SpringBoot集成Shiro

最新推荐文章于 2021-03-08 16:36:41 发布
最新推荐文章于 2021-03-08 16:36:41 发布
阅读量145 收藏
点赞数
分类专栏: SpringBoot 组件库 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zengjyxxz/article/details/106470942
版权

1、Shiro重要概念有哪些?

Shiro的组件图Subject:可以理解为与shiro打交道的对象,该对象封装了一些对方的信息,shiro可以通过subject拿到这些信息。

SecurityManager:即安全管理器,对全部的subject进行安全管理,它是shiro的核心,负责对所有的subject进行安全管理。通过指使Authorizer和Authenticator等对subject进行授权和身份验证等工作。

Realm:管理着一些如用户、角色、权限等重要信息,Shiro中所需的这些重要信息都是从Realm这里获取的,Realm本质上就是一个重要信息的数据源。

Authenticator:认证器,负责Subject的认证操作,认证过程就是根据Subject提供的信息通过Realm查询到相关信息,然后做对比,支持扩展。

Authorizer:授权器,控制着Subject对服务资源的访问权限。

SessionManager:用于管理Session,这个Session可以是web的也可以不是web的。

SessionDao:把Session的 CRUD和存储介质联系起来的工具,存储介质可以是数据库,也可以是缓存,比如把session放到redis里面。

CacheManager:缓存控制器,Realm管理的数据(用户、角色、权限)可以放到缓存里由CacheManager管理,提高认证授权等的速度。

Cryptography:加密组件,Shiro提供了很多加解密算法的组件。

1.1、Shiro的主要流程

Authentication和Authenticator的主要流程

2、相关知识

2.1、Shiro为SessionManager提供了三个默认实现

DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境;
ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;

DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。

3、使用示例

maven:

<!--shiro-->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.4.0</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.4.0</version>
</dependency>

实现 AuthenticationToken 接口写个 StatelessToken 类:

import com.xxx.common.utils.JwtUtil;
import org.apache.shiro.authc.AuthenticationToken;

public class StatelessToken implements AuthenticationToken {
    private String username;
    private String token;
    public StatelessToken(String token) {
        this.username = JwtUtil.getUserNameFromToken(token);
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return username;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

继承 FormAuthenticationFilter 类写个 ShiroFormAuthenticationFilter 类:

import com.xxx.common.result.Result;
import com.xxx.common.result.ResultEnum;
import com.xxx.common.result.ResultUtil;
import com.xxx.common.utils.JwtUtil;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

public class ShiroFormAuthenticationFilter extends FormAuthenticationFilter {

	private final Logger logger = LoggerFactory.getLogger(this.getClass());

	private static final String AUTHORIZATION = "Authorization";

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        HttpServletRequest req = (HttpServletRequest) request;
        String token = req.getHeader(AUTHORIZATION);
        if (JwtUtil.validateToken(token)) {
            StatelessToken statelessToken = new StatelessToken(token);
            try {
                //委托realm进行登录认证
                getSubject(request, response).login(statelessToken);
                return true;
            } catch (Exception e) {
                return false;
            }
        }

        HttpServletResponse resp = (HttpServletResponse) response;
        if (req.getMethod().equals(RequestMethod.OPTIONS.name())) {
            resp.setStatus(HttpStatus.OK.value());
            return true;
        } else {
            Result result = ResultUtil.error(ResultEnum.USER_UN_LOGIN.getCode(), ResultEnum.USER_UN_LOGIN.getMsg());
            ObjectMapper objectMapper = new ObjectMapper();
            String json = objectMapper.writeValueAsString(result);

            resp.setContentType("application/json");
            resp.setCharacterEncoding("UTF-8");
            PrintWriter out = resp.getWriter();
            out.println(json);
            out.flush();
            out.close();
            logger.info(ResultEnum.USER_UN_LOGIN.getMsg());
            return false;
        }
    }
}

继承 AuthorizingRealm 类写一个 MyRealm 类:

import java.util.List;

import com.xxx.admin.mapper.PermissionModelMapper;
import com.xxx.admin.mapper.UserModelMapper;
import com.xxx.admin.po.PermissionModel;
import com.xxx.admin.po.UserModel;
import com.xxx.admin.vo.resp.MenuRespVO;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

@Component
public class MyRealm extends AuthorizingRealm {

    @Autowired
    private UserModelMapper userModelMapper;

    @Autowired
    private PermissionModelMapper permissionModelMapper;

    @Override
    public boolean supports(AuthenticationToken token) {
        //仅支持StatelessToken类型的Token
        return token instanceof StatelessToken;
    }

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        UserModel user=(UserModel) principals.getPrimaryPrincipal();
        Integer userId=user.getId();
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();

        List<MenuRespVO> permissionsByUserName = permissionModelMapper.getPermissionsByUserId(userId);
        for(PermissionModel permission:permissionsByUserName) {
            info.addStringPermission(permission.getPermissionname());
        }
        return info;
    }

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = token.getPrincipal().toString();
        UserModel user = userModelMapper.selectByUserName(userName);
        if (user != null) {
            StatelessToken statelessToken = (StatelessToken) token;
            AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user, statelessToken.getCredentials(), getName());
            return authcInfo;
        } else {
            return null;
        }
    }

}

ShiroConfig 类:

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.ServletContainerSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;

import javax.servlet.Filter;

@Configuration
public class ShiroConfig {

    /**
     * ShiroFilterFactoryBean 处理拦截资源文件问题。
     * 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在
     * 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
     *
     * Filter Chain定义说明 1、一个URL可以配置多个Filter,使用逗号分隔 2、当设置多个过滤器时,全部验证通过,才视为通过
     * 3、部分过滤器可指定参数,如perms,roles
     *
     */
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 这里使用自定义的filter
        LinkedHashMap<String, Filter> filtsMap = new LinkedHashMap<>();
        filtsMap.put("authc", new ShiroFormAuthenticationFilter());
        shiroFilterFactoryBean.setFilters(filtsMap);

        //如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/login");

        //拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        //配置不会被拦截的链接,顺序判断
        filterChainDefinitionMap.put("/user/login", "anon");
        filterChainDefinitionMap.put("/user/forgetPassword", "anon");
        filterChainDefinitionMap.put("/user/sendCode", "anon");
        //swagger用
        filterChainDefinitionMap.put("/swagger-ui.html", "anon");
        filterChainDefinitionMap.put("/swagger-resources/**", "anon");
        filterChainDefinitionMap.put("/v2/api-docs", "anon");
        filterChainDefinitionMap.put("/webjars/springfox-swagger-ui/**", "anon");
        //过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
        //① authc:所有url都必须认证通过才可以访问; ② anon:所有url都都可以匿名访问
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

    @Bean
    public SessionManager sessionManager(){
	//        //将我们继承后重写的shiro session 注册
	//        DemoSessionManager demoSessionManager = new DemoSessionManager();
	//        //如果后续考虑多tomcat部署应用,可以使用shiro-redis开源插件来做session 的控制,或者nginx 的负载均衡
	//        demoSessionManager.setSessionDAO(new DemoSessionManager2());
	//        return demoSessionManager;
	
	//        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
	//        sessionManager.setSessionValidationSchedulerEnabled(true);
	//        //sessionManager.setSessionIdUrlRewritingEnabled(false);
	//        sessionManager.setSessionIdCookieEnabled(true);
	//        return sessionManager;

        ServletContainerSessionManager servletContainerSessionManager = new ServletContainerSessionManager();
        return servletContainerSessionManager;
    }

    @Bean
    public SecurityManager securityManager(MyRealm myRealm, SessionManager sessionManager) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        // 设置realm.
        defaultWebSecurityManager.setRealm(myRealm);
        //自定义的shiro session 缓存管理器
        defaultWebSecurityManager.setSessionManager(sessionManager);
        return defaultWebSecurityManager;
    }

    /**
     * Shiro生命周期处理器
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}
zengjyxxz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot集成shiro
IT_10000
10-09 412
第一步. pom依赖 &amp;amp;lt;!--shiro--&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;shiro-spr
SpringBoot集成shiro,MyRealm中无法@Autowired注入Service的问题
08-26
总结来说,Spring Boot集成Shiro时,如果在`MyRealm`中遇到`@Autowired`注入Service的问题,需要检查是否正确地将`MyRealm`声明为Spring Bean,并通过`@Bean`注解进行管理。同时,确保所有依赖都遵循Spring的依赖...
SpringBoot 整合Shiro框架
aCheng的博客
03-08 272
这里写目录标题前言一、Shiro 三大核心组件1 Subject 为认证主体2 SecurityManager 为安全管理员3 Realm 是一个域二、Shiro 身份和权限认证1 Shiro 身份认证2 Shiro 权限认证三、Spring Boot 集成 Shiro1 依赖导入2 数据库表的建立及初始化3 自定义 Realm4 Shiro 配置5 使用 Shiro 进行认证 前言 Shiro 是一个强大、简单易用的 Java 安全框架,可使认证、授权、加密,会话过程更便捷,并可为应用提供安全保障。本节课
SpringBoot集成Shiro安全框架
weixin_34023863的博客
05-30 67
跟着我的步骤:先运行起来再说 Spring集成Shiro的GitHub:https://github.com/yueshutong/shiro-imooc 一:导包 <!-- Shiro安全框架 --> <dependency> &...
springboot 集成shiro
GSON的博客
05-17 397
一、shiro的定义 Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。 官方架构图如下: 二、主要的功能 1、shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一般需.
SpringBoot集成shiro
libiao1994libiao的博客
06-14 198
springboot集成shiro 参考博文 1:shiro简介 shiro是Apache的一个安全框架。提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Sessi
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
最新发布
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
Shiro进行用户认证执行流程
一个有趣、有料、有内涵的地方!
08-28 136
1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager...
springboot实战---3.集成权限框架shiro
王雪亮
05-29 483
1.搭建springboot项目,准备环境 1.1 创建springboot项目 (略) 1.2 新建ShiroTestController,代码如下 package com.xlwang.shiro_test.controller; import org.springframework.stereotype.Controller; import org.springframework....
SpringBoot集成ShiRo
Yang_Hui_Liang的博客
04-02 369
1、首先加上maven依赖的jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> &...
Springboot集成shiro
b1838078442的博客
07-12 205
Springboot集成shiro (1) shiro功能介绍 Authentication: 身份认证,登录 Authorization:验证权限,即,验证某个人是否有做某件事的权限 Session Management :会话管理,普通用户特定的会话,支持web。 Cryptography :加密,保证数据安全 (2)其他特性 Web Support:web支持,更容易继承web应用 Caching:缓存 Concurrency:多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值