springboot整合无状态shiro基本配置

最新推荐文章于 2021-08-06 10:15:30 发布
最新推荐文章于 2021-08-06 10:15:30 发布
阅读量335 收藏 2
点赞数
分类专栏: 典型demo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaoct/article/details/110704745
版权 
		<!-- shiro -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.6.0</version>
		</dependency>

shiro基本配置:

package com.demo1.config;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.mgt.DefaultSessionStorageEvaluator;
import org.apache.shiro.mgt.DefaultSubjectDAO;
import org.apache.shiro.session.mgt.DefaultSessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import org.springframework.web.filter.DelegatingFilterProxy;
import org.apache.shiro.mgt.SecurityManager;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    /**
     * 自定义Realm
     */
    @Bean
    public MyRealm myRealm(){
        MyRealm myShiroRealm = new MyRealm();
//        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }

    @Bean
    public FilterRegistrationBean delegatingFilterProxy() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        DelegatingFilterProxy proxy = new DelegatingFilterProxy();
        proxy.setTargetFilterLifecycle(true);
        proxy.setTargetBeanName("shiroFilter");
        filterRegistrationBean.setFilter(proxy);
        return filterRegistrationBean;
    }

    @Bean("shiroFilter")
    @DependsOn("securityManager")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilter  = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        // 拦截器
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        // 验证码允许匿名访问
//        filterChainDefinitionMap.put("/**/test1", "anon");
        filterChainDefinitionMap.put("/**", "jwt");

        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("jwt", new MyFilter());
        shiroFilter.setFilters(filters);

        //未授权界面;
        shiroFilter.setUnauthorizedUrl("/unauthorized");

        return shiroFilter;
    }

    /**
     * Subject工厂管理器
     */
    @Bean
    public DefaultWebSubjectFactory subjectFactory(){
        return new StatelessDefaultSubjectFactory();
    }

    /**
     * 安全管理器
     */
    @Bean("securityManager")
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        // 注入自定义Realm
        securityManager.setRealm(myRealm());

        // 替换默认的DefaultSubjectFactory,用于关闭session功能
        securityManager.setSubjectFactory(subjectFactory());
        securityManager.setSessionManager(sessionManager());

        // 关闭session存储,禁用Session作为存储策略的实现,但它没有完全地禁用Session所以需要配合SubjectFactory中的context.setSessionCreationEnabled(false)
        ((DefaultSessionStorageEvaluator) ((DefaultSubjectDAO)securityManager.getSubjectDAO()).getSessionStorageEvaluator()).setSessionStorageEnabled(false);

        // 用户授权/认证信息Cache, 后期可采用EhCache缓存
        // securityManager.setCacheManager(cacheManager());

        SecurityUtils.setSecurityManager(securityManager);
        return securityManager;
    }

    /**
     * 会话管理器
     */
    public DefaultSessionManager sessionManager(){
        DefaultSessionManager sessionManager =new DefaultSessionManager();
        // 关闭session定时检查,通过setSessionValidationSchedulerEnabled禁用掉会话调度器
        sessionManager.setSessionValidationSchedulerEnabled(false);
        return  sessionManager;
    }

    /**
     * 用户授权信息缓存
     */
    @Bean
    public CacheManager cacheManager() {
        // EhCacheManager cacheManager = new EhCacheManager();
        // cacheManager.setCacheManagerConfigFile("classpath:ehcache.xml");
        return new MemoryConstrainedCacheManager();
    }

//    /**
//     * 凭证匹配器(由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了)
//     */
//    @Bean
//    public HashedCredentialsMatcher hashedCredentialsMatcher(){
//        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//        // 散列算法:这里使用MD5算法;
//        hashedCredentialsMatcher.setHashAlgorithmName("md5");
//        // 散列的次数,比如散列两次,相当于 md5(md5(""));
//        hashedCredentialsMatcher.setHashIterations(2);
//        return hashedCredentialsMatcher;
//    }

    /**
     * 下面的代码是添加注解支持
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /**
     * Shiro生命周期处理器
     */
    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     *  开启shiro aop注解支持.使用代理方式;所以需要开启代码支持;
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }


}

无Session工厂:

package com.demo1.config;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.SubjectContext;
import org.apache.shiro.web.mgt.DefaultWebSubjectFactory;

/**
 *  通过调用context.setSessionCreationEnabled(false)表示不创建会话,
 *  如果之后调用Subject.getSession()将抛出DisabledSessionException异常。
 * @author hqp
 * @date 2019/6/17 10:24
 */
public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

    @Override
    public Subject createSubject(SubjectContext context) {
        // 不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

realm:

package com.demo1.config;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class MyRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权");
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addStringPermission("teacher1");
        authorizationInfo.addStringPermission("teacher2");
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证");
        return new SimpleAuthenticationInfo(
                //用户
                "account!!!!",
                //密码
                "123",
                //salt=username+salt
                null,
                //realm name
                getName()
        );
    }
}

过滤器:

package com.demo1.config;

import com.alibaba.fastjson.JSON;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.springframework.beans.factory.BeanFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.context.support.WebApplicationContextUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class MyFilter extends BasicHttpAuthenticationFilter {

    @Autowired
    HttpServletRequest request;

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        System.out.println("isAccessAllowed");
        return false;
    }

    /**
     * 判断用户是否想要登入。
     * 检测header里面是否包含Authorization字段即可
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        System.out.println("isLoginAttempt");
        return true;
    }

    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) {
        System.out.println("executeLogin");
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("yaoct", "123");
        Subject subject= SecurityUtils.getSubject();
        subject.login(usernamePasswordToken);
        return true;
    }
}

controller:

package com.demo1.controller;

import com.demo1.entity.Student;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;

@RestController
public class TestController {
    @GetMapping("/test1")
    @RequiresPermissions({"teacher1","teacher2"})
    String test1(String p1,String p2){
        System.out.println(p1+",,"+p2);
        Subject subject = SecurityUtils.getSubject();
        return (String)subject.getPrincipal();
    }
    @PostMapping("/test2")
    String test1(@RequestBody Student student,String p1,String p2){
        System.out.println(student);
        return "成功!";
    }

}

 

SomeOtherTime
关注
专栏目录
Spring Boot集成无状态Shiro--内容详细介绍
坤哥的博客
11-23 9255
这里对昨天的shiro项目做个说明,整个项目主要参考的是GitHub的一个项目,他是基于session会话的,有集成redis,如果需要的话大家可以参考下:https://github.com/lovelyCoder/springboot-shiro。 我的项目GitHub地址:https://github.com/rhettpang/Springboot-Shiro。现在说下我的无状态的shir
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7267
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
基于Shiro和JWT的无状态安全验证方案
weixin_46628206的博客
03-22 1321
本文涉及的源码地址:https://github.com/davidfantasy/shrio-with-jwt-spring-boot-starter 背景说明 用户权限管理是每个信息系统最基本的需求,对基于Java的项目来说,最常用的权限管理框架就是大名鼎鼎的Apache Shiro。Apache Shiro功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro的设...
SpringBoot集成篇(一)无状态shiro
再见尼罗河的博客
05-14 1万+
springboot是现如今很流行的微服务框架 鉴权方面内置了spring自家的spring security ,比较方便。这里阐述用springboot集成另一大身份验证和授权框架 shiro。 网上也有很多boot集成shiro的实例 但是都不太完整,且不是stateless无状态的,不适用于现在这种前后端分离格局。 这里特此记录下辛酸的集成过程,让大家少走一点弯路。 shiro的集成方式为无状态(禁用session),通过每次请求带上token进行鉴权。 为了演示 token禁用简单的uuid3
Spring Boot集成无状态Shiro
坤哥的博客
11-22 3997
最近这些天一直在用Spring Boot集成Shiro,由于我们要做的是RESTful调用,所以只能使用无状态的,不能使用会话机制。用户每次过来请求的时候都会带着用户名和签名,每次都要对其做验证(登录)。网上很多参考资料都是基于spring mvc来做的,配置之类的基本放在xml文件或者ini文件中,尤其是多realm的时候,直接都是放到ini文件中(少部分在xml中配置),还没找到直接在代码中设置
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
爬山的蜗牛旅程:九、springboot+shiro+redis+服务无状态
m0_37781593的博客
09-25 219
学习springboot的旅程,就像蜗牛爬山,一点点的往上爬,一点点的欣赏旅途的风景 继续上一章的故事,听说小猿公司要加人,同时又要搞手机端。小猿此刻头大得像个灯泡一样能照亮人间!然后小猿把自己锁进了洗手间,蹲在坑上冥想,性能提升+手机端接入所面临的问题: 服务集群:问题身份验证信息的共享问题? 手机端:没session这个概念?怎么同时兼任解决手机及PC的身份安全验证? 大约几小时后,小...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
毕业设计:资料管理系统-springboot整合ssm,shiro,log4j.zip
12-24
【标题】"毕业设计:资料管理系统-springboot整合ssm,shiro,log4j.zip"涉及的关键技术点包括SpringBoot、SSM(Spring、SpringMVC、MyBatis)、Shiro以及Log4j,这些都是Java后端开发中的重要组成部分。下面将详细...
springboot+mybatis+shiro整合
12-06
总的来说,"springboot+mybatis+shiro整合"项目展示了如何在现代Java Web开发中,利用SpringBoot简化配置,利用MyBatis处理数据库操作,以及使用Shiro进行用户身份管理和权限控制。这样的组合为开发者提供了一个高效...
毕业设计资料管理系统-springboot整合ssm,shiro,log4j.zip
最新发布
12-30
标题中的“毕业设计资料管理系统-springboot整合ssm,shiro,log4j.zip”表明这是一个使用Spring Boot、SSM(Spring、Spring MVC、MyBatis)框架,并集成了Shiro安全框架和Log4j日志系统的毕业设计项目。这个项目...
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
热门推荐
ljlj8888的博客
03-12 1万+
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权一、引言二、相关说明三、项目准备配置四、实现颁发token4.1. 配置Redis:RedisConfig4.2. 编写工具类4.3. 编写登录接口:LoginController五、实现Shiro授权5.1. 重写过滤器:J...
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1975
前言 本文基于token进行身份认证,由于接入cas会和shiro的session管理冲突,所以关闭shiro的session,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
状态shiro认证组件(禁用默认session)
aipiannian6725的博客
07-24 768
准备内容 简单的shiro状态认证   无状态认证拦截器 import com.hjzgg.stateless.shiroSimpleWeb.Constants; import com.hjzgg.stateless.shiroSimpleWeb.realm.StatelessToken; import org.apache.shiro.web.filter....
shiro状态学习---(1)
qq_35267557的博客
12-12 1116
shiro状态学习---(1) 第一个项目:实现禁用session 项目搭建:这里使用springboot作为基础搭建一个基础的springmvc框架 1、创建项目 这样,一个基本的spring boot就党建好了,访问 http://localhost:8080/hello?params1=你好&params2=世界,就会打印出 hello,xxx,params1=你好,
状态和无状态的Servlet
meimonkey的专栏
01-19 2919
基本概念:  有状态就是有数据存储功能。有状态对象(Stateful Bean),就是有实例变量的对象,可以保存数据,是非线程安全的。在不同方法调用间不保留任何状态。  无状态就是一次操作,不能保存数据。无状态对象(Stateless Bean),就是没有实例变量的对象.不能保存数据,是不变类,是线程安全的。 Spring中的有状态(Stateful)和无状态(State
SpringBoot 集成 Shiro 权限控制 开发 Restful API
weixin_38408945的博客
03-03 6026
shiro
关于shiro 的 session和无状态同时存在时实现思路
qq_39412825的博客
03-09 2387
关于shiro包含userRealm 和MobileUserRealm 以及客户端无状态session问题 以前概念里,关于客户端登录,没有cookieId,需要手动记录保存sessionid。 在看了shiro教程以后,了解了无状态的web应用集成 即服务端无状态,服务器端不会存储像会话这种东西,而是每次请求带上相应的用户名进行登录。 具体实现: 1、教程上讲,客户端每次申请一个tok...
sessionStorage用法注意事项
yuanlijiefengjuan的博客
03-06 4384
首先要初始化$(document).ready(function(){ initSessionStorage(); }); var storage; /** * 初始化sessionStorage */ function initSessionStorage() { if(!window.sessionStorage){ alert("浏览器不支持sessio...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值