springboot整合shiro-(1)快速入门

最新推荐文章于 2022-04-03 16:33:33 发布
最新推荐文章于 2022-04-03 16:33:33 发布
阅读量193 收藏
点赞数
分类专栏: shiro 文章标签: shiro

pom添加依赖

<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>

Shiro 配置

package config.compent;

import java.util.HashMap;
import java.util.Map;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import com.company.project.interceptor.ShiroRealm;


/**  
 * @Description: Shiro的管理配置文件
 * @author:
 * @create:2019年2月25日 上午10:53:57 
 */
@Configuration
public class ShiroConfig {

    /**
     * @Description:将自己的验证方式加入容器
     * @return
     * @author:
     * @update:2019年2月25日 上午11:15:45
     */
    @Bean
    public ShiroRealm shiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        return shiroRealm;
    }

    /**
     * @Description:配置核心安全事务管理器
     * @return
     * @author:
     * @update:2019年2月25日 上午11:09:26
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm());
        return securityManager;
    }

    /**
     * @Description:Filter工厂,设置对应的过滤条件和跳转条件
     * @param securityManager
     * @return
     * @author:
     * @update:2019年2月25日 上午11:09:15
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //登录
        shiroFilterFactoryBean.setLoginUrl("/login_toLogin");
        //登录成功,跳转到首页
        shiroFilterFactoryBean.setSuccessUrl("/main/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/login_toLogin");
        Map<String,String> map = new HashMap<String, String>();
        //anon:url可以匿名访问
        //authc: 需要认证才能进行访问
        map.put("/static/**", "anon");
        map.put("/code.do", "anon");
        map.put("/login_login", "anon");
        map.put("/**", "authc");       
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }
 
    /**
     * @Description:开启shiro aop注解支持;Controller才能使用@RequiresPermissions等
     * @param securityManager
     * @return
     * @author:
     * @update:2019年2月25日 上午11:08:21
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

ShiroRealm.java

在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO.

package com.company.project.interceptor;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.company.project.entity.system.user.User;
import com.company.project.service.system.login.LoginService;
import com.company.project.util.shiro.SessionSubject;

/**
 * @Description:shiro的认证和授权
 * @author:
 * @create:2019年2月27日 下午2:55:15
 */
public class ShiroRealm extends AuthorizingRealm {

	@Autowired
	private LoginService loginService;

	/**
	 * @Description:认证用户身份
	 * @param token
	 * @return
	 * @throws AuthenticationException
	 * @author:
	 * @update:2019年2月27日 下午2:56:53
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)
			throws AuthenticationException {
		//获取用户登录的用户ID、密码
		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
		String userId = token.getUsername();
		String password = String.valueOf(token.getPassword());
		User user = null;
		
		//根据用户名获取用户信息
		user = loginService.getUserByUsername(token.getUsername());
		if (user == null) {
			throw new UnknownAccountException("There is no user with username of " + userId);
		}
		if (!password.equals(user.getPassword().toLowerCase())) {
			throw new IncorrectCredentialsException("Password for username " + userId + " is incorrect!");
		}
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userId, password, getName());
		
		//将用户信息放到session中
		SessionSubject.setCurrentUser(user);
		
		return simpleAuthenticationInfo;
	}

	/**
	 * @Description:用户权限授权
	 * 授权的方法是在碰到<shiro:hasPermission name=''></shiro:hasPermission>标签的时候调用的
     * 它会去检测shiro框架中的权限(这里的permissions)是否包含有该标签的name值,如果有,里面的内容显示
     * 如果没有,里面的内容不予显示(这就完成了对于权限的认证.)
     *
     * shiro的权限授权是通过继承AuthorizingRealm抽象类,重载doGetAuthorizationInfo();
     * 当访问到页面的时候,链接配置了相应的权限或者shiro标签才会执行此方法否则不会执行
     * 所以如果只是简单的身份认证没有权限的控制的话,那么这个方法可以不进行实现,直接返回null即可。
     *
     * 在这个方法中主要是使用类:SimpleAuthorizationInfo 进行角色的添加和权限的添加。
     * authorizationInfo.addRole(role.getRole()); authorizationInfo.addStringPermission(p.getPermission());
     *
     * 当然也可以添加set集合:roles是从数据库查询的当前用户的角色,stringPermissions是从数据库查询的当前用户对应的权限
     * authorizationInfo.setRoles(roles); authorizationInfo.setStringPermissions(stringPermissions);
     *
     * 就是说如果在shiro配置文件中添加了filterChainDefinitionMap.put("/add", "perms[权限添加]");
     * 就说明访问/add这个链接必须要有“权限添加”这个权限才可以访问
     *
     * 如果在shiro配置文件中添加了filterChainDefinitionMap.put("/add", "roles[100002],perms[权限添加]");
     * 就说明访问/add这个链接必须要有 "权限添加" 这个权限和具有 "100002" 这个角色才可以访问
	 * @param pc
	 * @return
	 * @author:
	 * @update:2019年2月27日 下午4:31:50
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {
		//获取用户
        User user = SessionSubject.getCurrentUser();

        //添加用户角色
        SimpleAuthorizationInfo authorizationInfo =  new SimpleAuthorizationInfo();
        String groupIds = user.getGroupId();
        System.out.println("groupIds:"+groupIds);
        if(groupIds != null){
        	String[] groupIdArr = groupIds.split(",");
        	for(String groupId: groupIdArr){
        		authorizationInfo.addRole(groupId);
        	}
        }
//        //获取用户权限
//        Set<Permission> permissions = this.permissionMapper.findPermissionsByRoleId(roles);
//        //添加权限
//        for (Permission permission:permissions) {
//            authorizationInfo.addStringPermission(permission.getPermission());
//        }

        return authorizationInfo;
	}

}

编写登录Controller

LoginController.java

	@RequestMapping(value = "/login_login", produces = "application/json;charset=UTF-8")
	@ResponseBody
	public Object login(String userId, String password, String code, HttpServletRequest request) throws Exception {
		   String errInfo = "success";
		
			//使用shiro加入身份验证
			Subject subject = SecurityUtils.getSubject();
			UsernamePasswordToken token = new UsernamePasswordToken(userId, password);
			
			try {
				//登录操作
				subject.login(token);
			} catch (UnknownAccountException e) {
				errInfo = "usererror"; //用户名不存在
				logger.info("There is no user with username of {}",userId,e);
			} catch (IncorrectCredentialsException e) {
				errInfo = "usererror"; //用户名或密码有误
				logger.info("Password for username {} is incorrect",userId,e);
			} catch (AuthenticationException e) {
				errInfo = "usererror"; 
				logger.info("User of {} authentication failed",userId,e);
			}
		
		    //用户信息验证成功
			if("success".equals(errInfo)){
				//删除session中的验证码信息
				SessionSubject.removeSecurityCode();
				//记录用户登录信息日志
				loginService.insertLastLogin(request);
			}
			return ;
	}
	
	/**
	 * @Description:用户退出
	 * @return
	 * @author:
	 * @update:2019年3月18日 下午3:38:50
	 */
	@RequestMapping(value = "/logout")
	public ModelAndView logout() {
		Subject subject = SecurityUtils.getSubject();
		subject.logout();
		//页面跳转
	}

jsp页面

导入jstl标签库:
	<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>

	<shiro:authenticated>用户[<shiro:principal/>]已身份验证通过 </shiro:authenticated> 
	<shiro:notAuthenticated>  未身份验证(包括记住我)</shiro:notAuthenticated> 
	<!-- 用户没有身份验证时显示相应信息,即游客访问信息 -->
    <shiro:guest>游客显示的信息</shiro:guest><br/>
    <!-- 用户已经身份验证/记住我登录后显示相应的信息 -->
    <shiro:user>用户已经登录过了</shiro:user><br/>
    <!-- 用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的 -->
    <shiro:authenticated>不是记住我登录</shiro:authenticated><br/>
    <!-- 显示用户身份信息,通常为登录帐号信息,默认调用Subject.getPrincipal()获取,即Primary Principal -->
    <shiro:principal></shiro:principal><br/>
    <!--用户已经身份验证通过,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证,与guest标签的区别是,该标签包含已记住用户 -->
    <shiro:notAuthenticated>已记住用户</shiro:notAuthenticated><br/>
    <!-- 相当于Subject.getPrincipals().oneByType(String.class) -->
    <shiro:principal type="java.lang.String"/><br/>
	<!-- 如果当前Subject有角色将显示body体内容 name="角色名" -->
    <shiro:hasRole name="admin">这是admin角色</shiro:hasRole><br/>
    <!-- 如果当前Subject有任意一个角色(或的关系)将显示body体内容。 name="角色名1,角色名2..." -->
    <shiro:hasAnyRoles name="admin,vip">用户拥有admin角色 或者 vip角色</shiro:hasAnyRoles><br/>
    <!-- 如果当前Subject没有角色将显示body体内容 -->
    <shiro:lacksRole name="admin">如果不是admin角色,显示内容</shiro:lacksRole><br/>
    <!-- 如果当前Subject有权限将显示body体内容 name="权限名" -->
    <shiro:hasPermission name="userInfo:add">用户拥有添加权限</shiro:hasPermission><br/>
    <!-- 如果当前Subject没有权限将显示body体内容 name="权限名" -->
	<shiro:lacksPermission name="userInfo:add">如果用户没有添加权限,显示的内容</shiro:lacksPermission><br/>

权限功能校验

经过上面的过程,已经可以对用户的身份进行校验,但是这个时候,但是权限控制好像没有什么作用,因为我们使用admin用户登录之后,在浏览器上访问地址 /userInfo/del发现也是可以使用的,其实我们还少了以下步骤,也就是开启注解支持后,在Controller的方法中添加对应权限

@RequiresPermissions("userInfo:del")
@RequestMapping(value = "/del",method = RequestMethod.GET)
@ResponseBody
public String del(Model model) {
    userService.del("wangsaichao");
    return "删除用户名为wangsaichao用户成功";
}

添加@RequiresPermissions(“userInfo:del”)然后重启项目,再次使用amdin登录之后,在浏览器上调用http://localhost:9090/userInfo/del就会跳转到以下错误页。证明权限校验成功。

原文参考:https://blog.csdn.net/qq_34021712/article/details/80294417

阳光女孩666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+shiro快速入门 maven项目 可直接运行
06-04
springboot+shiro快速入门 有注释 内含建表语句
SpringBoot-Shiro整合权限管理源码
04-24
SpringBoot整合Shiro使得权限管理变得简单易行,它提供了灵活的认证和授权机制。通过阅读和理解`springboot-shiro`的源码,开发者可以快速上手,并在实际项目中实现高效的权限管理功能。记得在实际操作中,根据项目...
springboot整合shiro -快速入门(二)
这个名字想了很久
09-02 7997
原文地址,转载请注明出处:&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp;http://blog.csdn.net/qq_34021712/article/details/79746413&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp; &amp;am
SpringBootShiro整合-快速入门
m0_37601071的博客
02-23 260
Spring Boot框架 什么是 Spring Boot Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。Spring Boot 其实不是什么新的框架,它默认配置了很多框架的使用方式,就像 Maven 整合了所有的 Jar 包,Spring...
SpringBoot + Shiro 一篇文章快速入门
小牛肉的博客
08-25 550
**Apache Shiro™**是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。Shiro 拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
SpringBootShiro快速入门(精讲)
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-18 1216
Apache Shiro 是一个java的安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaEE环境中,也可以用在JavaSE环境中 Shiro可以完成认证、授权、加密、会话管理、web集成、缓存等。 ...
SpringBoot整合Apache Shiro极简入门实例.zip
最新发布
11-04
SpringBoot整合Shiro,实现菜单权限控制入门简单实例;用户菜单权限来自数据库,简单起见,user用户表中同事配置了用户菜单权限,感兴趣的小伙伴可以自行使用RBAC方案扩展数据库表设计进行完善。 运行环境 jdk8+...
SpringBootShiro整合-权限管理实战》课程介绍与大纲1
08-08
**SpringBoot快速入门** 首先,课程将引导学员快速上手Spring Boot,理解其核心理念和基本结构,包括主配置类、自动配置、起步依赖的使用、内嵌Web服务器以及Spring Boot的命令行接口(CLI)等。此外,还将介绍如何...
SpringBootShiro整合.docx
02-09
课程的目标是帮助学员快速掌握SpringBootShiro整合技巧,从而能够构建具备完整权限管理功能的Java应用。为了达到这个目标,学员需要熟悉Eclipse Mars IDE,以及Spring Boot 1.5.4.RELEASE和Shiro 1.4.0等特定...
Spring Boot 整合 Shiro 快速入门
fishpro的博客
03-16 1580
Spring Boot 整合 Shiro 快速入门1 Spring Boot 快速集成 Shiro 示例1.1 新建 Spring Boot Maven 示例工程项目1.2 依赖引入 Pom.xml1.3 配置 application.yml1.4 自定义 Realm 领域 UserRealm 实现自定义认证与授权1.6 shiro 实现登录认证1.6.1 登录 html 页面1.6.2 登录逻辑...
spring boot 与shiro实战(二)Spring Boot快速入门(thymeleaf标签使用)
maximusrj的博客
03-13 675
Spring Boot快速入门 1.1 建立Maven项目,导入spring boot父工程(本人使用IDEA) 修改pom.xml: &amp;amp;lt;?xml version=&amp;quot;1.0&amp;quot; encoding=&amp;quot;UTF-8&amp;quot;?&amp;amp;gt; &amp;amp;lt;project xmlns=&amp;quot;http://maven.apache.o
SpringBoot 整合 Shiro 快速入门教程
枯木何日可逢春
10-20 473
0. Gitee项目地址 https://gitee.com/xing-libao/springboot-shiro 1. Shiro简介 Apache Shiro是一款主流的 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。 Apache Shiro | Simple. Java. Security. 2. Shiro核心组件 UsernamePasswordToken: Shiro
Shiro整合Spring Boot入门
weixin_44335140的博客
10-17 240
这是一篇Shiro入门的博文,将整合Spring Boot快速入门Shiro。实现基本的认证、授权、密码加密功能 认证:也就是我们平时所说的登录,但认证不局限于账号密码登录,扫码、人脸识别、指纹等都可以算是认证 授权:不同的人拥有不同的权限,比如在后台管理系统中,管理员和普通用户看到的菜单是不一样的、有些资源普通用户只有读权限没有写权限等 Shiro简介 Shiro简单来说就是一个安全框架,它可以帮助我们快速、容易的实现认证、授权的相关功能。 我们先了解一下Shiro的架构。 在Shiro中有三个重要.
Shiro入门学习(整合SpringBoot
qq_25046827的博客
04-03 4553
Apache Shiro是Java的一个安全(权限)框架 可以完成:认证、授权、加密、会话管理、与Web集成和缓存等 用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成一个Token令牌,通过安全管理器中的认证器进行校验,成功则授权以访问系统 shiro三大功能模块 Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Rea.
Spring Boot整合shiro(eclipse版)
qfchenjunbo的博客
12-20 198
在 Spring Boot 中整合 Shiro ,有两种不同的方案: 第一种就是原封不动的,将 SSM 整合 Shiro 的配置用 Java 重写一遍。 第二种就是使用 Shiro 官方提供的一个 Starter 来配置,但是,这个 Starter 并没有简化多少配置。 这里演示第二种,因之后大多数都是用注解来进行开发 1、创建spring Boot工程 导入依赖 <!--主要的依赖--> <dependency> <groupId>org.apach
springboot shiro 整合
fan510988896的博客
02-16 1408
本文还是转载自 http://blog.csdn.net/u014695188/article/details/52356158 实际上在Spring boot里用Spring Security最合适,毕竟是自家东西, 最重要的一点是Spring Security里自带有csrf filter,防止csrf攻击,shiro里就没有。 但是Spring Security有点太复杂,cus
SpringBoot整合Shiro配置详解
chujia1956的博客
12-27 1340
一.shiro基本介绍 1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,...
springboot+shiro入门学习(一)
java_chegnxuyuan的博客
06-03 479
其实关于shiro的博客介绍特别多,这里记录一下自己的学习过程。 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。先简单的学习一下它的认证和授权。 shiro的认证过程 先使用测试类的方式来验证: SimpleAccountRealm 认证过程 SimpleAccountRealm realm = new SimpleAccountR...
springboot整合 shiro
09-03
为了在Spring Boot中整合Shiro,需要进行以下几个步骤: 1. 在application.properties文件中配置Shiro相关的属性,比如服务器端口号、应用名称、视图前缀和后缀等。 2. 在pom.xml文件中引入Shiro的依赖,使用shiro-spring-boot-starter的版本为1.5.3。 3. 自定义Realm,Realm是Shiro的核心组件之一,用于验证用户身份和授权。可以自定义一个类继承自org.apache.shiro.realm.Realm,并实现相应的方法,如doGetAuthenticationInfo和doGetAuthorizationInfo等。 4. 可以选择使用Redis作为缓存实现,在pom.xml文件中引入spring-boot-starter-data-redis依赖,并在application.properties文件中配置Redis的连接信息,如端口号、主机名和数据库等。然后启动Redis服务。 通过以上步骤,就可以完成Spring Boot与Shiro整合,实现身份验证和授权的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值