Shiro学习笔记

最新推荐文章于 2022-10-19 17:03:11 发布
最新推荐文章于 2022-10-19 17:03:11 发布
阅读量195 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: JAVA学习 文章标签: 学习 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/OAOII/article/details/124709481
本文介绍了如何在SpringBoot项目中集成Apache Shiro框架,包括添加依赖、配置ShiroFilter、用户认证与授权,以及登录拦截和退出功能的实现。通过实例演示了如何使用Shiro进行身份验证和权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Shiro

参考视频: 【狂神说Java】SpringBoot整合Shiro框架_哔哩哔哩_bilibili

参考博客: SpringBoot-狂神(17. SpringBoot整合Shiro)学习笔记_yuan_404的博客-优快云博客_狂神shiro笔记

一、简介

Apache Shiro是一个强大且易用的Java安全框架。

可以完成身份验证、授权、密码和会话管理。

Shiro 不仅可以用在 JavaSE 环境中,也可以用在 JavaEE 环境中。

二、快速开始

quickstart

三、springboot整合

1.maven

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.7</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.ty</groupId>
    <artifactId>shiro-springboot</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>shiro-springboot</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>

        <!--SpringBoot 和 Shiro 整合包-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>

        <!--thymeleaf模板-->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

2.环境搭建

index.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}"></p>
</body>
</html>

MyController

package com.ty.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class MyController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","hello,shiro!");
        return "index";
    }
}

测试。

3.config

ShiroConfig

package com.ty.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;

public class ShiroConfig {

    //ShiroFilterFactoryBean:3
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        return bean;
    }

    // DefaultWebSecurityManager:2
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建 realm 对象,需要自定义类:1
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
}

UserRealm

package com.ty.config;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

//自定义Realm
public class UserRealm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权doGetAuthorizationInfo");
        return null;
    }
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证doGetAuthorizationInfo");
        return null;
    }
}

4.修改前端和controller

index.html

<a th:href="@{/user/add}">add</a>
<a th:href="@{/user/update}">update</a>

add.html

<h1>add</h1>

update.html

<h1>update</h1>

login.html

<h1>登录</h1>
<hr>
<form action="">
    <p>用户名:<input type="text" name="username"></p>
    <p>密码:<input type="password" name="password"></p>
    <p><input type="submit"></p>
</form>

controller

@Controller
public class MyController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","hello,shiro!");
        return "index";
    }

    @RequestMapping("/user/add")
    public String add(){
        return "user/add";
    }

    @RequestMapping("/user/update")
    public String update(){
        return "user/update";
    }
    
    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }
}

四、登录拦截

@Configuration
public class ShiroConfig {

    //ShiroFilterFactoryBean:3
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

        //添加shiro内置过滤器
        /*
            anon : 无需认证,就可以访问
            authc : 必须认证,才能访问
            user : 必须拥有 “记住我”功能才能用
            perms : 拥有对某个资源的权限才能访问
            role : 拥有某个角色权限才能访问
         */
        Map<String, String> map = new LinkedHashMap<>();
//        map.put("/user/add","authc");
//        map.put("/user/update","authc");
        map.put("/user/*","authc");

        bean.setFilterChainDefinitionMap(map);
        
        //设置登录
        bean.setLoginUrl("/toLogin");
        
        return bean;
    }

    // DefaultWebSecurityManager:2
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建 realm 对象,需要自定义类:1
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }
}

五、用户认证

controller

@RequestMapping("/login")
    public String login(String username, String password, Model model){
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //封装登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        try{
            subject.login(token);
            return "index";
        }catch (UnknownAccountException e){//用户名不存在
            model.addAttribute("msg", "用户名错误");
            return "login";
        }catch (IncorrectCredentialsException e) {//密码错误
            model.addAttribute("msg", "密码错误");
            return "login";
        }
    }

UserRealm

//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证doGetAuthorizationInfo");
        //用户名密码,数据库取
        String name = "root";
        String password = "123";
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
        if(!userToken.getUsername().equals(name)){
            return null; //UnknownAccountException
        }
        return new SimpleAuthenticationInfo("",password,"");
    }

六、请求授权

1.整合Mybatis

(1)maven

<!--整合数据库-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.12</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.0</version>
        </dependency>

(2)配置文件

spring:
  datasource:
    username: root
    password: admin
    #?serverTimezone=UTC解决时区的报错
    url: jdbc:mysql://localhost:3306/test?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
    driver-class-name: com.mysql.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource

    #Spring Boot 默认是不注入这些属性值的,需要自己绑定
    #druid 数据源专有配置
    initialSize: 5
    minIdle: 5
    maxActive: 20
    maxWait: 60000
    timeBetweenEvictionRunsMillis: 60000
    minEvictableIdleTimeMillis: 300000
    validationQuery: SELECT 1 FROM DUAL
    testWhileIdle: true
    testOnBorrow: false
    testOnReturn: false
    poolPreparedStatements: true

    #配置监控统计拦截的filters,stat:监控统计、log4j:日志记录、wall:防御sql注入
    #如果允许时报错  java.lang.ClassNotFoundException: org.apache.log4j.Priority
    #则导入 log4j 依赖即可,Maven 地址: https://mvnrepository.com/artifact/log4j/log4j
    filters: stat,wall,log4j
    maxPoolPreparedStatementPerConnectionSize: 20
    useGlobalDataSourceStat: true
    connectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=500

mybatis.type-aliases-package=com.ty.pojo
mybatis.mapper-locations=classpath:mapper/*.xml

(3)创建pojo、mapper、service等

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private int id;
    private String name;
    private String password;
}

@Repository
@Mapper
public interface UserMapper {
    public User queryUserByName(String name);
}

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.ty.mapper.UserMapper">
    <select id="queryUserByUsername" parameterType="String" resultType="User">
        select * from user where username=#{username}
    </select>
</mapper>

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    UserMapper userMapper;
    
    @Override
    public User queryUserByName(String name) {
        return userMapper.queryUserByName(name);
    }
}

(4)修改UserRealm

//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证doGetAuthorizationInfo");
        
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;

        //用户名密码,连接数据库
        User user = userService.queryUserByName(userToken.getUsername());
        
        if(user==null){
            return null;
        }
        return new SimpleAuthenticationInfo("",user.getPassword(),"");
    }

2.授权实现

controller

@RequestMapping("/noauth")
    @ResponseBody
    public String unatuthorized(){
        return "未经授权无法访问";
    }

ShiroConfig

@Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

        //添加shiro内置过滤器
        /*
            anon : 无需认证,就可以访问
            authc : 必须认证,才能访问
            user : 必须拥有 “记住我”功能才能用
            perms : 拥有对某个资源的权限才能访问
            role : 拥有某个角色权限才能访问
         */
        Map<String, String> map = new LinkedHashMap<>();

        //授权
        map.put("/user/add","perms[user:add]");

//        map.put("/user/add","authc");
//        map.put("/user/update","authc");
        map.put("/user/*","authc");

        bean.setFilterChainDefinitionMap(map);

        //设置登录
        bean.setLoginUrl("/toLogin");
        //未授权页面
        bean.setUnauthorizedUrl("/noauth");
        return bean;
    }

UserRealm

//授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权doGetAuthorizationInfo");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("user:add");
        return info;
    }

实际业务,需要从数据库取得授权

info.addStringPermission(currentUser.getPerms());

七、退出登录

//退出登录
@RequestMapping("/logout")
public String logout(){
    Subject subject = SecurityUtils.getSubject();
    subject.logout();
    return "login";
}
springboot1.5+shiro+mybatis+druid监控后台系统(java
07-03
使用前请详细阅读压缩包中的readme文件。本套系统使用springboot1.5+shiro实现权限控制,界面主要使用bootstrap构建。有文件上传下载功能。定分较高,请谨慎下载,因为本人保证可以远程教将项目在你的本地跑起来。达到下载后可以自己使用的效果。联系方式见压缩包中readme。
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - ShiroSpring的整合 - Shiro的Filter链配置 - ...
SpringBoot-shiro(结合druid,mybatis)
qq_42370505的博客
09-25 273
目录结构: 导包 shiro: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.6.0</version> </dependency> thymeleaf模板: <!--thymeleaf模板--> &
Springboot-Shiro-druid-mybatis
李也的博客
05-08 587
Springboot集成shiro Shiro主要用来进行权限管理。简单的介绍如下: 一、概念 Shiro是一个安全框架,可以进行角色、权限管理。 Shiro主要功能如下: Authentication(认证):用户身份识别,通常被称为用户“登录” Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。 Session Management(会话...
SpringBoot的shiro整合mybatis+druid数据源
qq_43880100的博客
10-19 670
SpringBoot的shiro整合mybatis+druid数据源
springboot shiro druid
03-16 486
1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架,相对于security简单的多,也没有se...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
说:笔记】安全框架:shiro(入门)
qq_48575500的博客
06-20 1808
shiro入门 笔记 安全框架
Java SpringBoot+Mybatis+Druid+Shiro
03-24
java集成shiro的Demo 各个配置都有注释 使用druid监控数据库
Spring Boot+Apache Shiro+Spring MVC+MyBatis+Quartz+Druid DEMO
03-30
Spring Boot+Apache Shiro+Spring MVC+MyBatis+Quartz+Druid DEMO
springboot-shiro(mybatis-plus+shiro-redis+druid+thymeleaf+jasypt)
12-08
springboot整合shiro使用mybatis-plus作为持久层,管理页面为thymeleaf模版。jasypt加密配置文件信息。使用druid数据源以及数据源监控。shiro-redis开源插件
springboot整合shiro、redis、druid 源码下载
04-06
spring-boot项目整合shiro权限框架,实现了登录认证、权限认证、密码加密、rememberMe、验证码、登录次数过多限制功能 整合redis,使用缓存注解,不用每次都查询数据库 整合druid,页面上监控sql语句的执行情况 git项目下载地址(持续更新): https://github.com/aqsunkai/era
吴天雄--shiro个人总结笔记.doc
04-30
本文章共计90页,将近20000多字,共分为十二讲内容。第一讲了解shiro(什么是shiroshiro的结构体系、核心功能、shiro的架构、shiro的工作流程、RBAC模型),第二讲 用户认证和授权(demo练习),第三讲 JdbcRealm及认证策略,第四讲 与Web集成(shiro+SpringMVC),第五讲 shiro标签,第六讲 自定义Realm(加入整合spring和MyBatis), 第七讲 加密(加密算法、加密过程、加密实现代码),第八讲 记住我,第九讲 缓存管理(代码实现),第十讲 会话管理(session的监听和检测、环境配置),第十一讲 注解开发(简化配置文件),第十二讲 汇总SSM+shiro
Shiro 笔记
fengjiuxin的博客
08-14 611
Shiro 简介 三个核心:Subject,Shiro SecurityManager,Reaim Shiro SecurityManager管理Subjec 架构 Authentication 身份认证、登录 Authorization 授权,即权限验证,验证某个已经认证的用户是否拥有某个权限 Session Manager 会话管理,session管理 web里边 Cryptography 加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储 Web Support 能够容易的集成We
springboot+shiro+druid+thymeleaf+mybatis
zk86547462的博客
09-03 236
giteespringboot+shiro+druid+thymeleaf+mybatis
Shiro Demo:SpringBoot+Shiro+Druid+MyBatis
weixin_30498807的博客
05-01 148
访问start.spring.io生成项目: 然后选择依赖: pom.xml: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSch...
SpringBoot整合Mybatis+druid+shiro
Gosions的博客
04-02 502
SpringBoot整合Mybatis+druid+shiro 一.要想SpringBoot整合Mybatis+druid+shiro呢?需要导入依赖: <!--mysql--> <dependency> <groupId>mysql</groupId> <artifactId&...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值