Springboot-4 整合shiro

最新推荐文章于 2022-09-01 09:13:40 发布
最新推荐文章于 2022-09-01 09:13:40 发布
阅读量150 收藏
点赞数
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yu13843271857/article/details/94415112
版权

1.什么是shiro(以下内容来源于百度,红色字体为重点内容,主要使用的功能)

Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。

Apache Shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是Shiro却不是这样子的。一个好的安全框架应该屏蔽复杂性,向外暴露简单、直观的API,来简化开发人员实现应用程序安全所花费的时间和精力。

Shiro能做什么呢?

  • 验证用户身份
  • 用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限
  • 在非 web 或 EJB 容器的环境下可以任意使用Session API
  • 可以响应认证、访问控制,或者 Session 生命周期中发生的事件
  • 可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
  • 支持单点登录(SSO)功能
  • 支持提供“Remember Me”服务,获取用户关联信息而无需登录

等等——都集成到一个有凝聚力的易于使用的API。

Shiro 致力在所有应用环境下实现上述功能,小到命令行应用程序,大到企业应用中,而且不需要借助第三方框架、容器、应用服务器等。当然 Shiro 的目的是尽量的融入到这样的应用环境中去,但也可以在它们之外的任何环境下开箱即用。

Apache Shiro Features 特性

Apache Shiro是一个全面的、蕴含丰富功能的安全框架。下图为描述Shiro功能的框架图:

Authentication(认证), Authorization(授权), Session Management(会话管理), Cryptography(加密)被 Shiro 框架的开发团队称之为应用安全的四大基石。那么就让我们来看看它们吧:

  • Authentication(认证):用户身份识别,通常被称为用户“登录”
  • Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。
  • Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。
  • Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。

还有其他的功能来支持和加强这些不同应用环境下安全领域的关注点。特别是对以下的功能支持:

  • Web支持:Shiro 提供的 web 支持 api ,可以很轻松的保护 web 应用程序的安全。
  • 缓存:缓存是 Apache Shiro 保证安全操作快速、高效的重要手段。
  • 并发:Apache Shiro 支持多线程应用程序的并发特性。
  • 测试:支持单元测试和集成测试,确保代码和预想的一样安全。
  • “Run As”:这个功能允许用户假设另一个用户的身份(在许可的前提下)。
  • “Remember Me”:跨 session 记录用户的身份,只有在强制需要时才需要登录。

注意: Shiro不会去维护用户、维护权限,这些需要我们自己去设计/提供,然后通过相应的接口注入给Shiro

High-Level Overview 高级概述

在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。

  • Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。
  • SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
  • Realms:用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

2.引入依赖

3.添加shiroConfig配置类,相当于配置一个SSM项目中配置了一个XML文件 

package com.example.hz.config.shiro;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.mgt.RememberMeManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.Cookie;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;
import org.springframework.web.servlet.HandlerExceptionResolver;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * 整合shiro配置文件 @Configuration相当于配置一个xml文件,可以理解为一个beans
 * 1.设置 ShiroFilterFactoryBean
 * 2.设置 SecurityManager
 * 3.设置 Realm
 *    huazhou.add 20190623
 */
//该注解将当前类定义为配置类,相当于xml中的beans
@Configuration
public class ShiroConfig {

    /**
     *   ShiroFilterFactoryBean
     *   是个拦截器器,请求在进入controller之前进行过滤
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired SecurityManager manager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        System.out.println("【Shiro拦截器】工厂类注入开始");
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(manager);
        //设置shiro内置请求过滤器
        /**
         * 过滤器规则:
         *      anon:无需登录
         *      authc:需要登陆认证才可访问
         *      user:如果使用rememberMe功能可以直接访问
         *      perms:得到资源权限才可以访问
         *      role:必须得到角色权限才可以访问
         */
        Map<String, String> filterMap = new LinkedHashMap<String, String>();

        filterMap.put("/index","anon");
        filterMap.put("/logout","logout");
        filterMap.put("/common/**","anon");
        filterMap.put("/css/**","anon");
        filterMap.put("/img/**","anon");
        filterMap.put("/js/**","anon");
        filterMap.put("/login","anon");
        //其余接口统一需要拦截,放在最后保证之前设置的不被影响
        filterMap.put("/**","authc");

        //未登录用户跳转页面(登陆页面)
        shiroFilterFactoryBean.setLoginUrl("/login.html");
        //登陆成功后跳转的页面
        shiroFilterFactoryBean.setSuccessUrl("/index.html");
        //退出页面
        //设置无权限跳转页面
        //shiroFilterFactoryBean.setUnauthorizedUrl("/unAuth");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        System.out.println("【Shiro拦截器】工厂类注入结束");
        return shiroFilterFactoryBean;
    }

    /**
     *  SecurityManager负责管理Realm,可以有多个规则
     */
    @Bean
    public SecurityManager  getSecurityManager(@Autowired MyRealm myRealm,
                                               @Autowired RememberMeManager rememberMeManager,
                                               @Autowired CacheManager cacheManager){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm); //权限验证
        securityManager.setCacheManager(cacheManager);  //缓存
        securityManager.setRememberMeManager(rememberMeManager);   //记住我
        //SecurityManager(org.apache.shiro.web.mgt.DefaultWebSecurityMana),注意引包问题
        return securityManager;
    }

    /**
     * Realm(放入spring容器管理)
     * 认证授权规则,自己实现规则
     */
    @Bean
    public  MyRealm getRealm(@Autowired HashedCredentialsMatcher hashedCredentialsMatcher){
        MyRealm myRealm = new MyRealm();
        myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
        return myRealm;
    }

    /**
     * 密码校验规则HashedCredentialsMatcher
     * 这个类是为了对密码进行编码的 ,
     * 防止密码在数据库里明码保存 , 当然在登陆认证的时候 ,
     * 这个类也负责对form里输入的密码进行编码
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //加密方式
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //加密次数
        hashedCredentialsMatcher.setHashIterations(1024);
        return hashedCredentialsMatcher;
    }

    /**
     * 记住我
     * @return
     */
    @Bean
    public RememberMeManager rememberMeManager() {
        Cookie cookie = new SimpleCookie("rememberMe");
        cookie.setHttpOnly(true);//通过js脚本将无法读取到cookie信息
        cookie.setMaxAge(60 * 60 * 24);//cookie保存一天
        CookieRememberMeManager manager=new CookieRememberMeManager();
        manager.setCookie(cookie);
        return manager;
    }

    /**
     * 缓存
     */
    @Bean
    public CacheManager cacheManager() {
        MemoryConstrainedCacheManager cacheManager=new MemoryConstrainedCacheManager();//使用内存缓存
        return cacheManager;
    }

    /**
     * 注册全局异常处理
     * @return
     */
    @Bean(name = "exceptionHandler")
    public HandlerExceptionResolver handlerExceptionResolver(){
        return new GlobalExceptionResolver();
    }

}

4.实现自己的域MyRealm 

package com.example.hz.config.shiro;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.example.hz.entity.HzUser;
import com.example.hz.service.IHzUserService;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

/**
 *  创建自己的realm,可以是多个,必须继承 AuthorizingRealm
 *  自定义用户登陆认证及授权规则
 *      *  1.登陆认证   doGetAuthenticationInfo
 *      *  2.授权   doGetAuthorizationInfo
 *  huazhou.add  20180623
 *
 */
@Slf4j
public class MyRealm extends AuthorizingRealm {

    @Autowired
    private IHzUserService iHzUserService;
    /**
     * 执行授权逻辑
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("【MyRealm授权】:执行授权逻辑开始");
        //1.获取登陆用户信息
        HzUser user  = (HzUser) principalCollection.getPrimaryPrincipal();
        //2.根据用户信息查询用户权限

        //3.添加用户角色所应有的权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        System.out.println("【MyRealm授权】:执行授权逻辑结束");
        return simpleAuthorizationInfo;
    }

    /**
     * 1.
     * 执行认证逻辑
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("【MyRealm登陆认证】:执行认证逻辑开始");
        //1.获取登陆用户信息
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //2.查询信息是否存在
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("login_name",token.getUsername());
        HzUser user = iHzUserService.getOne(wrapper);
        if(null == user ){
            throw new UnknownError("用户不存在");
        }
        if(0 == user.getStatus()){
            throw new DisabledAccountException("用户登录状态为不禁用状态,请联系系统管理员");
        }

        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user,user.getPassword(),
                ByteSource.Util.bytes(user.getSalt()),getName());
        System.out.println("【MyRealm登陆认证】:执行认证逻辑结束");
        return simpleAuthenticationInfo;
    }

    public static void main(String[] args) {
        //算出盐值
        String credentials="123456";
        String salt="10086";
        String hashAlgorithmName="MD5";
        int hashIterations=1024;
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
        System.out.println(simpleHash);

    }
}

 

这个人有点懒儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 是一个功能强大且易用的 Java 安全框架,用于身份验证、授权、加密和会话管理
BLOG域名:programb.blog.csdn.net
05-20 1751
Apache Shiro 是一个强大且灵活的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等一系列功能,帮助开发者构建安全的应用程序。以下是 Apache Shiro 的一些主要特点:身份验证:Shiro 提供了强大的身份验证功能,支持多种认证机制,如用户名/密码、LDAP、OAuth、OpenID 等。它还支持自定义身份验证逻辑,以满足特定应用的需求。 授权:Shiro 提供了基于角色的访问控制(RBAC)和基于资源的访问控制(ABAC)等授权机制。它允许你定义角色、权限和资源的层次结构,并
springboot---整合shiro
likunpeng6656201的博客
07-28 150
Shiro是一个非常不错的权限框架,它提供了登录和权限验证功能 1.创建数据库脚本 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Table structure for module -- ---------------------------- DROP TABLE IF EXI...
spring-boot(八) springboot整合shiro-登录认证和权限管理
weixin_34376986的博客
01-17 402
学习文章:springboot(十四):springboot整合shiro-登录认证和权限管理 Apache Shiro What is Apache Shiro? Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是Shiro却...
springboot + shiro+登录 微信登录 次数验证资料
weixin_34072857的博客
04-17 112
分享一个朋友的人工智能教程。零基础!通俗易懂!风趣幽默!大家可以看看是否对自己有帮助,点击查看教程。 1.https://blog.csdn.net/xtiawxf/article/details/52571949 https://blog.csdn.net/hxm_code/article/details/50136173 https://blog.csdn.net/melodykk...
2021-07-19 shiro启动测试代码。
qq_46614159的博客
07-19 179
/* * Licensed to the Apache Software Foundation (ASF) under one * or more contributor license agreements. See the NOTICE file * distributed with this work for additional information * regarding copyright ownership. The ASF licenses this file * to y.
SpringBoot Shiro 微信用户再次登录实现免密登录
a8888426的专栏
12-16 1300
转载:https://liuyanzhao.com/9318.html
Springboot-Shiro整合
hxy1625309592的博客
05-17 216
1.1 Shiro基本简介 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话
springboot-vue-shiro-权限整合
01-06
springboot+vue+shiro 前后盾分离,权限整合,vue路由配置解析,有sql语句,shiro 权限验证。
springboot-08-shiro.rar
03-31
SpringBoot整合Shiro实战详解》 在现代Java Web开发中,SpringBoot以其简洁的配置、快速的开发效率以及强大的生态系统成为了主流框架。而Shiro则是一款轻量级的安全框架,它提供了身份验证、授权、会话管理和安全...
springboot-shiro
10-18
SpringBootShiro构建细粒度动态权限管理系统详解》 在现代Web开发中,权限管理是不可或缺的一部分,尤其对于企业级应用来说更是如此。SpringBoot以其轻量级、便捷的特性,已经成为Java开发的首选框架之一。而...
shiro 所需JAR包
08-14
java web开发中shiro所用的jar包 shiro-all-1.2.3 slf4j-api-1.6.1 slf4j-log4j-1.6.1 log4j
SpringBoot-Shiro整合权限管理源码
04-24
SpringBoot整合Shiro使得权限管理变得简单易行,它提供了灵活的认证和授权机制。通过阅读和理解`springboot-shiro`的源码,开发者可以快速上手,并在实际项目中实现高效的权限管理功能。记得在实际操作中,根据项目...
springboot-shiro整合集成教程
10-12
SpringBoot整合Shiro,你需要完成以下步骤: 1. 添加Shiro的Maven依赖到你的SpringBoot项目中。 2. 配置SecurityManager,设置 Realm 以连接到你的应用程序的数据源。 3. 编写 Realm 类,实现认证和授权逻辑,...
为什么要用shiro框架_Java高级框架 - Shiro Day16
weixin_39839968的博客
11-26 798
Shiro权限框架目录 1. Shiro概述 1.1. Shiro是什么 What is Apache Shiro? 1.2. 为什么需要使用Shiro(兴趣点) 1.3. Shiro的下载 1.4. 包说明 1.5. Shiro结构图 2. Shiro入门 2.1. 访问流程图 2.2. 配置步骤说明 2.3. 配置步骤 2.3.1. 第一步:导入包 2.3.2. 第二步:shiro.ini配置...
Shiro进行认证授权
weixin_44236113的博客
01-06 243
AuthenticatingRealm类是用来获取数据的类,是一个抽象类,默认获取配置文件中的数据的子类为SimpleAccountRealm,想要获取数据库中的数据需要自己定义一个实现类extends AuthenticatingRealm,该类中只有认证方式。想要即有认证方法,也存在授权方法,需要去继承 AuthorizingRealm 类,该类实现了 AuthenticatingRealm,...
shiro引入三部曲
m0_51392342的博客
04-04 760
shiro引入,还有很多问题待处理。。。
shiro教程(3):shiro授权
weixin_34261739的博客
04-15 107
1 shiro授权 1.1 授权流程 1.2 授权方式Shiro 支持三种方式的授权:1、编程式:通过写if/else 授权代码块完成:Subject subject = SecurityUtils.getSubject();if(subject.hasRole(“admin”)) {//有权限} else {//无权限}2、注解式:通过在执行的Java方法上放置相应的注解完成:@Requires...
Apache Shiro 配置
bsegebr的博客
09-01 712
我们经常将这种方法认为是“可怜人的(poor man’s)”的依赖注入,虽然不及成熟的Spring/Guice/JBoss的XML文件强大,但你会发现它可以做很多事情而且并不复杂,当然当那配置途径也可以使用,但对shiro来讲并不是必须的。如果你不希望[users]区域下的密码以明文显示,你可以用你喜欢的哈希算法(MD5, Sha1, Sha256, 等)来加密它们,将加密后的字符串作为密码值,默认的,密码建议用16位编码算法,但也可以用64位编码算法替代(如下)。...
563、基于TP4056+DC/DC设计的5V、3A直流UPS电源设计(原理图、PCB图)
最新发布
09-01
563、基于TP4056+DC/DC设计的5V、3A直流UPS电源设计(原理图、PCB图) 该设计为基于TP4056+DC/DC设计的5V、3A直流UPS电源设计,实现5V、3A直流UPS供电设计; 功能实现如下: 1、一款5V 3A的直流UPS。 2、5V直流输入可选择TYPE-C或者5mm直流电源座。 3、5V直流输出可选择USB口或者焊线输出。 4、TP4056充电管理芯片; 5、DC/DC开关电源设计,实现5V、3A直流输出;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值