shiro框架-集成spring-集成springboot

已于 2023-08-16 14:19:50 修改
阅读量524 收藏 1
点赞数 1
分类专栏: 各种技术框架 文章标签: 学习
于 2022-05-19 21:41:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytyDaMoTou/article/details/124872123
版权

目录

一 shiro基本原理

1.1 简介

1.2 ShiroFilter 的工作原理

1.3 shiro中的过滤器

1.4 Shiro三大组件

1.5 Authentication 和 Authorization方法

1.6 shiro的工作流程

1.7 shiro的优点有哪些?

二 集成spring

2.1 基础配置

2.2 使用方式

三 集成springboot

3.1 导入依赖

3.2 配置实现

一 shiro基本原理

1.1 简介

        Apache Shiro 是一个强大且易用的 Java 安全框架

        Shiro可以帮我们完成 :认证授权、加密、会话管理、与 Web 集成、缓存等。

主要功能:
        Subject(用户):当前的操作用户 获取当前用户Subject sj = SecurityUtils.getSubject()
        SecurityManager(安全管理器):Shiro的核心,负责与其他组件进行交互,实现 subject 委托的各种功能
        Realms(数据源) :Realm会查找相关数据源,充当与安全管理间的桥梁,经过Realm找到数据源进行认证,授权等操作
        Authenticator(认证器): 用于认证,从 Realm 数据源取得数据之后进行执行认证流程处理。
        Authorizer(授权器):用户访问控制授权,决定用户是否拥有执行指定操作的权限。
        SessionManager (会话管理器):支持会话管理
        CacheManager (缓存管理器):用于缓存认证授权信息
        Cryptography(加密组件):提供了加密解密的工具包

1.2 ShiroFilter 的工作原理

1.3 shiro中的过滤器

过滤器的名称Java 类
anonorg.apache.shiro.web. lter.authc.AnonymousFilter
authcorg.apache.shiro.web. lter.authc.FormAuthenticationFilter
logoutorg.apache.shiro.web. lter.authc.LogoutFilter
perms

org.apache.shiro.web. lter.authz.PermissionsAuthorizationFilter

anon: 匿名处理过滤器,即不需要登录即可访问;一般用于静态资源过滤;/static/**=anon
authc: 表示需要认证(登录)才能使用;(放最后) /**=authc
logout: 注销过滤器 /logout=logout
roles: 角色授权过滤器,验证用户是否拥有资源角色; 

1.4 Shiro三大组件

1、Subject :当前用户的操作

2、SecurityManager:用于管理所有的Subject

3、Realms:用于进行权限信息的验证

1.5 Authentication 和 Authorization方法

在shiro的用户权限认证过程中其通过两个方法来实现:

1、Authentication:是验证用户身份的过程。

2、Authorization:是授权访问控制,用于对用户进行的操作进行人证授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

1.6 shiro的工作流程

1、应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager

2、我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断

1.7 shiro的优点有哪些?

1、简单的身份验证,支持多种数据源

2、对角色的简单授权,支持细粒度的授权(方法)

3、支持一级缓存,以提升应用程序的性能

4、内置基于POJO的企业会话管理,适用于web及非web环境

5、非常简单的API加密

6、不跟任何框架绑定,可以独立运行

二 集成spring

2.1 基础配置

web.xml文件添加如下

    <!-- shiro权限 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>*.action</url-pattern>
        <url-pattern>*.html</url-pattern>
        <url-pattern>*</url-pattern>
    </filter-mapping>

添加配置文件applicationContext_shiro.xml,内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
                        http://www.springframework.org/schema/beans/spring-beans.xsd"> 
                        
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">        
        <property name="securityManager" ref="securityManager" />        
        <property name="loginUrl" value="/login.html" /> 
        <property name="unauthorizedUrl" value="/error.html" /> 
        <property name="filterChainDefinitions">
            <value>                    
                /error.html = anon                                
                /*.html = authc                    
            </value>
        </property>
    </bean>
    
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="gztRealm"></property>
    </bean>
    <bean id="gztRealm" class="com.gztpay.resource.filter.GztRealm">  
    </bean>
</beans>

2.2 使用方式

新建工具类GztRealm.java,代码如下:

import java.util.List;

import javax.servlet.http.HttpSession;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.gztpay.resource.bean.Menu;
import com.gztpay.resource.bean.UserLogin;
import com.gztpay.resource.service.MenuService;
import com.gztpay.resource.service.UserLoginService;


public class GztRealm extends AuthorizingRealm{
    
    @Autowired
    private UserLoginService loginService;
    
    @Autowired
    private MenuService menuService;
    
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
        //得到令牌
        UsernamePasswordToken token = (UsernamePasswordToken) arg0;
        String username = token.getUsername();
        String password = new String(token.getPassword());
        UserLogin login = loginService.login(username, password);
        if (login == null) {
            return null;
        }
        return new SimpleAuthenticationInfo(login, password, getName());
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
        System.out.println("执行了授权方法....");
        UserLogin userLogin = (UserLogin) arg0.getPrimaryPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        List<Menu> menus = menuService.searchMenusByParentId("0");
        for (Menu menu : menus) {
            info.addStringPermission(menu.getMenuname());
        }
        System.out.println("结束了授权方法....");
        return info;
    }

}

新建controller类,内容如下:

import java.util.List;

import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

import com.gztpay.resource.bean.UserLogin;
import com.gztpay.resource.service.UserLoginService;
import com.gztpay.utils.FastJsonUtils;

@Controller
@RequestMapping("user")
public class UserLoginController {

    

        @Autowired
        private UserLoginService loginService;

    /**
     * 用户登录
     * 
     * @param model
     * @param session
     * @param username
     * @param password
     * @return
     */
    @RequestMapping("login")
    public String login(Model model, HttpSession session, String username, String password) {
        model.addAttribute("username", username);
        // 1 创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 2 获取subject(主题)
        Subject subject = org.apache.shiro.SecurityUtils.getSubject();
        // 执行认证
        try {
            subject.login(token);// 会跳到我们自定义的realm中
            session.setAttribute("username", username);
            UserLogin userLogin = (UserLogin) subject.getPrincipal();
            model.addAttribute("name", userLogin.getName());
            return "index";
        } catch (Exception e) {
            model.addAttribute("userError", "用户名或密码错误!");
            session.setAttribute("username", username);
            return "login";
        }
    }

    /**
     * 安全退出
     * 
     * @param session
     * @return
     */
    @RequestMapping("loginOut")
    public String loginOut(HttpSession session) {
        try {
            Subject subject = org.apache.shiro.SecurityUtils.getSubject();
            subject.logout();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "login";
    }

    
    /**
     * 角色管理
     */
    @RequestMapping("toRole")
    public String role() {
        return "role";
    }

    @RequestMapping("listByPage")
    public void listByPage(HttpServletResponse response) {
        List<UserLogin> list = loginService.findUser();
        FastJsonUtils.write_json(response, list);
    }

    /**
     * 修改密码
     */
    @RequestMapping("editPwd")
    public void editPwd(HttpServletResponse response, HttpSession session, String newpass, String pwd) {
        Subject subject = org.apache.shiro.SecurityUtils.getSubject();
        UserLogin userLogin = (UserLogin) subject.getPrincipal();
        int i = loginService.editPwd(userLogin.getUsername(), pwd, newpass);
        if (i == 0) {
            FastJsonUtils.write_json(response, "原密码输入错误,请重新输入");
        } else {
            FastJsonUtils.write_json(response, "修改成功!");
        }
    }
}

三 集成springboot

3.1 导入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.7.0</version>
</dependency>

3.2 配置实现

新建ShiroConfig.java类,代码如下:

package com.test.config;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    
    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

    //将自己的验证方式加入容器
    @Bean
    public ShiroRealm myShiroRealm() {
        ShiroRealm customRealm = new ShiroRealm();
        return customRealm;
    }

    //权限管理,配置主要是Realm的管理认证
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> filterMap = new HashMap<String, String>();
        // 登出
        filterMap.put("/logout", "logout");
        // swagger
        filterMap.put("/swagger**/**", "anon");
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/v2/**", "anon");
        // 对所有用户认证
        filterMap.put("/**", "authc");
        // 登录
        shiroFilterFactoryBean.setLoginUrl("/loginPage");
        // 首页
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        // 免登陆地址
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/favicon.ico", "anon");
        filterMap.put("/agreement", "anon");
        filterMap.put("/privacy", "anon");
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/lay/**", "anon");
        filterMap.put("/js/**", "anon");
        filterMap.put("/image/**", "anon");
        filterMap.put("/error", "anon");
        filterMap.put("/login", "anon");
        filterMap.put("/register", "anon");
        filterMap.put("/api/login", "anon");
        filterMap.put("/system/user/findPwd", "anon");
        filterMap.put("/sendCode", "anon");
        filterMap.put("/api/sendCode", "anon");
        filterMap.put("/logout", "anon");
        filterMap.put("/api/logout", "anon");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

  
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

新建ShiroRealm.java类,内容如下:

package com.test.config;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;

import com.test.entity.Menu;
import com.test.entity.Role;
import com.test.entity.User;
import com.test.service.UserService;

public class ShiroRealm extends AuthorizingRealm {

    
    @Autowired
    private UserService userService;
    
    

    /**
     * @MethodName doGetAuthorizationInfo
     * @Description 权限配置类
     * @Param [principalCollection]
     * @Return AuthorizationInfo
     * @Author WangShiLin
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("执行了授权方法....");
        User user = (User) principals.getPrimaryPrincipal();
        //添加角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        for (Role role : user.getRoles()) {
            //添加角色
            simpleAuthorizationInfo.addRole(role.getName());
            //添加权限
            for (Menu menu : role.getMenus()) {
                simpleAuthorizationInfo.addStringPermission(menu.getMenuName());
            }
        }
        System.out.println("结束了授权方法....");
        return simpleAuthorizationInfo;
    }

    /**
     * @MethodName doGetAuthenticationInfo
     * @Description 认证配置类
     * @Param [authenticationToken]
     * @Return AuthenticationInfo
     * @Author WangShiLin
     * @RequiresPermissions("create")
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (StringUtils.isEmpty(authenticationToken.getPrincipal())) {
            return null;
        }
        //获取用户信息
        String name = authenticationToken.getPrincipal().toString();
        User user = userService.findUsername(name);
        if (user == null) {
            //这里返回后会报出对应异常
            return null;
        } else {
            //这里验证authenticationToken和simpleAuthenticationInfo的信息
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
            return simpleAuthenticationInfo;
        }
    }
}

新建controller类,代码如下:

package com.test.controller;


import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.annotation.Logical;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;
import com.test.entity.User;
import com.test.utils.R;

import lombok.extern.slf4j.Slf4j;


@RestController
@Slf4j
public class UserController {

    @PostMapping("/login")
    public R login(@RequestParam(value = "account") String account,
                                  @RequestParam(value = "password") String password) {
        Subject userSubject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(account, password);
        try {
            // 登录验证
            userSubject.login(token);
            return R.ok();
        } catch (UnknownAccountException e) {
            return R.failed("账户不存在");
        } catch (DisabledAccountException e) {
            return R.failed("账户不可用");
        } catch (IncorrectCredentialsException e) {
            return R.failed("账户无权限");
        } catch (Throwable e) {
            e.printStackTrace();
            return R.failed("用户名或密码错误");
        }
    }

    @GetMapping("/role")
    @RequiresRoles("super")
    public String role() {
        return"超级管理员角色";
    }

    @GetMapping("/permission")
    @RequiresPermissions(value = {"add", "update"}, logical = Logical.AND)
    public String permission() {
        return"新增或编辑权限";
    }
}

天雨编程
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro-spring
m0_46392290的博客
05-17 390
前言 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序, 从最小的移动应用程序到最大的网络和企业应用程序。 核心组件 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 SecurityManager:它是Shiro框架的核心,
Shiro整合Spring的配置及解释
↓ ↓ ↓ ↓
03-13 1806
Shiro整合Spring的配置详解1.首先加入ShiroSpring对应的jar包,我是使用的maven添加.附上pom文件:&lt;properties&gt; &lt;!-- spring版本 --&gt; &lt;spring.version&gt;4.1.7.RELEASE&lt;/spring.version&gt; &lt;!-- Shiro版本 --&gt...
2024年最新Spring Boot 整合 Shiro ,两种方式全总结!,linux知识点总结
最新发布
2301_79099416的博客
05-09 381
创建一个 Spring Boot 项目,只需要添加 Web 依赖即可:项目创建成功后,加入 Shiro 相关的依赖,完整的 pom.xml 文件中的依赖如下:shiro-web1.4.01.4.0接下来我们来自定义核心组件 Realm:@Override@Overrideif (!throw new UnknownAccountException(“账户不存在!”);在 Realm 中实现简单的认证操作即可,不做授权,授权的具体写法和 SSM 中的 Shiro 一样,不赘述。
shiro(二):springboot整合shiro
weixin_39724194的博客
02-01 895
/自定义realm public class CustomRealm1 extends AuthorizingRealm {//从传过来的token获取到的用户名 String principal =(String) token . getPrincipal();System . out . println("用户名" + principal);//假设是从数据库获得的 用户名,密码 String password_db = "123";} }
SpringWeb集成Shiro
小凯的博客
03-06 367
SpringWeb集成Shiro的demo
SpringBoot集成Shiro安全框架
m0_54866636的博客
08-25 202
1.shiro的作用认证、授权、加密、会话管理、Web集成、缓存2.shiro的名词:身份认证/登录,验证用户是不是拥有相应的身份:授权,即权限 管理,验证某个人已经登录的人是否拥有某些权限:会话管理,即用户登录后就是一次会话,在没有退出之前所有的信息都是在会话中。。:加密,保护数据的安全性,密码加密:Web支持,可以非常容易的集成到web环境Caching:缓存,比如用户登录之后,他的用户信息,权限不必每次去查:shiro支持多线程应用兵法验证,即如果在一个线程中开启另外一个线程,权限会自动传递过去。
springboot-shiro整合集成教程
10-12
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能。 Shiro 简介 Apache Shiro 是一个开放源代码的安全框架,...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
my-spring-boot集成shiro
04-18
spring-boot集成shiro基本框架,下载之后修改配置:application.properties
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:https://blog.csdn.net/weixin_42686388/article/details/103084289
Shiro 1.7.0所需jar包
01-18
Shiro开发所需1.7.0 Jar包 一次性下载使用
shiro整合spring项目实例
11-04
shiro整合spring项目实例,shiro整合spring项目实例,shiro整合spring项目实例
ShiroSpringBoot整合
小凯的博客
03-03 1110
Shrio整合springboot及相关案例解析
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 2491
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
集成shiro
高精尖发展
01-18 3269
基础概念 1、UsernamePasswordToken,用来封装用户登录信息 public UsernamePasswordToken(final String username, final char[] password, final boolean rememberMe, final String host) { this.username = username; this.password
MySQL 之1045错误
热门推荐
天雨的博客
11-13 3万+
今天登录我的MySQL数据库,可是数据库竟然报错1045,整了很久才解决掉,以下是我解决的办法,和大家分享。 在网上得到的最多的信息就是数据库用户密码不对,我试过各种我记得密码当是还是不行,无奈之下只能重新设置密码。步骤如下: 1.首先在cmd运行窗口 a.启动mysql数据库:net start mysq; b.mysql -u root -p 回车 在Enter pas
Spring集成Shiro框架实战
u011047968的专栏
09-06 263
文章目录一:什么是Shiro框架二:Shiro框架简介1、Shiro基础功能点介绍2、Shiro的工作原理3、Shiro的内部工作结构4、Shiro的身份认证流程![图3](https://img-blog.csdnimg.cn/20200905230140780.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTEwNDc5Njg=,size
springboot集成shiro框架
06-28
### 回答1: Spring Boot 集成 Shiro 框架可以实现在应用中实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件中添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 配置 Shiro 在 `application.properties` 或 `application.yml` 文件中添加 Shiro 的相关配置,如 Shiro 的过滤器、安全管理器、Realm 等。 ```yaml # 配置 Shiro 的过滤器 shiro: filter: anon: anon authc: authc # 配置 Shiro 的安全管理器和 Realm shiro: securityManager: realm: myRealm ``` 3. 实现 Realm Realm 是 Shiro 的核心组件之一,需要实现自己的 Realm 类,用于提供认证和授权数据。 ```java public class MyRealm extends AuthorizingRealm { // 认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现认证逻辑 } // 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现授权逻辑 } } ``` 4. 使用 Shiro 在需要进行安全认证、权限控制的地方,可以使用 Shiro 提供的 API 进行操作。 ```java // 获取当前用户的信息 Subject subject = SecurityUtils.getSubject(); Object principal = subject.getPrincipal(); // 判断当前用户是否具有某个角色 boolean hasRole = subject.hasRole("admin"); // 判断当前用户是否具有某个权限 boolean hasPermission = subject.isPermitted("user:update"); ``` 这是一个大致的 Spring Boot 集成 Shiro 的步骤,具体实现方式可以根据自己的需求进行调整。 ### 回答2: Spring Boot 是一个快速开发框架Shiro 是一个安全框架,它们的集成可以帮助开发人员快速构建安全的 Web 应用程序。 为了将 Shiro 集成Spring Boot 中,首先需要在 Maven POM 文件中引入 Shiro 的依赖库。例如,以下 POM 文件中添加了 Shiro Spring Boot 的 Starter 依赖库: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.0</version> </dependency> ``` 集成过程中,需要在应用程序中添加一个 Shiro 配置类,该类可以加载各种 Shiro 过滤器,用于对 URL 是否需要进行授权认证等操作,示例代码如下: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilter(@Autowired SecurityManager securityManager){ ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); bean.setSecurityManager(securityManager); Map<String, String> chains = new HashMap<>(); chains.put("/login", "anon"); chains.put("/css/**", "anon"); chains.put("/js/**", "anon"); chains.put("/**", "authc"); bean.setFilterChainDefinitionMap(chains); return bean; } @Bean public SecurityManager securityManager(@Autowired UserRealm userRealm){ DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(userRealm); return manager; } @Bean public UserRealm userRealm(){ return new UserRealm(); } } ``` 在这个例子中,我们为登录页、CSS、JS 等 URL 设置了“anon”过滤器,表示这些 URL 不需要进行认证,而其他 URL 都需要进行认证。此外,我们还提供了一个 UserRealm,用于提供用户的认证和授权。 最后,我们需要在应用程序中启用 Shiro,例如在启动主类里加入 @EnableShiro 注解: ```java @EnableShiro @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 这样,我们就完成了 Shiro集成。使用 Shiro,开发人员可以方便地进行用户认证和授权,保障 Web 应用程序的安全性。 ### 回答3: Spring Boot是一个非常流行的Java Web框架,它可以通过添加各种插件来轻松集成许多其他框架和库。Shiro是一个全面的安全框架,提供了身份验证、授权、密码编码等功能,与Spring Boot的集成也非常容易。 下面是一些简要的步骤来集成Spring Boot和Shiro框架: 1. 首先,需要在pom.xml文件中添加ShiroSpring Boot Starter Web的依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>2.3.2.RELEASE</version> </dependency> ``` 2. 然后,在应用程序的主类中添加@EnableWebSecurity注解,启用Spring Security的Web安全性支持,同时在configure(HttpSecurity http)方法中配置Shiro的安全过滤器链: ``` @Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .disable() .authorizeRequests() .antMatchers("/login").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/**").authenticated() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login").permitAll() .defaultSuccessUrl("/home.html") .and() .logout() .logoutUrl("/logout").permitAll() .deleteCookies("JSESSIONID") .logoutSuccessUrl("/login"); } @Bean public Realm realm() { return new MyRealm(); } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm()); return securityManager; } @Bean public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager()); shiroFilter.setLoginUrl("/login"); shiroFilter.setSuccessUrl("/home.html"); shiroFilter.setUnauthorizedUrl("/403.html"); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/admin/**", "authc, roles[admin]"); filterChainDefinitionMap.put("/**", "user"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; } } ``` 3. 编写自定义的Realm类,用于实现Shiro的身份验证和授权逻辑: ``` public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); for (Role role : user.getRoles()) { authorizationInfo.addRole(role.getName()); for (Permission permission : role.getPermissions()) { authorizationInfo.addStringPermission(permission.getPermission()); } } return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); User user = userService.findByUsername(username); if (user != null) { return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } else { throw new UnknownAccountException(); } } } ``` 4. 最后,在Controller中使用Shiro提供的Subject来实现身份验证和授权: ``` @Controller public class HomeController { @RequestMapping(value = "/home.html", method = RequestMethod.GET) public String home() { Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isAuthenticated()) { return "home"; } else { return "redirect:/login"; } } @RequestMapping(value = "/admin/index.html", method = RequestMethod.GET) public String admin() { Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isAuthenticated() && currentUser.hasRole("admin")) { return "admin"; } else { return "redirect:/login"; } } @RequestMapping(value = "/login", method = RequestMethod.GET) public String login() { return "login"; } } ``` 使用以上步骤实现了Spring Boot集成Shiro框架,完成了基本的身份验证和授权操作。实现后就可以进行测试,通过Shiro的身份验证和授权功能保证系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天雨编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值