Springboot之Shiro权限管理

最新推荐文章于 2025-06-13 14:35:23 发布
原创 最新推荐文章于 2025-06-13 14:35:23 发布 · 443 阅读 · 5 ·
CC 4.0 BY-SA版权
版权归博客所有,仅供学习!
文章标签:

#过滤器 #shiro #spring boot

本文详细介绍了如何在Springboot项目中使用Shiro进行权限管理和身份验证,包括核心API、整合步骤、自定义Realm实现和权限分配。通过实例演示了如何配置ShiroFilter和 Realm来实现用户登录、权限检查和跳转逻辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

Springboot之Shiro权限管理 介绍

当用户前台登录发起请求时:
1.从shiro中获取subject主体
SecurityUtils.getSubject();

2.判断当前用户是否认证过了,如果认证过了就放行了
subject.isAuthenticated()

3.如果没有认证过,就把前台传递的账号密码封装为一个UserNamePasswordToken对象,
new UsernamePasswordToken(username, password);

4.把UserNamePasswordToken对象传入,进行登录操作
subject.login(usernamepasswordtoken);

5.我们配置的安全管理器中实现了doGetAuthenticationInfo方法,从数据库查询用户数据,加密加盐后进行shiro的认证

6.如果认证成功,进行权限赋于。

7.根据配置shiro的真实过滤器跳转至登录成功页面或登录失败的页面。

1.shiro有三个核心api(接口)

Subject:用户主体(就是把操作权交给 SecurityManager)

SecurityManage:安全管理器(关联Realm)

Realm:Shiro 链接数据的桥梁

2.如何使用:

第一步导入shiro与springboot整合依赖

<!-- shiro与spring整合依赖 -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>

第二步配置shiro类

package com.itheima.shiro;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

/**
 * Shiro的配置类
 * @author lenovo
 *
 */
@Configuration
public class ShiroConfig {

	/**
	 * 创建ShiroFilterFactoryBean
	 */
	@Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){

		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();第一步创建过滤器对象
		
		//设置安全管理器放入核心api(securityManager)
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		//添加Shiro内置过滤器
		/**
		 * Shiro内置过滤器,可以实现权限相关的拦截器
		 *    常用的过滤器:
		 *       anon: 无需认证(登录)可以访问
		 *       authc: 必须认证才可以访问
		 *       user: 如果使用rememberMe的功能可以直接访问
		 *       perms: 该资源必须得到资源权限才可以访问
		 *       role: 该资源必须得到角色权限才可以访问
		 */
		Map<String,String> filterMap = new LinkedHashMap<String,String>();
		/*filterMap.put("/add", "authc");
		filterMap.put("/update", "authc");*/
		
		filterMap.put("/testThymeleaf", "anon");
		//放行login.html页面
		filterMap.put("/login", "anon");
		
		//授权过滤器
		//注意:当前授权拦截后,shiro会自动跳转到未授权页面
		filterMap.put("/add", "perms[user:add]");
		filterMap.put("/update", "perms[user:update]");
		
		filterMap.put("/*", "authc");
		
		//修改调整的登录页面
		shiroFilterFactoryBean.setLoginUrl("/toLogin");
		//设置未授权提示页面
		shiroFilterFactoryBean.setUnauthorizedUrl("/noAuth");
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
		
		
		return shiroFilterFactoryBean;
	}
	
	/**
	 * 创建DefaultWebSecurityManager
	 * 安全处理器SecurityManage:安全管理器(关联Realm)
	 */
	@Bean(name="securityManager")
	public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		//关联realm
		securityManager.setRealm(userRealm);
		return securityManager;
	}
	
	/**
	 * 创建Realm
	 */
	@Bean(name="userRealm")
	public UserRealm getRealm(){
		return new UserRealm();
	}
	
	/**
	 * 配置ShiroDialect,用于thymeleaf和shiro标签配合使用
	 */
	@Bean
	public ShiroDialect getShiroDialect(){
		return new ShiroDialect();
	}
}

第三步自定义一个Realm类(授权和认证的作用)

授权:根据不同角色的方式进行授予不同的权利

认证:验证账户名等是否正确

package com.itheima.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

import com.itheima.domain.User;
import com.itheima.service.UserService;

/**
 * 自定义Realm
 * @author lenovo
 *
 */
public class UserRealm extends AuthorizingRealm{

	/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		
		//给资源进行授权
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		
		//添加资源的授权字符串
		//info.addStringPermission("user:add");
		
		//到数据库查询当前登录用户的授权字符串
		//获取当前登录用户
		Subject subject = SecurityUtils.getSubject();
		User user = (User)subject.getPrincipal();
		User dbUser = userSerivce.findById(user.getId());
		
		info.addStringPermission(dbUser.getPerms());
		
		return info;
	}
	
	@Autowired
	private UserService userSerivce;

	/**
	 * 执行认证逻辑
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		System.out.println("执行认证逻辑");
		
		//编写shiro判断逻辑,判断用户名和密码
		//1.判断用户名
		UsernamePasswordToken token = (UsernamePasswordToken)arg0;
		
		User user = userSerivce.findByName(token.getUsername());
		
		if(user==null){
			//用户名不存在
			return null;//shiro底层会抛出UnKnowAccountException
		}
		
		//2.判断密码
		return new SimpleAuthenticationInfo(user,user.getPassword(),"");
	}

}
SpringBoot整合Shiro实现权限管理,经典实战教程
m0_63174344的博客
10-21 519
String username = authenticationToken.getPrincipal().toString(); if(!username.equals(“zhang”)){ throw new UnknownAccountException(“此用户不存在”); } //返回验证信息,参数:1、用户名 2、正确密码 3、realm名称 return new SimpleAuthenticationInfo(username,“123”, getName()); } } 2) 使用自定义Re
在前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
2401_85014130的博客
05-15 641
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。传统项目中,登出后应重定向请求,到登录界面或其他指定界面,在前后端分离的项目中,我们应该返回json信息。在上面提到的ShiroConfig中配置了默认登录路由。传统项目中,登出后应重定向请求,到登录界面或其他指定界面,在前后端分离的项目中,我们应该返回json信息。
SpringBoot实现权限管理系统完整指南(附源码)
最新发布
m0_66884848的博客
06-13 1243
本文介绍了基于RBAC模型的SpringBoot权限系统设计与实现。文章首先对比了ACL、RBAC和ABAC三种权限模型的特点及适用场景,重点阐述了RBAC模型的核心元素和类关系。随后详细说明了项目搭建过程,包括SpringBoot初始化、Maven依赖配置以及用户表和权限表的数据库设计。最后展示了安全配置类和JWT工具类的关键代码实现,涵盖密码加密、认证管理、权限控制和JWT令牌生成验证等功能。该系统采用JWT进行无状态认证,结合Spring Security实现基于角色的访问控制。
Spring bootshiro集合实现权限管理
一起好好做测试
08-16 803
一.数据库表设计 表中的测试数据: tb_user表如下,   pass_word是根据通过如下代码生成,根据用户名和密码生成md5值: import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.util.ByteSource; public class GenePd {     public ...
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
Spirng Boot+Shiro+Druid+Mybatis Plus+Mysql搭建基础框架实现登录用户认证
07-31
Spirng Boot+Shiro+Druid+Mybatis Plus+Mysql搭建基础框架实现登录用户认证 可直接下载运行
管理系统系列--SpringBoot+Shiro权限管理系统脚手架.zip
02-25
SpringBoot+Shiro权限管理系统脚手架】是基于Spring Boot和Apache Shiro框架构建的高效、便捷的企业级权限管理解决方案。Spring Boot以其简洁的配置和快速开发的特点,已经成为Java Web开发的主流选择,而Shiro则...
springboot-shiro权限管理系统.zip
07-05
SpringBoot-Shiro权限管理系统详解》 在现代的Web开发中,权限管理用户认证是不可或缺的重要环节。SpringBoot作为一款轻量级的Java框架,以其快速开发、易于配置的特性深受开发者喜爱。Shiro则是Apache组织提供...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot+shiro权限管理
01-30
本文将深入探讨"Springboot+shiro权限管理"的主题,旨在提供最详尽、最清晰的理解路径。 首先,Spring Boot 是一个基于 Spring 框架的轻量级开发工具,它简化了初始化、配置以及运行Spring应用程序的过程。Spring ...
在前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
(39.3) Spring Boot Shiro权限管理【从零开始学Spring Boot
weixin_33670786的博客
05-21 146
在学习此小节之前您可能还需要学习: (39.1) Spring Boot Shiro权限管理【从零开始学Spring Boot】 http://412887952-qq-com.iteye.com/blog/2299732 (39.2). Spring Boot Shiro权限管理【从零开始学Spring Boot】 http://412887952-qq-com.iteye....
springboot shiro实现权限管理
chuanyuan8669的博客
04-13 214
记得第一次使用shiro是在才入行遇到公司的第一个框架,当时并不知道这是什么,或者说根本就没有安全框架的概念,在慢慢实践中,也对这个有了一定的了解,于是在网上找各种资料学习,了解。记得那时候比较有没的相关博客就是这个了,相信学习shiro的人很多都度过他的博客,内容也比较详细,示例也非常丰富。...
SpringBoot中关于Shiro权限管理的整合使用
m0_52789121的博客
04-26 261
最近在公司项目上没有什么事情,就学习一下SpringBoot,发现SpringBoot还是挺好用的,相比原来的Spring少了好多的xml配置文件(但是SpringBoot也是支持配置文件的),通过注解的方式实现MVC的一种微服务框架。这里我把Shiro整合到SpringBoot的实现方式记录,一是方便后面自己的查阅、二是能为其他才入坑的小伙伴解决一哈问题、三是希望大神来指点一哈代码中不足之处。能搜到这篇文章,就相信大家对SpringBootShiro有一定的了解,这里我就不阐述SpringBoot和Sh
Spring BootShiro实现权限管理01
pikcacho_pkq的博客
11-06 718
Shiro最主要最核心的功能主要包含上述四个部分,同时也提供了其余的支持性功能,就不一一介绍了。
springboot + shiro 权限管理
后端为主,前端为辅。
07-28 363
springboot shiro 权限管理 版本 : springboot 2.3.4-RELEASE shiro 1.6.0 注: 此版本基于 ssm 与 shiro 下的权限管理_XGLLHZ的博客-优快云博客 文章(有些小问题,目前未修改),关联阅读便于理解。 核心组件 : Subject 一般指用户 SecurityManager 安全管理器,管理所有 subject SessionManager 会话管理器,管理用户登录后的 session Authentication
springboot shiro权限管理
一个包子的成长的博客
10-10 179
11
SpringBoot集成Shiro权限管理系统的开发
标题“springboot-shiro.zip”指的是一个压缩文件,它包含了使用Spring Boot框架结合Apache Shiro安全框架开发的一个简单权限管理系统。Apache Shiro是一个功能强大的Java安全框架,提供了身份认证、授权、会话管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码浪人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值