springboot+shiro入门学习(二)

最新推荐文章于 2024-03-31 02:07:01 发布
原创 最新推荐文章于 2024-03-31 02:07:01 发布 · 214 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍如何在SpringBoot项目中整合Apache Shiro框架,包括配置POM文件、实现自定义Realm、设置过滤器及权限控制,通过示例代码演示Shiro在用户认证和授权中的应用。

上一篇简单学习了一下shiro。这篇我们整合springboot和shiro

pom文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.5.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.shiro</groupId>
	<artifactId>shiro</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<packaging>war</packaging>
	<name>springFreemarker-1</name>
	<description>Demo project for Spring Boot</description>

	<properties>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<!-- <dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-tomcat</artifactId>
			<scope>provided</scope>
		</dependency> -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		
		<!-- shiro相关jar -->
	    <dependency>
	      <groupId>org.apache.shiro</groupId>
	      <artifactId>shiro-core</artifactId>
	      <version>1.2.1</version>
	    </dependency>
	    <dependency>
	      <groupId>org.apache.shiro</groupId>
	      <artifactId>shiro-web</artifactId>
	      <version>1.2.1</version>
	    </dependency>
	    <dependency>
	      <groupId>org.apache.shiro</groupId>
	      <artifactId>shiro-ehcache</artifactId>
	      <version>1.2.1</version>
	    </dependency>
	    <dependency>
	      <groupId>org.apache.shiro</groupId>
	      <artifactId>shiro-spring</artifactId>
	      <version>1.2.1</version>
	    </dependency>
	    
	    <!-- https://mvnrepository.com/artifact/junit/junit -->
		<dependency>
		    <groupId>junit</groupId>
		    <artifactId>junit</artifactId>
		    <version>4.12</version>
		    <scope>test</scope>
		</dependency>
	    
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>

shiro配置类

/**
 * 
 */
package shiro.config;

import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import shiro.realm.MyRealm;

/**
 * @author JXQ
 * shiro配置类
 */
@Configuration
public class ShiroConfig {

	
	/**
	   *  核心的安全事务管理器
	 * @return
	 */
	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(myRealm());
		
		return securityManager;
	}
	
	/**
	   *   注入自定义的realm
	 * @return
	 */
	@Bean
	public MyRealm myRealm() {
		MyRealm realm = new MyRealm();
		realm.setCredentialsMatcher(hashedCredentialsMatcher());
		return realm;
	}
	
	@Bean
	public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		//默认跳转到登陆页面
        //shiroFilterFactoryBean.setLoginUrl("/login");
        //登陆成功后的页面
        //shiroFilterFactoryBean.setSuccessUrl("/index");
        //shiroFilterFactoryBean.setUnauthorizedUrl("/403");
		
		Map<String,Filter> filterMap = new LinkedHashMap<>();
		shiroFilterFactoryBean.setFilters(filterMap);
		
		//权限控制map
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
	}
	
	/**
	   *  哈希密码比较器,在realm中作用参数使用
	   *  登陆时会比较用户输入的密码,跟数据库密码配合盐值salt解密后是否一致。
	 * @return
	 */
	@Bean
	public HashedCredentialsMatcher hashedCredentialsMatcher() {
		HashedCredentialsMatcher macher = new HashedCredentialsMatcher();
		macher.setHashAlgorithmName("md5");
		macher.setHashIterations(1);
		return macher;
	}
	
	/**
	   * 开启shiro aop注解支持
	 * @param securityManager
	 * @return
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor advisor(SecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
	}
	
	
	/**
	 * Shiro生命周期处理器
	 * @return
	 */
	@Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
	
	/**
            * 自动创建代理
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
}

自定义的Realm类:

/**
 * 
 */
package shiro.realm;

import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

/**
 * @author JXQ
 *
 */
public class MyRealm extends AuthorizingRealm{

	Map<String, String> map = new HashMap<String, String>();
	
	{
		map.put("admin", "123456");
		super.setName("MyRealm");//这个名字可以随便取
	}
	
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		//从主体传过来的认证信息中获取用户名
		String userName = (String)principals.getPrimaryPrincipal();
		
		//模拟从数据库获取角色和权限
		Set<String> roleSet = getRoleByUserName(userName);
		Set<String> permissionSet = getPermissinByUserName(userName);
		
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		authorizationInfo.addRoles(roleSet);
		authorizationInfo.addStringPermissions(permissionSet);
		return authorizationInfo;
	}


	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		
		//从主体传过来的认证信息中获取用户名
		String userName = (String)token.getPrincipal();
		
		//根据用户名获取密码,模拟从数据库获取
		//String password = getPassWord(userName);
		/*
		 * if(password == null) { return null; }
		 */
		Md5Hash password = new Md5Hash("123456", "TEST");
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password,ByteSource.Util.bytes("TEST") ,"MyRealm");
		
		return simpleAuthenticationInfo;
	}

	private String getPassWord(String userName) {
		String password = map.get(userName);
		return password;
	}
	
	/**
	 * 从数据库获取角色
	 * @param userName
	 * @return
	 */
	private Set<String> getRoleByUserName(String userName) {
		Set<String> set = new HashSet<String>();
		set.add("admin");
		set.add("aaaaa");
		return set;
	}
	
	private Set<String> getPermissinByUserName(String userName) {
		Set<String> set = new HashSet<String>();
		set.add("user:delete");
		set.add("user:update");
		return set;
	}
}

Controller类:

/**
 * 
 */
package shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author JXQ
 * 
 */
@RestController
@RequestMapping(value = "test")
public class TestController {
	
	@RequestMapping(value = "admin")
	@RequiresPermissions("user:delete")
	public String admin() {
		return "测试成功";
	}
	
	@RequestMapping(value = "login")
	public String login(String userName, String password) {
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
		subject.login(token);
		return "登录成功";
	}
}

在使用postman测试之前一定要先调用login。不然会出错。我们在set中设置了用户拥有user:delete权限和user:update权限

而访问admin方法需要user:delete权限。发现能够正确的访问。

修改访问admin方法需要的权限为:user:view

会发现报错信息为:

Not authorized to invoke method: public java.lang.String shiro.controller.TestController.admin()

其实这是没有配置没有权限时的访问路径。

shiro的自定义过滤器

package shiro.filter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

public class ShiroFilter extends AuthorizationFilter{

	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object o)
			throws Exception {
		
		Subject subject = getSubject(request, response);
		
		String[] roles = (String[])o;//需要的权限
		if(null == roles || roles.length == 0) {
			//说明不需要任何权限就可以访问
			return true;
		}
		for(String role : roles) {
			if(subject.hasRole(role)) {
				return true;
			}
		}
		return false;
	}

}

 修改shiroConfiguration文件:

@Bean
	public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		//默认跳转到登陆页面
        //shiroFilterFactoryBean.setLoginUrl("/login");
        //登陆成功后的页面
        //shiroFilterFactoryBean.setSuccessUrl("/index");
        //shiroFilterFactoryBean.setUnauthorizedUrl("/index.ftl");
		
		Map<String,Filter> filterMap = new LinkedHashMap<>();
		
		filterMap.put("url", new ShiroFilter());
		shiroFilterFactoryBean.setFilters(filterMap);
		
		//权限控制map
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<>();
        
        filterChainDefinitionMap.put("/test/admin", "url[admin,admin1]");
        //filterChainDefinitionMap.put("/test/admin", "url");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
	}

这个过滤器的意思是:当我们的admin方法访问需要的角色为admin或者admin1时,都可以访问这个方法。

SpringBoot+Shiro学习):逻辑介绍
weixin_34329187的博客
12-16 103
我们先写一个简单的登录认证。 //创建一个默认SecurityManager DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager(); //创建一个自定义Realm对象 CustomRealm realm = new CustomRealm(); //将自定义Realm注入到SecurityManag...
springboot + shiro + jwt权限验证
u012203062的博客
02-28 2152
springboot + shiro + jwt权限验证快速实践
shiro入门案例,springboot+shiro+thymeleaf
weixin_44162147的博客
05-19 521
Shiro shiro的核心组件: 用户、角色、权限 会给角色赋予权限,给用户赋予角色 组件: 1、UsernamePasswordToken, shiro用来封装用户的登录信息,使用用户的登录信息来创建令牌TOken, 2、SecurityManager,shiro的核心,负责安全认证和授权 3、Subject,Shiro的一个抽象概念,包含了用户的信息 4、Realm,开发者自定义的模块,根据项目的需求,验证和授权的逻辑全部卸载Realm中 5、AuthenticationInfo,用户的角色信息集合,
springboot+Shiro快速入门:简洁版(快速搭建示例)
qq_45833160的博客
05-11 483
springboot整合shiro快速入门简洁版
springboot + shiro快速入门,五分钟教会你如何在springboot中使用shiro
m0_59485371的博客
03-21 2331
springboot整合shiro快速入门 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> </dependency>
SpringBoot+Shiro学习总结-入门
LeopaLY的博客
04-29 691
Shiro总结 在pom.xml文件中介入响应的shiro依赖 <!--shiro与spring的整合依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactI...
springboot+shiro+jwt+mybatiesplus前后端分离项目快速入门(一,项目搭建)
03-07 389
springboot+shiro+jwt+mybatiesplus前后端分离项目快速入门(一,项目搭建)
SpringBoot+Mybatis+Thymeleaf整合Shiro入门
小橘是橘子的博客
06-02 455
SpringBoot+Shiro整合入门
SpringBoot+shiro+mybatis实现权限登录
Y1567409的博客
03-31 1183
为什么我不完全主张自学?①平台上的大牛基本上都有很多年的工作经验了,你有没有想过之前行业的门槛是什么样的,现在行业门槛是什么样的?以前企业对于程序员能力要求没有这么高,甚至十多年前你只要会写个“Hello World”,你都可以入门这个行业,所以以前要入门是完全可以入门的。②现在也有一些优秀的年轻大牛,他们或许也是自学成才,但是他们一定是具备优秀的学习能力,优秀的自我管理能力(时间管理,静心坚持等方面)以及善于发现问题并总结问题。
springboot+shiro入门案例
12-21
在本文中,我们将深入探讨如何使用SpringBoot与Apache Shiro框架构建一个入门级的应用案例。Apache Shiro是一款轻量级的安全框架,它提供身份验证、授权、会话管理和加密等功能,使得开发人员能够轻松地在应用程序中...
kuangjia:SpringBoot+JWT+Shiro+MybatisPlus后端脚手架
05-14
SpringBoot使编码配置部署都变得简单,越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。Mybatis-Plus是一个 Mybatis 的增强工具,有代码生成器,并且提供了类似hibernate的单表CRUD操作,又保留...
SpringBoot+Redis+Shiro+Layui
10-27
SpringBoot入门级项目,整合Redis,Shiro,Layui等;SpringBoot入门及进阶教程博客地址:https://baiyuliang.blog.youkuaiyun.com/article/details/109250816
springBoot+mybatisplus+thymeleaf框架入门web系统
05-23
SpringBoot+MybatisPlus+Thymeleaf框架入门Web系统详解》 SpringBoot、MybatisPlus和Thymeleaf是现代Java开发中常见的三大框架,它们各自在Web开发的不同领域发挥着重要作用。SpringBoot简化了Spring应用的初始...
springboot+shiro入门学习(三)setUnauthorizedUrl的设置
java_chegnxuyuan的博客
06-05 3647
在上一篇中我们遗留了一个问题就是当没有权限时页面跳转的问题。 首先搭建一个jsp的环境 pom文件: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-in...
springboot+shiro入门学习(五)自定义密码比较器
java_chegnxuyuan的博客
08-25 799
定义一个类实现SimpleCredentialsMatcher方法。重写doCredentialsMatch方法 public class CredentialMatcher extends SimpleCredentialsMatcher{ @Override public boolean doCredentialsMatch(AuthenticationToken token, A...
springboot+shiro入门学习(四)记住我设置
java_chegnxuyuan的博客
06-10 561
在上一篇中当我们将浏览器关闭,然后重新打开浏览器访问时会提示你没有权限。 在上一篇的基础上来实现记住我功能 在ShiroConfig注入CookieRememberMeManager @Bean public SimpleCookie rememberCookie() { SimpleCookie rememberCookie = new SimpleCookie("re...
springboot+shiro入门学习(一)
java_chegnxuyuan的博客
06-03 555
其实关于shiro的博客介绍特别多,这里记录一下自己的学习过程。 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。先简单的学习一下它的认证和授权。 shiro的认证过程 先使用测试类的方式来验证: SimpleAccountRealm 认证过程 SimpleAccountRealm realm = new SimpleAccountR...
基于GEC6818平台的五子棋人机对战系统设计与实现
最新发布
11-25
五子棋作为一种广为人知的策略性棋盘游戏,其基本规则易于掌握。在选定人机对战模式后,由程序执黑先行,用户执白应对。双方依次在棋盘上落子,任何一方在横向、纵向或斜向形成连续五个或更多同色棋子即获胜。 项目资源涵盖多个技术领域的程序代码,涉及前后端开发、移动终端应用、操作系统、智能系统、物联网技术、信息管理系统、数据存储方案、硬件设计、大数据处理、教学资料、多媒体处理及网站构建等多个方向。具体技术实例包括嵌入式平台如STM32与ESP8266,编程语言如PHP、QT、C++、Java、Python、C#,系统开发如Linux与iOS,以及电子设计自动化工具和实时操作系统等。 主要技术栈包含服务端开发语言Java、Python及Node.js,后端框架Spring Boot与Django,前端技术React、Angular与Vue,界面设计框架Bootstrap与Material-UI,数据库系统MySQL、PostgreSQL和MongoDB,缓存工具Redis,以及容器化部署方案Docker与Kubernetes。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
Vue+Element+SpringBoot+Shiro权限管理快速入门
资源摘要信息:"vue_shiro.7z是一个包含了vue, element, springboot, shiro和mysql的综合项目。该项目主要用于权限控制,登录帐号/密码为admin:111111。对于希望快速部署并使用这些技术组合的开发人员来说,这个项目...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值