SpringBoot与Shiro的整合

最新推荐文章于 2022-08-24 02:45:37 发布
最新推荐文章于 2022-08-24 02:45:37 发布
阅读量470 收藏 1
点赞数
分类专栏: 微服务 - 教学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangningkid/article/details/96476023
版权

Shiro是一个安全框架。
Subject: 代表当前正在执行操作的用户,但Subject代表的可以是人,也可以是任何第三方系统帐号。当然每个subject实例都会被绑定到SercurityManger上。
SecurityManger:SecurityManager是Shiro核心,主要协调Shiro内部的各种安全组件。
Realm: 用户数据和Shiro数据交互的桥梁。比如需要用户身份认证、权限认证。都是需要通过Realm来读取数据。

  1. 添加Maven依赖
       <dependency>
           <groupId>org.apache.shiro</groupId>
           <artifactId>shiro-web</artifactId>
           <version>1.4.1</version>
       </dependency>

       <dependency>
           <groupId>org.apache.shiro</groupId>
           <artifactId>shiro-core</artifactId>
           <version>1.4.1</version>
       </dependency>

       <dependency>
           <groupId>org.apache.shiro</groupId>
           <artifactId>shiro-spring</artifactId>
           <version>1.4.1</version>
       </dependency>

       <dependency>
           <groupId>org.apache.shiro</groupId>
           <artifactId>shiro-ehcache</artifactId>
           <version>1.4.1</version>
       </dependency>

       <dependency>
           <groupId>org.crazycake</groupId>
           <artifactId>shiro-redis</artifactId>
           <version>3.2.3</version>
       </dependency>
  1. 添加自定义Realm
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.HashSet;
import java.util.Set;

public class CustomRealm extends AuthorizingRealm {

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        Set<String> permissionList = new HashSet<>();
        permissionList.add("WORKER");
        simpleAuthorizationInfo.addStringPermissions(permissionList);
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        String password = new String(token.getPassword());
        if ("root".equals(username) && "123456".equals(password)) {
            return new SimpleAuthenticationInfo(new Object(), token.getPassword(), token.getUsername());
        }
        throw new RuntimeException("账号或密码不正确,请重新登陆");
    }
}
  1. 添加shiro的配置文件
import com.example.demo.shiro.CustomRealm;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/login");
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login", "anon"); // 登陆
        filterChainDefinitionMap.put("/**", "authc");// 需要认证才可以访问
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    @Bean
    public CustomRealm customRealm() {
        return new CustomRealm();
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }
}
  1. 在Controller中使用shiro
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class UserController {

    @RequestMapping("login")
    @ResponseBody
    public String login(@RequestParam("username") String username, @RequestParam("password") String password) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken authenticationToken = new UsernamePasswordToken(username, password);
        try {
            subject.login(authenticationToken);
        } catch (Exception exp) {
            return "账号或密码不正确, 请重新登录";
        }

        if (subject.isAuthenticated()) {
            return "登陆成功";
        } else {
            authenticationToken.clear();
            return "登陆失败";
        }
    }

    @RequestMapping("index")
    public String toIndex() {
        return "index";
    }

    @RequestMapping("admin")
    @RequiresPermissions("WORKER")
    public String toAdmin() {
        return "admin";
    }
}

更完整的shiro配置

import com.example.demo.shiro.CustomRealm;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.session.mgt.eis.SessionIdGenerator;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager manager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(manager);

        bean.setLoginUrl("/login"); // 配置登录的url和登录成功的url
        bean.setSuccessUrl("/index"); // 登录成功后要跳转的链接

        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        filterChainDefinitionMap.put("/css/**", "anon"); // 静态资源
        filterChainDefinitionMap.put("/js/**", "anon"); // 静态资源
        filterChainDefinitionMap.put("/fonts/**", "anon"); // 静态资源
        filterChainDefinitionMap.put("/images/**", "anon"); // 静态资源
        filterChainDefinitionMap.put("/favicon.ico", "anon"); // 静态资源
        filterChainDefinitionMap.put("/", "anon"); // 登录页面
        filterChainDefinitionMap.put("/login", "anon"); // 登录页面
        filterChainDefinitionMap.put("/**", "authc");// 需要认证才可以访问
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }

    // 配置核心安全事务管理器
    @Bean
    public SecurityManager securityManager(@Qualifier("customRealm") CustomRealm authRealm,
                                           @Value("${spring.redis.host}") String redisHost, @Value("${spring.redis.port}") String redisPort,
                                           @Value("${spring.redis.password}") String password) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(authRealm); // 设置自定义realm.
        manager.setRememberMeManager(rememberMeManager()); // 配置记住我
        manager.setCacheManager(shiroCacheManager(redisHost, redisPort, password)); // 配置redis缓存
        manager.setSessionManager(sessionManager(redisHost, redisPort, password)); // 配置自定义session管理,使用redis
        return manager;
    }

    // cookie管理对象;记住我功能,rememberMe管理器
    @Bean
    public CookieRememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(Base64.decode("JQzBACCjs5qhy2yXSdYEmSubt4hLJEExwq3JI/YEq+U="));
        return cookieRememberMeManager;
    }

    // cookie对象;会话Cookie模板 ,默认为: JSESSIONID 问题:
    // 与SERVLET容器名冲突,重新定义为sid或rememberMe,自定义
    @Bean
    public SimpleCookie rememberMeCookie() {
        SimpleCookie simpleCookie = new SimpleCookie("remember"); // 这个参数是cookie的名称,对应前端的checkbox的name = remember
        // setcookie的httponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:
        // 只能通过http访问,javascript无法访问
        // 防止xss读取cookie
        simpleCookie.setHttpOnly(true);
        simpleCookie.setPath("/");
        // 记住我cookie生效时间10天 ,单位秒
        simpleCookie.setMaxAge(60 * 60 * 24 * 10);
        return simpleCookie;
    }

    // shiro缓存管理器; 需要添加到securityManager中
    @Bean
    public RedisCacheManager shiroCacheManager(String redisHost, String redisPort, String password) {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager(redisHost, redisPort, password));
        redisCacheManager.setPrincipalIdFieldName("id"); // redis中针对不同用户缓存
        redisCacheManager.setExpire(60 * 10); // 用户权限信息缓存时间, 单位秒。 10分钟
        return redisCacheManager;
    }

    @Bean
    public RedisManager redisManager(String redisHost, String redisPort, String redisPassword) {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(String.format("%s:%s", redisHost, redisPort));
        redisManager.setPassword(redisPassword);
        return redisManager;
    }

    @Bean(name = "sessionManager")
    public DefaultWebSessionManager sessionManager(String redisHost, String redisPort, String password) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

        sessionManager.setSessionIdCookie(sessionIdCookie());
        sessionManager.setSessionDAO(sessionDAO(redisHost, redisPort, password));
        sessionManager.setCacheManager(shiroCacheManager(redisHost, redisPort, password));

        sessionManager.setGlobalSessionTimeout(1800000); // 全局会话超时时间 单位毫秒,默认30分钟
        sessionManager.setDeleteInvalidSessions(true);// 是否开启删除无效的session对象 默认为true
        sessionManager.setSessionValidationSchedulerEnabled(true); // 是否开启定时调度器进行检测过期session 默认为true

        sessionManager.setSessionValidationInterval(3600000);
        sessionManager.setSessionIdUrlRewritingEnabled(false); // 取消url 后面的 JSESSIONID
        return sessionManager;
    }

    /**
     * 配置保存sessionId的cookie 注意:这里的cookie 不是[记住我]的cookie, 记住我需要一个cookie session管理
     * 也需要自己的cookie 默认为: JSESSIONID 问题: 与SERVLET容器名冲突,重新定义为sid
     *
     * @return
     */
    @Bean
    public SimpleCookie sessionIdCookie() {
        // 这个参数是cookie的名称
        SimpleCookie simpleCookie = new SimpleCookie("sid");
        // setcookie的httponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:
        // 只能通过http访问,javascript无法访问
        // 防止xss读取cookie
        simpleCookie.setHttpOnly(true);
        simpleCookie.setPath("/");
        // maxAge=-1表示浏览器关闭时失效此Cookie
        simpleCookie.setMaxAge(-1);
        return simpleCookie;
    }

    /**
     * SessionDAO的作用是为Session提供CRUD并进行持久化的一个shiro组件 MemorySessionDAO 直接在内存中进行会话维护
     * EnterpriseCacheSessionDAO
     * 提供了缓存功能的会话维护,默认情况下使用MapCache实现,内部使用ConcurrentHashMap保存缓存的会话。
     *
     * @return
     */
    @Bean
    public SessionDAO sessionDAO(String redisHost, String redisPort, String password) {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager(redisHost, redisPort, password));
        return redisSessionDAO;
    }

    @Bean
    public SessionIdGenerator sessionIdGenerator() {
        return new JavaUuidSessionIdGenerator();
    }

    // 配置自定义的权限登录器
    @Bean
    public CustomRealm customRealm() {
        CustomRealm authRealm = new CustomRealm();
        return authRealm;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     *
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager manager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(manager);
        return advisor;
    }
}
鸿祯
关注
专栏目录
springbootshiro整合
while(True): print('adorable')
10-29 254
shiro~ shiro快速入门springboot 整合shiro核心目标清爽pom用户认证授权认证,与数据库交互shiro configuration核心controller 获取shiro 中的token页面控制功能的隐藏和显示 https://github.com/sevenyoungairye/spring-boot-study/tree/main/springboot-shiro-07 shiro快速入门 什么是shiro apache shiro 是一个java的安全(权限)框架。 sh
SpringBoot整合Shiro
zhaomengxia123的博客
09-03 137
安全时互联网公司的一道生命线,几乎所有公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司选择Apache Shiro来使用。 Apache Shiro是一个功能强大、灵活的、开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。Apache Shir...
spring shiro整合
11-10
运用了springmvc,mybatis shiro安全框架搭建及整合等技术
Spring 整合 Shiro
weixin_30713953的博客
11-29 95
一、引入依赖 <!-- spring start --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-test</artifactId> <version>4.3.18.RELEA...
SpringBootShiro整合
XIPIKER的博客
08-04 269
Spring boot 与 Shiro整合 Shiro核心API Subject:用户主体(把操作交给SecurityManager) SecurityManager:安全管理器(关联Realm) Realm:shrio连接数据的桥梁 github地址(基础的springbootshiro整合demo,不喜勿喷,欢迎star,后续更新springboot+shiro+jwt实现前后端分离...
Spring-Shiro整合
WhiteBear的博客
10-17 235
因为web项目的核心组件(Service,dao)都在spring工厂中管理,利用IOC和AOP,组建了关系松散,稳健的系统。 shiro的诸多组件也需要由spring统一管理,进而可以更好的和其他组件协作,因为shiro中大多数组件都是pojo类,更方便管理我们可以很方便地把它们从shiro.ini中迁到Spring工厂中。 pom文件 <!-- 其他依赖和web集成中 一致 ,此处省略-...
Shiro整合Spring
01-10
Shiro整合Spring,maven,Shiro整合Spring,maven,Shiro整合Spring,maven,
SpringBootShiro整合-权限管理实战源码.zip
05-22
下面我们将详细探讨SpringBootShiro整合实现权限管理实战中的关键知识点。 1. **SpringBoot简介** SpringBoot是由Pivotal团队提供的全新框架,旨在简化Spring应用的初始搭建以及开发过程。它通过“约定优于配置...
SpringBootShiro整合.docx
02-09
SpringBootShiro整合】课程主要关注的是如何在SpringBoot环境下集成Apache Shiro框架,以实现高效且灵活的权限管理。SpringBoot是基于Spring框架的简化开发工具,旨在简化Spring应用的初始搭建以及开发过程,它...
SpringBootShiro整合-权限管理实战资料
08-07
在"SpringBootShiro整合-权限管理实战资料"中,我们首先会学习如何配置Spring Boot来集成Shiro。这包括在项目中引入Shiro依赖,编写Shiro配置文件,以及设置安全拦截器。Shiro的配置通常会涉及到如Realm(权限...
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring Boot与Shiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring Boot与Shiro整合实现用户认证; Spring Boot与Shiro整合实现用户授权; thymeleaf和shiro标签整合使用。
shiro整合spring项目实例
11-04
shiro整合spring项目实例,shiro整合spring项目实例,shiro整合spring项目实例
SpringBootShiro整合-权限管理的简单权限系统.zip
最新发布
08-05
本项目“SpringBootShiro整合-权限管理的简单权限系统”就是这样一个实例,它结合了现代Web开发框架SpringBoot和安全认证框架Apache Shiro,旨在构建一个简单的权限管理系统。这个系统能够实现用户登录、权限控制...
Spring整合shiro
aighhgc的博客
01-15 277
Spring中整合shiro安全权限检查 对于shiro相关概念就不介绍了,如需了解点击链接 首先建数据库 分别看一下这几张表结构 开始进入代码吧! 首先看一下代码结构 1.在Spring.xml中整合shiro <!--引入Spring-shiro.xml配置--> <import resource="Spring-shiro.xml"/> 2.新建...
Spring与Shiro整合
11-19 2848
                      Spring与shiro整合 一、引入依赖包 在pom.xml文件中引入相关jar包: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;ve...
spring框架整合shiro
weixin_46484970的博客
01-23 967
shiro框架 定义: Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用shiro。 java领域中spring security(原名Acegi)也是一个开源
Shiro入门-shiro与spring整合
m0_67401270的博客
08-24 971
由于FormAuthenticationFilter的用户身份和密码的input的默认值(username和password),修改页面的账号和密码 的input的名称为username和password。user:例如/admins/user/**=user没有参数表示必须存在用户, 身份认证通过或通过记住我认证通过的可以访问,当登入操作时不做检查。],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/不用我们去实现退出,只要去访问一个退出的url(
SpringMvc整合Shiro的使用小结
爱码农的小java的博客
01-21 868
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 软件名称 Apache Shiro 开发商 Apache 性 质 Java安全框架 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程
SpringMVC+Shiro 因jsessionid导致第一次访问请求时报400错误问题
一火的专栏
09-16 2400
【现象】 HTTP Status 400 – Bad Request TypeStatus Report MessageInvalid request DescriptionThe server cannot or will not process the request due to something that is perceived to be a client error (e.g., malformed request syntax, invalid request messag...
SpringBootShiro整合的两种方式详解
本文将深入探讨SpringBootShiro两种集成方式,针对SpringBoot项目的权限管理需求,通常首选SpringSecurity,但由于Shiro的轻量级特性和相对简单的配置,有时也会选择它。尽管SpringSecurity功能更强大,但在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值