Spring boot+Shiro

最新推荐文章于 2023-03-24 15:30:25 发布
原创 最新推荐文章于 2023-03-24 15:30:25 发布 · 695 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #java #安全

本文详细介绍了Apache Shiro框架的原理、在Springboot中的配置以及Shiro的认证过程。Shiro是一个轻量级的安全框架,用于处理认证、授权、会话管理和加密。在Springboot中配置Shiro涉及导入依赖、开启AOP、自定义Realm并配置ShiroFilter。认证过程中,Shiro首先通过Subject.login()方法,然后由SecurityManager进行身份验证,最终在 Realm 中完成用户信息的校验。通过对UsernamePasswordToken的处理,实现了用户登录的完整流程。

Spring boot+Shiro

一、Shiro框架

1、官方文档:http://shiro.apache.org/index.html

shrio是一个基于Java的安全认证框架,是一个轻量级的安全框架,主要的作用是在后端承担认证和授权的工作,可在JavaSE和JavaEE环境中使用

2、shiro架构

在这里插入图片描述

  • Authentication:有时称为“登录”,这是证明用户是他们所说的身份的行为。
  • Authorization:**访问控制的过程,即确定“谁”有权访问“什么”。
  • Session Management:即使在非Web或EJB应用程序中,也管理用户特定的会话。
  • Cryptography:使用密码算法保持数据安全,同时仍然易于使用。

在不同的应用程序环境中,还具有其他功能来支持和加强这些问题,尤其是:

  • Web Support:Shiro的Web支持API可帮助轻松保护Web应用程序。
  • Caching:缓存是Apache Shiro API的第一层公民,可确保安全操作保持快速有效。
  • Concurrency:Apache Shiro的并发功能支持多线程应用程序。
  • Testing:测试支持可以帮助您编写单元测试和集成测试,并确保您的代码将按预期进行保护。
  • “Run As”:一种功能,允许用户采用其他用户的身份(如果允许),有时在管理方案中很有用。
  • “Remember Me”:在整个会话中记住用户的身份,因此他们仅在必要时登录。

在认证过程中有三个核心的对象:Subject,SecurityManager和Realm(s)
在这里插入图片描述

  • Subject:Subject本质上是当前正在执行的用户的安全特定“视图”,是shiro对外的API核心。Subject代表了当前的用户,可以是一个人,但它也可以表示第三方服务,守护程序帐户。

    Subject只是一个门面,其内部有关操作都交给了SecurityManager去执行

  • SecurityManager:是Shiro体系结构的核心,并充当一种“伞”对象,该对象协调其内部安全组件,这些安全组件一起形成对象图。相当于sprintmvc的dispatcherServlet,负责其他组件与shiro的交互

  • Realm:领域充当Shiro与应用程序的安全数据之间的“桥梁”或“连接器”。可以执行身份验证(登录)和授权(访问控制),相当于数据库中的DataSource,可以自定义该类

二、在Springboot中配置shiro

1、导包

<!--shiro-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.3</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-starter</artifactId>
    <version>1.5.3</version>
</dependency>
<!--shiro注解支持需要aop的支持-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

2、开启aop的自动代理

sprint:
	aop:
		proxy-target-class: true

3、自定义Realm

@Slf4j
public class ShiroRealm extends AuthorizingRealm {
   
   
    @Lazy
    @Resource
    private RedisUtil redisUtil;
    @Autowired
    private SysUserDao sysUserDao;

    /**
     * 重写身份令牌验证方式
     * 若返回false则在执行登录操作时会报org.apache.shiro.authc.pam.UnsupportedTokeException
     * 即不支持的身份令牌
     */
    @Override
    public boolean supports(AuthenticationToken token) {
   
   
        return token instanceof JwtToken;
    }

    /**
     * 权限信息认证(包括角色认证以及权限认证):是用户访问controller的时候才进行验证
     * 触发检测用户权限时才会调用此方法,例如checkRole,checkPermission
     *
     * @param principals 身份信息
     * @return AuthorizationInfo 权限信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
   
   
        return null;
    }

    /**
     * 用户信息认证:在用户进行登录的时候进行验证
     *
     * @param auth 用户登录的账号密码信息
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
   
   
        String token = (String) auth.getCredentials();
        if (token == null) {
   
   
            throw new AuthenticationException("token为空!");
        }
        
        // 校验token有效性
        LoginUser loginUser = this.checkUserTokenIsEffect(token);
        //可进行一系列验证。。。
        
        /**
         * 封装用户的登录数据
         */
        return new SimpleAuthenticationInfo(loginUser, token, getName());
    }

    /**
     * 清除当前用户的权限认证缓存
     *
     * @param principals 权限信息
     */
    @Override
    public void clearCache(PrincipalCollection principals) {
   
   
        super.clearCache(principals);
    }

}
SimpleAuthenticationInfo源码解析
  • 构造方法的第一个参数指定了登录的用户数据
  • 第二个参数用来校验第一个参数所指定的用户,一般可为用户的token或password
  • 第三个参数指定了授权的对象名
/**
 * Constructor that takes in a single 'primary' principal of the account and its corresponding credentials,
 * associated with the specified realm.
 * <p/>
 * This is a convenience constructor and will construct a {@link
最低0.47元/天 解锁文章
SpringBoot+Shiro
xiaoyiyi的博客
04-02 387
1.Shiro安全框架介绍 1.2.1 Shiro概述 Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了用于执行以下方面的应用程序安全性API(被称为应用程序安全性的4个...
SpringBoot完整版(六)- Shiro
Roc的博客
02-02 376
SpringBoot完整版(六)- Shiro一、概述1.1 简介1.2 功能1.3 Shiro架构(外部)1.4 Shiro架构(内部)1.5 认证流程二、快速入门2.1 拷贝案例2.2 分析案例三、SpringBoot 集成 Shiro3.1 编写配置文件3.2 搭建简单测试环境3.3 使用四、Shiro 整合 Mybatis4.1 配置环境4.2 Shiro + Mybatis 结合使用五、Shiro 请求授权实现5.1 设置权限5.2 授予权限5.3 数据库操作六、Shiro 整合 Thymele
Shiro-官方文档及使用
zhijingege的博客
03-14 1848
普通web应用官方文档shiro.ini Once you choose at least one user store to connect to for Shiro’s needs, we’ll need to configure a Realm that represents that data store and then tell the ShiroSecurityManager a...
shiro官方文档(中文)
12-27
apache-shiro-1.2.x-reference(中文版) 。
SpringBoot系列十二:SpringBoot整合 Shiro
weixin_34110749的博客
04-07 313
声明:本文来源于MLDN培训视频的课堂笔记,写在这里只是为了方便查阅。 1、概念:SpringBoot 整合 Shiro 2、具体内容 Shiro 是现在最为流行的权限认证开发框架,与它起名的只有最初的 SpringSecurity(这个开发框架非常不好用,但是千万不要 以为 SpringSecurity 没有用处,它在 SpringCloud 阶段将发挥重大的作用)。但是现在如果要想整合 Shi...
极简shiro入门
czhAL的博客
12-07 573
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
精选资源
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
Spring BootShiro和MyBatis这三大框架的组合提供了一种高效且灵活的方式来实现这一目标。本项目通过集成这三个工具,能够根据用户的登录身份展示不同的权限菜单,确保了用户只能访问他们被授权的功能。 **Spring ...
spring boot+shiro 权限认证管理案例
12-20
Spring Boot 和 Apache Shiro 的整合是企业级应用中常见的权限认证和安全管理方案。Spring Boot 提供了简化 Java 应用程序开发的框架,而 Shiro 是一个轻量级的安全框架,专注于身份验证、授权、会话管理和加密。...
spring boot+shiro
02-11
Spring BootShiro是两个在Java开发中广泛使用的框架,它们在构建权限管理系统中发挥着重要作用。Spring Boot简化了Spring应用程序的配置和启动过程,而Apache Shiro则是一个强大且易用的安全框架,用于处理认证、...
精选资源
spring boot+activiti+shiro+layui+Mysql权限管理系统源码
07-01
这是一个基于Spring Boot、Activiti、Shiro和Layui的权限管理系统源码,结合了MySQL数据库,用于实现高效、安全的后台管理功能。下面将详细解释这套系统的各个组成部分及其核心知识点。 1. **Spring Boot**: Spring...
SpringBoot+Shiro+Jpa+Redis.zip
05-15
Java实现SpringBoot+Shiro+Jpa+Redis实现权限管理,附sql文件,下载导入idea可直接运行。
SpringBootShiro整合-权限管理实战视频及源码
09-03
Spring一直是很火的一个开源框架,在过去的一段时间里,Spring Boot在社区中热度一直很高,所以传智播客经常开课讲一讲这方面的知识点,为热爱编程技术的网友提前做好知识储备。 课程介绍: Spring Boot设计目的是用来简化Spring应用的初始搭建以及开发过程,而Shiro是一个强大且易用的Java权限框架,有身份验证、授权、加密和会话管理等功能。本课程重点讲解如何使用Spring BootShiro进行无缝整合,实现强大的用户权限管理。 课程核心技术: Shiro框架功能简介; SpringBoot快速入门; Spring BootShiro整合实现用户认证; Spring BootShiro整合实现用户授权; thymeleaf和shiro标签整合使用。
springboot-shiro
10-18
使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例。
shiro+springboot
11-23
主要是springboot整合shiro框架,现在springboot是比较普遍使用的微服务
spring-boot+shiro+jpa
07-12
下面将详细解释这三个技术及其在"spring-boot+shiro+jpa"项目中的应用。 首先,Spring BootSpring Framework的一个扩展,它简化了创建独立的、生产级别的基于Spring的应用程序过程。Spring Boot的核心特性包括...
springboot+shiro
singleAnd的博客
08-03 195
Springboot shiro整合 注意,本文是本地测试,缺少mybatis查询数据库 首先引入的项目包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> &
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 971
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache ShiroJava 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
SpringBoot整合Shiro(超详细,适合新手学习,附有源码)
lianaozhe的博客
03-24 1584
shiro是什么呢?Shiro是一个功能强大,简单易用的 Java 安全框架,提供了用户认证、授权、加密、会话管理、缓存等功能。和目前另一款Java安全框架Spring Security相比,Shiro更加轻便,易于上手。各功能点介绍Authentication:用户身份认证/登录,即验证用户是不是合法用户Authorization:用户权限验证,即验证用户是否拥有某个角色,是否拥有某个权限。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值