springboot+thymeleaf+mybatis整合shiro安全框架

最新推荐文章于 2025-05-22 10:30:40 发布
最新推荐文章于 2025-05-22 10:30:40 发布
阅读量413 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: springboot shiro thymeleaf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41593124/article/details/99942389

1.shiro的简介

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

主要功能

三个核心组件:Subject, SecurityManager 和 Realms.

Subject:

即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

SecurityManager:

它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm:

Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

2.shiro基本配置

1.pom.xml配置,引入shiro坐标。

  </dependency>
        <!--引入shiro安全框架-->
          <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.4.0</version>
    </dependency>

2.添加两个配置类(UserRealm.java,ShiroConfig.java)

UserRealm.java

package alian.config;


import org.apache.catalina.realm.AuthenticatedUserRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;

public class UserRealm extends AuthorizingRealm{

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		// TODO Auto-generated method stub
		System.out.println("执行授权逻辑");
		/*
		 * 
		 * 此步骤可以查询用户的权限,在配置用户的权限即可
		 * 
		 * 
		 * */
		SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
		info.addStringPermission("user:add");
		// 添加user:add权限
	
		
//		此操作可以获取认证存入的信息
//		Subject subject=SecurityUtils.getSubject();
//		subject.getPrincipal();
		return info;
	}
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		// TODO Auto-generated method stub
		System.out.println("执行认证逻辑");
		String name="alian";
		String password="12345";
		UsernamePasswordToken token=(UsernamePasswordToken) arg0;
		if(!token.getUsername().equals(name))
		{
			return null;
		}
		return new SimpleAuthenticationInfo("",password, "");
		
		/*
		 * 可以传递查询的用户进去,在授权的过程中可以拿到用户登录信息
		 * new SimpleAuthenticationInfo(user,password, "");
		 * 
		 * 
		 * */
		
	}
}

ShiroConfig.java

package alian.config;

import java.util.HashMap;
import java.util.Map;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

@Configuration
public class ShiroConfig {
	
//	1.创建ShiroFilterFactoryBean
@Bean()
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("DefaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager)
	{
		ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
		// 设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
		// 添加shiro内置过滤器
		/*
		 * 
		 * shiro内置过滤器
		 * 常用过滤器
		 * 	anon:无需认证
		 * 	authc:必须认证才可以访问
		 *  user:如果使用rememberMe的功能可以直接访问
		 *  perms:该资源必须得到资源权限才可以访问
		 *  role:该资源必须得到角色权限才可以访问
		 * 
		 * */
		Map<String,String> filterMap=new HashMap<String, String>();
		filterMap.put("/index","authc");
		filterMap.put("/login","anon");
		filterMap.put("/UnauthorizedUrl","anon");
	
//		filterMap.put("/user/**","authc");
	
		filterMap.put("/user/add","perms[user:add]");
		filterMap.put("/user/del","perms[user:del]");
		// 进行资源的权限访问
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
		
		shiroFilterFactoryBean.setLoginUrl("/tologin");
		shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorizedUrl");
		// 设置登录请求路径
		return shiroFilterFactoryBean;
	}
	
//	2.创建DefaultWebSecurityManager
	@Bean("DefaultWebSecurityManager")
	public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("UserRealm")  UserRealm realm)
	{
		DefaultWebSecurityManager defaultWebSecurityManager=new DefaultWebSecurityManager();
		defaultWebSecurityManager.setRealm(realm);
		return defaultWebSecurityManager;
	}
	
//	3.创建自定义Realm
	@Bean("UserRealm")
	public UserRealm getRealm()
	{
		return new UserRealm();
	}
	
	// shiro整合thymeleaf
	/*
	 * 
	 * <div shiro:hasPermission:"user:add">
	 * </div>
	 * 可以为不同权限显示不同页面
	 * 
	 * */
	@Bean()
	public ShiroDialect getShiroDialect()
	{
		return new ShiroDialect();
	}

}

详细的解释,代码段前面都有注解。

3.控制器TestController.java

package alian.controller;


import org.apache.catalina.security.SecurityUtil;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class TestController {
	@RequestMapping("/test")
	public  @ResponseBody Object test()
	{
		return "hello the world!";
	}
	@RequestMapping("/index")
	public   String index()
	{
		return "index";
	}
	@RequestMapping("/unauthorizedUrl")
	public   String unauthorizedUrl()
	{
		return "unauthorizedUrl";
	}
	@RequestMapping("/tologin")
	public   String tologin()
	{
		return "login";
	}
	@RequestMapping("/user/add")
	public   String add()
	{
		return "/user/add";
	}
	@RequestMapping("/user/del")
	public   String del()
	{
		return "/user/del";
	}
	@RequestMapping("/login")
	public  String login(String username,String password,Model model)
	{
		/*
		 * 
		 * 使用shiro编写认证操作
		 * 
		 * */
		model.addAttribute("name", username);
//		1.获取subject
		Subject subject=SecurityUtils.getSubject();
//		2.封装用户数据
		UsernamePasswordToken token=new UsernamePasswordToken(username,password);
//		3.执行登录方法
		try {
			subject.login(token);
		}
		catch(UnknownAccountException e)
		{
			System.out.println("用户名错误");
			return "login";
		}
		catch(IncorrectCredentialsException e)
		{
			System.out.println("密码错误");
			return "login";
		}
		return "/index";
	}
}

3.原理分析:

shiro基本分为两个功能,认证和授权,认证是指登录过程中检验是否为合法用户doGetAuthorizationInfo(),授权为合法用户分配不同级别的资源doGetAuthenticationInfo(),主要是AuthorizingRealm子类的功能。在ShiroFilterFactoryBean安全管理器负责分配路径url的权限,用于AuthorizingRealm子类去验证。

4.shiro的好处:

1.简单易懂,配置极为简单(和springsecurity)。

2.和thymeleaf整合,可以为不同权限的用户在视图层分配不同的页面资源。

3.安全性较高,对密码的加密。

Spring Boot 安全框架 Spring Security & Shiro
陌尘吖的博客
08-16 547
1、 Spring Security 1.1、概述 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean ,充分利用了 Spring IoC , DI (控制反转 Inversion of Control, DI:Dependency Injection 依赖注入)和 AOP (面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码
springboot+shiro+cas+redis+mybatis+thymeleaf 集成开发框架
01-30
由于项目需要从网上搜集的相关的集成框架,很多都是部分集成,一直没有找到整个流程全部集成好的,所以将集成好的框架分享出来供大家学习。 主要实现SSO、后台RBAC角色认证管理。 下载后需要自行修改配置,项目包内...
SpringBoot安全框架Spring Security
探索er的博客
04-22 3154
SpringBoot安全框架Spring Security
SpringBoot安全框架全攻略:从零构建权限管理系统
最新发布
梵心白莲的博客
05-22 1031
在当今的软件开发领域,安全性是至关重要的一环。对于基于Spring Boot构建的应用程序来说,如何有效地管理用户权限,保障系统数据的安全访问,是开发者们必须面对的问题。本攻略将带领你从零开始,使用Spring Boot安全框架构建一个完整的权限管理系统,为你的应用程序添加坚实的安全防线。
[SpringBoot]Spring Security框架
热门推荐
YJH000_的博客
06-11 1万+
在使用Spring Security框架时,可以自定义组件类,实现接口,则Spring Security就会基于此类的对象来处理认证!则在项目的根包下创建,在类上添加@Service注解使其成为组件类,实现@Slf4j@Service@Override(通过loadUserByUsername(String s)这个方法的名字可以理解为通过用户名加载用户,参数s就是username用户名,返回UserDetails用户详情)在项目中存在。
SpringBoot——Spring Security 框架
程序猿进阶
11-30 2451
是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的 Bean,充分利用了Spring IoCDI(控制反转DI依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBootSpringBoot——Spring Security安全框架
lht964249279的博客
01-31 2610
SpringBoot学习笔记
SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统
04-28
采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选。 技术栈:Spring Boot、Apache ShiroMyBatis-Plus、Alibaba Druid、Redis、MySQL、...
SpringBoot+layui+Thymeleaf+Mybatis+Shiro后台管理系统脚手架
08-05
标题中的"SpringBoot+layui+Thymeleaf+Mybatis+Shiro后台管理系统脚手架"代表了一个基于SpringBoot框架的后台管理系统,该系统利用了一系列技术来构建高效、易用的管理界面。以下是对这些技术及其在系统中的作用的...
SpringBoot+Shiro+Mybatis+Thymeleaf个人博客前后台管理系统
08-01
Spring Boot、Apache ShiroMyBatis-Plus、Alibaba Druid、Redis、MySQL、Thymeleaf 三、安装 将本项目源码导入本地开发工具(如 IntelliJ IDEA ),本地开发工具需要安装 lombok 插件 安装Mysql数据库:Mysql版本...
SpringBoot+MyBatis+Apache Shiro+Bootstrap+Thymeleaf可用于开发企业级应用系统
05-26
本系统(基于SpringBoot+MyBatis+Apache Shiro+Bootstrap+Thymeleaf) 可用于开发所有企业级WEB应用系统(如:各种后台管理系统、CRM、ERP、CMS、OA、博客、论坛等...)。响应式布局,支持大部分浏览器(如:IE9+...
springboot集成mybatis+shiro+thymeleaf
09-26
springboot集成mybatis+shiro+thymeleaf。只是个人做的小demo,@SpringBootApplication 和@RestController是一个组合注解。@RestController是组合了@ResponseBody&@Controller 注解分为元注解和组合注解。 注解又分为JAVA注解和Spring注解 在业务层建议使用Spring注解,配置使用JAVA注解~~ :sob: SpringBoot大量的注解是基于Spring4.x的
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统BootDo
12-05
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统BootDo,参考地址 http://blog.youkuaiyun.com/zhaokejin521/article/details/78719722
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统
02-01
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统!
基于 SpringbootShiroMybatisThymeleaf 做的后台管理系统(也有传统MVC版本,都在ZIP里)
08-10
基于 SpringbootShiroMybatisThymeleaf 做的后台管理系统,简单粗暴
springboot+springdatajpa+thymeleaf+shiro 的管理平台框架
04-19
springboot+springdatajpa+thymeleaf+shiro 的管理平台框架
【Spring Boot】Spring 的安全框架:Spring Security
Code · Cloud · Think · Repeat
07-28 2525
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 5809
org.springframework.security.crypto.password.PasswordEncoder 接口。
springboot(十五)安全框架 Spring Security
zzkeung的博客
07-28 380
1.pom依赖 2.代码演示 官方参考 Spring Security是一个提供身份验证,授权和保护以防止常见攻击的框架。凭借对命令式和响应式应用程序的一流支持,它是用于保护基于Spring的应用程序的事实上的标准。 1.pom依赖 <dependencies> <!-- ... other dependency elements ... --> <dependency> <groupId>or...
Springboot+Shiro+Mybatis+Thymeleaf后台管理系统开发
使用 Shiro,可以快速的构建安全的应用程序,相较于传统安全框架Shiro 更加易用、灵活和强大。 #### 3. MyBatis 持久层框架 **知识点说明:** MyBatis 是一个优秀的持久层框架,它支持定制化 SQL、存储过程以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿联爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值