springboot整合shiro使用心得

最新推荐文章于 2024-07-26 19:01:04 发布
最新推荐文章于 2024-07-26 19:01:04 发布
阅读量231 收藏
点赞数
分类专栏: 心得总结 文章标签: springboot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zm9898/article/details/89161270
版权

maven依赖

 <!--shiro相关配置-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>
        <!-- thymeleaf整合shiro标签 -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

配置类

@Configuration
public class ShiroConfig {

    /**
     * 创建ShiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //添加Shiro内置过滤器
        /**
         * Shiro内置过滤器,可以实现权限相关的拦截器
         *    常用的过滤器:
         *       anon: 无需认证(登录)可以访问
         *       authc: 必须认证才可以访问
         *       user: 如果使用rememberMe的功能可以直接访问
         *       perms: 该资源必须得到资源权限才可以访问
         *       role: 该资源必须得到角色权限才可以访问
         *       logout:退出登陆
         */
        Map<String, String> filtersMap=new LinkedHashMap<>();
        filtersMap.put("/user/add","perms[user:add]");
        filtersMap.put("/user/update","perms[user:update]");
        filtersMap.put("/login","anon");
        filtersMap.put("/logout","logout");
        filtersMap.put("/user/login","anon");
        filtersMap.put("/**","authc");


        shiroFilterFactoryBean.setFilterChainDefinitionMap(filtersMap);
        //设置登录页面
        shiroFilterFactoryBean.setLoginUrl("/toLogin");
        //设置授权提示页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/noAuth");

        return shiroFilterFactoryBean;
    }

    /**
     * 创建DefaultWebSecurityManager
     */
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }


    @Bean(name = "userRealm")
    public UserRealm userRealm(){
        return new UserRealm();
    }


    /**
     * 配置ShiroDialect,用于thymeleaf和shiro标签配合使用
     */
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }




}

Realm类

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Autowired
    private UserMapper userMapper;

    /**
     * 授权
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("执行授权");
        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
        //给用户添加权限
        Subject subject = SecurityUtils.getSubject();
        User principal = (User) subject.getPrincipal();
        //String username = principal.getUsername();
        //User user = userMapper.findUserByUsername(username);
        //String permission = user.getPermission();


        simpleAuthorizationInfo.addStringPermission(principal.getPermission());

        return simpleAuthorizationInfo;
    }

    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行认证");

        UsernamePasswordToken usernamePasswordToken=(UsernamePasswordToken)token;
        String username = usernamePasswordToken.getUsername();

        User user = userService.findUserByUsername(username);
        //判断用户名
        if(user==null){
            return null;
        }
        //判断密码
        return new SimpleAuthenticationInfo(user,user.getPassword(),getName());

    }
}

html页面权限控制(thymeleaf)

 xmlns:th="http://www.thymeleaf.org"
 xmlns:shiro="http://www.pollix.at/thymeleaf/shiro"

使用心得

shiro的配置类主要提供了对各种url的拦截,其中shiro为我们提供了几个常用的过滤器,通过这些过滤器我们可以对各种url进行不同程度的拦截:例如:对不重要的页面使用anon过滤器,对需要登录的进行authc过滤器进行拦截,等等。这些 shiro已经是实现好的 过滤器是shiro实现权限控制的基础。
除此之外,shiro的配置类还可以确定登录页面和未授权页面,以便可以对非法的访问进行一些页面跳转的处理。还需要在配置类中配置realm,realm需要用户自己定义,继承自AuthorizingRealm类。

对realm的理解:

可以认为他是shiro的dao层,在realm中有认证和授权两个功能(方法),我们可以在这里对用户执行认证和授权,分别在登录和需要进行权限验证是时候调用

  • 一般,认证就将参数进行强转成包含用户填写用户名和密码的UsernamePasswordToken然后通过我们自己的dao方法判断用户身份,将判断结果返回,尤其重要的是对密码的判断不是由我们写代码判断,而是使用shiro提供的new SimpleAuthenticationInfo(user,user.getPassword(),getName()),三个参数分别是principal,用户真实密码,当前realm的名称。由shiro进行密码判断。
  • 一般,授权就向用户添加权限字符串,与在shiroConfig配置的字符串保持一致,例如:simpleAuthorizationInfo.addStringPermission(“user:add” );
    filtersMap.put("/user/add",“perms[user:add]”);

对shiroAPI的理解

我们使用subject和shiro进行交互

 Subject subject = SecurityUtils.getSubject();

通常在处理登录逻辑和授权逻辑的时候需要使用
例如:登录逻辑

 @RequestMapping("/login")
    public String doLogin(@RequestParam("username")String username,
                          @RequestParam("password")String password,
                          Map map){

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);

        try {
            subject.login(usernamePasswordToken);
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            map.put("msg","此账户不存在!");
            return "login";
        }catch (IncorrectCredentialsException e){
            map.put("msg","密码错误");
            return "login";
        }
        return "redirect:/hello";
    }

授权逻辑

@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("执行授权");
        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
        //给用户添加权限
        Subject subject = SecurityUtils.getSubject();
        User principal = (User) subject.getPrincipal();
        //String username = principal.getUsername();
        //User user = userMapper.findUserByUsername(username);
        //String permission = user.getPermission();


        simpleAuthorizationInfo.addStringPermission(principal.getPermission());

        return simpleAuthorizationInfo;
    }

最后

以后考虑学习spring security技术,听说比shiro更加强大,但是shiro更易用,所以更流行

zm98
关注
专栏目录
springboot整合shiro完成RBAC功能
m0_73414822的博客
03-05 346
springboot整合shiro实现加密,权限管理.......
课设总结 | 初学者SpringBoot框架开发存在的问题总结 | 商城系统的设计问题总结
希望每天都能进步一点点
05-20 1683
技术不一定要最先进,要根据自身的实际情况来定,如果自己学习能力强,学习时间比较多,那么就可以上丰富的框架,比如前端:Vue、后端:SpringBoot,如果时间不够多,那么就看你自己将来要从事哪个行业,偏前端的话就尽量把Vue学了,然后后端可以找搭档一起完成,或者后端简单一点就直接用传统的 Servlet。
springboot整合shiro
08-21
springboot整合shiro,基于mybatis
SpringBoot系列十二:SpringBoot整合 Shiro
weixin_34110749的博客
04-07 248
声明:本文来源于MLDN培训视频的课堂笔记,写在这里只是为了方便查阅。 1、概念:SpringBoot 整合 Shiro 2、具体内容 Shiro 是现在最为流行的权限认证开发框架,与它起名的只有最初的 SpringSecurity(这个开发框架非常不好用,但是千万不要 以为 SpringSecurity 没有用处,它在 SpringCloud 阶段将发挥重大的作用)。但是现在如果要想整合 Shi...
SpringBoot入门实战:SpringBoot整合Shiro
最新发布
qq_24428851的博客
07-26 498
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
一个springboot整合shiro小demo的学习分享及心得
weixin_39274753的博客
12-13 816
前言 最近学习了一个18年黑马springboot整合shiro的demo,比之前看的shiro学习视频感觉更容易理解一些,故作分享。之前在尚硅谷看过的视频,是shiro与spring整合,用的是xml配置方式,跟现在流行使用springboot的开发方式略有不同,因此黑马的此视频更容易让人看懂。当然,黑马跟尚硅谷相比,前者符合实际容易理解,后者涉及到更多shiro的功能,建议都看。 ps:本...
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 2764
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
spring-boot-example:spring boot 相关实例合集,各Demo工程介绍详见README.md
05-11
spring-boot-example spring boot 相关实例,不断更新,欢迎点亮 ...整合Shiro登录 SSO单点登录整合实例 模板引擎thymeleaf 整合注解式参数校验 关注程序员小强公众号更多编程趣事,知识心得与您分享
[0]Spring Boot+Vue全栈开发实战.学习笔记
qq_57210034的博客
05-23 349
目录 Spring Boot 入门 .. .... .. ... .. .. …. ....... .. ....………......….. ... .. …..... ... .……… .... .. 1 1.1 Spring Boot 简介............... ...... .. .. …. ... .........………… .. .. ….. .... ......... ..… ...... .….. 1 1.2 开发第一个 Spring Boot 程序….. ... .. ... .
springboot+shiro
weixin_41988875的博客
11-01 677
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于Spr...
SpringBoot整合Shiro实战:快速入门与配置详解
springboot结合shiro.pdf”是一个关于如何在Spring Boot项目中集成Apache Shiro进行权限管理和认证的实战教程。资源包含了必要的依赖配置、配置文件设置以及相关的页面示例。 在Spring Boot项目中整合Shiro,首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值