springboot中使用shiro

最新推荐文章于 2024-09-11 08:40:19 发布
最新推荐文章于 2024-09-11 08:40:19 发布
阅读量660 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: springboot2 Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenyidong521/article/details/79819776
本文介绍如何在项目中使用Apache Shiro进行权限验证配置。主要内容包括:在pom文件中添加Shiro依赖;创建配置类ShiroConfiguration实现自定义Realm;设置过滤器工厂Bean等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先在pom文件中添加shiro的jar包

  <!--权限验证Shiro-->
  <dependency>
       <groupId>org.apache.shiro</groupId>
       <artifactId>shiro-spring</artifactId>
       <version>1.2.4</version>
   </dependency>

在项目中添加shiro的配置类ShiroConfiguration


@Configuration
public class ShiroConfiguration {



    @Bean
    public MyShiroRealm myShiroRealm(){
        MyShiroRealm myShiroRealm=new MyShiroRealm();
        myShiroRealm.setCachingEnabled(false);
        return myShiroRealm;
    }
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(MyShiroRealm myShiroRealm){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setLoginUrl("/login");
        shiroFilterFactoryBean.setSuccessUrl("/subLogin");
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        //shiroFilterFactoryBean.setUnauthorizedUrl("/login");
        Map<String,String> filerChainDefinitionMap=new LinkedHashMap<>();
        filerChainDefinitionMap.put("/logout","logout");
        filerChainDefinitionMap.put("/static/**","anon");
        filerChainDefinitionMap.put("/loginPage","anon");
        filerChainDefinitionMap.put("/login","anon");
        filerChainDefinitionMap.put("/success","anon");
        filerChainDefinitionMap.put("/**","authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filerChainDefinitionMap);
        return shiroFilterFactoryBean;
    }



}

因为上面需要ShiroRealm我们这里自己创建一个MyShiroRealm ,这里面写的是验证登陆人的账号密码是否正确,和验证账号的权限信息。

public class MyShiroRealm extends AuthorizingRealm {

    @Resource
    private TbUserDao userDao;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
      ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal();

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //权限表中权限拼接的set集合
        Set<String> permNames = userService.findPermNamesByUserId(shiroUser.getId());

        info.addStringPermissions(permNames);

        logger.info(String.format("用户[%s]登录成功,获取权限集合:%s", shiroUser.getLoginName(), permNames.toString()));

        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token=(UsernamePasswordToken)authenticationToken;
        String userName = token.getUsername();//查看是否有此用户
        TbUser user=userDao.findTbUserByLoginName(userName);
        if(user==null) return null;
        ShiroUser shiroUser = new ShiroUser();
        try{
            shiroUser.setId(user.getId());
            shiroUser.setLoginName(user.getLoginName());
            shiroUser.setName(user.getName());
            shiroUser.setDataRange(user.getDataRange());
            if(user.getCompany() != null){
                shiroUser.setCompanyId(user.getCompany().getId());
                shiroUser.setCompanyName(user.getCompany().getCompanyName());
                shiroUser.setState(user.getCompany().getState());
            }else{
                shiroUser.setState("1");
            }
            String roleNames = "";
            for(TBRole r : user.getRoles()){
                roleNames += ","+r.getName();
            }
            shiroUser.setRoleNames(roleNames.substring(1));
        }catch(Exception e){
            e.printStackTrace();
        }
            return new SimpleAuthenticationInfo(shiroUser,user.getPassWord(),user.getLoginName());

    }
        /**
     * 自定义Authentication对象,使得Subject除了携带用户的登录名外还可以携带更多信息.
     */
    public static class ShiroUser implements Serializable {
        private static final long serialVersionUID = -1373760761780840081L;
        public Long id;
        public String loginName;
        public String name;
        public String dataRange;
        public Long companyId;
        public String companyName;
        public String roleNames;
        public String state;
        public String getDataRange() {
            return dataRange;
        }

        public void setDataRange(String dataRange) {
            this.dataRange = dataRange;
        }

        public String getName() {
            return name;
        }

        public String getLoginName() {
            return loginName;
        }

        public Long getId() {
            return id;
        }

        public static long getSerialversionuid() {
            return serialVersionUID;
        }

        public void setId(Long id) {
            this.id = id;
        }

        public void setLoginName(String loginName) {
            this.loginName = loginName;
        }

        public void setName(String name) {
            this.name = name;
        }


        public Long getCompanyId() {
            return companyId;
        }

        public void setCompanyId(Long companyId) {
            this.companyId = companyId;
        }


        public void setCompanyName(String companyName) {
            this.companyName = companyName;
        }

        public String getCompanyName() {
            return companyName;
        }

        public String getRoleNames() {
            return roleNames;
        }

        public void setRoleNames(String roleNames) {
            this.roleNames = roleNames;
        }

        public String getState() {
            return state;
        }

        public void setState(String state) {
            this.state = state;
        }

        /**
         * 本函数输出将作为默认的<shiro:principal/>输出.
         */
        @Override
        public String toString() {
            return loginName;
        }

        /**
         * 重载hashCode,只计算loginName;
         */
        @Override
        public int hashCode() {
            return Objects.hashCode(loginName);
        }

        /**
         * 重载equals,只计算loginName;
         */
        @Override
        public boolean equals(Object obj) {
            if (this == obj) {
                return true;
            }
            if (obj == null) {
                return false;
            }
            if (getClass() != obj.getClass()) {
                return false;
            }
            ShiroUser other = (ShiroUser) obj;
            if (loginName == null) {
                if (other.loginName != null) {
                    return false;
                }
            } else if (!loginName.equals(other.loginName)) {
                return false;
            }

            return true;
        }

    }
}
SpringBoot使用Shiro注解不生效导致doGetAuthorizationInfo方法未执行
banmajio的博客
01-08 1653
SpringBoot使用Shiro注解不生效导致doGetAuthorizationInfo方法未执行问题描述解决方法 问题描述 controller中的shiro注解不生效导致ShiroRealm中的doGetAuthorizationInfo授权方法未执行. @RequiresPermissions("user:add") @RequestMapping("add") public S...
SpringBoot3 集成 Shiro
最新发布
m0_74824091的博客
02-15 342
是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、桌面应用、RESTful服务、移动应用和大型企业级应用。没有Spring Security 那么多晦涩的概念和术语,其原理非常清晰易懂,也非常容易集成到自己的项目中。SpringBoot 2.x 已于去年底End of life,升级到 SpringBoot 3 成了一件必须要做的事情,而SpringBoot 3 在集成 Shiro 时,有一些坑,也有一些与之前不同之处。
springboot2.0整合Shiro
04-20
springboot2.0整合Shiro 。权限配置,user/permission/role
Springboot使用shiro
qq_38345598的博客
01-28 3994
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
SpringBootshiro使用
qq_45742386的博客
04-21 254
shiro使用 什么都不用说了,我们直接看代码吧!! pom.xml 导入依赖 <!-- shiro安全框架 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version>1.4.0</version> </d
springboot 整合shiro的简单使用
lovely960823的博客
09-25 246
闲着无聊动手整理一下shiro的简单使用。 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency
SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统
04-28
采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选。 技术栈:Spring Boot、Apache Shiro、MyBatis-Plus、Alibaba Druid、Redis、MySQL、...
SpringBoot-Shiro使用
qq_42861526的博客
12-15 2265
一、什么是Shiro 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
Shiro的在Springboot中的使用
qq_44188658的博客
08-09 426
一、Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当
使用shiro保护你的springboot应用
wj596的专栏
01-06 487
项目简介   springboot使用shiro大都是通过shiro-spring.jar进行的整合的,虽然不是太复杂,但是也无法做到spring-boot-starter风格的开箱即用。 项目中经常用到的功能比如:验证码、密码错误次数限制、账号唯一用户登陆、动态URL过滤规则、无状态鉴权等等,shiro还没有直接提供支持。 jsets-shiro-spring-boot-sta...
springboot整合shiro使用
qq_40951656的博客
11-20 314
springboot整合shiro
shirospringboot中的使用
shisannnn的博客
10-08 157
1.log4j文件编写 # # Licensed to the Apache Software Foundation (ASF) under one # or more contributor license agreements. See the NOTICE file # distributed with this work for additional information # regarding copyright ownership. The ASF licenses this file #
Shiro权限管理框架
一个天蝎座的程序猿!
12-11 793
Shiro 一. Shiro权限 什么是权限控制: 忽略特别细的概念,比如权限能细分很多种,功能权限,数据权限,管理权限等 理解两个概念:用户和资源,让指定的用户,只能操作指定的资源(CRUD) 初学javaweb时怎么做 Filter接口中有一个doFilter方法,自己编写好业务Filter,并配置对哪个web资源进行拦截后 如果访问的路径命中对应的Filter,则会执行doFilt...
spring boot中使用shiro权限管理框架
sssyyyy7的博客
06-05 530
使用idea创建spring boot工程 勾选web里的web依赖 , 因为spring boot里有spring security这个功能更强大的权限管理框架 所有没有包含shiro的依赖 我们在pom.xml里自己导入依赖 具体依赖如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven....
SpringBoot使用Shiro
qq_44255146的博客
12-30 169
SpringBoot使用Shiro 1、导入maven依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> 2、创建配置类 config>ShiroConfig.java @C
Springboot-Shiro基本使用
jsxllht的博客
12-31 1014
Apache Shiro官网:https://shiro.apache.org/spring-boot.html. 一、依据官网快速搭建Quickstart 1.1 配置pom.xml依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <vers
Springboot整合Shiro框架入门
web15285868498的博客
04-08 7940
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
springboot集成shiro
Flying_Fish_roe的博客
09-11 1859
自定义Realm用于从数据库中获取用户信息并进行身份验证。我们可以通过继承// 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 在这里配置用户的角色和权限信息 // authorizationInfo.addRole("admin");
springboot项目使用 shiro 实现接口授权
06-07
要在Spring Boot项目中使用Shiro实现接口授权,需要进行以下步骤: 1. 添加Shiro依赖 在pom.xml文件中添加Shiro依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.0</version> </dependency> ``` 2. 配置Shiro 在Spring Boot的配置文件中添加Shiro的配置,如下所示: ``` shiro: filter-chain-definitions: /** = anon /login = anon /logout = logout /api/** = authc security-manager: realm: type: org.apache.shiro.realm.jdbc.JdbcRealm authentication-query: SELECT password FROM users WHERE username = ? user-roles-query: SELECT role_name FROM user_roles WHERE username = ? permissions-query: SELECT permission FROM roles_permissions WHERE role_name = ? ``` 该配置文件中配置了Shiro的过滤链,以及Shiro的安全管理器和Realm。 3. 编写Shiro Realm 编写一个继承自JdbcRealm的Realm类,并实现doGetAuthenticationInfo()和doGetAuthorizationInfo()两个方法,如下所示: ``` public class MyRealm extends JdbcRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); String password = new String(upToken.getPassword()); // 根据用户名和密码查询数据库,如果查询到了用户,则返回一个封装了该用户信息的AuthenticationInfo对象 // 如果没有查询到用户,则返回null } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); String username = (String) principals.getPrimaryPrincipal(); // 根据用户名查询用户的角色和权限信息,并将其添加到authorizationInfo中 return authorizationInfo; } } ``` 4. 配置ShiroFilterFactoryBean 在Spring Boot的配置文件中配置ShiroFilterFactoryBean,如下所示: ``` @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Autowired MyRealm myRealm) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(new DefaultWebSecurityManager(myRealm)); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/api/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } ``` 该配置文件中配置了一个ShiroFilterFactoryBean,并将其与安全管理器和过滤链绑定在一起。 5. 编写接口控制器 编写一个接口控制器,并在该控制器中添加需要授权的接口方法,如下所示: ``` @RestController public class ApiController { @GetMapping("/api/hello") public String hello() { return "Hello, world!"; } @RequiresRoles("admin") @PostMapping("/api/admin") public String admin() { return "Hello, admin!"; } } ``` 上述代码中,hello()方法不需要授权,而admin()方法需要授予admin角色才能访问。 6. 测试接口授权 启动Spring Boot应用程序,并使用curl或Postman等工具测试接口授权。例如,可以使用以下命令测试admin接口: ``` curl -X POST http://localhost:8080/api/admin -H 'Authorization: Basic YWRtaW46YWRtaW4=' ``` 其中,Authorization头中的值是用户名和密码的Base64编码,上述例子中的用户名和密码都是admin。如果授权成功,服务器将返回"Hello, admin!"。如果授权失败,则返回401 Unauthorized错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值