【Shiro】SpringBoot整合Shiro

最新推荐文章于 2025-04-02 17:25:00 发布
原创 最新推荐文章于 2025-04-02 17:25:00 发布 · 328 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #springboot

本文介绍Shiro框架在SpringBoot项目中的整合与应用,包括自定义Realm类实现认证与授权,配置ShiroFilter进行权限拦截,以及如何处理登录逻辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Shiro的核心API

Subject:用户主题(把操作交给SecurityManager)
SecurityManager:安全管理器(关联Realm)
Realm:Shiro连接数据的桥梁

1、整合SpringBoot:

pom导入jar文件:shiro-spring

2、自定义Realm类

编写自己的Realm类,实现授权与认证逻辑,继承AuthorizingRealm

public class AuthRealm extends AuthorizingRealm {
    //  授权逻辑
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
       System.out.println("授权逻辑");
       // 给资源进行授权
       SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
       // 添加资源的授权字符串,实际从数据库拿到授权字符串
       info.addStringPermissions("edit");  // edit这个字符串必须与用户之前拦截权限时候配置的字符串一致
       // 到数据库查询当前登录用户的授权字符串
       // 获取当前登录用户
       Subject subject=SecurityUtils.getSubject();
       User user=subject.getPrincipal();  // 通过getPrincipal拿到的就是下边的认证登录逻辑中的返回时候的第一个参数user
       User dbUser=userService.findById(user.getId());
       // 往info中添加授权字符串
       info.addStringPermissions(dbUser.getPerms());  // perms是用户表中的一列授权字段
       return info;
    }

    // 认证登录逻辑
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
   		System.out.println("认证登录逻辑");
	    // 编写验证的逻辑,判断用户名和密码是否正确
	    // 1.判断用户名,实际都是从数据库获取用户的数据
	    // String name="wbs";
	    // String password="000";
	    UsernamePasswordToken token=(UsernamePasswordToken )token;
	    User user=userService.findUserByName(token.getUsername());
	    if(!token.getUsername.equals(name)){
	    	// 用户名不存在
	    	return null;  // 会抛出UnknownAccountException 
	    } 
       	// SimpleAuthorizationInfo是AuthenticationInfo 的一个子类
       	return new SimpleAuthorizationInfo(user,password,"");
    }
}

3、编写shiro配置类(关键步骤)

必须的三个步骤:
1、创建ShiroFilterFactoryBean
2、创建DefaultWebSecurityManager
3、创建Realm
下边是最基本的配置,也是必须的配置

@Configuration
public class ShiroConfiguration {
	// 创建ShiroFilterFactoryBean
    @Bean("shiroFilterFactoryBean ")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager")SecurityManager manager) {
		ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
		// 设置安全管理器
        bean.setSecurityManager(manager);
        /****************添加自己的认证开始****************/
	        // 添加Shiro内置过滤器
	        // Shiro内置过滤器,可以实现权限相关的拦截器
	        // 常用的过滤器:
	        	/*
	        	anon:无需认证(登录),即可访问
	        	authc:必须认证才可以访问
	        	user:如果使用rememberMeMe的功能直接可以访问
	        	perms:该资源必须授予资源权限才可以访问
	        	role:该资源必须得到角色权限才可以访问
	        	*/
	        	LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
	        	filterChainDefinitionMap.put("/add", "authc");
		        filterChainDefinitionMap.put("/index", "authc");
		        filterChainDefinitionMap.put("/login", "anon");  // login无需验证
		        filterChainDefinitionMap.put("/user/*","authc");  // 使用通配符,让user下边的所有资源都进行认证
		        // 授权过滤器
		        // 当前授权拦截后,Shiro会自动跳转到一个未授权页面,但是这个页面需要自己编写
		        filterChainDefinitionMap.put("/edit", "perms[edit]");
		        filterChainDefinitionMap.put("/update", "perms[update]");
		        // 修改跳转的登录页面
		        bean.setLoginUrl("/login");  //登录的时候,转向login这个controller,返回某个页面
		        bean.setSuccessUrl("/index");  // 登录成功,转向index这个controller,返回某个页面
     		    bean.setUnauthorizedUrl("/unauthorized");  // 设置未授权提示页面,转向unauthorized这个controller,返回某个页面
     		    bean.setFilterChainDefinitionMap(filterChainDefinitionMap);   // 将自己定义的需要拦截的都加入到拦截器链中
        /****************添加自己的认证结束****************/
        return bean;
        
    }
	// 创建DefaultWebSecurityManager
   @Bean("securityManager")
    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm ) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        // 关联Realm
        manager.setRealm(authRealm);
        return manager;
    }
	// 创建Realm
    @Bean("authRealm")
    public AuthRealm authRealm(CredentialMatcher matcher) {
        return  new AuthRealm ();
    }
    /*
    配置ShiroDialect,用于thymeleaf和shiro的整合
    */
    @Bean
    public ShiroDialect getShiroDialect(){
    	return new ShiroDialect();
    }
    
}

4、登录逻辑处理

使用Shiro编写认证操作

@RequestMapping("/login")
    public String login(String name,String password,Model model) {
    	// 1.获取subject
        Subject subject = SecurityUtils.getSubject();
        // 2.接收用户数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 3.执行登录方法
        try {
        // 没有异常,代表登录成功
            subject.login(token);
            User user = (User) subject.getPrincipal();
            session.setAttribute("user", user);
            return "index";
        } catch (UnknownAccountException e) {
        // 用户名不存在 登录失败
        	model.addAttribute("msg","用户名不存在");
            return "login";
        }catch (IncorrectCredentialsException e) {
        // 密码错误 登录失败
        	model.addAttribute("msg","密码错误");
            return "login";
        }
        return "login";
    }

上边基本的程序代码,就是Shiro整合spring,进行简单的权限拦截功能,其中的Service、Controller、Mapper、Domain等实体类自己进行编写,如果是SpringMVC项目,可以参考SpringMVC,这个里面已经配置好了基本的SpringMVC的基本需要的所有配置,可以在这个项目的基础上边进行修改。

thymeleaf和Shiro标签配合使用的过程

1、在pon.xml中导入thymeleaf对Shiro的扩展坐标:thymeleaf-extras-shiro
2、配置ShiroDialect:在上边的ShiroConfig中代码中进行配置getShiroDialect这个方法

前端页面中写法如下:

<div shiro:hasPermission="edit">
	进入用户编辑页面
</div>
<div shiro:hasPermission="update">
	进入用户更新页面
</div>
springboot整合shiro
weixin_45476535的博客
08-24 684
【代码】springboot整合shiro
SpringBoot整合Shiro
whs_8792的博客
11-04 1080
Shiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。
Shiro整合Springboot
weixin_50020236的博客
07-12 597
springboot 整合shiro ,以及简单使用
Shiro整合Spring boot
weixin_39207217的博客
07-22 87
shiro是一个轻量级用户角色,权限管理框架(根据路径管理),功能简单,配置简单。 导入依赖 <!-- Shiro整合Spring --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </depend
shiro整合springboot
leonsccott的博客
07-03 211
shiro整合流程示意图 常见过滤器 shiro注解 @RequiresRoles(value={"admin","user"})//同时具有相同角色 @RequiresPermissions("user:update:*")//判断权限字符串
SpringBoot入门实战:SpringBoot整合Shiro
qq_24428851的博客
07-26 705
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Shiro整合SpringBoot
abc98526的博客
06-12 413
导入依赖: 导入完成后还需要在resources下配置shiro.ini 到这里基本配置就成功了,可以进行编码了.shiro的一些基本实例如下: 提取方法:Shiro三大对象 编写配置类进行配置如: 创建的对象如下: Shiro的内置过滤器 登录测试如: 再在自己写的Real中进行账号密码认证如: 然后进行授权: 设置有某个权限才能访问的路径示例: ###Shiro整合Thymeleaf 导入依赖 我们还需要在SpringBoot的配置文件(配置类)中加入一个bean如: 配置好之后就可以直接在前端使用了,
Shiro 整合springboot
Code-zyc的博客
08-07 135
这里写目录标题第一步 导入依赖第二步 建立shiroconfig 文件第三步 创建自定义的realm第四步:关于加密和解密:加密解密:补充 :登录与登出: 第一步 导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> &l
Shiro 整合SpringBoot
qq_46127735的博客
08-22 192
Shiro 整合SpringBoot 1、 简介 Apache Shiro 是 Java 的一个安全(权限)框架, Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以为开发人员提供一个全面的:认证、授权、加密、会话管理、与Web 集成、缓存等解决方案。 2、基本功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个
ShiroSpringBoot整合
小凯的博客
03-03 1338
Shrio整合springboot及相关案例解析
shiro与Spring Boot 整合
一个菜鸡的博客
05-20 1367
认证策略的另外一项工作就是聚合所有 Realm 的结果信息封装至一个 AuthenticationInfo 实例中,并将此信息返回,以此作为 Subject 的身份信息。FirstSuccessfulStrategy ==》第一个 Realm 验证成功,整体认证将视为成功,且后续 Realm 将被忽略。AtLeastOneSuccessfulStrategy ==》只要有一个(或更多)的 Realm 验证成功,那么认证将视为成功。(1)在所有 Realm 被调用之前。(4)在所有 Realm 被调用之后。
快速入门Shiro - 整合SpringBoot
Life And Code
05-14 465
文章目录1. Shiro简介1.1 什么是Shiro?1.2 有哪些功能?1.3 Shiro架构(外部)1.4 Shiro架构(内部)2. HelloWorld2.1 快速实践3. Springboot整合Shiro3.1 Shiro实现登录拦截3.2 Shiro实现用户认证3.3 Shiro整合Mybatis3.4 Shiro请求授权实现3.5 其他功能4. shiro整合thymeleaf 1. Shiro简介 1.1 什么是Shiro? Apache Shiro是一个Java的安全(权限)框架 Sh
Shiro学习(三):shiro整合springboot
最新发布
liang8999的博客
04-02 1072
由 配置类 ShiroWebFilterConfiguration 初始化 ShiroFilterFactoryBean 时可以发现,过滤器。,所以需要我们手动装载 SecurityManager 去覆盖Springboot 自动装载的 SecurityManager。另外在 shiro-spring-boot-web-starter 包下的文件 spring.factores 中的配置类。只会注入 Shiro 自身默认提供的Relam,这里需要把自定义的Realm注入到 SecurityManager。
springboot整合 shiro
qq_44058265的博客
10-03 220
文章目录1. 添加整合依赖2. 创建自定义Realm对象3. 编写配置类4. 实现登录拦截 -- 添加shiro内置过滤器5. 实现用户验证 1. 添加整合依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </depende
SpringBootShiro整合
fangliangke的博客
02-01 6394
本文章介绍了Spring boot下shiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
Shiro的简单Springboot整合demo
三明治文鱼的博客
06-19 180
跟着【狂神说Java】SpringBoot最新教程IDEA版通俗易懂P40-P44在Springboot中简单整合Shiro并实现了登录认证和访问授权功能。 pom依赖 <!-- Shiro整合Spring --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version&
ShiroSpringBoot整合实现Thymeleaf权限管理
**整合Spring Boot**: 在Spring Boot项目中整合Shiro,通常需要以下步骤: 1. 引入Shiro依赖。 2. 创建Shiro的配置类,配置Realm、SecurityManager等。 3. 自定义Realm来连接数据源,实现用户认证和授权。 4. 创建...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值