Springboot-Shiro-druid-mybatis

最新推荐文章于 2024-01-13 17:49:57 发布
原创 最新推荐文章于 2024-01-13 17:49:57 发布 · 590 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍Spring Boot集成Shiro进行权限管理。先阐述Shiro概念及主要功能,如认证、授权等;接着说明主要类,像Subject、SecurityManager等;然后讲解Shiro配置,包括通过Java代码配置及定义URL规则;最后给出具体示例代码及测试情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

Springboot集成shiro

Shiro主要用来进行权限管理。简单的介绍如下:

一、概念

Shiro是一个安全框架,可以进行角色、权限管理。

Shiro主要功能如下:

  • Authentication(认证):用户身份识别,通常被称为用户“登录”
  • Authorization(授权):访问控制。比如某个用户是否具有某个操作的使用权限。
  • Session Management(会话管理):特定于用户的会话管理,甚至在非web 或 EJB 应用程序。
  • Cryptography(加密):在对数据源使用加密算法加密的同时,保证易于使用。


二、主要的类

  • 1.Subject:当前用户,Subject可以是一个人,也可以是第三方服务
  • 2.SecurityManager:管理所有Subject,可以配合内部安全组件 
  • 3.principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
  • 4.credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。最常见的principals和credentials组合就是用户名/密码了。
  • 5.Realms:用于进行权限信息的验证,需要自己实现。
  • 6.Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。
  • 在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。
  • 我们需要实现Realms的Authentication 和 Authorization。其中 Authentication 是用来验证用户身份,Authorization 是授权访问控制,用于对用户进行的操作授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。
  • 7.SimpleHash,可以通过特定算法(比如md5)配合盐值salt,对密码进行多次加密。

 三、Shiro配置

  • 1.Spring集成Shiro一般通过xml配置,SpringBoot集成Shiro一般通过java代码配合@Configuration和@Bean配置。
  • 2.Shiro的核心通过过滤器Filter实现。Shiro中的Filter是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。
  • 3.SpringBoot集成Shiro,我们需要写的主要是两个类,ShiroConfiguration类,还有继承了AuthorizingRealm的Realm类
  • ShiroConfiguration类,用来配置Shiro,注入各种Bean。

包括过滤器(shiroFilter)、安全事务管理器(SecurityManager)、密码凭证(CredentialsMatcher)、aop注解支持(authorizationAttributeSourceAdvisor)等等

Realm类,包括登陆认证(doGetAuthenticationInfo)、授权认证(doGetAuthorizationInfo)

四、具体示例如下:

ShiroConfig.java如下:

package com.shiro.demo.shiro;

import java.util.LinkedHashMap;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {
	
	@Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
    	
		ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
    	filterFactoryBean.setSecurityManager(securityManager);
    	
    	LinkedHashMap<String,String> map = new LinkedHashMap<String,String>();
    	map.put("/login", "anon");
    	map.put("/loginUser", "anon");
        map.put("/druid/**", "anon");
        map.put("/shiro/logout", "logout");
        map.put("/user", "roles[user]");
        map.put("/admin", "roles[admin]");
        map.put("/edit", "perms[edit]");
        map.put("/**", "authc");
		
		filterFactoryBean.setLoginUrl("/login");
		filterFactoryBean.setSuccessUrl("/index");
		filterFactoryBean.setUnauthorizedUrl("/unauthorized");
		filterFactoryBean.setFilterChainDefinitionMap(map);
		return filterFactoryBean;
    }
	@Bean
	public SecurityManager securityManager(){
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        // 自定义session管理 使用redis
//        securityManager.setSessionManager(sessionManager());
        // 自定义缓存实现 使用redis
//        securityManager.setCacheManager(cacheManager());
        //缓存在内存
//        securityManager.setCacheManager(new MemoryConstrainedCacheManager());
        securityManager.setRealm(myShiroRealm());
        return securityManager;
	}
	
	@Bean
    public ShiroRealm myShiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return shiroRealm;
    }

	/**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了)
     * 
     */
	@Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
    	HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
    	credentialsMatcher.setHashAlgorithmName("MD5");
    	credentialsMatcher.setHashIterations(1024);
    	return credentialsMatcher;
    }
	/**
     * 开启shiro aop注解支持.
     * 使用代理方式;所以需要开启代码支持;
     *
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
  //自动创建代理,没有这个鉴权可能会出错
    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator autoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        autoProxyCreator.setProxyTargetClass(true);
        return autoProxyCreator;
    }
	
}

ShiroRealm.java:

package com.shiro.demo.shiro;

import java.util.ArrayList;
import java.util.List;
import java.util.Set;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.apache.shiro.util.CollectionUtils;
import org.springframework.beans.factory.annotation.Autowired;

import com.shiro.demo.model.Permission;
import com.shiro.demo.model.Role;
import com.shiro.demo.model.User;
import com.shiro.demo.service.UserService;

public class ShiroRealm extends AuthorizingRealm{

	@Autowired
	private UserService userService;
	//授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		User user = (User) principals.fromRealm(getName()).iterator().next();
		List<String> permissionList = new ArrayList<>();
		List<String> roleNameList = new ArrayList<>();
		Set<Role> roles = user.getRoles();
		if(!CollectionUtils.isEmpty(roles)){
			for(Role role : roles){
				roleNameList.add(role.getRname());
				Set<Permission> permissionSet = role.getPermissions();
				if(!CollectionUtils.isEmpty(permissionSet)){
					for(Permission permission : permissionSet){
						permissionList.add(permission.getName());
					}
				}
			}
		}
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.addStringPermissions(permissionList);
		info.addRoles(roleNameList);
		return info;
	}

	//认证登陆
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
		String username = usernamePasswordToken.getUsername();
		User user = userService.findByUsername(username);
//		Object credentials = null;
//		if("admin".equals(username)){
//			credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
//		}else if("user".equals(username)){
//			credentials = "098d2c478e9c11555ce2823231e02ec1";
//		}
		//盐值
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		return new SimpleAuthenticationInfo(user, user.getPassword(),credentialsSalt, getName());
	}

}

测试:

user用户:

admin用户:

【Java笔试面试】- Shiro - Druid - lombok
blotemj.blog.youkuaiyun.com
10-30 55
综上所述,ShiroDruid和lombok都是Java开发中常用的工具或框架,它们各自具有独特的功能和优势,能够满足不同的开发需求。
springboot1.5+shiro+mybatis+druid监控后台系统(java)
07-03
使用前请详细阅读压缩包中的readme文件。本套系统使用springboot1.5+shiro实现权限控制,界面主要使用bootstrap构建。有文件上传下载功能。定分较高,请谨慎下载,因为本人保证可以远程教将项目在你的本地跑起来。达到下载后可以自己使用的效果。联系方式见压缩包中readme。
SpringBoot-shiro(结合druid,mybatis
qq_42370505的博客
09-25 276
目录结构: 导包 shiro: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.6.0</version> </dependency> thymeleaf模板: <!--thymeleaf模板--> &
springboot shiro druid
03-16 488
1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架,相对于security简单的多,也没有se...
SpringBootshiro整合mybatis+druid数据源
qq_43880100的博客
10-19 671
SpringBootshiro整合mybatis+druid数据源
springboot-shiromybatis-plus+shiro-redis+druid+thymeleaf+jasypt)
12-08
springboot整合shiro使用mybatis-plus作为持久层,管理页面为thymeleaf模版。jasypt加密配置文件信息。使用druid数据源以及数据源监控。shiro-redis开源插件
基于SpringBoot+Shiro+Mybatis+Druid+layui后台管理系统全部资料+详细文档+高分项目.zip
最新发布
12-26
基于SpringBoot+Shiro+Mybatis+Druid+layui后台管理系统全部资料+详细文档+高分项目.zip 【备注】 1、该项目是个人高分项目源码,已获导师指导认可通过,答辩评审分达到95分 2、该资源内项目代码都经过测试运行成功...
基于SpringBoot+Shiro+Mybatis+Druid+layui后台管理系统
05-14
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
基于SpringBoot+Shiro+Mybatis+Druid+layui后台管理系统 .zip
08-05
《基于SpringBoot+Shiro+Mybatis+Druid+layui后台管理系统》是一个常见的IT毕业设计项目,它结合了多种技术来构建一个完整的Web应用程序。这个系统通常包括用户管理、角色管理、权限控制等功能,适用于企业管理、...
springbootshiromybatis和mysql
weixin_30832351的博客
06-08 182
测试项目已上传到GitHub:https://github.com/xiaostudy/springboot_shiro_test1 1、创建springboot项目 1 <!-- 数据库连接池 --> 2 <dependency> 3 <groupId>com.alibaba</groupId&gt...
ssm+shiro+druid搭建
sinat_39291367的博客
07-17 1106
application.xml <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
springboot整合shiro、redis、druid 源码下载
04-06
spring-boot项目整合shiro权限框架,实现了登录认证、权限认证、密码加密、rememberMe、验证码、登录次数过多限制功能 整合redis,使用缓存注解,不用每次都查询数据库 整合druid,页面上监控sql语句的执行情况 git项目下载地址(持续更新): https://github.com/aqsunkai/era
Springboot整合Shiro+mybatisplus+druid
蒙面侠的博客
02-27 482
1.新建数据库,5张表如下: 2.导入依赖 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.1</version> </de
Shiro+MySQL+Druid数据源验证小记
dym3093的博客
12-05 2033
Shiro作为使用较为广泛的单点登录框架,能够快速搭建验证机制。 例中使用的User表比较简单,只有 username和 password 两个字段,在此不再列出建表脚本。 一、 配置shiro-jdbc.properties文件 # 使用 JdbcRealm 作为当前验证的Realm jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm #...
Shiro框架整合阿里druid多数据源报错解决
langyou0的博客
03-30 601
Shiro框架整合阿里druid多数据源报错解决起因报错解决 起因 公司开发项目,负责登录模块和其他功能的同事一直没有整合代码,才导致遇见了这么一个神奇的BUG,非常让我抓狂,以后一定要上传SVN,提起整合代码才会尽早发现这种BUG. 报错 直接报错提示说无法加载数据源的bean,导致启动直接报错,后来经过对shiro的查找发现是shiro的aop和多数据源的aop发生冲突,于是开始查找资料,网上各种说法 解决 简单粗暴直接上解决方法 如果你的spring版本低于2.x 需要添加配置文件 spring:
springboot②最正确的集成shiro并使用ehcache缓存
qq_35577329的博客
04-18 590
https://blog.youkuaiyun.com/tanleijin/java/article/details/81118963 springboot集成shiro和ehcache的时候,要先集成ehcache然后再集成shiro,这样当shiro配置cacheManager的时候就可以直接使用了。下面是正确的集成步骤: 第一步集成ehcache: 1.在pom.xml文件中引入以下依赖 org.s...
Java安全漏洞:Druid未授权访问解决
热门推荐
qq_46119575的博客
01-04 2万+
Java安全漏洞:Druid未授权访问解决
二十几种未授权访问漏洞合集
2301_76786857的博客
01-13 1837
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。攻击者发现并且利用此类漏洞的成本低,效果明显,影响巨大,因此此类漏洞必须高度重视起来。目前主要存在未授权访问漏洞的有:NFS服务,Samba服务,LDAP,Rsync,FTP,Jenkins,MongoDB,Redis,ZooKeeper,ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Dubbo等。
Alibaba Druid未授权访问漏洞记录(敏感目录,端口:不确定)
墨痕诉清风的博客
11-12 1万+
1.Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池.2.Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控.
SpringBoot+Shiro+Mybatis+Druid+layui开发的综合后台管理系统
资源摘要信息:"基于SpringBoot+Shiro+Mybatis+Druid+layui的后台管理系统" 该项目是一个采用SpringBoot框架作为后端基础的后台管理系统,结合了Shiro进行安全认证和授权,Mybatis作为数据持久层框架,Druid作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值