SpringBoot集成Shiro实现认证和授权

最新推荐文章于 2025-04-29 16:35:33 发布
最新推荐文章于 2025-04-29 16:35:33 发布
阅读量978 收藏 3
点赞数 2
分类专栏: 微信小程序开发 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/loongkingwhat/article/details/119487014
版权

文章目录

一、概念篇

(一)关于Shiro

关于Shiro的了解,推荐一门课程:Shiro知识精讲,和一篇文章:https://zhuanlan.zhihu.com/p/54176956
在这里插入图片描述

Shiro由三大部分组成,分别是Subject, SecurityManagerRealms.

Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。

SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。其中,Authenticator完成认证,Authorizer则用于授权。

Realms:用于进行权限信息的验证,我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

(二)SpringBoot中使用Shiro实现自定义的授权与认证

在SpringBoot中使用Shiro主要包括四个部分,如下图所示。
在这里插入图片描述

  • ShiroConfig: 将OAuth2Filter和OAuth2Realm配置应用到Shiro框架
  • AuthenticatingFilter:拦截HTTP请求,对请求进行放行和其他处理
  • AnthenrizingRealm:实现具体的授权和认证的业务逻辑
  • AnthenticationToken:通过JwtUtil类可以生成Token,这个Token我们是要返回给客户端的。客户端提交的Token不能直接交给Shiro框架,需要先封装成AuthenticationToken类型的对象,所以我们我们需要先创建AuthenticationToken的实现类。

二、源码篇

以下源代码是在SpringBoot即成Shrio + JWT的实践。关于JWT的部分可以参考https://blog.youkuaiyun.com/loongkingwhat/article/details/119322423。

(一)依赖库

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-web</artifactId>
	<version>1.5.3</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.5.3</version>
</dependency>
<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.10.3</version>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-configuration-processor</artifactId>
	<optional>true</optional>
</dependency>
<dependency>
	<groupId>org.apache.commons</groupId>
	<artifactId>commons-lang3</artifactId>
	<version>3.11</version>
</dependency>
<dependency>
	<groupId>org.apache.httpcomponents</groupId>
	<artifactId>httpcore</artifactId>
	<version>4.4.13</version>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-aop</artifactId>
</dependency>

(二)封装AuthenticationToken类型

String类型的token在Shiro中无法直接使用,必须封装成为Shiro框架可识别和处理的AuthenticationToken类型。

package com.example.demo.config.shiro;

import org.apache.shiro.authc.AuthenticationToken;

public class OAuth2Token implements AuthenticationToken {
   
    private String token;

    public OAuth2Token(String token){
   
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
   
        return token;
    }

    @Override
    public Object getCredentials() {
   
        return token;
    }
}

(三)创建自定义Filter类

package com.example.emos.wx.config.shiro;

import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.<
最低0.47元/天 解锁文章
Shiro实现授权
史天航的博客
12-10 7220
shiro实现授权 授权,也叫做访问控制,即在应用中控制谁能访问哪些资源(如访问页面、编辑数据、页面操作等)。在授权中需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 授权的概念 主体: 主体,即访问应用的用户,在Shiro中使用Subject代表用户。用户只有授权后才允许访问相应的资源。 资源: 在应用中用户可以...
SpringBoot整合shiro实现登录认证授权
Java小白的博客
10-18 524
使用用Jedis 或者StringRedisTemplate。自定义认证退出登录滤器,方便自定义返回值。自定义session管理器(即token)自定义 AuthorizingRealm。自定义的RedisSessionDao。用户-》角色-》权限(多对多)使用Redis缓存时,可以使用。自定义ShiroConfig。
shiro授权
weixin_45180769的博客
11-05 145
注:此篇博客是在上篇shiro认证基础上写的 一、shiro授权角色、权限 ShiroUserMapper package com.ningjie.ssm.mapper; import com.ningjie.ssm.model.ShiroUser; import org.apache.ibatis.annotations.Param; import org.springframework.s...
Shiro与JWT集成:构建安全的权限认证系统
最新发布
weixin_28933797的博客
04-29 1157
Shiro中,Subject代表了当前与软件交互的用户,它是用户身份的抽象概念。每个用户都有唯一标识(通常是用户名),并且在会话中保留了与用户相关的状态。// Java代码示例:获取当前的Subject对象逻辑分析:上述代码获取了一个Subject实例,它可以代表当前操作的用户。通过这个实例,我们可以进行权限控制身份验证操作。JSON Web Tokens (JWT)是一种开放标准(RFC 7519),用于在双方之间安全地传输信息,这些信息可以被验证信任。
html登录页面代码_Spring Security接管Swagger认证授权,我发现仅用了3行关键代码!
weixin_39589923的博客
11-26 679
接上篇《Apache Shiro 接管Swagger认证授权》,有热心网友反应Apache Shiro似乎太简单。针对这个问题,个人不做任何评价(一切技术服务于需求)。今天主要分享内容为:在Spring Security下如何接管Swagger的认证授权工作。1.添加依赖假定你对SwaggerSpring Security已经有一定的基础,现在开始检查你的项目中是否添加了SwaggerSpri...
Springboot整合shiro基于url身份认证授权认证
bigsai
03-10 4422
你还不会shiro吗? 前奏 shiro核心配置文件(rolesFilter可选)。 身份认证 多表登录源如何操作? 授权管理 如何解决界面多角色/资源问题 访问效果 权限管理在日常开发中很重要,所以硬着头皮也要啃下来。 实现功能: 身份认证 对不同页面进行url授权 多表登录解决 同一个页面多role访问 项目完整github地址 欢迎star springboo...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
总的来说,SpringBoot集成Shiro实现动态URI权限涉及前后端的协同工作,通过Java后端处理权限逻辑,Vue前端展示交互,结合Shiro的强大功能,可以实现高效、灵活的权限控制系统。在实际项目中,还需要考虑安全性、...
springboot整合shiro实现认证授权项目源代码
07-16
本项目结合Spring Boot与Shiro,旨在提供一个实现用户认证授权的示例。 1. **Spring Boot**: - Spring Boot基于Spring框架,通过默认配置、starter依赖自动配置简化了Spring应用的构建。 - 应用启动器...
Shiro Authenticator认证
04-28 164
Authenticating Subjects 认证用户   认证步骤     认证分三步:1、收集用户(Subject)基本信息(principal)认证信息(credential);           2、提交用户(Subject)基本信息(principal)认证信息(credential);           3、认证结果信息处理。        Step O...
SpringBoot2.0高级案例(01): 整合 Shiro 框架,实现用户权限管理
choujueluo6157的博客
07-14 325
一、Shiro简介 1、基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。 2、核心角色 1)Sub...
springboot集成shiro安全框架实现用户身份认证授权
weixin_44341110的博客
09-18 994
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。 主要功能: 三个核心组件:Subject, SecurityManager Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并...
Shiro源码分析(3) - 认证器(Authenticator)
chenwei7858的博客
02-05 279
本文在于分析Shiro源码,对于新学习的朋友可以参考 [开涛博客](http://jinnianshilongnian.iteye.com/blog/2018398)进行学习。 Authenticator就是认证器,在Shiro中负责认证用户提交的信息,在Shiro中我们用Authentic...
spring boot之整合shiro实现用户认证授权
stryang的博客
11-08 417
一.shiro简介 1.简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。 Shiro 主要分为两个部分就是认证授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而已,其中的内容需要自己的去构建,前后是...
Spring Boot:基于Apache Shiro实现权限认证授权
言尭的博客
05-17 737
Apache Shiro简介 Apache Shiro是一个安全开源框架,可用于处理认证授权、session管理加解密。 Authentication(认证):用户身份识别,通常被称为用户“登录”。 Authorization(授权):访问控制,比如某个用户是否具有某个操作的使用权限。 Session Management(会话管理):特定于用户的会话管理,甚至在非web或EJB应用程序。 Cryptography(加密):在对数据源使用加密算法加密的同时,保证
Shiro授权
y050505的博客
10-23 956
定义:Apache Shiro是一个强大且易用的Java安全框架,提供了认证授权、加密会话管理等功能。关键组件:包括Subject(主体)、SecurityManager(安全管理器)、Realm(域)等。应用:广泛应用于Java Web应用其他需要安全控制的领域。认证(Authentication)定义:验证用户身份的过程,即证明某人确实是他所声称的那个人。过程:通常涉及用户提交凭证(如用户名密码),系统验证这些凭证的有效性。应用:在登录系统、访问控制等场景中广泛应用。
SimpleAuthenticationInfo的参数
dxyzhbb的博客
01-09 2867
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值