiro集成:在Spring Boot的配置文件中配置Shiro的相关属性,如登录页面、登录成功页面等。 5. 编写Controller:编写Controller类,处理用户登录、注销等请求,并通过Shiro进行身份验证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值