SpringBoot之----整合Shiro环境，实现登陆拦截和用户认证

最新推荐文章于 2022-08-24 03:15:24 发布

咸鱼_翻身

最新推荐文章于 2022-08-24 03:15:24 发布

阅读量421

点赞数 3

CC 4.0 BY-SA版权

分类专栏： Java spring boot 文章标签： spring boot java intellij-idea

本文链接：https://blog.youkuaiyun.com/aaa123_456aaa/article/details/122438928

spring boot 同时被 2 个专栏收录

24 篇文章

订阅专栏

Java

18 篇文章

订阅专栏

本文通过实战演示如何使用Shiro实现基于Spring Boot项目的权限管理，包括配置Shiro进行用户认证、授权及页面拦截等操作。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

其实我们的SpringSecurity和Shiro很像，我们学习的时候可以通过知识迁移来认识他。
我们先看看项目结构：
在这里插入图片描述

1.创建springboot项目，创建时选择导入Spring Web和Thymeleaf

在这里插入图片描述

2.导入jar包

pom.xml

 <dependencies>

        <!--
            我们先看Shiro的核心三大对象
            Subject 用户
            SecurityManager 管理所有用户
            Realm 连接数据
        -->
        <!-- 导入Shiro整合包-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

3.编写页面类

index.xml

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h1>首页</h1>
<p th:text="${msg}"></p>
<a th:href="@{/user/add}">add</a> | <a th:href="@{/user/update}">update</a>
</body>
</html>

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>登陆</h1>
<hr>
<p th:text="${msg}" style="color: red"></p>
<form th:action="@{/login}">
    <p>账  号：<input type="text" name="username"></p>
    <p>密  码：<input type="text" name="password"></p>
    <p><input type="submit"></p>
</form>
</body>
</html>

add.xml

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h1>add</h1>

</body>
</html>

update.xml

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<h1>update</h1>

</body>
</html>

4.编写控制层

MyController.java

package com.wlm.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class MyController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","hello xian_yu");
        return "index";
    }

    @RequestMapping("/user/add")
    public String add(){
        return "user/add";
    }

    @RequestMapping("/user/update")
    public String update(){
        return "user/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username, String password,Model model){
        //获取当前的用户
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登陆数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try{
            //执行登陆的方法，如果没有异常就说明可以了
            subject.login(token);
            return "index";
        }catch (UnknownAccountException e){//用户名不存在
            model.addAttribute("msg","用户名错误");
            return "login";
        }catch (IncorrectCredentialsException e){//密码不存在
            model.addAttribute("msg","密码错误");
            return "login";
        }
    }

}

5.编写核心类ShiroConfig.java和UserRealm.java

ShiroConfig.java

package com.wlm.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

//加上@Configuration注解主要是给我们的类加上了cglib代理。
//在执行我们的配置类的方法时，会执行cglib代理类中的方法
@Configuration
public class ShiroConfig {
    //shiroFilterFactoryBean：第三步
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        //添加shiro的内置过滤器
        /*
            anon: 无需认证就可以访问
            authc: 必须认证了才能访问
            user: 必须拥有 记住我 功能才能用
            perms: 拥有对某个资源的权限才能访问文档
            role: 拥有某个角色权限才能访问
        */
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/user/add","authc");
        filterMap.put("/user/update","authc");
        bean.setFilterChainDefinitionMap(filterMap);

        //设置登陆的请求
        bean.setLoginUrl("/toLogin");

        return bean;
    }
    //DefaultWebSecurityManager：第二步
    @Bean(name="securityManager")
    public DefaultWebSecurityManager getdefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联userRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建realm对象：第一步
    @Bean
    public UserRealm userRealm(){
        //需要自定义，交给spring托管
        return new UserRealm();
    }
}

UserRealm.java

package com.wlm.config;

import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

//自定义的 UserRealm，继承AuthorizingRealm，然后重写授权和认证方法，跟SpringSecurity很像的。
public class UserRealm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("doGetAuthorizationInfo授权=》咸鱼_翻身");
        return null;
    }
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("doGetAuthenticationInfo认证=》咸鱼_翻身");

        //用户名，密码，在数据库中取
        String name = "xian_yu";
        String password = "123456";

        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        if (!userToken.getUsername().equals(name)){
            return null; //抛出我们之前写的异常 UnknownAccountException
        }
        //密码认证不用咱们做，交给shiro做就好了
        return new SimpleAuthenticationInfo( "",password,"");
    }
}

6.运行结果

首先我们能看见我们的首页，我们点进去在之后，理论上会给拦截：
在这里插入图片描述
我们可以看到我们直接访问add.html给拦截了：

我们提交错误信息就会显示：

那我们提交我们写好的，这里暂时模拟数据库写了账户：xian_yu 密码：123456 完成提交返回首页：

后台也打印相对应的消息，说明走了UserRealm类里面的方法：
在这里插入图片描述