SpringBoot整合Shiro

最新推荐文章于 2023-07-02 23:11:17 发布
最新推荐文章于 2023-07-02 23:11:17 发布
阅读量140 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woongcha/article/details/107083480
版权

SpringBoot整合Shiro

Shiro:由apache出品的简单的java安全框架。某些用途和Security相似。

Shiro核心组件

UsernamePasswordToken Shiro用来封装用户登录信息,使用用户的登录信息创建Token。

SecurityManager Shiro的核心部分,负责安全认证和授权。

Suject Shiro的抽象概念,包含用户信息。

Realm 开发者自定义的模块,根据项目的需求,验证和授权的逻辑都写在Realm中。

AuthenticationInfo 用户的角色信息集合,认证时使用。

AuthorzationInfo 角色的权限信息集合,授权时使用。

DefaultWebSecurityManager 安全管理器,开发者自定义的Realm需要注入到DefaultWebSecurityManager进行管理才能生效。

ShiroFilterFactoryBean 过滤器工厂,使上面的组件得以运行。

总体流程

用户在访问业务时,首先会被Shiro安全框架所拦截,用户通过UsernamePasswordToken拿到自己的Token,SecurityManager负责安全认证和授权,其中认证信息都在AuthenticationInfo 中获得,授权信息都在AuthorzationInfo 中获得。AuthenticationInfo 和AuthorzationInfo 中的逻辑信息都由Realm编写。最终用户根据Shiro判断的权限可以访问到不同的页面。

SpringBoot整合Shiro

所需依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.1.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.woongcha</groupId>
    <artifactId>springboot-shiro</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springboot-shiro</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.47</version>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.1.tmp</version>
        </dependency>
        
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

application.xml

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    username: root
    password: 123456
    url: jdbc:mysql://localhost:3306/myspringboot

  thymeleaf:
    prefix: classpath:/templates/
    suffix: .html
mybatis-plus:
  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

详解认证逻辑的实现

ublic class AccountRealm extends AuthorizingRealm {

    private AccountService accountService;

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        Account account = accountService.findByUsername(token.getUsername());
        if(account != null){
            return new SimpleAuthenticationInfo(account,account.getPassword(),getName());
        }
        return null;
    }
}

​ 客户端页面传递的username和password会直接封装到token里面,在调用token.getUsername()方法拿到用户名与数据库中的用户名做对比,如果为空,直接跳出验证;如果不为空,说明用户名在数据库当中,存在用户名为token中的用户。然后调用SimpleAuthenticationInfo函数,当前台传入的密码和account.getPassword()(数据库中的密码)比较,如果密码相等,就通过;如果不一样,抛出异常。

详解DefaultWebSecurityManager Realm ShiroFilterFactoryBean 逻辑的实现

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        return factoryBean;
    }

    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accountRealm);
        return manager;
    }
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }
}

利用Ioc容器原理,依次将AccountRealm DefaultWebSecurityManager ShiroFilterFactoryBean 注入容器并取出,使三个组件连通。

编写认证和授权规则

认证过滤器:

anon:无需认证

authc:必须认证

authcBasic:需要通过HttpBasic认证

user:不一定通过认证,只要曾经被Shiro记录过即可。

授权过滤器:

perms:必须拥有某个权限

role:必须拥有某个角色

port:请求的端口必须是指定值。

rest:请求必须基于Restful ,POST,GET,PUT,DELETE

ssl:必须是安全的URL请求,符合HTTPS协议。

创建三个页面分配赋予不同权限main.html,manage.html,administrator.html

访问权限如下:

1 必须登录才能访问 main

2 用户必须有manage权限 manage.html

3用户必须有administrator角色 administrator.html

具体步骤

在ShiroConfig中预设登录界面,不使用默认的login界面

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        //权限设置
        Map<String,String> map = new Hashtable<>();
        map.put("/main","authc");
        map.put("/manage","perms[manage]");
        map.put("/administrator","roles[administrator]");
        factoryBean.setFilterChainDefinitionMap(map);
        //设置登陆页面
        factoryBean.setLoginUrl("/login");
        return factoryBean;

    }

    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("accountRealm") AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(accountRealm);
        return manager;
    }
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }
}

controller层

@Controller
public class AccountController {
    @GetMapping("/{url}")
    public String redirect(@PathVariable("url") String url) {
        return url;
    }    
	@PostMapping("/login")
    public String login(String username, String password, Model model) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);
            return "index";
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            model.addAttribute("msg", "用户名错误!");
            return "login";
        } catch (IncorrectCredentialsException e) {
            model.addAttribute("msg", "密码错误!");
            e.printStackTrace();
            return "login";
        }
    }

subject.login(token) 将验证的部分交给Shiro来做,通过subject的login方法,验证身份。

登陆页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <link rel="shortcut icon" href="#"/>
</head>
<body>
<form action="/login" method="post">
    <table>
        <span th:text="${msg}" style="color: red"></span>
        <tr>
            <td>用户名:</td>
            <td>
                <input type="text" name="username"/>
            </td>
        </tr>
        <tr>
            <td>密码:</td>
            <td>
                <input type="password" name="password"/>
            </td>
        </tr>
        <tr>
            <td>
                <input type="submit" value="登录"/>
            </td>
        </tr>
    </table>
</form>
</body>
</html>

总结:在Shiro Config文件中,通过依赖注入的方式将三个模块串联起来,只需编写ShiroFilterFactoryBean的业务逻辑即可,且在controller层中,将验证的部分交给Shiro来做,通过subject的login方法,验证身份,达到登陆验证的目的。

WoongCha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 825
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
springboot整合shiro-简单入门实战
long_long__的博客
07-13 338
文章目录初始准备及配置shiro核心API创建配置类配置类中常用内置过滤器分析所用到的其他类和页面 参考了https://www.bilibili.com/video/BV1ct411x7CN 初始准备及配置 创建springboot项目 导入依赖列表 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring<
springboot整合 shiro
qq_44058265的博客
10-03 153
文章目录1. 添加整合依赖2. 创建自定义Realm对象3. 编写配置类4. 实现登录拦截 -- 添加shiro内置过滤器5. 实现用户验证 1. 添加整合依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </depende
springboot(十一)整合shiro-登录认证和权限管理
Felix的小黑板
09-25 455
目录Apache ShiroApache Shiro Features 特性High-Level Overview 高级概述快速上手基础信息1、pom包依赖2、配置文件 Apache Shiro What is Apache Shiro? Apache Shiro是一个功能强大、灵活的、开源的安全框架, 它可以干净利落的处理身份验证、授权、企业会话管理和加密 Apache Shiro的首要目标...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
Springboot使用shiro
qq_38345598的博客
01-28 3823
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
SpringBoot整合Shiro(完整版)
小马同学
03-24 1万+
写在前面: 从2018年底开始学习SpringBoot,也用SpringBoot写过一些项目。这里对学习Springboot的一些知识总结记录一下。如果你也在学习SpringBoot,可以关注我,一起学习,一起进步。 文章目录 之前写项目安全控件基本都是用的SpringSecurity,后来发现使用Shiro的也比较多, ...
Spring Boot2整合Shiro(1):身份认证
热门推荐
dora_310的博客
03-31 1万+
前言本文主要介绍了在Spring Boot2项目中整合Shiro实现登录认证。本文假设读者已经对Shiro和基于RBAC的权限控制系统有了基本的认识。 本项目没有数据库,也就没有dao层,所有的用户和密码均在Service层采用硬编码。 特别提醒:因为代码块中的@符号在博客发布过程中会导致代码格式混乱,所以@都是用双斜杠注释了。 创建工程通过idea的Spring Initializr新建工程
Springboot整合Shiro框架入门
web15285868498的博客
04-08 6354
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
springboot整合shiro入门,实现认证和授权功能(非常详细)
沐雨橙风ιε的博客
07-02 6346
自定义过滤器AuthorizationFilter实现鉴权功能。/*** 鉴权过滤器*/@WebFilter@Override= null &&!// 构建返回对象JsonResult jsonResult= JsonResult.error(ResponseCode.UNAUTHORIZED, "正在访问未授权的资源");return;
手把手教你用SpringBoot整合ShiroShiro的前世今生)
程序猿小龙的博客
07-09 279
文章目录手把手教你用SpringBoot整合Shiro1、shiro的前世今生1.1、shiro是什么?1.2、为什么要使用shiro?2、Shiro的运作流程3、实战--SpringBoot如何整合Shiro3.1、准备数据库3.2、引入依赖3.3、编写底层的CRUD方法3.4、设置CustomRealm3.5、设置ShiroConfig配置类3.6、设置CustomSessionManager3.7、编写对应的Controller3.8、测试 手把手教你用SpringBoot整合Shiro 1、shir
shiroShiroFilterFactoryBean
m0_67390963的博客
08-24 162
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。将上述方法添加到ShiroConfig中即可实现拦截URL。
springboot 整合 shiro
最新发布
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值