JAVA整合Shiro实现认证授权-简单实现demo

最新推荐文章于 2024-02-28 11:25:58 发布
原创 最新推荐文章于 2024-02-28 11:25:58 发布 · 409 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #shiro

本文介绍了Apache Shiro的快速入门教程,包括如何配置ShiroFilterFactoryBean,设置不同的访问权限,以及实现用户认证和授权。通过示例展示了如何在没有数据库连接的情况下设置权限控制,并逐步过渡到连接数据库后的权限验证。用户 Realm 的实现详细解释了认证和授权过程,最后演示了不同用户根据权限访问不同页面的效果。
Llama Factory

Llama Factory

模型微调
LLama-Factory

LLaMA Factory 是一个简单易用且高效的大型语言模型(Large Language Model)训练与微调平台。通过 LLaMA Factory,可以在无需编写任何代码的前提下,在本地完成上百种预训练模型的微调

官方代码

Apache官网10分钟快速入门

作用:验证用户身份,用户访问权限控制

demo 实现-未连接数据库

引入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.1</version>
</dependency>

测试之前准备

新建以下几个页面,主页,登录页,无权限页面,操作页面(add,update,select)。每个页面随便写点什么,主页写好跳转三个操作页面的路径

image.png

image.png

新建一个​ShiroConfig​ 类

将add页面设置为不需要认证就可以访问,update设置为需要认证才可以进入

@Configuration
public class ShiroConfig {

    //3.ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        filterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        //添加Shiro的内置过滤
        /**
         * anon:无需认证就可以访问
         * authc:必须认证了才能访问
         * user:必须拥有记住我的功能才能用
         * perms:拥有对某个资源的权限才能访问
         * role:拥有某个角色的权限才能访问
         */
        Map<String,String> filterMap = new LinkedHashMap<>();

        filterMap.put("/user/add","anon");

        //需要拥有 user:update 权限才能进去
        //如果未授权 会跳转到未授权页面
        filterMap.put("/user/update","perms[user:update]");
        filterMap.put("/user/select","perms[user:select]");

        filterFactoryBean.setFilterChainDefinitionMap(filterMap);
        //认证不通过去到登录页面
        filterFactoryBean.setLoginUrl("/toLogin");
        //未授权去到 未授权页面
        filterFactoryBean.setUnauthorizedUrl("/toUnAuth");
        return filterFactoryBean;
    }


    //2.DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联 userRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }


    //1.创建Realm 对象
    @Bean(name = "userRealm")
    public UserRealm userRealm(){
        return new UserRealm();
    }

}

新建一个​​UserRealm​ 用于进行权限信息的验证

认证

先实现认证,模拟从数据中读取数据

public class UserRealm extends AuthorizingRealm {

    @Resource
    UserMapper userMapper;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了---->授权");
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了---->认证");

        //用户登录数据 (模拟从数据库中获取)从数据库中获取
        String name = "xmy";
        String password = "12345";

        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        if (!name.equals(userToken.getUsername())) {
            return null; //UnknownAccountException
        }
        return new SimpleAuthenticationInfo("",password,"");
    }
}

新建各个请求的跳转逻辑

@Controller
public class ShiroController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","hello Shiro");
        return "index";
    }

    @RequestMapping("/user/add")
    public String add(){
        return "/user/add";
    }

    @RequestMapping("/user/update")
    public String update(){
        return "/user/update";
    }

    @RequestMapping("/user/select")
    public String select(){
        return "/user/select";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username,String password,Model model){
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //封装用户登陆数据
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        try{
            subject.login(token); //执行登陆方法
            return "/index";
        }catch (UnknownAccountException e){
            model.addAttribute("msg","用户名错误");
            return "login";
        }catch (IncorrectCredentialsException e){
            model.addAttribute("msg","密码错误");
            return "login";
        }
    }

    @RequestMapping("/toUnAuth")
    public String toUnAuth(){
        return "unauth";
    }
}

点击运行,出现的结果,用户xmy点击进入add页面无需任何认证就可以进入,点击update需要登录认证才可以进入

1626079252641.gif

授权

分别将add,update请求改为当用户拥有add权限或者update权限才能进入该页面

filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","perms[user:update]");

在授权方法里面添加操作

  //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了---->授权");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //模拟从数据库读取权限
        //手动设置一个权限
        info.addStringPermission("user:update");
        return info;
    }

实现结果

当用户xmy进入add页面时需要认证登录,登录过后会被拦截,进入update页面,需要认证登录,登录过后不会被拦截可进入

1626079918917.gif

demo 实现-连接数据库

引入连接数据库的相关依赖

        <!--mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>
        <!-- 自动生成代码需要 引入模板引擎 -->
        <dependency>
            <groupId>org.apache.velocity</groupId>
            <artifactId>velocity-engine-core</artifactId>
            <version>2.0</version>
        </dependency>

        <!--数据库相关-->
        <!-- jdbc 依赖 -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <!--  druid 依赖 -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.14</version>
        </dependency>

新建数据库表(还需要建实体类以及mapper)

CREATE TABLE `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) COLLATE utf8_bin DEFAULT NULL,
  `password` varchar(255) COLLATE utf8_bin DEFAULT NULL,
  `perms` varchar(255) COLLATE utf8_bin DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin;

配置文件连接数据库

spring:
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/springboot?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC
    username: root
    password: root
    initialSize: 1
    minIdle: 3
    maxActive: 20
    # 配置获取连接等待超时的时间
    maxWait: 60000
    # 配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒
    timeBetweenEvictionRunsMillis: 60000
    # 配置一个连接在池中最小生存的时间,单位是毫秒
    minEvictableIdleTimeMillis: 30000
    validationQuery: select 'x'
    testWhileIdle: true
    testOnBorrow: false
    testOnReturn: false
    # 打开 PSCache,并且指定每个连接上 PSCache 的大小
    poolPreparedStatements: true
    maxPoolPreparedStatementPerConnectionSize: 20
    # 配置监控统计拦截的 filters,去掉后监控界面 SQL 无法统计,'wall' 用于防火墙
    filters: stat,wall,slf4j

mybatis:
  configuration:
    map-underscore-to-camel-case: true
  # 指定 mapper 文件的位置
  mapper-locations: mapper/**/*Mapper.xml
  # POJO 扫描包来让 MyBatis 自动扫描到自定义 POJO
  type-aliases-package: com.example.domain

更改​​UserRealm​类,数据从数据库中读取

数据库中,有两个用户一个拥有​​add​权限,一个拥有​​update​权限

image.png

登录,xmy用户可以进入add页面,不可以进入update页面,zhangsan用户可以进入update页面,不能进入add页面

public class UserRealm extends AuthorizingRealm {

    @Resource
    UserMapper userMapper;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了---->授权");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //模拟从数据库读取权限
        //手动设置一个权限
        //info.addStringPermission("user:update");

        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User) subject.getPrincipal(); //获取认证时从数据库中读取出来的数据
        info.addStringPermission(currentUser.getPerms());

        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了---->认证");

        //用户登录数据 (模拟从数据库中获取)从数据库中获取
//        String name = "xmy";
//        String password = "12345";

        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//        if (!name.equals(userToken.getUsername())) {
//            return null; //UnknownAccountException
//        }

        //从真实数据库中获取
        User user = userMapper.selectOne(new LambdaQueryWrapper<User>().eq(User::getUsername, userToken.getUsername()));
        if (user == null){
            return null; //UnknownAccountException
        }
        return new SimpleAuthenticationInfo(user,user.getPassword(),"");
    }
}

1626081061893.gif

您可能感兴趣的与本文相关的镜像

Llama Factory

Llama Factory

模型微调
LLama-Factory

LLaMA Factory 是一个简单易用且高效的大型语言模型(Large Language Model)训练与微调平台。通过 LLaMA Factory,可以在无需编写任何代码的前提下,在本地完成上百种预训练模型的微调

shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
一款前端基于Vue后端基于SSM+Shiro简单Demo---------后端部分.zip
最新发布
09-18
本次讨论的Demo项目便采用了这样的结构,前端基于Vue框架,后端则是基于SSM(Spring、SpringMVC、MyBatis)的框架组合,并且利用了Shiro这一安全框架来实现权限控制和身份验证。 首先,Vue.js是一个流行的前端...
shiro系列-认证&授权 demo
weixin_40380118的博客
09-29 498
本人学习某项技术,喜欢先整体感受一遍,然后再根据需要详细了解学习某个模块。先贴下官网的例子,让大家对shiro有个整体的映像,之后再对各个模块进行介绍。 1,引入shiro依赖,这里采用maven方式 org.apache.shiro shiro-spring 1.4.0 2,shrio 配置,命名shiro.ini # 等号左边是用
Java整合Shiro使用详情
Nothing is impossible to a willing heart.
02-28 559
Java整合shiro使用详情
java实现shiro认证流程
ella
04-11 503
步骤: 自定义Realms【继承Authentication】 创建shiro配置文件【建立SecuriryManager与Realm关联】 编写认证测试代码 编写认证的核心代码 1. 自定义Realms【继承Authentication】 package com.shiro.realms; import org.apache.shiro.authc.*; import org.apach...
shiro入门demo(三)身份认证+授权+拦截
w_t_y_y的博客
12-27 701
2、Realm:这里没有连接数据库,在UserConstants中假设数据。
Java SSM整合shiro demo
04-29
Java SSM整合Shiro是一个常见的企业级应用安全框架集成实践,它将Spring、Spring MVC和MyBatis这三大主流框架与Apache Shiro安全框架结合,为应用程序提供了强大的身份验证、授权和会话管理功能。本Demo主要展示了...
JFinal-Shiro-JDBC-Demo-master.zip_DEMO_jfinal_shiro
09-21
JFinal-Shiro-JDBC-Demo是一个基于JFinal框架,并集成了Apache Shiro安全框架的示例项目,主要目的是为了演示如何在JFinal应用中实现用户认证(Authentication)和授权(Authorization)功能。下面我们将详细探讨这...
SpringBoot整合Shiro框架实现认证授权
在这个 ShiroDemo 示例项目中,我们将会看到如何整合 Shiro 到一个 Spring Boot 应用中,并利用 Shiro 完成基本的身份认证授权操作。 ### 关键知识点: #### 1. Shiro框架核心组件: - **Subject**:Subject ...
liu_guo_feng-shiro-demo-master_java_源码.zip
10-18
通过分析这个源码示例,我们可以学习到如何在实际项目中配置和使用Shiro实现用户认证授权、会话管理等核心功能,为我们的Java应用构建一套安全可靠的防护体系。同时,对于Shiro的扩展和自定义,例如自定义Realm...
基于shiro实现的用户登录系统
11-28
基于shiro实现的用户登录系统,运行sql文件更改数据库连接可直接运行,项目集成了mybatis-plus,shiro,springmvc,角色管理和组管理,非常简单实用,非常适合学习,不用输入验证码可以登录,admin密码123456
Shiro授权-SSM
qq_59025975的博客
12-23 621
一、shiro授权 原因:登录进来有的菜单看不到 有的没有权限 1、 在ShiroUserMapper.xml中新增内容 <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang.Integer"> select r.roleid from t_shiro_user u,t_shiro_user_role ur,t_shiro_role r w.
SpringBoot整合Shiro登录认证授权(附demo
weixin_43538859的博客
01-02 3064
SpringBoot整合Shiro登录认证授权 废话不多说,直接上代码: 代码有点多,想直接拿demo的直接拉到底 ps:demo忘了在哪拿的了,在他的基础上改了一些 步骤一:pom.xml导入依赖jar包 &amp;amp;lt;dependencies&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.springfram
java 使用shiro样例_SpringBoot - 安全框架Shiro整合使用教程(附样例)
weixin_42168230的博客
03-07 572
Apache Shiro 是一个开源的轻量级的 Java安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。相对于 Spring Security,Shiro框架更加直观、易用,同时也能提供健壮的安全性。在传统的 SSM框架中,手动整合 Shiro的配置步骤还是比较多的,针对 Spring Boot,Shiro官方提供了shiro-spring-boot-web-starter用来简化 S...
JavaShiro+SpringMVC 的集成实践
IT老兵的驿站
11-15 757
原帖位于IT老兵博客,沉淀着一个IT老兵对于这个行业的认知。 JavaShiro+SpringMVC的集成实践。 前言 个人感觉,Shiro的官网有一个问题,讲的不够清楚,尽管看上去好像讲的挺明白,但是我总是感觉很多地方不够清楚,事实上,在阅读了很多帖子之后,发现很多人都对这一点存在疑问,那就不是我一个人的问题了。 Shiro的官网缺乏完整的例子,而且我所处理的项目是Spring的项目,如何清...
Java安全框架shiro(一)
qq_65647788的博客
01-31 625
shiro是一个功能强大且易于使用Java安全框架,用于执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。
shiro进阶—与javaweb整合
微信公众号:一颗向上的草莓
08-04 997
引入jar除在入门中引入的jar包之外,在web项目中如果用到shiro,还需要引入以下jar:shiro-web:shiro-web-1.2.3.jarshiro-spring:shiro-spring-1.2.3.jarshiro-quartz(根据需要):shiro-quartz-1.2.3.jarquartz-1.6.1.jarshiro-ehcache(根据需要):ehcache-core
SpringBoot整合Shiro(Java安全框架)案例(含源码)
iijik55的博客
08-24 403
Subject:主体,一般指用户。SecurityManager:Shiro的核心部分,它负责安全认证授权Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用,本质上就是一个工厂类似Spring中的ApplicationContext安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)
Java 程序员如何使用 Shiro 框架
全栈码农,专注java项目实战教程分享、大学生项目辅导开发讲解。
07-03 455
微信搜索【编程大学姐远春儿】,领取免费小白教程。 作者:冷豪 来自:www.cnblogs.com/learnhow/p/5694876.html 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例: 1、使用用户的登录信息创建令牌 Usernam...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值