springboot整合无状态shiro基本配置

最新推荐文章于 2021-11-13 22:36:44 发布
最新推荐文章于 2021-11-13 22:36:44 发布
阅读量309 收藏 2
点赞数
分类专栏: 典型demo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaoct/article/details/110704745
版权 
		<!-- shiro -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.6.0</version>
		</dependency>

shiro基本配置:

package com.demo1.config;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.session.mgt.DefaultSessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.web.filter.DelegatingFilterProxy;
import org.apache.shiro.mgt.SecurityManager;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    /**
     * 自定义Realm
     */
    @Bean
    public MyRealm myRealm(){
        MyRealm myShiroRealm = new MyRealm();
//        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }

    @Bean
    public FilterRegistrationBean delegatingFilterProxy() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        DelegatingFilterProxy proxy = new DelegatingFilterProxy();
        proxy.setTargetFilterLifecycle(true);
        proxy.setTargetBeanName("shiroFilter");
        filterRegistrationBean.setFilter(proxy);
        return filterRegistrationBean;
    }

    @Bean("shiroFilter")
    @DependsOn("securityManager")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilter  = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        // 拦截器
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        // 验证码允许匿名访问
//        filterChainDefinitionMap.put("/**/test1", "anon");
        filterChainDefinitionMap.put("/**", "jwt");

        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("jwt", new MyFilter());
        shiroFilter.setFilters(filters);

        //未授权界面;
        shiroFilter.setUnauthorizedUrl("/unauthorized");

        return shiroFilter;
    }

    /**
     * Subject工厂管理器
     */
    @Bean
    public DefaultWebSubjectFactory subjectFactory(){
        return new StatelessDefaultSubjectFactory();
    }

    /**
     * 安全管理器
     */
    @Bean("securityManager")
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        // 注入自定义Realm
        securityManager.setRealm(myRealm());

        // 替换默认的DefaultSubjectFactory,用于关闭session功能
        securityManager.setSubjectFactory(subjectFactory());
        securityManager.setSessionManager(sessionManager());

        // 关闭session存储,禁用Session作为存储策略的实现,但它没有完全地禁用Session所以需要配合SubjectFactory中的context.setSessionCreationEnabled(false)
        ((DefaultSessionStorageEvaluator) ((DefaultSubjectDAO)securityManager.getSubjectDAO()).getSessionStorageEvaluator()).setSessionStorageEnabled(false);

        // 用户授权/认证信息Cache, 后期可采用EhCache缓存
        // securityManager.setCacheManager(cacheManager());

        SecurityUtils.setSecurityManager(securityManager);
        return securityManager;
    }

    /**
     * 会话管理器
     */
    public DefaultSessionManager sessionManager(){
        DefaultSessionManager sessionManager =new DefaultSessionManager();
        // 关闭session定时检查,通过setSessionValidationSchedulerEnabled禁用掉会话调度器
        sessionManager.setSessionValidationSchedulerEnabled(false);
        return  sessionManager;
    }

    /**
     * 用户授权信息缓存
     */
    @Bean
    public CacheManager cacheManager() {
        // EhCacheManager cacheManager = new EhCacheManager();
        // cacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
        return new MemoryConstrainedCacheManager();
    }

//    /**
//     * 凭证匹配器(由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了)
//     */
//    @Bean
//    public HashedCredentialsMatcher hashedCredentialsMatcher(){
//        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//        // 散列算法:这里使用MD5算法;
//        hashedCredentialsMatcher.setHashAlgorithmName("md5");
//        // 散列的次数,比如散列两次,相当于 md5(md5(""));
//        hashedCredentialsMatcher.setHashIterations(2);
//        return hashedCredentialsMatcher;
//    }

    /**
     * 下面的代码是添加注解支持
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /**
     * Shiro生命周期处理器
     */
    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     *  开启shiro aop注解支持.使用代理方式;所以需要开启代码支持;
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }


}

无Session工厂:

package com.demo1.config;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.SubjectContext;
import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;

/**
 *  通过调用context.setSessionCreationEnabled(false)表示不创建会话,
 *  如果之后调用Subject.getSession()将抛出DisabledSessionException异常。
 * @author hqp
 * @date 2019/6/17 10:24
 */
public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

    @Override
    public Subject createSubject(SubjectContext context) {
        // 不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

realm:

package com.demo1.config;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权");
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addStringPermission("teacher1");
        authorizationInfo.addStringPermission("teacher2");
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证");
        return new SimpleAuthenticationInfo(
                //用户
                "account!!!!",
                //密码
                "123",
                //salt=username+salt
                null,
                //realm name
                getName()
        );
    }
}

过滤器:

package com.demo1.config;

import com.alibaba.fastjson.JSON;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.springframework.beans.factory.BeanFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.context.support.WebApplicationContextUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class MyFilter extends BasicHttpAuthenticationFilter {

    @Autowired
    HttpServletRequest request;

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        System.out.println("isAccessAllowed");
        return false;
    }

    /**
     * 判断用户是否想要登入。
     * 检测header里面是否包含Authorization字段即可
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        System.out.println("isLoginAttempt");
        return true;
    }

    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) {
        System.out.println("executeLogin");
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("yaoct", "123");
        Subject subject= SecurityUtils.getSubject();
        subject.login(usernamePasswordToken);
        return true;
    }
}

controller:

package com.demo1.controller;

import com.demo1.entity.Student;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;

@RestController
public class TestController {
    @GetMapping("/test1")
    @RequiresPermissions({"teacher1","teacher2"})
    String test1(String p1,String p2){
        System.out.println(p1+",,"+p2);
        Subject subject = SecurityUtils.getSubject();
        return (String)subject.getPrincipal();
    }
    @PostMapping("/test2")
    String test1(@RequestBody Student student,String p1,String p2){
        System.out.println(student);
        return "成功!";
    }

}

 

SomeOtherTime
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
ljlj8888的博客
03-12 1万+
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权一、引言二、相关说明三、项目准备配置四、实现颁发token4.1. 配置Redis:RedisConfig4.2. 编写工具类4.3. 编写登录接口:LoginController五、实现Shiro授权5.1. 重写过滤器:J...
爬山的蜗牛旅程:九、springboot+shiro+redis+服务无状态
m0_37781593的博客
09-25 199
学习springboot的旅程,就像蜗牛爬山,一点点的往上爬,一点点的欣赏旅途的风景 继续上一章的故事,听说小猿公司要加人,同时又要搞手机端。小猿此刻头大得像个灯泡一样能照亮人间!然后小猿把自己锁进了洗手间,蹲在坑上冥想,性能提升+手机端接入所面临的问题: 服务集群:问题身份验证信息的共享问题? 手机端:没session这个概念?怎么同时兼任解决手机及PC的身份安全验证? 大约几小时后,小...
SpringBoot集成篇(一)无状态shiro
热门推荐
再见尼罗河的博客
05-14 1万+
springboot是现如今很流行的微服务框架 鉴权方面内置了spring自家的spring security ,比较方便。这里阐述用springboot集成另一大身份验证和授权框架 shiro。 网上也有很多boot集成shiro的实例 但是都不太完整,且不是stateless无状态的,不适用于现在这种前后端分离格局。 这里特此记录下辛酸的集成过程,让大家少走一点弯路。 shiro的集成方式为无状态(禁用session),通过每次请求带上token进行鉴权。 为了演示 token禁用简单的uuid3
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1717
前言 本文基于token进行身份认证,由于接入cas会和shiro的session管理冲突,所以关闭shiro的session,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
shiro mgt包下DefaultSessionStorageEvaluator类
weixin_45912825的博客
11-13 403
2021SC@SDUSC DefaultSessionStorageEvaluator类图 #mermaid-svg-hmtaxmpcLPiBPcg4 .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-hmtaxmpcLPiBPcg4 .label text{fill:#333}#mermaid-svg-hmtax
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
springboot整合redis+shiro
08-17
整合shiro框架,项目中带sql文件,可直接运行,需要先启用redis服务,登录名admin 密码123456,
Springboot整合Shiro的代码实例
08-25
主要介绍了Springboot整合Shiro的代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot整合shiro
03-30
springboot+shiro+ztree实现后台权限管理springboot+shiro+ztree实现后台权限管理springboot+shiro+ztree实现后台权限管理
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
Shiro 之 HashedCredentialsMatcher 认证匹配,前端加密传输密码及解密
weixin_38637161的博客
03-30 1429
Shiro 提供了用于加密密码和验证密码服务的 CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类。写项目的话,总归会用到用户密码的非对称加密,目前主流的非对称加密方式是 MD5 ,以及在 MD5 上的加盐处理,而 HashedCredentialsMatcher 也允许我们指定自己的算法和盐。本文将介绍 HashedCredentialsMatcher 的使用,以及对相关源码的进行解析,MD5 等加密知
Spring + Shiro + JWT 开发简单的认证与授权(单角色)
“罐装面包”的博客
08-02 461
说明: 单角色的意思就是,一个用户只有一个角色。 1. 创建数据表 建立一个数据库,复制到 mysql 命令行执行就行了 CREATE TABLE `sys_user` ( `id` int NOT NULL, `username` varchar(255) NULL, `password` varchar(255) NULL, `role` varchar(255) NULL, PRIMARY KEY (`id`) ); 2. 引入依赖 JWT 和 Shiro .
Spring Boot集成无状态Shiro
坤哥的博客
11-22 3951
最近这些天一直在用Spring Boot集成Shiro,由于我们要做的是RESTful调用,所以只能使用无状态的,不能使用会话机制。用户每次过来请求的时候都会带着用户名和签名,每次都要对其做验证(登录)。网上很多参考资料都是基于spring mvc来做的,配置之类的基本放在xml文件或者ini文件中,尤其是多realm的时候,直接都是放到ini文件中(少部分在xml中配置),还没找到直接在代码中设置
java shiro jwt,Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
weixin_35432846的博客
03-13 835
应用场景:由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session要禁用掉,同时要重新写JWT的过滤器。使用shiro+ssm+jwt的一些前期准备:禁用sessionJWT实现工...
SpringBoot中使用Shiro和JWT做认证和鉴权(二)
菜鸟联盟
08-26 1897
项目搭建 需求相对简单,1)支持用户首次通过用户名和密码登录;2)登录后通过http header返回token;3)每次请求,客户端需通过header将token带回,用于权限校验;4)服务端负责token的定期刷新,刷新后新的token仍然放到header中返给客户端。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <p...
状态shiro认证组件(禁用默认session)
aipiannian6725的博客
07-24 728
准备内容 简单的shiro状态认证   无状态认证拦截器 import com.hjzgg.stateless.shiroSimpleWeb.Constants; import com.hjzgg.stateless.shiroSimpleWeb.realm.StatelessToken; import org.apache.shiro.web.filter....
shiro状态学习---(1)
qq_35267557的博客
12-12 1063
shiro状态学习---(1) 第一个项目:实现禁用session 项目搭建:这里使用springboot作为基础搭建一个基础的springmvc框架 1、创建项目 这样,一个基本的spring boot就党建好了,访问 http://localhost:8080/hello?params1=你好&params2=世界,就会打印出 hello,xxx,params1=你好,
Spring Boot集成无状态Shiro--内容详细介绍
坤哥的博客
11-23 9159
这里对昨天的shiro项目做个说明,整个项目主要参考的是GitHub的一个项目,他是基于session会话的,有集成redis,如果需要的话大家可以参考下:https://github.com/lovelyCoder/springboot-shiro。 我的项目GitHub地址:https://github.com/rhettpang/Springboot-Shiro。现在说下我的无状态的shir
ejb 有状态bean 和无状态bean
shukebai的专栏
03-26 792
现实中,很多朋友对两种session bean存在误解,认为有状态是实例一直存在,保存每次调用后的状态,并对下一次调用起作用,而认为无状态是每次调用实例化一次,不保留用户信息。仔细分析并用实践检验后,你会发现,事实恰好相反: 有状态和无状态会话bean的本质区别是它们的生命期。 首先解释一个下面要用到的概念--用户:session bean 的用户实际上就是直接调用ejb的类的实例,甚至是这个
springboot整合shiroshiro实现跨域
最新发布
08-30
您好!要在Spring Boot中实现Shiro的跨域功能,可以遵循以下步骤: 1. 配置ShiroFilterFactoryBean:在您的Shiro配置类中,使用`ShiroFilterFactoryBean`来配置Shiro的过滤器链。在这个配置中,您可以添加一个`cors`过滤器,并设置允许的跨域资源共享规则。 ```java @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { // ... // 其他配置 // ... // 添加Shiro的过滤器 ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); // 设置跨域过滤器 LinkedHashMap<String, Filter> filters = new LinkedHashMap<>(); filters.put("cors", corsFilter()); // 自定义的CORS过滤器bean shiroFilterFactoryBean.setFilters(filters); // 设置过滤器链规则 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/**", "cors,authc"); // 设置跨域过滤器和其他过滤器 shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } ``` 2. 自定义CORS过滤器:创建一个自定义的CORS过滤器,在该过滤器中设置允许的跨域资源共享规则。 ```java public class CorsFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 设置允许的跨域资源共享规则 response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); response.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type, X-Requested-With"); filterChain.doFilter(request, response); } } ``` 3. 配置跨域过滤器Bean:将自定义的CORS过滤器配置为一个Spring Bean。 ```java @Bean public CorsFilter corsFilter() { return new CorsFilter(); } ``` 通过以上步骤,您就可以在Spring Boot中实现Shiro的跨域功能了。请根据您的具体需求进行适当的调整和配置。希望对您有帮助!如果您有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值