springboot中shiro 的应用

最新推荐文章于 2022-11-20 19:58:18 发布
原创 最新推荐文章于 2022-11-20 19:58:18 发布 · 887 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #springboot

本文介绍了Apache Shiro在SpringBoot项目中的应用,强调其轻便和灵活的特点。内容涵盖了Shiro的基本功能,包括权限认证、授权、Session管理和加密。文章通过分析Shiro架构,展示了如何配置SecurityManager、Realm和Subject。还提到了使用Maven,依赖于MyBatis的数据源,并提供了部分关键代码示例,如自定义Realm和配置Shiro。最后,给出了TestController的代码,完成登录认证功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

apache shiro 是一个简单便捷的安全框架,也是官方推荐的安全框架,作用和spring scurity一样,但是却比scurity 轻便,灵活,由于spring boot 中没有整合shiro 所以如果我们要在项目中使用shiro需要自己配置一些东西 接下来开始介绍shiro 的使用

 

千里之行始于足下,先来认识shiro,上面这张图就是shiro官网的介绍图,可以很清楚的看出来 shiro基本功能包括四个方面

1. authentication(权限认证):通常用于用户登录

2. Autoorization(授权):主要就是给角色授权,就是说这个用户能做什么不能做什么

3. Session管理器:知道如何创建session或者如何管理session

4. Cryptography(加密):通过加密算法,对数据加密的同时,保证数据容易使用

当然也支持其他的一些功能(日后再聊)比方说支持缓存,记住密码,web支持,并发,支持单元测试,支持以另一个用户运行(在许可的情况下)

当然咯  shiro,他不会自己维护权限,这里需要我们去设计。接下来认识shiro代码

当我们的程序开始运行的时候,

1#首先会给到 subject,也就是当前应用程序的用户,是一个抽象的概念

2# SecurityManager 一个安全管理器,也是shiro中真正的执行者,管理着subject

3# realm 域 也就是安全的数据源,最简单的应用就是数据库

接下来看看shiro的架构图,当我们把这张图搞懂了,那么shiro 的学习就只剩下了解代码了

这张图不多介绍,基本的上面也都讲过,需要注意的一点就是,我们可以看得出基本这些shiro中的主体都是被security Manager管理着,

这里使用的是maven,贴上使用的dependency

                <dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-redis</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.mybatis.spring.boot</groupId>
			<artifactId>mybatis-spring-boot-starter</artifactId>
			<version>1.3.2</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-devtools</artifactId>
		</dependency>
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.4.0</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>
		<dependency>
			<groupId>com.alibaba</groupId>
			<artifactId>druid</artifactId>
			<version>1.1.10</version>
		</dependency>
		<dependency>
			<groupId>org.apache.commons</groupId>
			<artifactId>commons-lang3</artifactId>
			<version>3.7</version>
		</dependency>
		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
			<version>1.16.22</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-context-support</artifactId>
			<version>4.3.13.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.apache.tomcat.embed</groupId>
			<artifactId>tomcat-embed-jasper</artifactId>
		</dependency>
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>jstl</artifactId>
			<version>1.2</version>
		</dependency>

启动方式是用的maven的插件启动的,启动的时候要用maven中的springboot启动,如果直接点击运行,程序是无法找到jsp文件,而报404错误。

         <build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

 

接下来看代码了,数据库连接使用的是mybaits,所以实体类,mapper文件(放在resource下面),dao接口都是通过mybatis generator自动生成的,就不贴代码 了,不懂mybais逆向工程的请戳  mybaits逆向工程,直接贴一张图,这张图也是这个demo的所有java代码了

接下来就是application.properties配置文件中的内容

  #配置数据库连接
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/test?characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=Root


#配置mabatis位置
mybatis.mapepr-location=mybatis/*.xml
mybatis.type-aliases-package=com.lj.shiromanagerweb.model
mybatis.config-location=classpath:mybatis-config.xml

#配置springmvc
spring.mvc.view.prefix=/pages/
spring.mvc.view.suffix=.jsp

 服务端只写了一个方法,

import com.lj.shiromanagerweb.dao.UserMapper;
import com.lj.shiromanagerweb.model.User;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;

/**
 * @author Eric
 * @date create in2018/8/7 21:06
 */
@Service
public class UserService {


    @Resource
    UserMapper userMapper;

    public User findByUserName(String username) {
        return userMapper.findByUsername(username);
    }

}

 需要说明的一点是因为这个地方查询数据库是夺标联查,所以,在mapper文件的这个方法稍稍有些不一样mapper中的findByuserName代码如下

<select id="findByUsername" parameterType="string" resultMap="userMap">
      SELECT u.*, r.*, p.*
      FROM user u
        INNER JOIN user_role ur on ur.uid = u.uid
        INNER JOIN role r on r.rid = ur.rid
        INNER JOIN permission_role pr on pr.rid = r.rid
        INNER JOIN permission p on pr.pid = p.pid
      WHERE u.username = #{username}
    </select>

重点是接下来的三个类中的代码

1.自定义realm文件 AuthRealm.java 主要做两件事,一件事就是从数据库查询出相关数据,来验证用户,第二件事就是获取相关权限,给用户授权

import com.lj.shiromanagerweb.model.Permission;
import com.lj.shiromanagerweb.model.Role;
import com.lj.shiromanagerweb.model.User;
import com.lj.shiromanagerweb.service.UserService;
import org.apache.commons.collections.CollectionUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.*;

/**
 * 自定义realm授权部分
 *
 * @author Eric
 * @date create in2018/8/7 21:30
 */
public class AuthRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;



    /**
     * 授权方式
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //通过传进来的principals迭代获取用户
        User user = (User) principals.fromRealm(this.getClass().getName()).iterator().next();
//        String userName = (String) principals.getPrimaryPrincipal();
        List<String> permissionList = new ArrayList<>();//
        List<String> roleNameList = new ArrayList<>();
//获取登录人的角色,通过相关角色查询权限
        Set<Role> roleSet = user.getRoles();
        if (CollectionUtils.isNotEmpty(roleSet)) {
            for (Role role : roleSet) {
                roleNameList.add(role.getRname());
                Set<Permission> permissionSet = role.getPermissions();
                if (CollectionUtils.isNotEmpty(permissionSet)) {
                    for (Permission permission : permissionSet) {
                        permissionList.add(permission.getPname());
                    }
                }
            }
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(permissionList);
        info.addRoles(roleNameList);
        return info;
    }

    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String username = usernamePasswordToken.getUsername();
        User user = userService.findByUserName(username);
        return new SimpleAuthenticationInfo(user, user.getPassword(), this.getClass().getName());

    }


}

因为在shiro底层校验密码是通过SimpleCredentialsMatcher,那么这里我们也是实现了SimpleCredentialsMatcher,让校验的方式自己来实现,代码如下:

/**
 * 告诉我们密码的校验规则,密码校验规则由我们自己实现
 * @author Eric
 * @date create in2018/8/7 22:15
 */
public class CredentialMatcher extends SimpleCredentialsMatcher{

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String  password = new String(usernamePasswordToken.getPassword());
        String dbPassword = (String) info.getCredentials();
        return this.equals(password, dbPassword);
    }
}

接下来就需要写我们shiro中的一些配置,我们在ShiroConfiguration这个类里面注入,这样一来,shiro的校验读取都是按照我们写的方式来操作

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.LinkedList;

/**
 *
 * 定制springboot与shiro的关系,让系统在刚开始的时候就读取@Configuration
 *
 * 当程序开始的时候先读取shiroFilter--->securityManager---authRealm--->credentialMatcher
 * @author Eric
 * @date create in2018/8/7 22:21
 */
@Configuration
public class ShiroConfiguration {
    /**
     * anon:匿名访问
     * authc;form表单验证
     * authBasic:基础的http验证
     * logout:注销拦截器
     * noSessionCreation:没有session创建session的拦截器
     * perms:权限县验证
     * roles:角色验证
     * @param manager
     * @return
     */
   @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(manager);
        //登录页面
        bean.setLoginUrl("/login");
        //登录成功之后跳转的页面
        bean.setSuccessUrl("/index");
        //权限认证失败的时候跳转的页面
        bean.setUnauthorizedUrl("/unauthorized");
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //前面的url使用后面的过滤器
      /*  filterChainDefinitionMap.put("/index", "authc");
        filterChainDefinitionMap.put("/login", "anon");
       filterChainDefinitionMap.put("loginUser", "anon");
        filterChainDefinitionMap.put("/**", "user");*/
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }

    /**
     * 使用我们自己的方式去验证一个用户
     * @param authRealm
     * @return
     */
    @Bean("securityManager")
    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm) {
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        manager.setRealm(authRealm);
        return manager;
    }

    /**
     * 使用自定义realm 和自定义的密码校验规则
     * @param matcher
     * @return
     */
    @Bean("authRealm")
    public AuthRealm authRealm(@Qualifier("credentialMatcher") CredentialMatcher matcher) {
        AuthRealm authRealm = new AuthRealm();
        authRealm.setCredentialsMatcher(matcher);
        return authRealm;
    }

    /**
     * 校验密码的规则,这里是由自己定义的
     * @return
     */
    @Bean("credentialMatcher")
    public CredentialMatcher credentialMatcher() {
        return new CredentialMatcher();
    }

    /**
     * 让程序使用自定义的securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }


    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator creator = new DefaultAdvisorAutoProxyCreator();
        //默认值是false
        creator.setProxyTargetClass(true);
        return creator;
    }

}

接下来及时springboot 的main方法   这个方法里面有一些需要注意的,及时天剑@MapperScan,这是mybatis中,让配置文件和dao联系在一起

@SpringBootApplication
@ComponentScan
@MapperScan(basePackages = {"com.lj.shiromanagerweb.dao"})
public class ShiroManagerWebApplication {

	public static void main(String[] args) {
		SpringApplication.run(ShiroManagerWebApplication.class, args);
	}
}

准备工作都已经做好了,那么接下来只剩下前段代码,和controller了,前段代码就省掉了

TestController.java 代码如下

import com.lj.shiromanagerweb.model.User;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpSession;


/**
 * @author Eric
 * @date create in2018/8/7 22:45
 */
@Controller
@Slf4j
public class TestController {

    @RequestMapping("/login")
    public String login() {
        return "login";

    }

    @RequestMapping("/logout")
    public String logout() {
        Subject subject = SecurityUtils.getSubject();
        if (subject!=null) {
            subject.logout();
        }
        return "logout";

    }

    @RequestMapping("/index")
    public String index() {
        return "index";
    }


    @RequestMapping("/loginUser")
    public String loginUser(@RequestParam("username") String username,
                            @RequestParam("password") String password,
                            HttpSession session, Model model) {
        System.out.println("username = " + username);
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        Subject subject = SecurityUtils.getSubject();

        String username1 = new String(token.getUsername());
        String password1 = new String(token.getPassword());
        log.info("username1={};password1={}",username1,password1);

        try {
            subject.login(token);
            User user = (User) subject.getPrincipal();
            session.setAttribute("user", user);
            return "index";
        } catch (AuthenticationException e) {
            e.printStackTrace();
            model.addAttribute("msg", "用户名或者账号错误");
            return "login";
        }

    }

}

这样就大功告成了,,用maven中的springboot插件启动。

 

 

SpringBoot整合Shiro全面指南:从入门到精通(亲测可用)
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-10 1101
Apache Shiro是一个强大的Java安全框架,提供认证、授权、加密和会话管理功能。其核心组件包括Subject(当前用户)、SecurityManager(安全管理器)、Realm(安全数据源)等。Shiro认证流程通过获取用户、创建令牌、执行登录实现。在SpringBoot中整合Shiro需配置拦截规则、创建安全管理器和自定义Realm,并可通过注解和Thymeleaf标签扩展功能。自定义Realm需实现认证和授权逻辑,查询用户角色权限信息。整个架构类比小区门禁系统,简单易用且功能完善。
springboot+Shiro 实现动态授权
09-05
Spring springboot,Mybatis、Shiro 实现动态授权, 避免了在使用Shiro时 在系统控制层 加入权限判断进行鉴权处理!
ShiroSpringBoot中的使用
weixin_30315905的博客
04-16 204
Demo代码请参考:https://github.com/roostinghawk/ShiroDemo 以下为主要代码(经过验证,测试) 1. pom.xml:引用shiro <dependency> <groupId>org.apache.shiro</groupId> &l...
【Spring Boot】012-Shiro入门
訾博(ZiBo)的博客
09-19 214
一、概述 1、简介 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境; Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等; 2、功能 Authentication: 身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization: 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验..
Shirospringboot中使用
LC的博客
12-31 270
shiro和jwt还有springsecurity的区别,这个你们区分的出来吗 jwt是用来存储用户信息的,shiro和springsecurity是用来认证授权的 shiro的核心实现是—过滤器(拦截或过虑请求),用于用户访问页面(URL)时进行权限控制。 shiro的主要功能模块有: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥
Springboot使用shiro
qq_38345598的博客
01-28 3999
一、什么叫Aop Aop 作为面向对象编程的一种补充,广泛应用于处理一些具有横切性质的系统级服务器,如事务管理,安全检查,缓存检查,对象池管理等 Aop 实现的关键就在于代理的实现,代理分为动态代理与静态代理.动态代理是指在运行时借助JDK动态代理、CGLIB等在内存中“临时”生成Aop动态代理类,被称为运行时增强。 ...
springboot-shiro
10-18
SpringBoot项目中集成Shiro,可以充分利用其提供的安全功能,实现用户登录、权限控制等功能。 Shiro的核心概念包括Subject(主体)、Realm(领域)、Session管理和Cryptography(加密)等。Subject代表了系统中的...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
springboot整合shiro
03-30
在实际应用中,我们还需要创建相应的Controller来处理用户的登录、登出、权限验证等请求。同时,为了实现权限控制,我们需要在每个需要权限校验的Controller方法上添加注解,如`@RequiresPermissions`或`@...
SpringBoot集成Shiro、Jwt和Redis
10-24
本教程将深入探讨如何在SpringBoot项目中集成Shiro、Jwt(JSON Web Tokens)以及Redis,同时利用MyBatisPlus进行数据库操作,以构建一个强大的权限管理(RBAC,Role-Based Access Control)系统。 **Shiro** 是...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许在运行时根据用户角色动态分配和更新权限。 **SpringBoot** 是一个简化Spring应用初始搭建以及开发过程的框架,它...
springboot+shiro快速入门 maven项目 可直接运行
06-04
springboot+shiro快速入门 有注释 内含建表语句
springboot+shiro
10-30
springboot+shiro整合
maven+springboot+shiro框架框架开发源代码
04-17
maven在线引用jar包。springboot+shiro实现用户认证和资源授权。
SpringBoot对于Shiro的使用
java_tzx的博客
11-02 279
写在前面:引用博客地址 详细过程参考此作者的博客:https://blog.youkuaiyun.com/mine_song/article/details/61616259  在springBoot中探究shhiro的认证授权过程   第一步:  自定义Reaml,作用在于对于用户的认证和授权。此处需要链接数据库获取项目用户的信息进行校验,编写自己的验证逻辑。 package com.how...
Springboot-Shiro基本使用
jsxllht的博客
12-31 1015
Apache Shiro官网:https://shiro.apache.org/spring-boot.html. 一、依据官网快速搭建Quickstart 1.1 配置pom.xml依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <vers
springboot整合shiro使用
qq_40951656的博客
11-20 316
springboot整合shiro
Shiro整合SpringBoot基本使用方法
qq_31404603的博客
03-03 490
Shiro整合Springboot做权限管理: 使用shiro管理项目权限需要配置shiro的SecurityManager管理器去管理权限参数,并且需要编写CustomRealm去实现登录授权逻辑,然后在使用Shiro自带的@RequiresRoles以及@RequiresPermissions注解去管理单一接口权限,也可以在ShiroConfig中配置统一的权限管理策略。此项目使用的统一权限...
SpringBoot+Shiro权限
小棟的博客
05-28 215
新建SpringBoot项目 引用依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- mysql驱动--> <depe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值