apache shiro 如何升级_浅玩springboot整合shiro框架

最新推荐文章于 2024-08-24 20:28:49 发布
最新推荐文章于 2024-08-24 20:28:49 发布
阅读量241 收藏
点赞数
文章标签: apache shiro 如何升级 shiro 如何判断登录过 shiro 数据权限 shiro框架 spring 整合 shiro springboot shiro整合
本文介绍如何在 Spring Boot 中集成 Apache Shiro 安全框架,实现用户认证和授权功能。涵盖 Shiro 的核心组件介绍、配置步骤、自定义 Realm 以及会话管理等关键知识点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

14183160ab8590bc396dc32a7837c5c5.png点击蓝字关注我们吧!
什么是shiro

Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。

基本功能点

Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;

Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;

Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;

Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;

Web Support:Web 支持,可以非常容易的集成到 Web 环境;

Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;

Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;

Testing:提供测试支持;

Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;

Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。

接下来我们分别从外部和内部来看看 Shiro 的架构,对于一个好的框架,从外部来看应该具有非常简单易于使用的 API,且 API 契约明确;从内部来看的话,其应该有一个可扩展的架构,即非常容易插入用户自定义实现,因为任何框架都不能满足所有需求。

首先,我们从外部来看 Shiro 吧,即从应用程序角度的来观察如何使用 Shiro 完成工作。如下图:

1aa223affdbdd865f6404ca30c0703f9.png

可以看到:应用代码直接交互的对象是 Subject,也就是说 Shiro 的对外 API 核心就是 Subject;其每个 API 的含义:

Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityManager 才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互;且它管理着所有 Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,如果学习过 SpringMVC,你可以把它看成 DispatcherServlet 前端控制器;

Realm:域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。

也就是说对于我们而言,最简单的一个 Shiro 应用:

  1. 应用代码通过 Subject 来进行认证和授权,而 Subject 又委托给 SecurityManager;
  2. 我们需要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能得到合法的用户及其权限进行判断。

从以上也可以看出,Shiro 不提供维护用户 / 权限,而是通过 Realm 让开发人员自己注入。

看懂了吗

其实上面的概念我们大概知道就行了,没必要死磕到底,如果还是想了解多一点概念可以点击我。其实对于新手来说,更重要的是能自己实践出来即可。最近玩的项目用到了shiro框架身份认证和权限,所以总结了一下springboot整合shiro框架的应用。

代码实现
导入依赖
<?xml  version="1.0" encoding="UTF-8"?>
"http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">4.0.0org.springframework.bootspring-boot-starter-parent2.3.1.RELEASE com.aodemo0.0.1-SNAPSHOTdemoDemo project for Spring Boot1.8org.springframework.bootspring-boot-starterorg.springframework.bootspring-boot-starter-testtestorg.junit.vintagejunit-vintage-engineorg.apache.shiroshiro-spring-boot-web-starter1.4.0mysqlmysql-connector-java8.0.18com.alibabadruid-spring-boot-starter1.1.21com.baomidoumybatis-plus-boot-starter3.3.0org.projectlomboklombok1.18.8org.springframework.bootspring-boot-maven-plugin

shiro配置

ShiroConfig

package com.ao.demo.config;

import com.ao.demo.shiro.AdminAuthorizingRealm;
import com.ao.demo.shiro.AdminWebSessionManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {


    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map filterChainDefinitionMap = new LinkedHashMap();/*anon: 无需认证即可访问
  authc: 需要认证才可访问
  user: 点击“记住我”功能可访问
  perms: 拥有权限才可以访问
  role: 拥有某个角色权限才能访问*/
        filterChainDefinitionMap.put("/admin/auth/login", "anon");
        filterChainDefinitionMap.put("/admin/**", "authc");/*没有登录的用户请求需要登录的页面时自动跳转到登录页面。*/
        shiroFilterFactoryBean.setLoginUrl("/admin/auth/401");/*登录成功默认跳转页面,不配置则跳转至”/”,可以不配置,直接通过代码进行处理。*/
        shiroFilterFactoryBean.setSuccessUrl("/admin/auth/success");/*没有权限默认跳转的页面,登录的用户访问了没有被授权的资源自动跳转到的页面*/
        shiroFilterFactoryBean.setUnauthorizedUrl("/admin/auth/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;
    }//将自己的验证方式加入容器@Beanpublic Realm realm() {return new AdminAuthorizingRealm();
    }//管理会话@Beanpublic SessionManager sessionManager() {return new AdminWebSessionManager();
    }//权限管理,配置主要是Realm的管理认证@Beanpublic DefaultWebSecurityManager defaultWebSecurityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        securityManager.setSessionManager(sessionManager());return securityManager;
    }
}
配置自己的验证方式

AdminAuthorizingRealm

package com.ao.demo.shiro;


import com.ao.demo.pojo.Admin;
import com.ao.demo.service.IAdminService;
import com.ao.demo.service.IPermissionService;
import com.ao.demo.service.IRoleService;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.Assert;

import java.util.List;
import java.util.Set;

@Slf4j
public class AdminAuthorizingRealm extends AuthorizingRealm {
    /*当调用判断权限的方法, 才会触发 doGetAuthorizationInfo() 方法
 subject.hasRole();
 subject.checkPermission();
 subject.isPermitted();
 ....
*/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("----------doGetAuthorizationInfo方法被调用----------");
        if (principals == null) {
            throw new AuthorizationException("");
        }
        Admin admin = (Admin) getAvailablePrincipal(principals);
        String[] roleIds = admin.getRoleIds();
        Set roles =  new HashSet<>();
        roles.add("role1");
        Set permissions = new HashSet<>();
        permissions.add("order:list");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.setStringPermissions(permissions);return info;
    }//    3.在认证方法中的doGetAuthenticationInfo@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token; 
        String username = upToken.getUsername();  //获取到用户名
        String password = new String(upToken.getPassword());  //获取到密码//        查询数据库是否有这个用户,此处是mybatisplus的写法
        List adminList = adminService.list(new QueryWrapper().lambda().eq(Admin::getUsername, username));
        Assert.state(adminList.size() 2, "同一个用户名存在两个账户");if (adminList.size() == 0) {throw new UnknownAccountException("找不到用户(" + username + ")的帐号信息");
        }
        Admin admin = adminList.get(0);if (admin.getState() == 1){throw new LockedAccountException("帐号待审核");
        }if (admin.getState() == 2){throw new DisabledAccountException("帐号已禁用");
        }if (admin.getState() == 3){throw new ExcessiveAttemptsException("帐号已锁定");
        }/*.......一些业务逻辑*///这里如果上面的都成立后会进行密码校验,第二个参数是用户数据库的密码return new SimpleAuthenticationInfo(admin, admin.getPassword(), getName());
    }
}
会话管理

AdminWebSessionManager

package com.ao.demo.shiro;

import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

public class AdminWebSessionManager extends DefaultWebSessionManager {

    public static final String LOGIN_TOKEN_KEY = "Shiro-Token";
    private static final String REFERENCED_SESSION_ID_SOURCE = "shiro request";

    /**
     * 获取session id
     * 从请求头中获取jsesssionid
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        // 从请求头中获取token
        String id = WebUtils.toHttp(request).getHeader(LOGIN_TOKEN_KEY);
        // 判断是否有值
        if (!StringUtils.isEmpty(id)) {
            // 设置当前session状态
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            // 若header获取不到token则尝试从cookie中获取
            return super.getSessionId(request, response);
        }
    }
}

controller

AdminAuthController

package com.ao.demo.controller;


import com.ao.demo.pojo.Admin;
import com.ao.demo.utils.JacksonUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;

import javax.servlet.http.HttpServletRequest;

@RestController
@RequestMapping("/admin/auth")
@Slf4j
public class AdminAuthController {

    @PostMapping("/login")
    public Object login(@RequestBody Admin loginAdmin) {
       // 1.SecurityUtils:是shiro的一个工具类。通过SecurityUtils获取Subject
        Subject currentUser = SecurityUtils.getSubject();
        try {
            /*UsernamePasswordToken是一个简单的包含username及password即用户名及密码的登录验证用token*/
            //2、new一个 UsernamePasswordToken,并传上用户名及密码。把返回值传给登入作为条件
            //3、当调用subject的登入方法时,会跳转到reaml认证的方法(doGetAuthenticationInfo)上。
         currentUser.login(new UsernamePasswordToken(loginAdmin.getUsername(), loginAdmin.getPassword()));
        } catch (UnknownAccountException uae) {
            return uae.getMessage();
        } catch (LockedAccountException lae) {
            return lae.getMessage();
        } catch (DisabledAccountException dae) {
            return dae.getMessage();
        }catch (AuthenticationException ae) {
            return "认证失败";
        }
   //是否有role1这个角色
        if(currentUser.hasRole("role1")){
            log.info("有角色role1");
        }else{
            log.info("没有角色role1");
        }
        //查看是否有查看订单的权限
        if(currentUser.isPermitted("order:list")){
            log.info("拥有查看订单的权限");
        }else {
            log.info("没有查看订单的权限");
        }
        //4、在认证方法中subject已经把获取到了用户,所以我们用subject.getPrincipal 可以获取到登录的用户
        Admin admin = (Admin) SecurityUtils.getSubject().getPrincipal();
        return "登录成功,用户信息:"+admin+"token:" + currentUser.getSession().getId();
    }


    @PostMapping("/tt")
    public String tt(){
        return "访问成功";
    }

}

测试
表的数据
979745913097a30f12dba70027977779.png
测试一波

可以看到doGetAuthorizationInfo被执行了两次,这是因为我在controller调用了hasRole和isPermitted。

1a4779c18a4b186bfd8438fa7eccd014.png
登录成功,返回了token(网上说这个token的过期时间是30分钟,具体需要查证源码)
21544ab415bd919bac348c72e96a8b22.png
登录失败,执行到new SimpleAuthenticationInfo(admin, admin.getPassword(), getName())这里,密码错误抛出AuthenticationException,controller捕获到所以返回结果认证失败。
e106c3fde8a7a1354457f0eba153b227.png
再测试一下会话管理

登录成功了,此时的token是:81973a5e-6e4c-4d7a-a6a6-7b212eea2b97

然后我们验证一下会话管理起不起作用

6591c4d8ebb1532a4ce78d71ea8c0fef.png

根据返回来的报文,没有登录的用户请求需要登录的页面时自动跳转到登录页面,这就是我们在shiroconfig设置的setLoginUrl,因为这个接口没写,所以404。接下来拿到登录用户的token,进行访问,结果是预期的。

2499f4088fd73dd7708056024bade4a2.png

   至此,springboot搭建shiro框架就成功啦!

ed02cec40152cd3ad35fcfe5b78efb1b.png748cc8a9bc5cac62f17dbd9121fa3ce6.png1ecf36f55ddd41cca632f6e7fb731376.png
Shiro教程(二):Springboot整合Shiro全网最全教程
WwLK123的博客
07-12 1829
Apache Shiro是一个Java的安全权限框架Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。- Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等。这里是SpringBoot整合Shiro最完整最详细教程。
在前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
最新发布
2401_87555420的博客
10-27 803
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。当在某个项目中引入spring-boot-shiro模块时,只需要在配置文件中加入shiro数据源及redis的相关配置,并在DataSourceConfig加入shiro数据源Bean即可。在项目中,权限相关表可能不在业务库中,因此有必要单独配置权限相关表的数据源。
Apache Shiro教程
12-30
Apache Shiro 是一个框架,可用于身份验证和授权。Apache Shiro的教程(PDF),相关jar包,源码等。
apache shiro怎么升级_springboot整合shiro 框架
weixin_39659748的博客
11-26 234
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达66套java从入门到精通实战课程分享写这篇文章主要是记录我的学习过程,刚开始在网上找资料的时候,网上的资料很乱。所以自己整合了一个比较简单的shiro的使用方法,shiro是什么、怎么用就不用我在这里详细的讲解了。1.添加依赖 <dependency> <groupId>org....
springboot 中如何整合 shiro 应用 ?
weixin_30852367的博客
08-14 66
ShiroApache下的一个开源项目,我们称之为Apache Shiro。 它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。 shiro属于轻量级框架,相对于security简单的多...
SpringBoot整合Apache shiro
万谷博客
01-09 415
原文链接:https://blog.wanvale.com/archives/104/ 基本架构 先来看一下目录 依赖 pom.xml引入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.2</version> </dependency> User Ent
Spring Boot 整合 Shiro ,两种方式全总结!
田维常
06-20 236
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。今天松哥就来和大家聊...
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
springbootshiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成...
springboot整合shiro
weixin_45476535的博客
08-24 682
【代码】springboot整合shiro
Shiro升级到1.7.x
m0_67393342的博客
03-28 946
升级步骤 原先的代码没有作修改,只是在pom.xml文件中引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
权限系统框架shiro教程
07-10
shiro,权限系统框架,比spring security更加轻量方便的框架
shiro升级shiro-1.7.1
zhuimenghou的博客
07-20 3206
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
apache shiro 如何升级_Java安全框架Shiro的授权入门,入门配置细节
weixin_39754603的博客
11-27 683
一、Shiro简介Apache Shiro是一个强大而且易用的Java安全框架,执行身份验证、授权、密码和回话管理。使用Shiro的易于理解的API,我们可以快速轻松地获得任何应用程序,从最小的移动易用程序到最大的网络和企业应用程序。官网:http://shiro.apache.o 二、Shiro授权入门简单的介绍shiro的作用之后,我们接下来就直接进入shiro授权的入门,由于我们学习shir...
第二节 自定义Realm之继承AuthorizingRealm
热门推荐
大宇的博客,欢迎访问
05-06 1万+
一、Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继......
shiro1.4.0升级为1.10.0方案
weixin_50167266的博客
08-14 2268
ERROR 500.jsp[148] - Filtered request failed. javax.servlet.ServletException: Filtered request failed.
spring-boot+shiro升级shiro1.6错误
web17886480312的博客
04-08 220
最近HW行动报告指出了shiro的鉴权漏洞,根据网上的方法把shiro升级到1.6就可以解决漏洞了 做了这步修改后,运行项目出现了报错,提示shiro的过滤器无法创建bean经过反复查看项目,发现1.6还要引入一个shiro-web的jar包 引入后成功解决。 ...
apache shiro怎么升级_Shiro框架:认证和授权原理
weixin_39845220的博客
11-26 202
优质文章,及时送达前言Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍:Shiro可以做什么?、Shiro是由什么组成的?举个Shiro的例子呗?Shiro认证的原理是咋样的?Shiro授权的原理是咋样的?1. Shiro可以做什么?在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点:用户认证—...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值