记录:springboot整合shiro并测试

最新推荐文章于 2025-02-18 22:06:35 发布
最新推荐文章于 2025-02-18 22:06:35 发布
阅读量196 收藏
点赞数
文章标签: springboot shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/helpapa/article/details/90107149
版权

springboot整合shiro

参考文章:shiro救赎者
shiro冷豪
shiro建表

shiro的简介

这是一款安全权限框架,进行角色、权限管理。
主要功能:

  1. Authentication:登录;
  2. Authorization:授权,返回用户所有的角色和权限;
  3. Session Manager:会话管理;
  4. Cryptography:加密。

主要的类:

  1. Subject:指当前用户,类似于Web里面的Session?
  2. SecurityManager:安全事务管理器,管理所有的subject,是shiro的核心,需要在内设置realm和rememberMeManager。
  3. principals:身份,即主体的标识属性,一般为唯一的用户名或id,一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
  4. realm:指域,需要在内设置登录验证和授权验证。授权代码一般需要自己编写。
    • 登录验证:从token中获取用户名,在数据库中查询是否有该用户,并将信息返回到authenticationInfo之中。
    • 授权认证:从principals获取用户信息,在数据库中查询该用户的角色集合和权限集合,并返回到authorizationInfo
  5. HashedCredentialsMatcher:哈希密码比较器,在realm中作为参数使用,需要设置参数:setHashAlgorithmNamesetHashIterations,分别为加密算法和散列次数。

建表:
主要有五个表:user,role,permission,user-role,role-permission。
主要字段

  1. user:id,用户名,密码,盐值
  2. role:id,角色名,描述,状态
  3. permission:id,权限名,描述,url,父节点,类型,状态

配置:
主要为ShiroConfiguration,UserRealm,CacheConfiguration (缓存)

ShiroConfiguration:

package com.example.shiro.config;

import org.apache.log4j.Logger;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.Cookie;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;
import java.util.concurrent.atomic.AtomicInteger;


@Configuration
public class ShiroConfiguration {
    private Logger logger=Logger.getLogger(ShiroConfiguration.class);
    @Bean
    public ShiroFilterFactoryBean shiroFilter (SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //登录页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        //登录成功后的页面
        shiroFilterFactoryBean.setSuccessUrl("index");
        //权限不足返回的页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        //自定义过滤器
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        shiroFilterFactoryBean.setFilters(filterMap);

        //权限控制map
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/user:add","perms[user:add]");
        //配置不会被拦截的链接
        filterChainDefinitionMap.put("/static/**","anon");

        filterChainDefinitionMap.put("logout","logout");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
    /**
     * 核心的安全事务管理器
     * @return
     */
    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager ();
        //设置realm
        securityManager.setRealm(myShiroRealm());
        securityManager.setRememberMeManager(rememberMeManager());
        return securityManager;
    }

    /**
     * 身份认证Realm,此处的注入不可以缺少。否则会在UserRealm中注入对象会报空指针.
     * @return
     */
    @Bean
    public UserRealm myShiroRealm(  ){
        UserRealm myShiroRealm = new UserRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }


    /**
     * 哈希密码比较器。在myShiroRealm中作用参数使用
     * 登陆时会比较用户输入的密码,跟数据库密码配合盐值salt解密后是否一致。
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用md5算法;
        hashedCredentialsMatcher.setHashIterations(2);//散列的次数,比如散列两次,相当于 md5( md5(""));
        return hashedCredentialsMatcher;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /**
     *  shiro缓存管理器;
     * 需要注入对应的其它的实体类中: 安全管理器:securityManager
     * 可见securityManager是整个shiro的核心;
     * @return
     */
    @Bean
    public EhCacheManager ehCacheManager(){
        logger.info("------------->ShiroConfiguration.getEhCacheManager()执行");
        EhCacheManager cacheManager=new EhCacheManager();
        cacheManager.setCacheManagerConfigFile("classpath:ehcache-shiro.xml");
        return cacheManager;
    }

    /**
     * 记住我管理器
     * @return
     */
    @Bean
    public CookieRememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager=new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        //rememberMe cookie加密的密钥  默认AES算法
//         cookieRememberMeManager.setCipherKey();
        return  cookieRememberMeManager;
    }

    /**
     * cookie对象
     * @return
     */
    @Bean
    public Cookie rememberMeCookie() {
        SimpleCookie simpleCookie=new SimpleCookie("rememberMe");
        //记住我cookie生效时间,单位秒
        simpleCookie.setMaxAge(3600);
        return simpleCookie;
    }


    /**
     * Shiro生命周期处理器
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 自动创建代理
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
}

UserRealm:

package com.example.shiro.config;

import com.example.shiro.entity.User;
import com.example.shiro.entity.UserRole;
import com.example.shiro.service.*;
import com.example.shiro.utils.State;
import org.apache.log4j.Logger;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import javax.annotation.Resource;
import java.util.HashSet;
import java.util.Set;

public class UserRealm extends AuthorizingRealm {
    @Resource
    private UserService userService;
    @Resource
    private RoleService roleService;
    @Resource
    private UserRoleService userRoleService;
    @Resource
    private RolePermissionService rolePermissionService;
    @Resource
    private PermissionService permissionService;

    private Logger logger=Logger.getLogger(UserRealm.class);

    /**
     * 提供用户信息,返回权限信息
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        logger.info("---------------------------->授权认证:");
        System.out.println("---------------------------->开始授权验证:");
        SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
        String userName=(String) principals.getPrimaryPrincipal();
        String userId=userService.findUserIdByUserName(userName);
        Set<UserRole> roleIdSet=userRoleService.findRoleIdByUserId(userId);
        Set<String> roleSet=new HashSet<>();
        Set<String>  pemissionIdSet=new HashSet<>();
        Set<String>  pemissionSet=new HashSet<>();
        for(UserRole roleInfo : roleIdSet) {
            String roleId=roleInfo.getRoleId();
            roleSet.add( roleService.findRoleNameByRoleId(roleId));
            //将拥有角色的所有权限放进Set里面,也就是求Set集合的并集
            //由于我这边的数据表设计得不太好,所以提取set集合比较麻烦
            pemissionIdSet.addAll( rolePermissionService.findPerIdByRoleId(roleId));
        }
        for(String permissionId : pemissionIdSet) {
            String permission= permissionService.findPermissionById(permissionId).getPerName() ;
            pemissionSet.add(  permission );
        }
        // 将角色名称组成的Set提供给授权info
        authorizationInfo.setRoles( roleSet );
        // 将权限名称组成的Set提供给info
        authorizationInfo.setStringPermissions(pemissionSet);
        System.out.println("角色名称集合:");
        for (String name:roleSet
             ) {
            System.out.println(name);
        }

        System.out.println("权限名称集合:");
        for (String name:pemissionSet
        ) {
            System.out.println(name);
        }
        System.out.println("---------------------------->结束授权验证:");
        return authorizationInfo;
    }

    /**
     * 提供帐户信息,返回认证信息
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        logger.info("---------------------------->登陆验证:");
        System.out.println("---------------------------->开始登陆验证:");
        String userName=(String)authenticationToken.getPrincipal();
        User user=userService.findUserByName(userName);
        if(user==null) {
            //用户不存在就抛出异常
            throw new UnknownAccountException();
        }
        if( State.LOCKED.equals(user.getUserStatu())) {
            //用户被锁定就抛异常
            throw new  LockedAccountException();
        }
        //密码可以通过SimpleHash加密,然后保存进数据库。
        //此处是获取数据库内的账号/用户名、密码、盐值,保存到登陆信息info中
        SimpleAuthenticationInfo authenticationInfo=new SimpleAuthenticationInfo(user.getUserName(),
                user.getUserPassword(),
                ByteSource.Util.bytes(user.getUserSalt())   ,
                getName());                   //realm name
        System.out.println("用户名:"+user.getUserName());
        System.out.println("---------------------------->结束登陆验证:");
        return authenticationInfo;
    }
}

--------------------------分割线
以下部分为后续添加内容,标题为 springboot如何跳过shiro的登录要求进行测试
从上文得知,shiro的登录和授权逻辑主要是写在realm里,那测试的话只需要在测试代码中写一个简单的登录逻辑的realm,跳过数据库查询便可以完成登录状态。
具体代码如下:
ShiroRealm:

public class ShiroRealm extends AuthorizingRealm {

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        UsernamePasswordToken token2 = (UsernamePasswordToken)token;

        SimpleAuthenticationInfo info =
            new SimpleAuthenticationInfo(token2.getUsername(), token2.getPassword(), this.getName());
        return info;
    }

}

Login方法:

   private void login(String username, String password) {
        final UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        final Subject subject = SecurityUtils.getSubject();
        subject.login(token);
    }

装配过程:

@BeforeEach
    public void mock() {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(new ShiroRealm());
        SecurityUtils.setSecurityManager(securityManager);
        login("admin", "password");
    }

然后将此realm装配到测试的DefaultSecurityManager中,再将DefaultSecurityManager装配到SecurityUtils中即可调用login方法(自己写的)模拟登录状态。

再说一点,写完realm后,理论来讲可以将它装配到spring容器中,再在后面使用@Autowired获取,但是我这里不知道为什么不行,就直接new来使用了。

helpapa
关注
SpringBoot完整版(六)- Shiro
Roc的博客
02-02 217
SpringBoot完整版(六)- Shiro一、概述1.1 简介1.2 功能1.3 Shiro架构(外部)1.4 Shiro架构(内部)1.5 认证流程二、快速入门2.1 拷贝案例2.2 分析案例三、SpringBoot 集成 Shiro3.1 编写配置文件3.2 搭建简单测试环境3.3 使用四、Shiro 整合 Mybatis4.1 配置环境4.2 Shiro + Mybatis 结合使用五、Shiro 请求授权实现5.1 设置权限5.2 授予权限5.3 数据库操作六、Shiro 整合 Thymele
SpringBoot 整合shiro案例测试
cjy_lean的博客
04-30 303
SpringBoot 整合shiro 1. 创建springboot项目,设置依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId></dependenc...
Spring Boot 集成 Apache Shiro 使用手册
最新发布
m0_57836225的博客
02-18 380
Apache Shiro 是一个强大且易用的 Java 安全框架,为应用程序提供身份验证、授权、加密和会话管理等功能。在 Spring Boot 项目中集成 Shiro 可以快速为应用添加安全防护,让开发者更专注于业务逻辑。@Override// 模拟授权,实际应用从数据库获取权限信息@Override// 模拟验证,实际从数据库获取用户信息throw new IncorrectCredentialsException("用户名或密码错误");
spring boot 基于Shiro单元测试
luoqi0597的博客
09-20 1721
背景 在实际的工程做,在很多场景都需要获取当前登录的用户状态进行对应的逻辑校验、默认值配置等操作,估在做单元测试时,如果没有初始化安全上下文,那么在执行场景的时候会报取不到上下文的空指针错误,为提高开发效率,单元测试还是有必要的。 以下为实际案例: import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.Usern...
极简shiro入门
czhAL的博客
12-07 514
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
Springboot_Shiro
qq_42102911的博客
04-08 541
一、shiro简介 1. shiro是啥? Apache ShiroJava 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 深入学习: 官网:http://shiro.apache.org/ github:https://github.com/apache/shiro 2. Shiro 基本功能
踩坑:SpringBoot集成Shiro无法注入shiroFilterFactoryBean
chuge1215的博客
03-06 1830
本文仅记录适用于自己解决有关Shiro无法注入“shiroFilterFactoryBean”的问题,也是给自己留个坑,有时间深究是否为SpringBoot3修改了有关Shiro整合的问题...如果有了解的大佬麻烦可以告知我!
springboot整合shiro+thymeleaf
weixin_45577058的博客
06-23 528
springboot整合shiro+thymeleaf a.步骤: 1.创建prom文件,导入依赖 2.在resources文件下创建mappers包和templates包,且创建配置文件application.yml,application.properties 3.创建启动类App 4.创建shiro整合springboot的配置类,以及shirorealm文件 5.创建基础的MVC架构,pojo,mapper,service,controller b.项目目录 c.效果截图 1.启动spri
企业门户前后端系统源码解析:SpringBootShiro的应用
资源摘要信息:"springboot+shiro企业门户完整前后端系统源码,java企业门户源码" 知识点1:Spring Boot框架 Spring Boot是基于Spring的一个框架,其目的是简化新Spring应用的初始搭建以及开发过程。它提供了一系列...
Straw-ShiroSpringBootShiro构建的企业级后台管理系统模板
资源摘要信息:"Straw-Shiro是一个基于SpringBoot和Apache Shiro实现的后台管理系统模板,适用于线上项目、外包项目和企业级项目的生产环境。它使用了一系列开源组件和技术,不涉及授权费用,确保了广泛可用性。主要...
springboot(十四):springboot整合shiro-登录认证和权限管理
热门推荐
纯洁的微笑
06-28 9万+
这篇文章我们来学习如何使用Spring Boot集成Apache Shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,这篇文章会先介绍一下Apache Shiro,在结合Spri
springBoot+shiro简单测试mvc项目
11-14
springBoot+shiro测试项目。mvc模式写的测试模版,springBoot+shiro项目开发架构的整理
SpringBoot--Shiro
qq_43430343的博客
08-25 245
Shiro 什么是Shiro? Apache Shiro是一个Java的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成, 认证,授权,加密,会话管理,Web集成,缓存等。 1、pom.xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId&gt
springboot--shiro
qy132的博客
07-05 167
1.引入shiro综合嫁包 <!-- shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.0</version>
springbootshiro进行mock单元测试
z28126308的专栏
07-13 7518
环境:junit-5、Spring5.0.x、Spring Boot 2.0.x 以下是用来权限测试的接口: @ApiOperation("[可接入]分页查询管理员") @ApiResponses({@ApiResponse(code = 200, message = "访问成功", response = APIResponse.class), @ApiRespo...
Springboot中使用shiro
m0_59042299的博客
08-03 726
首先在Spring中使用shiro首先要导入shiro的依赖
SpringBoot 04 —— Shiro
zcy的博客
03-31 388
系列文章 SpringBoot 01 —— HelloSpringBoot、yaml配置、数据校验、多环境切换 SpringBoot 02 —— Web简单探究、员工管理系统 SpringBoot 03 —— Spring Security SpringBoot 04 —— Shiro 文章目录系列文章十二、Shiro12.1、介绍12.2、快速体验12.3、SpringBoot集成Shiro1、配置Shiro2、MyBatis3、前端 十二、Shiro 12.1、介绍 Apache Shiro 是一
springbootshiro(入门)
Bernie_7的博客
07-26 197
使用shiro搭建一个简单的系统搭建一个简单的系统框架shiro环境搭建导包三个 Bean和一个自定义的Realm拦截,认证和授权拦截认证授权整合thyemleaf 搭建一个简单的系统框架 shiro环境搭建 导包 注意是整合soringboot的包 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <dependency> <groupId>org.apache.shir
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值