springboot shiro

最新推荐文章于 2025-06-05 14:36:46 发布
最新推荐文章于 2025-06-05 14:36:46 发布
阅读量63 收藏
点赞数
文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42476834/article/details/119042491
版权
本文档展示了如何在Spring项目中配置Apache Shiro进行权限管理。包括引入Shiro-Spring依赖,配置ShiroFilterFactoryBean,自定义 Realm 进行认证和授权,以及创建自定义过滤器Auth2Filter实现登录验证。通过这种方式,实现了基于token的权限控制,支持用户登录、权限校验和异常处理等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 pom依赖

		<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro.version}</version>
        </dependency>

二 Shiro配置

package com.kong.qyk8.config;

import com.kong.qyk8.modules.sys.auth2.Auth2Filter;
import com.kong.qyk8.modules.sys.auth2.Auth2Realm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro配置
 */
@Configuration
public class ShiroConfig {

    /**
     * 将自己的验证方式加入容器
     */
    @Bean
    public Auth2Realm myAuth2Realm() {
        return new Auth2Realm();
    }

    /**
     * 注入安全管理器
     * 权限管理,配置主要是Realm的管理认证
     *
     * @return SecurityManager
     */
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myAuth2Realm());
        return securityManager;
    }

    /**
     * url拦截
     *
     * @param securityManager 管理认证
     * @return ShiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //auth过滤
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("auth2", new Auth2Filter());
        shiroFilter.setFilters(filters);
        /*authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问*/
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger**/**", "anon");
        filterMap.put("/v2/api-docs**", "anon");
        filterMap.put("/swagger-ui.html**", "anon");
        filterMap.put("/swagger-resources**/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("**/**", "auth2");

        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }
    /**
     * 加入注解的使用,不加入这个注解不生效
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
}

三 自定义Realm

package com.kong.qyk8.modules.sys.auth2;

import com.kong.qyk8.common.utils.DateUtils;
import com.kong.qyk8.modules.sys.entity.SysUserEntity;
import com.kong.qyk8.modules.sys.entity.SysUserTokenEntity;
import com.kong.qyk8.modules.sys.service.ShiroService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.Set;

/**
 * 自定义认证
 *
 * @author kong
 * @email iskong88@163.com
 * @date 2021-06-12 21:39:35
 */
@Component
public class Auth2Realm extends AuthorizingRealm {

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof Auth2Token;
    }

    /**
     * 授权(验证权限时调用)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUserEntity user = (SysUserEntity) principals.getPrimaryPrincipal();
        //用户权限列表
        Set<String> permsSet = 自己去查询就得了,简单的抱头;
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken = (String) token.getPrincipal();
        //TODO 根据accessToken,查询用户信息
        SysUserTokenEntity tokenEntity = shiroService.queryByToken(accessToken);
        //token失效
        if (tokenEntity == null || tokenEntity.getExpireTime().getTime() < System.currentTimeMillis()) {
            throw new IncorrectCredentialsException("token失效,请重新登录");
        }

        //TODO 查询用户信息
        SysUserEntity user = shiroService.queryUser(tokenEntity.getUserId());
        //TODO 账号锁定
        if (user.getStatus() == 0) {
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }

        return new SimpleAuthenticationInfo(user, accessToken, getName());
    }
}

四 自定义过滤器Auth2Filter

package com.kong.qyk8.modules.sys.auth2;

import com.google.gson.Gson;
import com.kong.qyk8.common.utils.HttpContextUtils;
import com.kong.qyk8.common.utils.R;
import org.apache.commons.lang.StringUtils;
import org.apache.http.HttpStatus;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * auth2过滤器
 *
 * @author kong
 * @email iskong88@163.com
 * @date 2021-06-12 21:39:35
 */
public class Auth2Filter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        System.out.println("auth2过滤器createToken");
        //获取请求token
        String token = getRequestToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            return null;
        }
        return new Auth2Token(token);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        System.out.println("auth2过滤器 isAccessAllowed");
        if (((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())) {
            return true;
        }
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        System.out.println("auth2过滤器 onAccessDenied");
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());

            String json = new Gson().toJson(R.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"));

            httpResponse.getWriter().print(json);

            return false;
        }
        return executeLogin(request, response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        System.out.println("auth2过滤器 onLoginFailure");
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
        try {
            //处理登录失败的异常
            Throwable throwable = e.getCause() == null ? e : e.getCause();
            R r = R.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());

            String json = new Gson().toJson(r);
            httpResponse.getWriter().print(json);
        } catch (IOException e1) {
        }
        return false;
    }

    /**
     * 获取请求的token
     */
    private String getRequestToken(HttpServletRequest httpRequest) {
        //从header中获取token
        String token = httpRequest.getHeader("token");
        System.out.println("auth2过滤器-----从header中获取token= " + token);
        //如果header中不存在token,则从参数中获取token
        if (StringUtils.isBlank(token)) {
            token = httpRequest.getParameter("token");
        }
        return token;
    }
}

五 Auth2Token

package com.kong.qyk8.modules.sys.auth2;


import org.apache.shiro.authc.AuthenticationToken;

/**
 * token
 *
 * @author kong
 * @email iskong88@163.com
 * @date 2021-06-12 21:39:35
 */
public class Auth2Token implements AuthenticationToken {
    private String token;

    public Auth2Token() {
    }

    public Auth2Token(String token) {
        this.token = token;
    }

    /**
     * 返回在身份验证过程中提交的帐户标识
     *
     * @return token
     */
    @Override
    public String getPrincipal() {
        return token;
    }

    /**
     * 返回用户在验证的身份验证过程中提交的凭据
     * 提交的{getPrincipal() 帐户标识}。
     *
     * @return token
     */
    @Override
    public Object getCredentials() {
        return token;
    }
}

六 登录接口

@Override
    public Map<String, Object> login(SysLoginForm form) {
        //获取图片验证码sysCaptchaService
        boolean captcha = sysCaptchaService.validate(form.getUuid(), form.getCaptcha());
        if (!captcha) {
            return R.error("验证码不正确");
        }

        //用户信息
        SysUserEntity user = sysUserService.queryByUserName(form.getUsername());
        //账号不存在、密码错误
        if (user == null || !user.getPassword().equals(new Sha256Hash(form.getPassword(), user.getSalt()).toHex())) {
            return R.error("账号或密码不正确");
        }

        //账号锁定
        if (user.getStatus() == 0) {
            return R.error("账号已被锁定,请联系管理员");
        }
        /*
         * 获取用户权限,给前端使用
         */
        Set<String> permissions = shiroService.getUserPermissions(user.getUserId());
        /*
         * 生成token,并保存到数据库
         */
        R token = sysUserTokenService.createToken(user.getUserId()).put("permissions", permissions);
        /*
         * shiro 认证,授权 token
         */
        Subject subject = SecurityUtils.getSubject();
        subject.login(new Auth2Token(token.get("token").toString()));
        //
        return token;
    }
友发小猿
关注
Springboot Shiro的集成
简简单单Onlinezuozuo
04-24 4409
Springboot Shiro的集成 1.添加依赖 &lt;shiro.version&gt;1.4.0&lt;/shiro.version&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artif...
springboot整合shiro
weixin_45476535的博客
08-24 675
【代码】springboot整合shiro
springboot shiro ajax,springboot shiro实现登录跳转原先页面
weixin_39545329的博客
08-05 817
在项目的会遇到请求后台页面会出现未登录跳转到登录页面,登录完成后再跳转回登录页面,又于项目登录是采用ajax编写的,只需在登录成功后将需要跳转的页面返回就可以.后台登录控制器@PostMapping(value = {"/admin/login"})@ResponseBodypublic LayResponse login(@RequestParam Map param, HttpServletR...
Springboot shiro整合cas
July70的博客
10-22 426
shiro整合cas
springboot shiro ajax,SpringBoot Shiro 登录成功后返回json数据 shiro使用ajax登录
weixin_39694174的博客
08-05 525
老规矩,先上代码:protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,ServletRequest request, ServletResponse response) throws Exception {//WebUtils.redirectToSavedRequest(request, resp...
springboot shiro拦截失败
qq_51871685的博客
03-14 539
寻找起原因半小时后,看到其文章发现是版本不兼容的问题。
SpringBoot Shiro注解
weixin_57467236的博客
09-13 510
SpringBoot Shiro 注解使用
springboot shiro cas整合
m0_67392126的博客
04-08 908
springboot shiro cas整合 pom.xml中引入如下jar 在application.yml中增加cas配置 增加ShiroCasConfig.java配置类 自定义MyShiroCasRealm.java继承CasRealm cas退出过滤器LogoutFilter.java pom.xml中引入如下jar <!--shiro 和 cas单点登录--> <dependency> <groupId>org.apache.shir
SpringBoot Shiro免密登录
化名三爷
04-11 4214
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是免密登录。 4,新增Logi...
springboot shiro 实现token
m0_67393686的博客
04-25 977
要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客里面复制的 在原来的使用sessionId的项目基础上做以下修改: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
本项目基于SpringBoot框架,结合Shiro、pac4j和CAS,构建了一个完整的JWT认证中心,旨在实现高效、安全的SSO解决方案。 1. **SpringBoot**: SpringBoot是Spring框架的一个扩展,它简化了Spring应用的初始搭建以及...
SpringBoot Shiro授权实现过程解析
08-25
SpringBoot Shiro授权实现过程解析 在SpringBoot项目中,Shiro是一个非常流行的授权框架,它提供了完善的授权机制,可以帮助开发者轻松实现授权功能。在本文中,我们将详细介绍SpringBoot Shiro授权实现过程解析,...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
在本篇文章中,我们将详细介绍如何在 SpringBoot 项目中配置自定义密码加密器代码实例,使用 Shiro 框架来实现身份认证和授权管理。Shiro 框架提供了一个灵活的安全管理系统,可以满足各种应用场景的需求。 Shiro ...
springboot shiro后台管理系统
06-08
SpringBoot Shiro后台管理系统详解》 在现代企业级应用开发中,后台管理系统扮演着至关重要的角色,它负责处理各种业务逻辑,管理用户权限,并提供高效稳定的后台服务。本篇文章将深入探讨基于JavaSpringBoot...
优雅的系统重试
最新发布
huangyujun9920123的博客
06-05 243
本文探讨了如何优雅实现方法重试机制。程序员A起初采用固定次数的循环重试方式,但发现多个接口存在重复代码。通过分析将重试框架与业务逻辑解耦,最终构建了可复用的重试策略类。该方案使用Supplier函数式接口接收业务逻辑,实现了:1) 统一的最大重试次数控制;2) 状态码判断;3) 异常处理。这种设计既消除了代码冗余,又通过lambda表达式灵活支持不同业务逻辑,为类似场景提供了可扩展的解决方案。
PAT-乙级JAVA题解(更新中...)
qq_49695680的博客
06-04 397
Java 中实现线程的创建和启动
2301_80215285的博客
06-04 833
Java中,创建线程和启动线程是两个关键步骤。必须调用start()而非直接调用run(),因为start()会触发JVM创建新的调用栈并交由操作系统管理,实现真正的异步执行。直接调用run()仅会在当前线程同步执行方法。start()使线程进入可运行状态,符合线程生命周期规范,并能利用多核CPU实现并行计算。正确区分两者对多线程编程至关重要,只有通过start()才能发挥线程的并发优势。
Java并发编程实战 Day 7:并发集合类详解
在未来等你的专栏
06-04 788
并发集合类是指那些专门为多线程环境设计的集合类型,它们在保证线程安全的同时,尽可能地提升了性能。及其子类(将在后续章节讲解)相比传统的同步集合(如包装的集合),并发集合采用更细粒度的锁机制或无锁算法,从而减少线程间的竞争,提高并发性能。并发集合类的基本概念及常见实现。和的使用方法与底层原理。如何通过性能测试验证并发集合的优势。明天我们将进入进阶篇的第一天——Java内存模型深度解析,敬请期待!使用和解决线程安全问题。分析并发集合类的底层实现原理。在实际工作中根据业务场景选择合适的并发集合。
springboot shiro
09-02
SpringBoot Shiro是一个基于SpringBoot框架实现的权限控制框架。它提供了一种简单易用且高效的方式来实现用户认证和授权功能。通过使用Shiro的注解和配置,可以方便地对系统的资源进行权限管理。 使用SpringBoot ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值