Spring Boot系列(十五) 安全框架Apache Shiro(一)基本功能

最新推荐文章于 2025-10-12 20:53:58 发布
原创 最新推荐文章于 2025-10-12 20:53:58 发布 · 2.2w 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringBoot #Shiro #Thymeleaf

本文介绍如何在SpringBoot项目中集成Apache Shiro框架,实现简单安全验证。涵盖Shiro核心组件配置,如ShiroFilterFactoryBean、SecurityManager、Realm等,并通过示例代码展示集成过程。

Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。
详细基础知识,请参考跟我学Shiro 的系列文章

这里只是给出Spring Boot 集成Shiro 的案例,Spring Boot就是为了简化传统Spring开发的复杂度,即去xml化,所以案例中也是没有xml配置,完全 javaconfig方式配置。

集成Shiro核心内容:

  1. ShiroFilterFactory,Shiro过滤器工程类,具体的实现类是:ShiroFilterFactoryBean,此实现类是依赖于SecurityManager安全管理器。主要配置Filter就好。
  2. SecurityManager,Shiro的安全管理,主要是身份认证的管理,缓存管理,cookie管理,所以在实际开发中我们主要是和SecurityManager进行打交道的。
  3. Realm,用于身份信息权限信息的验证。开发时集成AuthorizingRealm,重写两个方法:doGetAuthenticationInfo(获取即将需要认真的信息)、doGetAuthorizationInfo(获取通过认证后的权限信息)。
  4. HashedCredentialsMatcher,凭证匹配器,用于告诉Shiro在认证时通过什么方式(算法)来匹配密码。默认(storedCredentialsHexEncoded=false)Base64编码,可以修改为(storedCredentialsHexEncoded=true)Hex编码。
  5. LifecycleBeanPostProcessor,Shiro生命周期处理器,保证实现了Shiro内部lifecycle函数的bean执行。
  6. 开启Shiro的注解功能(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证,需要配置两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)实现此功能。
  7. 其它的就是缓存管理,记住登录、验证码、分布式系统共享Session之类的,这些大部分都是需要自己进行的实现,其中缓存管理,记住登录比较简单实现,并需要注入到SecurityManager让Shiro的安全管理器进行管理就好了。后续章节中会一 一补充。

下面使用Spring Boot 集成Shiro完成一个比较简单的安全验证(传统XML方式配置,请点击这里):
步骤1:首先创建一个Maven工程,在pom.xml中添加shiro相关依赖包:

<!-- 在Spring Boot中使用Thymeleaf模板引擎 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!-- 使用Shiro认证 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.2.5</version>
</dependency>
<!-- 在Thymeleaf模板引擎中集成Shiro -->
<dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>1.2.1</version>
</dependency>

目录结构图(其中RetryLimitHashedCredentialsMatcher.java在本例中为使用):

本案例的工程目录结构图
步骤2:实现用户、角色的CRUD的相关类(domain,dao/mapper/repository,service),由于篇幅和重要点关系,这些就省略了。
步骤3:实现Realm,继承AuthorizingRealm,并重写doGetAuthorizationInfo(用于获取认证成功后的角色、权限等信息) 和 doGetAuthenticationInfo(验证当前登录的Subject)方法

public class UserRealm extends AuthorizingRealm{
   
   
    @Resource
    private UserService userService;
    @Resource
    private RoleService roleService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String currentLoginName = (String)principals.getPrimaryPrincipal();
        List<String> userRoles = new ArrayList<String>();  
        List<String> userPermissions = new ArrayList<String>();  
        //从数据库中获取当前登录用户的详细信息  
        User user = userService.findByLoginName(currentLoginName);
        if(null != user){  
            //获取当前用户下所有ACL权限列表  待续。。。
            //获取当前用户下拥有的所有角色列表
            List<Role> roles = roleService.findByUserId(user.getId());
            for (int i = 0; i < roles.size(); i++) {
                userRoles.add(roles.get(i).getCode());
            }
        }else{  
            throw new AuthorizationException();  
        }  
         System.out.println("#######获取角色:"+userRoles);
         System.out.println("#######获取权限:"+userPermissions);
        //为当前用户设置角色和权限  
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRoles(userRoles);
        authorizationInfo.addStringPermissions(userPermissions); 
        return authorizationInfo;
    }

    /** 
     * 验证当前登录的Subject
     * LoginController.login()方法中执行Subject.login()时 执行此方法 
     */
最低0.47元/天 解锁文章
[Java实战]Spring Boot 3 整合 Apache Shiro(二十
曼岛_的博客
05-13 1989
[Java实战]Spring Boot 3 整合 Apache Shiro(二十
Springboot整合安全框架
dongrixueyang的博客
02-07 4906
Springboot 整合安全框架 Spring Security Spring Security是什么 按照官网解释,Spring Security是个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是款非常优秀的权限管理框架。它的核心是组过滤器链,不同的功能经由不同的过滤器。参见 Spring Security 中文手册 。 二、Spring Security 核心模块 认证(Authentication) 验证某个用户是否为系统中的合法主体,也就是说用
springboot整合shiro
qq_48608598的博客
02-19 199
、什么是Shiro Shiro个Java的安全(权限)框架,相对简单,对比Spring Security,没有Spring Security的功能强大。但是实际工作中可能不需要那么复杂 的东西,所以使用小而简单的Shiro就够了。其不仅适用于JavaSE环境,也适用于JavaEE环境。Shiro可以完成认证,授权,加密,会话管理,web集成,缓存等。 二、什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
Spring Boot 安全框架 Spring Security & Shiro
陌尘吖的博客
08-16 587
1、 Spring Security 1.1、概述 Spring Security 是个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了组可以在 Spring 应用上下文中配置的 Bean ,充分利用了 Spring IoC , DI (控制反转 Inversion of Control, DI:Dependency Injection 依赖注入)和 AOP (面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码
Spring Boot安全框架详解
最新发布
程序员大凯的博客
10-12 575
Spring Security是Spring生态中的安全框架,为应用提供认证、授权等安全功能。核心概念包括认证(验证身份)、授权(访问控制)和角色权限管理。基础配置需继承WebSecurityConfigurerAdapter类,通过HttpSecurity配置访问规则、登录/登出行为和CSRF防护。使用BCryptPasswordEncoder进行密码加密,用户实体包含账号状态和角色集合。典型配置包括开放公共URL、设置权限路由(如/admin需ADMIN角色)、自定义登录页等
SpringBoot安全框架Spring Security
探索er的博客
04-22 3226
SpringBoot安全框架Spring Security
Spring BootSpring安全框架Spring Security
Code · Cloud · Think · Repeat
07-28 2880
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringBoot——Spring Security 框架
程序猿进阶
11-30 2596
个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了组可以在Spring应用上下文中配置的 Bean,充分利用了Spring IoCDI(控制反转DI依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot】---集成安全框架,实现安全认证和授权
weixin_45807596的博客
10-19 582
SpringBoot】---集成安全框架,实现安全认证和授权 SpringSecurity——Spring安全框架 1、认识Spring Security Spring Security提供了声明式的安全访问控制解决方案(仅支持基于Spring的应用程序),对访问权限进行认证和授权,基于Spring AOP特性和Servlet过滤器。 ①核心概念 Principle:代表用户的对象...
基于Spring Boot+Spring Data Jpa+apache shiro+easyui+bootstrap的推酷网站
06-30
本系统采用企业级开发标准,使用SpringBoot架构,数据访问层采用Spring Data Jpa,业务控制层采用SpringMvc,安全框架采用Shiro,实现了完整权限系统,Controller方法采用shiro注解,来实现有效的权限控制;...
spring boot+mybatis+thymeleaf+apache shiro开发面向学习型的后台管理系统
06-30
使用官方推荐的thymeleaf做为模板引擎,shiro作为安全框架,主流技术,“网打尽” 基于注解的sql写法,零XML,极简配置,键前后台代码生成功能简介 1. 用户管理 2. 角色管理 3. 部门管理 4. 菜单管理 5. 系统...
精选资源
spring-boot-shiroApache ShiroSpring Boot的集成
01-30
Apache ShiroSpring Boot集成 GitHub: : 用法 首先安装到本地仓库。 双向v2.0下为2.0.0版本,主要将Spring Boot升级到2.0.4.RELEASE,Shiro升级到1.4.0 mvn clean install pom.xml < groupId>...
SpringBoot整合Shiro
12-28
此Demo提供springBoot整合shiro的详细代码以及测试代码
[SpringBoot]Spring Security框架
YJH000_的博客
06-11 1万+
在使用Spring Security框架时,可以自定义组件类,实现接口,则Spring Security就会基于此类的对象来处理认证!则在项目的根包下创建,在类上添加@Service注解使其成为组件类,实现@Slf4j@Service@Override(通过loadUserByUsername(String s)这个方法的名字可以理解为通过用户名加载用户,参数s就是username用户名,返回UserDetails用户详情)在项目中存在。
SpringBootSpringBoot——Spring Security安全框架
lht964249279的博客
01-31 2652
SpringBoot学习笔记
Spring Boot 安全框架对比
梵心白莲的博客
03-10 1255
在当今的软件开发领域,安全性是至关重要的。对于使用 Spring Boot 构建的应用程序而言,选择合适的安全框架能够有效保护系统免受各种安全威胁,如身份验证绕过、授权漏洞等。本文将详细对比几种常见的 Spring Boot 安全框架,帮助技术人员根据项目需求做出最佳选择。
Spring boot安全框架spring security09
helloworld工程师的博客
08-16 251
Spring boot安全框架spring security09 web安全 在我们之前学到的技术中,关于web安全方面了解到过滤器,拦截器,来保护我们的网站安全. 安全框架 shiro,spring security. 主要处理认证和授权. spring security的简介 也是spring系列的产品,主要处理身份验证和权限控制也就是我们说的认证和授权.是个强大的身份验证和访问控制的自定义框架对于我们的java应用(不仅限于我们的web开发),比我们之前了解到的过滤器和拦截器更加的简
SpringBoot 中使用Security安全框架
热门推荐
技术无止境
04-25 2万+
网上有很多关于SpringBoot中使用SpringSecurity安全框架的教程,但是都是讲的不够清晰易懂,首先来讲,为什么我们要使用SpringSecurity,以前没有这个框架的时候,我们要想实现权限页面拦截,都采用的拦截器(interceptor)或者过滤器(filter),特别的麻烦,在使用SpringSecurity后,切都变的很简单,只需要几个简单的配置就能实现权限身份认证已经对数...
SpringBoot集成Security安全框架
关鱼吃的博客
06-21 1455
SSM 集成 spring security安全框架
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值