如何使用Shiro和Redis优雅的搭建一个简单的角色验证框架

最新推荐文章于 2024-06-05 18:02:56 发布
最新推荐文章于 2024-06-05 18:02:56 发布
阅读量188 收藏
点赞数 2
文章标签: redis 数据库 缓存 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanyajieh/article/details/132127458
版权

新手上路:使用Shiro快速搭建一个角色验证框架

前言

相信很多Shiro新手都和我一样,刚上手Shiro时候一脸懵。Realm不是个权限库吗?怎么会做认证和校验的活儿?为什么在Shiro的配置文件里又见到它了?Redis怎么集成到Shiro?Session储存的值怎么交给Redis管理?且看我用一个简单的小demo一一道来。

demo要求

1、角色共有三个:教师、学生、管理员。
2、教师和学生分别使用工号和学号登录,管理员算在教师内。
3、登录时完成身份验证和权限验证。
4、认证信息和权限信息交给Redis存储。
5、Session内存储的信息交给Redis存储。

第一步:设计角色与权限

根据要求,我们需要建两张表:学生表和教师表,在教师表中设计一个字段用来区分教师和管理员。
角色设计思路:工号和学号不会重复,所以可以使用工号和学号在数据库中查询老师和学生。从老师表中查出的赋予老师角色,从学生表中查出的赋予学生角色。

1、教师表:

CREATE TABLE `teacher`  (
  `t_id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `job_id` varchar(32) NULL DEFAULT '' COMMENT '工号',
  `password` varchar(32) NULL COMMENT '密码',
  `status` tinyint NULL COMMENT '状态码,0为教师,1为管理员',
  PRIMARY KEY (`t_id`)
);

在这里插入图片描述
2、学生表:

CREATE TABLE `spring`.`Untitled`  (
  `s_id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `stu_id` varchar(32) NULL COMMENT '学号',
  `password` varchar(32) NULL COMMENT '密码',
  PRIMARY KEY (`s_id`)
);

在这里插入图片描述
现在开始我们来配置Shiro

第二步:引入依赖、配置Realm

引入Shiro依赖:

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.10.0</version>
        </dependency>

我们来看一下登录鉴权的流程
在这里插入图片描述
也就是说subject在登陆时,底层是到Realm进行认证和授权。那么我们就可以新建一个Realm类,继承AuthorizingRealm类,重写这两个方法,定义我们自己的认证和授权方式。

@Component
public class DefinitionRealm extends AuthorizingRealm {
    @Autowired
    private StudentService studentService;
    @Autowired
    private TeacherService teacherService;

    /**
     * 授权方法
     * */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("鉴权发生");
        //获得主身份信息
        String principal = (String) principalCollection.getPrimaryPrincipal();
        //根据用户名获取当前用户的角色信息、权限信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //获取角色
        //如果角色为学生,给角色赋予学生权限
        Student studentByStuId = studentService.getStudentByStuId(principal);
        if(studentByStuId!=null){
            simpleAuthorizationInfo.addRole("student");
        }
        //如果角色为教师,给角色赋予教师权限
        Teacher teacherByJobId = teacherService.getTeacherByJobId(principal);
        if(teacherByJobId!=null){
            if(teacherByJobId.getStatus()==1){
                simpleAuthorizationInfo.addRole("admin");
            }else {
                simpleAuthorizationInfo.addRole("teacher");
            }
        }

        //返回角色权限
        return simpleAuthorizationInfo;
    }

    /**
     * 认证方法
     * */
    @Override
    protected  AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authToken){
        //获得用户名
        String principal = (String) authToken.getPrincipal();
        //获取学生身份信息
        Student student = studentService.getStudentByStuId(principal);
        if(student!=null){
            return new SimpleAuthenticationInfo(
                    authToken.getPrincipal(),
                    student.getPassword(),
                    principal
            );
        }
        //获取教师身份信息
        Teacher teacher = teacherService.getTeacherByJobId(principal);
        if(teacher!=null){
            return new SimpleAuthenticationInfo(
                    authToken.getPrincipal(),
                    teacher.getPassword(),
                    principal
            );
        }
        return null;
    }
}

如此一来,我们就实现了认证和授权的方法。但是我们还需要将Realm放入SecurityManager中进行管理。

第三步:创建Shiro配置文件,并将realm交给securityManager管理


@Configuration
public class ShiroConfiguration {

    @Autowired
    private DefinitionRealm realm;

	//过滤器,设置访问任何url不需要权限
	@Bean 
    public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();

        definition.addPathDefinition("/**" , "anon");
        return definition;
    }

    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();

        //给安全管理器设置realm
        defaultWebSecurityManager.setRealm(realm);
        return defaultWebSecurityManager;
    }
}

至此,我们的框架算是简单搭建好了,写个controller测试一下

@Controller
public class testController {
    @GetMapping("/login")
    @ResponseBody
    public boolean login(@RequestParam String username,
                        @RequestParam String password){
        AuthenticationToken token = new UsernamePasswordToken(username , password);
        Subject subject = SecurityUtils.getSubject();
        subject.login(token);
        return subject.hasRole("student");
    }
}

测试结果:
在这里插入图片描述
登录认证和校验完成后我们现在来配置Redis

第四步:配置Redis

引入依赖:

<dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>2.4.2.1-RELEASE</version>
            <exclusions> <!--要排除shiro-core,不然会有版本冲突-->
                <exclusion>
                    <groupId>org.apache.shiro</groupId>
                    <artifactId>shiro-core</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

在yml文件中将session类型改为Redis

  redis: # session设置redis 
  session:
    store-type: redis
    timeout: 30m

然后我们现在来配置redis作为Shiro的缓存
配置Redis的存取方法:


public class RedisCache<K , V> implements Cache<K , V> {

    private String cacheName;

    public RedisCache(){}

    public RedisCache(String cacheName){
        this.cacheName = cacheName;
    }


    @Override
    public V get(K k) throws CacheException {

        return (V) getRedisTemplate().opsForHash().get(this.cacheName,k.toString());
    }

    @Override
    public V put(K k, V v) throws CacheException {
        getRedisTemplate().opsForHash().put(this.cacheName , k.toString() , v);
        return null;
    }

    @Override
    public V remove(K k) throws CacheException {

        return (V) getRedisTemplate().opsForHash().delete(this.cacheName , k.toString());
    }

    @Override
    public void clear() throws CacheException {
        getRedisTemplate().delete(this.cacheName);
    }

    @Override
    public int size() {
        return getRedisTemplate().opsForHash().size(this.cacheName).intValue();
    }

    @Override
    public Set<K> keys() {
        return getRedisTemplate().opsForHash().keys(this.cacheName);
    }

    @Override
    public Collection<V> values() {
        return getRedisTemplate().opsForHash().values(this.cacheName);
    }

    private RedisTemplate getRedisTemplate(){
        RedisTemplate redisTemplate = (RedisTemplate) ApplicationContextUtil.getBean("redisTemplate");
        redisTemplate.setKeySerializer(new StringRedisSerializer());
        redisTemplate.setHashKeySerializer(new StringRedisSerializer());
        return redisTemplate;
    }
}

这里是配置一些Redis作为缓存的CRUD方法。
配置RedisCacheManeger:

public class RedisCacheManeger implements CacheManager {
    @Override
    public <K, V> Cache<K, V> getCache(String cacheName) throws CacheException {
        return new RedisCache<K , V>(cacheName);
    }
}

在Shiro配置文件中设置缓存管理器

@Configuration
public class ShiroConfiguration {

    @Autowired
    private DefinitionRealm realm;

	//过滤器,设置访问任何url不需要权限
	@Bean 
    public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();

        definition.addPathDefinition("/**" , "anon");
        return definition;
    }

    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
		
		//设置缓存管理器
            realm.setCacheManager(new RedisCacheManeger());
            //开启全局缓存
            realm.setCachingEnabled(true);
            //开启认证缓存,指定缓存名称
            realm.setAuthenticationCachingEnabled(true);
            realm.setAuthenticationCacheName("authenticationCache");
            //开启授权缓存,指定缓存名称
            realm.setAuthorizationCachingEnabled(true);
            realm.setAuthorizationCacheName("authorizationCache");
        //给安全管理器设置realm
        defaultWebSecurityManager.setRealm(realm);
        return defaultWebSecurityManager;
    }
}

现在我们的session和缓存管理器都已经设置好,现在测试一下运行的情况。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
现在我们的认证信息、权限信息、session都完美的存储到了数据库里,至此,小demo算是编写完成。

在这篇博客里,关于Shiro的很多知识我没有提到,比如过滤器的设置、ini文件配置。本篇博客在于教会新手如何快速上手Shiro,如果本篇博客的内容不足以支撑读者完成项目的话,可以搜一些其他的优质文章进行深入学习。

元元元元元yuan
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro教程(三)Shiro + Redis配置
qq_26321411的博客
03-14 1262
我们知道Shiro 提供了一系列让我们自己实现的接口,包括org.apache.shiro.cache.CacheManager 、org.apache.shiro.cache.Cache  等接口。那么我们要对这些做实现,就实现了 Shiro  对 Session  和用户认证信息、用户缓存信息等的缓存,存储。我们可以用缓存,如 Redis  、 memcache  、 EHCache  等,甚...
Shiro】5.整合Redis实现缓存
xiaoyuan_27的博客
01-18 1649
在前后端实际开发中,我们会大量使用注解来控制权限。在每一次执行认证或授权的操作时,Shiro都会去DB中查询身份或者权限信息。已知,身份信息和权限信息是不会经常变动的,且十分繁杂。如果同时有很多用户对系统做操作,每一次操作Shiro都需要去DB中查询身份或权限,无疑增加了数据库的压力,耗费了大量的计算资源。 为了避免上述问题,我们在设计身份和权限时,都会添加缓存。 所谓缓存,就是如果系统对该用户已经认证或授权过一次,就把该用户的身份信息或权限信息给缓存起来,当改用户再次做认证或者授权时,Shiro直接去
分布式Shiro,SpringBoot项目Shiro整合Redis
最新发布
shyの个人笔记
06-05 727
分布式Shiro,SpringBoot项目Shiro整合Redis
利用ShiroRedis优化用户信息管理模块
BigDickGZ的博客
06-10 348
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,为开发安全的应用程序提供了全面的保障。Shiro的架构简洁,易于理解和使用,同时具有高度的可扩展性。Redis是一个开源的内存数据库,数据以键值对的形式存储,支持多种数据结构。由于Redis所有数据都存储在内存中,所以其读写速度非常快,可以作为缓存来使用。通过整合ShiroRedis,我们优化了用户信息管理模块,提高了应用的性能,增强了应用的安全性。
Shiro实战系列--整合shiro-redis
IT利刃出鞘的博客
10-18 1万+
本文用实例介绍shiro通过引入shiro-redis来缓存权限。使用SpringBoot整合Shiro
shiroredis一起使用
qq_38757863的博客
06-29 589
记住我功能是要在用户登录成功以后,假如关闭浏览器,下次再访问系统资源(例如首页 doIndexUI)时,无需再执行登录操作。当我们进行授权操作时,每次都会从数据库查询用户权限信息,为了提高授权性能,可以将用户权限信息查询出来以后进行缓存,下次授权时从缓存取数据即可。第一步:在 SysUserController 中的 doLogin 方法中基于是否选中记住我,设置 token 的 setRememberMe 方法。Shiro 缓存配置。
springboot整合shiroredis(超详细案例演示)
m0_57232638的博客
07-08 3141
将Spring Boot、RedisShiro整合在一起具有多个优势。首先,通过与Spring Boot的集成,可以简化开发过程,利用其自动配置和约定优于配置的原则。其次,Redis作为高性能的缓存和存储系统,可以提供快速的数据访问和响应时间,通过与Spring Boot和Shiro的整合,可以实现更高效的会话管理和身份验证。此外,通过将Shiro的会话存储在Redis中,可以实现分布式会话管理和高可用性,并支持共享会话和无状态应用程序架构。
Shiro 整合 Redis
web18484626332的博客
08-24 3684
Shiro apache 出品的权限管理框架Redis 基于内存的 NoSQL(非关系型数据库)非常适合作为 缓存使用
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
总的来说,Spring Boot的灵活性和Shiro的安全特性,加上Redis的高性能存储,Swagger的API管理,以及Filter的自定义扩展,共同构建了一个强大且实用的Web应用框架。对于任何需要构建安全Web应用的开发者来说,这些都...
spring boot基础框架(ssm+shiro+redis)
03-05
Spring Boot基础框架结合了SSM(Spring、Spring MVC、MyBatis)与Shiro安全框架以及Redis缓存技术,构建了一个高效、便捷的后端开发环境。以下将详细阐述这些技术及其在项目中的应用。 首先,Spring Boot是Spring...
springboot-shiro-redis
02-04
接下来,**Apache Shiro** 是一个强大的、易于使用的Java安全框架,主要处理身份验证(登录)、授权(权限控制)、加密和会话管理。Shiro的主要目标是为开发者提供一个简单易用但功能全面的安全API,使得开发者可以...
SSM+Shiro+redis实现单点登陆
11-23
ssm+shiro+redis整合认证权限实现单点登陆仅供开发者参考使用
shiro-redisson基于RedisShiroCache和Session实现
08-06
shiro-redisson 是一个 Apache Shiro 的扩展组件,提供了基于 redis 实现的缓存和会话,以支持分布式环境下的应用。底层使用redisson 作为 redis 客户端。
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
- Apache Shiro是一个轻量级的安全框架,用于身份验证、授权和会话管理。它可以与任何Java应用结合,包括Web应用。 - Shiro的核心组件包括Subject(代表当前用户)、Realms(负责认证和授权信息的来源,如数据库、...
shiro基础框架搭建
08-13
总结,通过SpringBoot、ShiroRedis和MyBatis的整合,我们可以构建一个基础且全面的权限管理框架Shiro提供了一套完善的权限控制逻辑,SpringBoot简化了项目的初始化和配置,Redis增强了系统的缓存性能,而MyBatis...
shiro使用redis作为缓存
cui_xf_的博客
11-25 6844
应用场景:Shiro的为每个用户的角色和权限信息提供缓存支持,通过Shiro自己定义的CacheManager实现,默认实现有Ehcache和内存(就是一个Map结构),在应用中通常使用redis作为缓存服务器,因此使用redis来作为shiro的缓存。 优缺点:一般来说缓存放在本地,通过本地内存进行缓存速度更快,但是在分布式环境下,修改了用户权限需要经行协同。将缓存和Session放在统一的数据...
SpringBoot之整合Shiro(最详细)
热门推荐
Java追求者的博客
05-31 4万+
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
Shiro使用Redis作为缓存(解决Shiro频繁访问Redis)(十一)
Doge的技术小屋
11-10 1696
原文:https://blog.csdn.net/qq_34021712/article/details/80791219 之前写过一篇博客,使用的一个开源项目,实现了redis作为缓存 缓存用户的权限 和 session信息,还有两个功能没有修改,一个是用户并发登录限制,一个是用户密码错误次数.本篇中几个类 也是使用的开源项目中的类,只不过是拿出来了,redis单独做的配置,方便进行优化。 整合过程 1.首先是整合Redis Redis客户端使用的是RedisTemplate,自己写了一个序列化工具继承R
这里简单完成一个shiro的单点登陆(用redis)启动两个节点
qq_43077857的博客
06-24 756
首先最开始就是springboot整合shiro 这个网上蛮多的,这里我先不弄 看到网上蛮多资料都是shiro单点登陆整合redis 说白了就是shiro登陆后将登陆信息给session了 可是另外一个节点的shiro没有这个session的信息 于是干脆把第一个登陆的信息保存到session中然后再交给一个公共的redis。另外一个节点的shiro也整合这个redis,所以他们的session...
shiroredis
08-21
Shiro是一个Java安全框架,可以用于身份验证、授权、加密等功能。它提供了一套简单易用的API,可以帮助开发人员快速集成安全功能到他们的应用程序中。 Redis是一个开源的内存数据存储系统,被广泛用于缓存、消息中间件、会话存储和分布式系统中。它支持多种数据结构(如字符串、列表、哈希表、集合和有序集合),并且提供了丰富的命令集合来操作这些数据结构。 ShiroRedis是两个不同的技术,可以在应用程序中一起使用Shiro可以用于实现安全认证和授权功能,而Redis可以用于缓存用户信息、会话数据等。在使用Shiro时,你可以选择将用户认证信息和权限信息存储在Redis中,以提高性能和扩展性。 总结来说,Shiro是一个安全框架,用于实现身份验证和授权功能;而Redis是一个内存数据存储系统,用于缓存和存储数据。它们可以在应用程序中一起使用,以提供更好的性能和扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值