springboot 集成shiro

最新推荐文章于 2024-11-01 00:03:14 发布
原创 最新推荐文章于 2024-11-01 00:03:14 发布 · 151 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在Spring Boot项目中集成Apache Shiro框架实现权限管理,包括配置pom文件依赖、设置Shiro过滤器、自定义Realm及密码比较器,并通过示例代码展示登录验证和角色权限控制。

1.pom文件

<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>1.5.2.RELEASE</version>
	</parent>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.2.2</version>
		</dependency>
	</dependencies>

2.shiro配置

package com.knife.Shiro_Springboot;

import java.util.LinkedHashMap;

import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;


@Configuration
public class Config {

	@Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {
		System.err.println("---------------create shiroFilter------------------");
        ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
        bean.setSecurityManager( manager);
        //配置登录的url
        bean.setLoginUrl("/login");
        
        //配置访问权限
        LinkedHashMap<String, String> filterChainDefinitionMap=new LinkedHashMap<String, String>();
        filterChainDefinitionMap.put("/check", "anon"); 
        filterChainDefinitionMap.put("/*", "authc");//表示需要认证才可以访问
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }
    //配置核心安全事务管理器
    @Bean(name="securityManager")
    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {
        System.err.println("--------------shiro已经加载----------------");
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(authRealm);
        return manager;
    }
    //配置自定义的权限登录器
    @Bean(name="authRealm")
    public AuthRealm authRealm(@Qualifier("credentialsMatcher") CredentialsMatcher matcher) {
        AuthRealm authRealm=new AuthRealm();
        authRealm.setCredentialsMatcher(matcher);
        return authRealm;
    }
    //配置自定义的密码比较器
    @Bean(name="credentialsMatcher")
    public CredentialsMatcher credentialsMatcher() {
        return new CredentialsMatcher();
    }
    
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator creator=new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {
        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(manager);
        return advisor;
    }
	
}

3.自定义realm

package com.knife.Shiro_Springboot;

import java.util.ArrayList;
import java.util.List;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class AuthRealm extends AuthorizingRealm {

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		// TODO Auto-generated method stub
		System.err.println("授权");
		User user = getSessionUser(principals);// 获取session中的用户

		List<String> permissions = user.getPermissions();
		List<String> roles = user.getRoles();
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addRoles(roles);
		info.addStringPermissions(permissions);// 将权限放入shiro中.
		return info;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		System.err.println("登录");
		// TODO Auto-generated method stub
		UsernamePasswordToken utoken = (UsernamePasswordToken) token;// 获取用户输入的token
		String username = utoken.getUsername();
		char[] password = utoken.getPassword();
		System.out.println("输入的用户名:" + username + " 输入的密码:" + password.toString());
		User principals = getDbUser();// 原型
		String credentials = principals.getPassword();// 证书
		return new SimpleAuthenticationInfo(principals, credentials, this.getClass().getName());// 放入shiro.调用
	}

	// 模拟数据库取出的数据
	private User getDbUser() {
		User user = new User();
		user.setUsername("admin");
		user.setPassword("123456");

		return user;
	}

	//从principals中取出数据
	private User getSessionUser(PrincipalCollection principals) {
		return (User) principals.fromRealm(this.getClass().getName()).iterator().next();
	}
}

4.自定义代码对比器

package com.knife.Shiro_Springboot;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;


public class CredentialsMatcher extends SimpleCredentialsMatcher {
	
	@Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken utoken=(UsernamePasswordToken) token;
        //获得用户输入的密码:(可以采用加盐(salt)的方式去检验)
        String inPassword = new String(utoken.getPassword());
        String inUsername = utoken.getUsername();
        System.out.println("输入的用户名:"+inUsername+" 输入的密码:"+inPassword);
        
        
        //获得数据库中的密码
        User dbUser= (User)info.getPrincipals().fromRealm(AuthRealm.class.getName()).iterator().next();;
        //User dbUser=(User) o;
        //进行密码的比对
        String dbusername = dbUser.getUsername();
        String dbPassword = dbUser.getPassword();
        
        System.out.println("系统的用户名:"+dbusername+" 系统的密码:"+dbPassword);
        
        boolean result=equals(inPassword, dbPassword);
        
        if(result)
        	System.out.println("SUCCESS");
        else 
        	System.out.println("FAILE");
        
        return result;
    }

}

5.web地址

@Autowired
	SecurityManager securityManager;

	@RequestMapping("home")
	@ResponseBody
	public String home(){
		
		return "home";
	}
	
	@RequestMapping("login")
	@ResponseBody
	public String login(){
		
		return "login";
	}
	
	@RequestMapping("logout")
	@ResponseBody
	public String logout(){
		SecurityUtils.getSubject().logout();
		return "login";
	}
	
	@RequestMapping("test")
	@ResponseBody
	public String test(){
		
		return "test";
	}

	@RequestMapping("check")
	@ResponseBody
	public String login(User user){
		SecurityUtils.setSecurityManager(securityManager);
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
		
		try {
			// 4、登录,即身份验证
			subject.login(token);
			
			return "home";
		} catch (AuthenticationException e) {
			// 5、身份验证失败
			e.printStackTrace();
			System.out.println(e.getMessage());
		}
		return "nopermission";
	}

直接访问test会跳转至login,访问check登录成功跳转至home,此时可以访问test

6.权限

@RequiresRoles("admin")
	@RequestMapping("testrole")
	@ResponseBody
	public String testrole(){
		
		return "has role";
	}
	
	@RequiresPermissions("detail")
	@RequestMapping("testpermission")
	@ResponseBody
	public String testpermission(){
		
		return "has permission";
	}

授权

// 模拟数据库取出的数据
	private User getDbUser() {
		User user = new User();
		user.setUsername("admin");
		user.setPassword("123456");

		List<String> permission = new ArrayList<String>();
		permission.add("detail");
		user.setPermissions(permission);

		List<String> roles = new ArrayList<String>();
		roles.add("admin");
		user.setRoles(roles);

		return user;
	}

授权后才可访问以上地址,否则无法访问

SpringBoot集成Shiro
简单,坚持
09-27 534
Shiro是一个对用户登录与访问权限进行校验的框架,可以方便地与Spring进行集成。本文讲解如何使用Shiro进行登录和权限校验,因为项目中需要获取所有活跃的session,使用了SessionDAO来存储session。
SpringBoot集成Shiro的步骤
m0_50725078的博客
09-14 670
SpringBoot集成Shiro的步骤
springboot集成shiro
Flying_Fish_roe的博客
09-11 2015
自定义Realm用于从数据库中获取用户信息并进行身份验证。我们可以通过继承// 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 在这里配置用户的角色和权限信息 // authorizationInfo.addRole("admin");
Springboot集成shiro
weixin_47600724的博客
11-08 124
3.编写Controller层。2.ShiroConfig类。(1)UserRealm类。
Springboot集成shiro框架
weixin_35654814的博客
03-17 1162
Shiro是一个功能强大且易于使用的Java安全框架,可以运行在JavaSE和JavaEE项目中,可执行身份验证、授权、加密和会话管理。
Springboot集成Shiro
weixin_46242847的博客
05-10 663
本文是回馈粉丝的一份礼物,旨在springboot中快速集成shiro实现鉴权,无需到处查资料,简单易懂,复制粘贴,一气呵成。
springboot集成Shiro
随我的博客
07-31 2765
一、介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。本文是使用Shiro + JWT(Json Web Token)实现的,对于jwt部分有疑问的可以参考之前jwt相关文章,本博文中的一部分函数使用的是JWT那一篇文章文章所写的...
springBoot 集成 shiro
快乐的小三菊的博客
05-11 495
springBoot 集成 shiro 并实现认证授权和加密
springboot集成shiro demo】
老照片
04-13 1132
@TOC shiro architecture 摘自apache官网:https://shiro.apache.org/architecture.html Subject (org.apache.shiro.subject.Subject) A security-specific ‘view’ of the entity (user, 3rd-party service, cron job, etc) currently interacting with the software. Security
SpringBoot集成Shiro+Jwt+Redis
最新发布
weixin_40017062的博客
11-01 1457
SpringBoot集成Shiro+Jwt+Redis实现登录认证、权限控制
SpringBoot集成shiro,MyRealm中无法@Autowired注入Service的问题
08-26
总结来说,Spring Boot集成Shiro时,如果在`MyRealm`中遇到`@Autowired`注入Service的问题,需要检查是否正确地将`MyRealm`声明为Spring Bean,并通过`@Bean`注解进行管理。同时,确保所有依赖都遵循Spring的依赖...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
mybatis @Intercepts的用法
热门推荐
caideb的博客
08-07 6万+
1.拦截器类 package com.testmybatis.interceptor; import java.util.Properties; import org.apache.ibatis.executor.Executor; import org.apache.ibatis.mapping.BoundSql; import org.apache.ibatis.mapping.Map...
springboot application.properties 文件注入数组
caideb的博客
07-25 3万+
1.application.properties ips=192.168.0.105,192.168.0.106,0:0:0:0:0:0:0:1 2.代码 @Value("#{'${ips}'.split(',')}") private List&lt;String&gt; iplist;  
java lock四种用法
caideb的博客
12-27 2万+
1.普通用法 public static void testlock() { Lock lock = new ReentrantLock(); Thread t = new Thread(new Runnable() { @Override public void run() { // TODO Auto-generated method stub loc...
java 利用set去重复数据
caideb的博客
07-31 1万+
1.去重复字符串 public static void main(String args[]){ List&lt;String&gt; list=new ArrayList&lt;String&gt;(); list.add("abc"); list.add("ddd"); list.add("ddd"); System.out.println("&gt;&am
springboot @ImportResource用法
caideb的博客
07-25 1万+
1.pom文件 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.2.RELEASE&lt;/version&gt;
SpringBoot集成Shiro实现角色控制教程
SpringBoot集成Shiro首先需要进行相关的依赖引入,通常是在项目的pom.xml或build.gradle文件中添加Shiro相关的依赖库。接着需要配置Shiro的SecurityManager以及其他相关组件,如Realm等。SpringBoot的自动配置特性...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值