Spring Boot整合Shiro

已于 2022-03-22 10:40:09 修改
阅读量229 收藏
点赞数
文章标签: java spring boot 后端
于 2021-10-31 01:32:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52632062/article/details/121041808
版权

spring boot整合shrio
Shiro 整合到 SpringBoot 中,并且避开一些小坑,由浅入深,从最基本的配置开始,一步一步加入新的功能
项目版本:

springboot 2.5.6
shrio 1.4.0

springboot中集成shiro相对简单,只需要两个类:一个是shiroConfig类,一个是CustomRealm类。

ShiroConfig类:
顾名思义就是对shiro的一些配置,相对于之前的xml配置。包括:过滤的文件和权限,密码加密的算法,其用注解等相关功能。
CustomRealm类:
自定义的CustomRealm继承AuthorizingRealm。并且重写父类中的doGetAuthorizationInfo(权限相关)、doGetAuthenticationInfo(身份认证)这两个方法。

shiroConfig配置:

/**
 * Shiro配置类
 * 1.配置ShiroFilterFactory 2.配置SecurityManager
 * @author
 *
 */
@Configuration
public class ShiroConfig  {

    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        //1.配置shiro过滤器
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //2.设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //3.LinkedHashMap是有序的,进行顺序拦截器配置
        Map<String, String> filterChainDefinitionMap  =new LinkedHashMap<>();
        //4.配置logout过滤器
        filterChainDefinitionMap.put("/logout", "logout");
        // authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问
        filterChainDefinitionMap.put("/static", "anon");
        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截 剩余的都需要认证
        //5.所有url必须通过认证才可以访问
        filterChainDefinitionMap.put("/**", "authc");
        //6.设置默认登录的url
        shiroFilterFactoryBean.setLoginUrl("/login");
        //7.设置成功之后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //8.设置未授权界面
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 配置安全管理器
     * @return
     */
    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager defaultWebSecurityManager =new DefaultWebSecurityManager();
        return defaultWebSecurityManager;
    }
}

shiroConfig 也不复杂,基本就三个方法。再说这三个方法之前,我想给大家说一下shiro的三个核心概念:

Subject: 代表当前正在执行操作的用户,但Subject代表的可以是人,也可以是任何第三方系统帐号。当然每个subject实例都会被绑定到SercurityManger上。
SecurityManger:SecurityManager是Shiro核心,主要协调Shiro内部的各种安全组件,这个我们不需要太关注,只需要知道可以设置自定的Realm。
Realm:用户数据和Shiro数据交互的桥梁。比如需要用户身份认证、权限认证。都是需要通过Realm来读取数据。

shiroFilter方法:
这个方法看名字就知道了:shiro的过滤器,可以设置登录页面(setLoginUrl)、权限不足跳转页面(setUnauthorizedUrl)、具体某些页面的权限控制或者身份认证。
注意:这里是需要设置SecurityManager(setSecurityManager)。
默认的过滤器还有:anno、authc、authcBasic、logout、noSessionCreation、perms、port、rest、roles、ssl、user过滤器。
具体的大家可以查看package org.apache.shiro.web.filter.mgt.DefaultFilter。这个类,常用的也就authc、anno。
securityManager 方法:

具体怎么实现的,感兴趣的同学可以看下。由于项目是一个web项目,所以我们使用的是DefaultWebSecurityManager ,然后设置自己的Realm。
CustomRealm 方法:
将 customRealm的实例化交给spring去管理,当然这里也可以利用注解的方式去注入。
customRealm配置:

public class CustomRealm extends AuthorizingRealm {
    @Autowired
    UserDao userDao;

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 授权
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
        String userName = (String) authenticationToken.getPrincipal();
        User user = userDao.findUserByName(userToken.getUsername());
        if (user == null){
            //表明用户名输入错误
            return null;
        }
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        session.setAttribute("user",user);
        return new SimpleAuthenticationInfo(userName,user.getPassword(),getName());
    }
}

说明:
自定义的Realm类继承AuthorizingRealm类,并且重载doGetAuthorizationInfo和doGetAuthenticationInfo两个方法。
doGetAuthorizationInfo: 权限认证,即登录过后,每个身份不一定,对应的所能看的页面也不一样。
doGetAuthenticationInfo:身份认证。即登录通过账号和密码验证登陆人的身份信息。
controller类:
新建一个HomeIndexController类,加入如下代码:

@RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public Object login(@RequestParam("username") String username, @RequestParam("password") String password) {
        // 从SecurityUtils里边创建一个 subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备 token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 执行认证登陆
        try {
            subject.login(token);
        } catch (UnknownAccountException uae) {
            return "未知账户";
        } catch (IncorrectCredentialsException ice) {
            return "密码不正确";
        } catch (LockedAccountException lae) {
            return "账户已锁定";
        } catch (ExcessiveAttemptsException eae) {
            return "用户名或密码错误次数过多";
        } catch (AuthenticationException ae) {
            return "用户名或密码不正确!";
        }
        if (subject.isAuthenticated()) {//登录成功
            return Result.ok().message("登录成功");
        } else {
            token.clear();
            return "登录失败";
        }
    }

测试:
在这里插入图片描述
密码采用加密方式进行验证:
其实上面的功能已经基本满足我们的需求了,但是唯一一点美中不足的是,密码都是采用的明文方式进行比对的。那么shiro是否提供给我们一种密码加密的方式呢?答案是肯定。
shiroConfig中加入加密配置:

@Bean(name = "credentialsMatcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 散列的次数,比如散列两次,相当于 md5(md5(""));
        hashedCredentialsMatcher.setHashIterations(2);
        // storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
        return hashedCredentialsMatcher;
    }

customRealm初始化的时候耶需要做一些改变:

 @Bean
    public CustomRealm customRealm() {
        CustomRealm customRealm = new CustomRealm();
        // 告诉realm,使用credentialsMatcher加密算法类来验证密文
        customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        customRealm.setCachingEnabled(false);
        return customRealm;
    }

流程是这样的,用户注册的时候,程序将明文通过加密方式加密,存到数据库的是密文,登录时将密文取出来,再通过shiro将用户输入的密码进行加密对比,一样则成功,不一样则失败。
我们可以看到这里的加密采用的是MD5,而且是加密两次(MD5(MD5))。
shiro提供了SimpleHash类帮助我们快速加密:

public static String MD5Pwd(String username, String pwd) {
        // 加密算法MD5
        // salt盐 username + salt
        // 迭代次数
        String md5Pwd = new SimpleHash("MD5", pwd,
                ByteSource.Util.bytes(username + "salt"), 2).toHex();
        return md5Pwd;
    }

也就是说注册的时候调用一下上面的方法得到密文之后,再存入数据库。
在CustomRealm进行身份认证的时候我们也需要作出改变:

 System.out.println("-------身份认证方法--------");
        String userName = (String) authenticationToken.getPrincipal();
        String userPwd = new String((char[]) authenticationToken.getCredentials());
        //根据用户名从数据库获取密码
        String password = "2415b95d3203ac901e287b76fcef640b";
        if (userName == null) {
            throw new AccountException("用户名不正确");
        } else if (!userPwd.equals(userPwd)) {
            throw new AccountException("密码不正确");
        }
        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配
        return new SimpleAuthenticationInfo(userName, password,
                ByteSource.Util.bytes(userName + "salt"), getName());

这里唯一需要注意的是:你注册的加密方式和设置的加密方式还有Realm中身份认证的方式都是要一模一样的。
本文中的加密 :MD5两次、salt=username+salt加密。

ok 身份认证是没问题了,我们再来考虑如何加入权限。

利用注解配置权限:
其实,我们完全可以不用注解的形式去配置权限,因为在之前已经加过了:DefaultFilter类中有perms(类似于perms[user:add])这种形式的。但是试想一下,这种控制的粒度可能会很细,具体到某一个类中的方法,那么如果是配置文件配,是不是每个方法都要加一个perms?但是注解就不一样了,直接写在方法上面,简单快捷。
很简单,主需要在config类中加入如下代码,就能开启注解:

 @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
    /**
     * *
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * *
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }

 /**
     * 授权
     * @param
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String) SecurityUtils.getSubject().getPrincipal();
        User dbUser = userDao.findUserByName(username);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(getAuthority(dbUser.getRoles()));
        return info;
    }
    private Set<String> getAuthority(List<Role> roleList) {
        Set<String> set = new HashSet<>();
        for (Role role : roleList) {
            for (Permission permission : role.getPermissions()) {
                set.add(permission.getPermissionName());
                Debug.println(role.getRoleName() + "用户登录权限:", permission.getPermissionName());
            }
        }
        return set;
    }

  @RequiresPermissions("user:show")
        @ResponseBody
        @RequestMapping("/show")
        public String showUser() {
            return "这是学生信息";
        }

确实是没有权限。方法上是 @RequiresPermissions(“ROLE_USER”),而customRealm从数据库中查询是ROLE_USER、。我们可以调整下方法上的权限改为user:show。调试一下,发现成功了。
这里有一个问题:当没有权限时,系统会报错,而没有跳转到对应的没有权限的页面,也就是setUnauthorizedUrl这个方法没起作用-,究竟是什么原因呢?

寄夏予你.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot2.0集成Shiro
chuhou4381的博客
07-25 173
项目版本springboot2.x shiro:1.3.2 Maven配置: <dependency> <groupId>org.apache.shiro</groupId> <artifactId&g...
SpringBoot 整合 Shiro 常见配置
qq_29799655的博客
04-27 1893
Shiro Shiro 是 apache 下的权限安全框架,通过该框架可以完成安全认证,例如登入,权限认证等,并且增加了加密认证,并发执行,缓存设计等 过滤器+AOP实现安全认证权限管理逻辑 提供用户表,存储代表当前用户的数据例如用户名,密码等 提供权限表,存储权限码 提供角色表,一个角色可以持有一个或多个不同权限 用户表添加角色字段,存储当前用户的角色 安全认证: 用户登录时将用户信息存储到S...
Shiro安全框架【SpringBoot版】
mmklo的博客
10-04 2410
Apache Shiro 是一款功能强大的且易于使用的Java的安全框架。Shiro可以完成:认证、加密、会话管理、与web集集成等。借助SHiro可以帮助我们快速轻松的保护任何应用程序。shiro官网:Apache Shiro | Simple. Java. Security.与Shiro的特性密不可分:SpringSecurity基于Spring开发,项目若使用Spring 可以与SpringSecurity作权限更加方便,而Shiro需要与Spring进行整合Spring Security功能更加丰富
Shiro 整合 Springboo2.2
qq_37186947的博客
01-05 254
Shiro 就不多介绍了,原理性的东西非常多。总结一下有一些要注意的点,例如Authentication 和 Authorization 这两个几乎长的一毛一样的单词对新手来说实在太不友好了。前者是登录时用的身份验证 (即用户密码),后者是 角色权限相关的验证 SpringBoot 网上很多教程是Spring的,一大堆 Bean 配置让人云里雾里的。 SpringBoot 出了 start...
十一、Spring Boot - 集成 Shiro(7)
Daniel的博客
10-04 602
Shiro 官网Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro这个是我 shiro-main 官网下载的也可以直接用 copy 所有的依赖到 shiro-hello / pom.xml中都没有版本但是就添加个下面的版本就可以 完整依赖: log4j.properties 看到能打印出这行信息,说明快如入门成功测试运行结果显示:文章最终结构(可以到最后参考): 新建一个包 编写一个 测试,代码如下: 在 templates下新建一
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
Spring Boot 整合 Shiro+Thymeleaf 过程解析 Spring Boot 是一个基于Java的开源框架,提供了 eine 可以快速构建生产级别的应用程序的方法,而 Shiro 是一个功能强大且灵活的安全框架,提供了身份验证、授权、加密...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
Spring Boot 整合 Shiro.docx
06-19
Apache Shiro是一个强大的开源安全框架,它专注于身份验证...总的来说,Spring Boot整合Shiro可以帮助开发者快速构建安全的应用程序,通过简单的配置和API调用来实现复杂的权限控制,同时保持系统的灵活性和可扩展性。
Spring boot整合 Shiro实现RBAC权限控制
06-21
本项目基于Spring整合Apache Shiro框架,实现用户管理和权限控制,主要内容如下: 1.登录(带验证码),包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码123; 3.session管理:使用shiro默认的...
Spring Boot3.0升级,踩坑之旅,附解决方案
m0_57042151的博客
12-07 3245
这个报错主要是Spring Boot3.0已经为所有依赖项从 迁移到 ,导致 包名的修改,Spring团队这样做的原因,主要是避免 的版权问题,解决办法很简单,两步走:1 添加 依赖 修改项目内所有代码的导入依赖 二. 附带的众多依赖包升级,导致的部分代码写法过期报警 2.1 Thymeleaf升级到3.1.0.M2,日志打印的报警 可以看出作者很贴心,日志里已经给出了升级后的写法,修改如下: 2.2 Thymeleaf升级到3.1.0.M2,后端使用 手动渲染网页
shiro-spring-boot-starter针对不同Spring Boot版本
伟夫子的博客
07-10 1670
对于Spring Boot 2.4.10,无法找到shiro-spring-boot-starter的2.7.2版本,这是一个错误的版本号。需要注意的是,不同Spring Boot版本,要选择匹配的shiro-spring-boot-starter版本,才能保证兼容性。所以2.7.2版本无法与Spring Boot 2.4.10匹配使用。而不是2.7.2版本
极简shiro入门
czhAL的博客
12-07 405
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
Shiro系列(一)——Shiro + Springboot + JWT 整合
玖涯博客
02-17 1374
写在前面 本文的出现表示不再进行 Spring Security Oauth 实现的研究了,原因是原开源项目已经被废弃了不再更新了,而且 Oauth 实现的内容有些奇怪,新的项目 spring-authorization-server 目前才发布到 0.1.0,默认只提供了基于内存的实现,个人认为还不是很完善,不适合用到项目中。而且 Spring Security 的 Oauth 流程都实现了,要修改还得从新研究 spring-authorization-server 的实现逻辑,然后进行修改定制,太耗费精
springbootshiro权限框架整合最新版
qq_38669394的博客
11-21 586
1.首先需要一个完整的springboot的项目,搭建过程可以参考我的另一篇博客: 地址:https://blog.csdn.net/qq_38669394/article/details/84232976 2先看一下我的项目目录,主要涉及到两个类:ShiroConfig 是shiro的配置类,CustomRealm 进行权限控制 3.项目亲测没有任何问题,觉得有用的小伙伴可以给个关注...
SpringBoot整合Shiro(最详细)
热门推荐
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1132
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
spring boot整合shiro
04-03
要实现Spring Boot整合Shiro,可以按照以下步骤进行: 1. 添加依赖:在Spring Boot项目的pom.xml文件中添加Shiro和相关依赖。 2. 配置Shiro:创建一个Shiro配置类,配置Shiro的安全策略、Realm、会话管理等。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值