springBoot 集成Shiro基础概念和使用场景,以及代码演示

最新推荐文章于 2021-11-09 17:17:34 发布
最新推荐文章于 2021-11-09 17:17:34 发布
阅读量145 收藏
点赞数
文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyzx123456/article/details/117362319
版权

一、概述
Shiro是Apache旗下的一个开源项目,它是一个非常易用的安全框架,提供了包括认证、授权、加密、会话管理等功能,与Spring Security一样属基于权限的安全框架,但是与Spring Security 相比,Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,相对于Spring Security简单很多,并没有security那么复杂。

二、优势特点
它是一个功能强大、灵活的、优秀的、开源的安全框架。

它可以胜任身份验证、授权、企业会话管理和加密等工作。

它易于使用和理解,与Spring Security相比,入门门槛低。

三、主要功能
验证用户身份
用户访问权限控制
支持单点登录(SSO)功能
可以响应认证、访问控制,或Session事件
支持提供“Remember Me”服务

四、主要三个理念

三个主要理念:

  • Subject:代表当前用户,Subject 可以是一个人,也可以是第三方服务、守护进程帐户、时钟守护任务或者其它当前和软件交互的任何事件。
  • SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
  • Realms:用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

五、常用注解介绍

@RequiresAuthenthentication:表示当前Subject已经通过login进行身份验证;即 Subject.isAuthenticated()返回 true
@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的
@RequiresGuest:表示当前Subject没有身份验证或者通过记住我登录过,即是游客身份
@RequiresRoles(value = {"admin","user"},logical = Logical.AND):表示当前Subject需要角色admin和user
@RequiresPermissions(value = {"user:delete","user:b"},logical = Logical.OR):表示当前Subject需要权限user:delete或者user:b

六、代码演示


/**
 * Shiro 配置文件
 */
@Configuration
public class ShiroConfig {
    /**
     * Session Manager:会话管理
     * 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;
     * 会话可以是普通JavaSE环境的,也可以是如Web环境的;
     */
    @Bean("sessionManager")
    public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        //设置session过期时间
        sessionManager.setGlobalSessionTimeout(60 * 60 * 1000);
        sessionManager.setSessionValidationSchedulerEnabled(true);
        // 去掉shiro登录时url里的JSESSIONID
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return sessionManager;
    }

    /**
     * SecurityManager:安全管理器
     */
    @Bean("securityManager")
    public SecurityManager securityManager(UserRealm userRealm, SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setSessionManager(sessionManager);
        securityManager.setRealm(userRealm);
        return securityManager;
    }
    /**
     * ShiroFilter是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理
     */
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        shiroFilter.setLoginUrl("/userLogin");
        shiroFilter.setUnauthorizedUrl("/");
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/userLogin", "anon");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }
    /**
     * 管理Shiro中一些bean的生命周期
     */
    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
    /**
     * 扫描上下文,寻找所有的Advistor(通知器)
     * 将这些Advisor应用到所有符合切入点的Bean中。
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }
    /**
     * 匹配所有加了 Shiro 认证注解的方法
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

@RestControllerAdvice
public class ShiroException {

    @ExceptionHandler(AuthorizationException.class)
    public String authorizationException (){
        return "抱歉您没有权限访问该内容!";
    }

    @ExceptionHandler(Exception.class)
    public String handleException(Exception e){
        return "系统异常!";
    }

}


/**
 * Shiro 认证实体
 */
@Component
public class UserRealm extends AuthorizingRealm {

    @Resource
    private SysUserMapper sysUserMapper ;
    @Resource
    private SysMenuMapper sysMenuMapper ;

    /**
     * 授权(验证权限时调用)
     * 获取用户权限集合
     */
    @Override
    public AuthorizationInfo doGetAuthorizationInfo
    (PrincipalCollection principals) {
        SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
        if(user == null) {
            throw new UnknownAccountException("账号不存在");
        }
        List<String> permsList;
        //默认用户拥有最高权限
        List<SysMenuEntity> menuList = sysMenuMapper.selectList();
        permsList = new ArrayList<>(menuList.size());
        for(SysMenuEntity menu : menuList){
            permsList.add(menu.getPerms());
        }
        //用户权限列表
        Set<String> permsSet = new HashSet<>();
        for(String perms : permsList){
            if(StringUtils.isEmpty(perms)){
                continue;
            }
            permsSet.addAll(Arrays.asList(perms.trim().split(",")));
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     * 验证用户登录
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken)authToken;
        //查询用户信息
        SysUserEntity user = sysUserMapper.selectOne(token.getUsername());
        //账号不存在
        if(user == null) {
            throw new UnknownAccountException("账号或密码不正确");
        }
        //账号锁定
        if(user.getStatus() == 0){
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo
                (user, user.getPassword(),
                        ByteSource.Util.bytes(user.getSalt()),
                        getName());
        return info;
    }

    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
        HashedCredentialsMatcher shaCredentialsMatcher = new HashedCredentialsMatcher();
        shaCredentialsMatcher.setHashAlgorithmName(ShiroUtils.hashAlgorithmName);
        shaCredentialsMatcher.setHashIterations(ShiroUtils.hashIterations);
        super.setCredentialsMatcher(shaCredentialsMatcher);
    }
}


/**
 * Shrio 测试方法控制层
 */
@RestController
public class ShiroController {
    private static Logger LOGGER = LoggerFactory.getLogger(ShiroController.class) ;

    @Resource
    private SysMenuMapper sysMenuMapper ;
    /**
     * 登录测试
     * http://localhost:7011/userLogin?userName=admin&passWord=admin
     */
    @RequestMapping("/userLogin")
    public void userLogin (
            @RequestParam(value = "userName") String userName,
            @RequestParam(value = "passWord") String passWord){
        try{
            Subject subject = ShiroUtils.getSubject();
            UsernamePasswordToken token = new UsernamePasswordToken(userName, passWord);
            subject.login(token);
            LOGGER.info("登录成功");
        }catch (Exception e) {
            e.printStackTrace();
        }
    }

    /**
     * 服务器每次重启请求该接口之前必须先请求上面登录接口
     * http://localhost:7011/menu/list 获取所有菜单列表
     * 权限要求:sys:user:shiro
     */
    @RequestMapping("/menu/list")
    @RequiresPermissions("sys:user:shiro")
    public List list(){
        return sysMenuMapper.selectList() ;
    }

    /**
     * 用户没有该权限,无法访问
     * 权限要求:ccc:ddd:bbb
     */
    @RequestMapping("/menu/list2")
    @RequiresPermissions("ccc:ddd:bbb")
    public List list2(){
        return sysMenuMapper.selectList() ;
    }

    /**
     * 退出测试
     */
    @RequestMapping("/userLogOut")
    public String logout (){
        ShiroUtils.logout();
        return "success" ;
    }
}

/**
 * Shiro工具类
 */
public class ShiroUtils {
    /**  加密算法 */
    public final static String hashAlgorithmName = "SHA-256";
    /**  循环次数 */
    public final static int hashIterations = 16;

    public static String sha256(String password, String salt) {
        return new SimpleHash(hashAlgorithmName, password, salt, hashIterations).toString();
    }

    // 获取一个测试账号 admin
    public static void main(String[] args) {
        // 3743a4c09a17e6f2829febd09ca54e627810001cf255ddcae9dabd288a949c4a
        System.out.println(sha256("admin","123")) ;
    }

    /**
     * 获取会话
     */
    public static Session getSession() {
        return SecurityUtils.getSubject().getSession();
    }
    
    /**
     * Subject:主体,代表了当前“用户”
     */
    public static Subject getSubject() {
        return SecurityUtils.getSubject();
    }

    public static SysUserEntity getUserEntity() {
        return (SysUserEntity)SecurityUtils.getSubject().getPrincipal();
    }

    public static Long getUserId() {
        return getUserEntity().getUserId();
    }

    public static void setSessionAttribute(Object key, Object value) {
        getSession().setAttribute(key, value);
    }

    public static Object getSessionAttribute(Object key) {
        return getSession().getAttribute(key);
    }

    public static boolean isLogin() {
        return SecurityUtils.getSubject().getPrincipal() != null;
    }

    public static void logout() {
        SecurityUtils.getSubject().logout();
    }
}

主要相关的类在此,想要源码的,下面评论带上自己的邮箱。

Alan丶K
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
shiro基本配置
m0_67393413的博客
08-24 291
”.equals(password)){if(hexpassword.equals(user.getPassword())){System.out.println(“验证成功”);
Shiro简例
qq_56800327的博客
07-04 438
shiro中各个类的简单介绍
安全权限框架 —— Shiro(二)
baidu_39560928的博客
08-27 607
1、权限注解 @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated() 返回true; @RequiresUser:表示当前Subject 已经身份验证或者通过记住我登录的; @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份; @RequiresRoles (value={“admin”, “user”}, logical== Logical
Shiro权限注解
qq_41184777的博客
03-09 304
Shiro权限注解(可以用在Controller层对应的方法上/Service层对应的方法上) 1》@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。 2》@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 3》@RequiresGuest:表...
Apache shiro如何实现一个账户同一时间只能在一个浏览器登录
qq_45644339的博客
11-09 902
会话 即用户访问应用时保持的连接关系,通过会话应用可以在多次访问中识别出当前的用户是谁,还可以在交互中保存数据。 限制登录功能,用shiro安全框架管理session会话 效果就是 不让同一个账户通过其他浏览器进行二次登录,除非在已登陆页面超过5分钟未进行任何操作,才可以再次登录 话不多说上代码 //Controller层如下: @Resource private SessionDAO sessionDao; /** * 用户登录 */ @ResponseBody @Req
SpringBoot整合Shiro+JWT
05-15
在本文中,我们将深入探讨如何将SpringBoot与Apache Shiro及JSON Web Tokens(JWT)进行集成,以构建一个安全的用户认证系统。首先,我们来理解这三个关键组件: 1. **SpringBoot**:SpringBoot是Spring框架的一个...
springBoot+shiro简单测试mvc项目
11-14
**SpringBoot集成Shiro** 在SpringBoot项目中集成Shiro,首先需要添加Shiro的依赖到`pom.xml`文件。然后,定义Shiro的配置类,包括 Realm(域)的配置,用于处理用户身份验证和授权。 Realm可以绑定到数据库或其他...
SpringBootShiro整合-权限管理的简单权限系统.zip
最新发布
02-04
SpringBoot项目中集成Shiro,可以实现对用户访问资源的精细控制,例如限制未登录用户访问特定接口,或者基于角色的访问控制。 集成步骤如下: 1. **添加依赖**:在SpringBoot的pom.xml文件中,引入Shiro的相关...
shiro简单的demo.zip
07-14
**描述解析:**描述中提到"springboot整合shiro整合redis做的权限认证框架有参考代码以及参考文档",意味着这个压缩包内包含了一个完整的实例,展示了如何在SpringBoot应用中配置和使用Shiro进行权限管理,并利用...
springcloud-shiro
02-21
这个项目不仅展示了如何在Spring Boot中使用Shiro进行权限控制,还演示了如何在微服务架构中利用Zuul进行服务路由和安全过滤,对于学习和理解Spring Cloud和Shiro集成具有很高的参考价值。开发者可以通过这个项目...
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 780
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache ShiroJava 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
shiro入门
trasewell的博客
09-25 850
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
SpringBoot集成Shiro框架
qq_33945802的博客
06-20 119
1.简介 Shiro 是一个强大、简单易用的 Java 安全框架,可使认证、授权、加密,会话过程更便捷,并可为应用提供安全保障。本节课重点介绍下 Shiro 的认证和授权功能。 2.Shiro的三大组件 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。先来看一下它们之间的关系。 2.1 Subject 为认证主体 包含 Principals 和 Credentials 两个信息。我们看下两者的具体含义。 Principals:代表身份。可以是用户名、邮件、手
Spring Boot Shiro实战
11-14
在Spring Boot中集成Shiro,可以了解到如何使用Spring MVC,;如何使用Spring Data JPA进行数据的持久化;如何使用Shiro安全框架;如何使用Thymeleaf模板引擎;如何使用ehcache缓存管理!
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
springboot整合shiro
苏木的小站
01-28 622
Apache shiro是一个开源的轻量级Java安全框架,它提供身份验证,授权,密码管理以及会话管理等功能。相对于Spring Security,Shiro更加直观,易用,同时也能提供健壮的安全性。 下面开始springboot整合shiro,github:https://github.com/fengqing11/springboot-shiro 创建项目,添加依赖: 注意这里不需要添加s...
SpringBoot进阶(十)整合Shiro上篇
白玉梁的专栏
10-27 1256
一般的,SpringBoot常用的安全模块有Spring下的Security和Apache下的Shiro,Security功能强大但复杂,Shiro则相对小而简单,通常的,Shiro能满足我们实际开发中的绝大部分需求,所以使用Shiro的开发人员也越来越多了! 安全模块的作用: 身份认证 (登录验证/加密) 授权(授予权限、角色) Session管理 加密 记住我 … 所以,安全模块,是一个web网站必不可少的东西了!关于Shiro的详细使用方法,大家可以查看相关文档,本篇属于实战型案例,整合Shiro
最简单的Shiro免密登陆(springboot
yuer629
04-19 2412
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
springboot集成shiro
07-27
对于Spring Boot集成Shiro,你可以按照以下步骤进行操作: 1. 首先,在你的Spring Boot项目中添加Shiro的依赖。你可以在pom.xml文件中添加以下依赖关系: ```xml <groupId>org.apache.shiro <artifactId>shiro-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Alan丶K

各位技术大佬,小弟敲字不易

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值