SpringBoot对于Shiro的使用

最新推荐文章于 2022-01-28 21:10:10 发布
最新推荐文章于 2022-01-28 21:10:10 发布
阅读量274 收藏
点赞数
文章标签: shiro springboot

写在前面:引用博客地址

在springBoot中探究shhiro的认证授权过程 

  •  第一步:

 自定义Reaml,作用在于对于用户的认证和授权。此处需要链接数据库获取项目用户的信息进行校验,编写自己的验证逻辑。

package com.howie.shiro.shiro;

import com.howie.shiro.mapper.UserMapper;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.HashSet;
import java.util.Set;

@Component
public class CustomRealm extends AuthorizingRealm {
    private final UserMapper userMapper;

    @Autowired
    public CustomRealm(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    /**
     * 获取身份验证信息
     * Shiro中,最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。
     *
     * @param authenticationToken 用户身份信息 token
     * @return 返回封装了用户信息的 AuthenticationInfo 实例
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("————身份认证方法————");
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        // 从数据库获取对应用户名密码的用户
//      String password = userMapper.getPassword(token.getUsername());
//      伪装从数据库去已经取出数据,进行登录操作!
        String password = "123456";
        if (null == password) {
            throw new AccountException("用户名不正确");
        } else if (!password.equals(new String((char[]) token.getCredentials()))) {
            throw new AccountException("密码不正确");
        }
        return new SimpleAuthenticationInfo(token.getPrincipal(), password, getName());
    }

    /**
     * 获取授权信息
     *
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("————权限认证————");
        String username = (String) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获得该用户角色
//        String role = userMapper.getRole(username);
        //伪装数据库的查询结果
        String role = "admin";
        Set<String> set = new HashSet<>();
        //需要将 role 封装到 Set 作为 info.setRoles() 的参数
        set.add(role);
        //设置该用户拥有的角色
        info.setRoles(set);
        return info;
    }
}
  • 第二步

 自定义一个ShiroConfig的配置类,把securityManager在携带自定义的Realm的前提下注入到spring容器中

   /**
     * 注入 securityManager
     */
    @Bean
    public SecurityManager securityManager(CustomRealm customRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(customRealm);
        return securityManager;
    }

把securityManager交给ShiroFilterFactoryBean管理,作为参数传入。此处实际是初始化 ShiroFilterFactoryBean,在此Bean中实际的作用就是配置自己的请求拦截,然后返回给Spring容器就行了,此后的请求都会经过拦截器!

  • 第三步 
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // setLoginUrl 如果不设置值,默认会自动寻找Web工程根目录下的"/login.jsp"页面 或                       "/login" 映射
        shiroFilterFactoryBean.setLoginUrl("/notLogin");
        // 设置无权限时跳转的 url;
        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");

        // 设置拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //游客,开发权限
        filterChainDefinitionMap.put("/guest/**", "anon");
        //用户,需要角色权限 “user”
        filterChainDefinitionMap.put("/user/**", "roles[user]");
        //管理员,需要角色权限 “admin”
        filterChainDefinitionMap.put("/admin/**", "roles[admin]");
        //开放登陆接口
        filterChainDefinitionMap.put("/login", "anon");
        //其余接口一律拦截
        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        System.out.println("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }
  • 第四步: 

 到此结束了一个简单的shirio配置所有了,后面的使用就是正常的编写redtFul接口了。

查看项目启动加载过程

  •  首先是绑定自定义Realm的SecurityManager的注入
  • 然后是在Shiro工厂注入ShrioManager,完成拦截器的初始化功能

 项目接口测试

  •  测试未登入状态可以访问的资源
         //游客,开发权限
        filterChainDefinitionMap.put("/guest/**", "anon");
  •  
// setLoginUrl 如果不设置值,默认会自动寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射
        shiroFilterFactoryBean.setLoginUrl("/notLogin");
  • 测试发现请求所有/guest/*的接口都是没有拦截的(无需认证和授权,也不会触发任何配置类信息) 
  • 把游客权限改为"authc",再次请求游客信息发现跳转到了"/notLogin"接口
  • 理解一个概念

 "anon"是不需要任何认证和授权就可以的,但是"authc"是需要登录的。

"user"和"authc"也是不同的:当应用开启rememberMe时,用户下次的请求可以是个user,但是绝对不会是个authc(也就是说需要重新进行认证的),当"user"请求任何资源的时候不会再进行认证的校验,直接进行授权的校验。

 // 设置无权限时跳转的 url;
        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");
  • 当已经认证的请求进入程序的时候,出现访问资源校验没有权限的时候,会挑战到"/notRole"接口下 

 需要登录的情况下使用Shiro

  • 在登录的接口中需要进行subject的注入生成一个token

 

@RequestMapping(value = "/login", method = RequestMethod.POST)
    public ResultMap login(String username, String password) {
        // 从SecurityUtils里边创建一个 subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备 token(令牌)
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // 执行认证登陆
        subject.login(token);
        //根据权限,指定返回数据
//        String role = userMapper.getRole(username);
        String role ="admin";
        if ("user".equals(role)) {
            return resultMap.success().message("欢迎登陆");
        }
        if ("admin".equals(role)) {
            return resultMap.success().message("欢迎来到管理员页面");
        }
        return resultMap.fail().message("权限错误!");
    }
  • 在完成subject.login(token)后会执行ShiroConfig配置类中的doGetAuthenticationInfo(args)重写的方法中(用于身份的认证)
  • 完成后跳回subject.login(toekn)继续执行完成所有业务代码
  • 在往后的请求中都会直接先走授权(每次请求会携带一个cookie认证通过后的返回)
  • 在没有权限时候会被拦截器拦截直接跳回到ShiroConfig配置中的"/notRole"
  • 结束

 

Timothy_TZ
关注
springboot整合shiro使用
qq_40951656的博客
11-20 309
springboot整合shiro
springbootshiro 的应用
weixin_41650839的博客
09-09 877
apache shiro 是一个简单便捷的安全框架,也是官方推荐的安全框架,作用和spring scurity一样,但是却比scurity 轻便,灵活,由于spring boot 中没有整合shiro 所以如果我们要在项目中使用shiro需要自己配置一些东西 接下来开始介绍shiro使用   千里之行始于足下,先来认识shiro,上面这张图就是shiro官网的介绍图,可以很清楚的看出来...
springboot 整合shiro的简单使用
lovely960823的博客
09-25 243
闲着无聊动手整理一下shiro的简单使用。 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency
springboot使用shiro
chenyidong521的博客
04-04 656
首先在pom文件中添加shiro的jar包 &lt;!--权限验证Shiro--&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;versio...
ShiroSpringBoot中的使用
weixin_30315905的博客
04-16 198
Demo代码请参考:https://github.com/roostinghawk/ShiroDemo 以下为主要代码(经过验证,测试) 1. pom.xml:引用shiro <dependency> <groupId>org.apache.shiro</groupId> &l...
Shirospringboot使用
LC的博客
12-31 265
shiro和jwt还有springsecurity的区别,这个你们区分的出来吗 jwt是用来存储用户信息的,shiro和springsecurity是用来认证授权的 shiro的核心实现是—过滤器(拦截或过虑请求),用于用户访问页面(URL)时进行权限控制。 shiro的主要功能模块有: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
最新发布
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
springboot-shiro
10-18
在前端页面,我们可以使用Thymeleaf等模板引擎,结合Shiro的标签库,动态展示用户权限控制的界面。例如,根据用户的角色和权限,决定按钮是否显示、链接是否可点击等。 总之,结合SpringBoot的便捷性和Shiro的强大...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
Springboot+shiro简单登录案例
06-06
Shiro的简单登录,如若没有足够积分下载可留下邮箱或者私信我,直接发到你们邮箱,文章链接:https://blog.youkuaiyun.com/sutongxuevip/article/details/80584607
springboot+shior 完整代码
11-27
自己在闲暇之余,简单的写了一个springboot+shior的完整代码,有需要的直接下载就可以使用
Springboot使用shiro
qq_38345598的博客
01-28 3985
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
使用shiro保护你的springboot应用
wj596的专栏
01-06 478
项目简介   springboot使用shiro大都是通过shiro-spring.jar进行的整合的,虽然不是太复杂,但是也无法做到spring-boot-starter风格的开箱即用。 项目中经常用到的功能比如:验证码、密码错误次数限制、账号唯一用户登陆、动态URL过滤规则、无状态鉴权等等,shiro还没有直接提供支持。 jsets-shiro-spring-boot-sta...
SpringBoot整合Shiro
zgliulin
11-09 220
此案例基于SpringBoot整合Mybatis 简单的CRUD操作小案例,阅读过程如有不适,请自行跳转。 1. 表结构 CREATE TABLE `t_user` ( `id` int(20) NOT NULL AUTO_INCREMENT, `username` varchar(20) DEFAULT NULL, `password` varchar(100) DEFAULT NULL, `salt` varchar(100) DEFAULT NULL, `create_time.
SpringBoot整合Shiro(完整版),面试题分享
m0_64204730的博客
11-19 591
com.mcy springboot-shiro 0.0.1-SNAPSHOT springboot-shiro Demo project for Spring Boot <java.version>1.8</java.version> org.springframework.boot spring-boot-starter-data-jpa org.springframework.boot spring-boot-starter-thymeleaf org.spri
SpringBoot快速整合Shiro权限框架
weixin_41979605的博客
11-12 210
Shiro是权限控制框架 权限控制向来是重要且麻烦的,不仅要web安全,还要有密码学,还要易使用Shiro简单好用 比如一般的开源项目都是使用Shiro,学习的时候可以抓取一些GitHub上面的开源软件,然后查看他们的编码和使用技术,以及技术选型,比如若依这个项目就使用Shiro权限控制。 我们干什么?(项目起因) 之前做了一个密码记事本,基本完成了功能。 但是没有权限认证,导致可能谁都可以删除我的密码,这样我的密码没有泄露的安全,但是有遗失的安全。 所以我需要加上权限认证,对于删除和修改操作需要权
SpringBoot2.0高级案例(01): 整合 Shiro 框架,实现用户权限管理
choujueluo6157的博客
07-14 325
一、Shiro简介 1、基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。 2、核心角色 1)Sub...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值