springboot集成shiro简单认证、权限管理

最新推荐文章于 2023-12-12 19:12:35 发布
原创 最新推荐文章于 2023-12-12 19:12:35 发布 · 322 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

 首先说一下shiro最关键的东西

Subject:就是当前用户(它本意并不是这样,它指的是和软件交互的任何东西,我理解就是用户)。

Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm:Realm我的理解就是一个业务处理层,具体的认证、权限在这操作。

实际上我们写的时候 是反着来的(就像我们先写dao(Realm) 再写service(SecurityManager)就是这么个意思)

https://www.infoq.com/articles/apache-shiro/(shiro官网介绍)

----------------------------------------------------------------------------------------------------------------

springboot+shrio+mybatis+thymeleaf(

shiro-spring-boot-starter这个是集成的,boot2.5.2和shiro1.7.1有冲突,有些方法废弃了,所以用的1.7.0

依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.2</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.admin</groupId>
    <artifactId>shrio</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>shrio</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.1.0</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-starter -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-starter</artifactId>
            <version>1.7.0</version>
        </dependency>


        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.projectlombok/lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.20</version>
            <scope>provided</scope>
        </dependency>


        <!-- https://mvnrepository.com/artifact/com.alibaba/druid -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.2.6</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/log4j/log4j -->
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

 写shiroConfig

bean.setUnauthorizedUrl("/noAuthentication"); 这块是定义认证失败的自定义跳转

下面的1 2 3 代表我自己写的时候的顺序

Qualifier这个注解 是为了和我的1也就是realm绑定 

@RequestMapping("/noAuthentication")
    @ResponseBody
    public String noAuthentication() {
        return "未授权,请联系管理员";
    }
package com.admin.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Created by zhl on 2021/8/18.
 */
@Configuration
public class ShrioConfig {
    //shrio filter 3
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("manager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
       //设置安全管理器
        bean.setSecurityManager(securityManager);
        /*
        * anon 所有人可以访问
        * authc 必须认证
        * user  '记住我'访问
        * perms 拥有某个资源的权限
        * role  拥有某个角色权限
        * */
        Map<String, String> filterMap = new LinkedHashMap<>();
        //这块和security 是有点不一样的 这边会依次判断 但是security是有一个没权限就会提示没权限
        filterMap.put("/add", "authc");
        filterMap.put("/update", "authc");

        filterMap.put("/add", "perms[1]");
        filterMap.put("/update", "perms[2]");

        bean.setFilterChainDefinitionMap(filterMap);

        //没有认证就跳到login界面
        bean.setLoginUrl("/login");
        //
        bean.setUnauthorizedUrl("/noAuthentication");
        return bean;
    }


    //manager 2
    @Bean
    public DefaultWebSecurityManager manager(@Qualifier("realm") UserRealm realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联
        securityManager.setRealm(realm);
        return securityManager;
    }

    //realm 1
    @Bean
    public UserRealm realm() {
        return new UserRealm();
    }

    //整合shiro与thymeleaf
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

}

登录时要添加token注册

SecurityUtils.getSubject();  官网上的直接获取当前对象
new UsernamePasswordToken(username, password); 获取toke它会自动给你注册
subject.login(token); //根据token注册 然后就可以在UserRealm 用这个token

    @RequestMapping("/toLogin")
    public String toLogin(String username, String password) {
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //获取账号密码的token
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //注册
        try {
            subject.login(token);
            Session session = SecurityUtils.getSubject().getSession();
            session.setAttribute("name", username);
            return "index";
        } catch (UnknownAccountException e) {
            System.out.println("用户名不存在");
            //model.mergeAttributes("msg", "用户名不存在");
            return "login";
        } catch (IncorrectCredentialsException e) {
            System.out.println("密码错误");
            return "login";
        }

    }

创建UserRealm在这里面要继承AuthorizingRealm并重写认证和授权

继承这两个要返回两个对应的对象。

AuthenticationInfo 是个接口你点进去看对应的实现类 我返回的就是SimpleAuthenticationInfo

(密码一般都会加salt 但是我这直接get了没加密,shiro 会自动对比)

(UsernamePasswordToken)authenticationToken; 获取controller里面的token
loginService.getUserByName(token.getUsername()); 这个就不说了查数据库

new SimpleAuthenticationInfo(user, user.getPass(),""); 我把user放进去 要在授权里查询它的权限

------------------------------------------------------------------------------------------------------------

AuthorizationInfo 开始授权
(UserCommen)subject.getPrincipal(); 获取认证的信息
zationInfo.addStringPermission(user.getRole()); 给当前用户加上对应资源访问权限
package com.admin.config;

import com.admin.pojo.UserCommen;
import com.admin.service.LoginService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

/**
 * Created by zhl on 2021/8/18.
 */
//自定义realm
public class UserRealm extends AuthorizingRealm {
    @Autowired
    LoginService loginService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("===============>授权");
        SimpleAuthorizationInfo zationInfo = new SimpleAuthorizationInfo();

        //zationInfo.addStringPermission("1");
        //获取当前用户对象进行权限判定
        Subject subject = SecurityUtils.getSubject();
        UserCommen user = (UserCommen)subject.getPrincipal();
        //zationInfo.addObjectPermissions();  多权限
        zationInfo.addStringPermission(user.getRole());
        return zationInfo;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("===============>认证");
        //controller 注册成功后 authenticationToken全局通用
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        //取用户名密码
        UserCommen user = loginService.getUserByName(token.getUsername());
        if (user == null) {
            //UnknownAccountException
            return null;
        }

        return new SimpleAuthenticationInfo(user, user.getPass(),"");
    }
}

我数据库结构,我为了简单就写了两张表

上面代码写了 1的权限只能有新增

 

 

2的权限只能修改 
 

 

 

 至此简单的登录、权限就搞完了(我写的比较乱 想到哪写哪,在于我自己的理解)
 

我自己的git地址 https://github.com/zhuhl1996/boot_SImpleShiro.git 
 

https://github.com/apache/shiro.git   官网的地址里面有 很多例子 自己可以去下载上看看(包括怎么QuickStart)。
 

 


                

        

    


  



    



                



	

		

			

				
					
springboot整合shiro,mybatis-plus实现用户角色,权限管控.(完整demo)

				
			

			

				

					周不老的博客
				

				

					05-28
					
					5286
					
				

			

		

		

			
				
shiro是轻量级的权限管控框架.很早前就接触过.不过一直没有实现了,因为本人不太容易理解权限,角色,用户(太抽像了0.0).最近几天又想起来这个shiro,所以又研究了一下.没想到实现了(哈哈哈....).话不多说了.直接上代码.



目录结构:*******************************************************************





pom.xml配置***********************************************..

			
		

	



                

            
              



	

		

			

				
					
SpringBoot集成shiro认证,实现Shiro认证的登录操作

				
			

			

				

					2401_83329718的博客
				

				

					05-07
					
					1021
					
				

			

		

		

			
				
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

			
		

	



              


  
              

                


	

		

			

				
					
Spring Boot整合Shiro搭建权限管理系统

				
			

			

				

					Tom_sensen的博客
				

				

					11-20
					
					453
					
				

			

		

		

			
				
目录

Spring Boot整合Shiro搭建权限管理系统 1

一、 SpringBoot入门 1

二、 导入thymeleaf页面模块 7

三、 SpringBootShiro整合实现用户认证 11

四、 整合Mybatis实现登录功能 28

五、 SpringBootShiro整合实现用户授权 33

六、 thymeleaf和shiro标签整合使用 41



Spring Boot整合Shiro搭建权限管理系统

 SpringBoot入门
新建一个maven工程




...

			
		

	





	

		

			

				
					
小白的springboot之旅(十一) - springboot之用户权限管理(一)

					
热门推荐

				
			

			

				

					shanjingyuan的专栏
				

				

					05-31
					
					6万+
					
				

			

		

		

			
				
关键词:springboot,jpa,spring security,mysql通常我们的网站都有权限控制,就像一个公司有产品、开发、运维之分,各自负责各自的业务,相互独立,有相互协作,共同完成一个任务。拥有不同权限的用户查看不同的页面,进行不同的操作。这篇来简单的说一下使用springboot+jpa+springsecurity实现简单的用户权限管理。角色和用户的关系通过数据库配置控制。角色可...

			
		

	



		

			
		



	

		

			

				
					
Springboot集成Shiro完成认证授权

				
			

			

				

					m0_54883970的博客
				

				

					08-25
					
					242
					
				

			

		

		

			
				
也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

			
		

	





	

		

			

				
					
springBoot整合spring security实现权限管理(单体应用版)--筑基初期

				
			

			

				

					qq_43788185的博客
				

				

					09-05
					
					816
					
				

			

		

		

			
				
写在前面
在前面的学习当中,我们对spring security有了一个小小的认识,接下来我们整合目前的主流框架springBoot,实现权限的管理。
在这之前,假定你已经了解了基于资源的权限管理模型。数据库设计的表有 user 、role、user_role、permission、role_permission。
步骤:
默认大家都已经数据库已经好,已经有了上面提到的表。(文末提供sql脚本下载)
第一步:在pom.xml文件中引入相关jar包
<?xml version="1.0" encodin

			
		

	





	

		

			

				
					
SpringBoot集成Shiro进行权限控制和管理的示例

				
			

			

				

					08-27
				

			

		

		

			
				
SpringBoot集成Shiro进行权限控制和管理的示例   SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...

			
		

	





	

		

			

          精选资源
				
					
 SpringBoot 集成 Shiro 实现动态uri权限

				
			

			

				

					04-22
				

			

		

		

			
				
SpringBoot集成Shiro实现动态URI权限是一个常见的权限管理实践,主要目的是为了实现更灵活、更安全的用户访问控制。在Web应用中,权限控制通常包括角色管理、菜单管理、操作权限(URI)管理等,而动态URI权限则允许...

			
		

	





	

		

			

				
					
基于SpringBoot集成Shiro进行用户认证与权限管理流程分析

					
最新发布

				
			

			

				

					10-15
				

			

		

		

			
				
Shiro作为基于Java语言开发的安全框架,提供了丰富的功能模块包括身份验证、权限管理、加密传输和会话维护等支持。在Spring Boot项目的实际应用中,整合Shiro技术不仅提升了系统的安全性,还增强了对用户信息处理的...

			
		

	





	

		

			

          精选资源
				
					
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新

				
			

			

				

					05-14
				

			

		

		

			
				
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​	...

			
		

	





	

		

			

				
					
springbootshiro实现角色和权限认证

				
			

			

				

					二十一克阳光!的博客
				

				

					05-08
					
					590
					
				

			

		

		

			
				
首先,需要在MySQL数据库中创建五个表,分别为user、user_role、role、permission、role_permission表;
user表需要的基本字段:id, username, password, createtime;

user_role表需要的基本字段:user_id, role_id;

role表需要的基本字段:role_id, role_name, role_ke...

			
		

	





	

		

			

				
					
Shiro的permission管理,用户的认证和授权

				
			

			

				

					超人的博客
				

				

					08-16
					
					3682
					
				

			

		

		

			
				
以下是步骤: 
1.web.xml中配置:<display-name>shirodemo</display-name>
    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>    <context-param>
        <param-name>contex

			
		

	





	

		

			

				
					
Shiro授权

				
			

			

				

					m0_60385807的博客
				

				

					12-25
					
					2370
					
				

			

		

		

			
				
一、shiro授权角色、权限

思路:


给用户授予角色
给用户授予权限
做法:
1、拿到账号
2、通过用户账号查询对应的能够看到的那些菜单
3、将这些权限交给shiro管理
授予角色做法:
1、拿到账号
2、通过用户账号查询对应的能够看到的那些角色
3、将这些权限交给shiro管理
mapper.xml
Mapper.java
Service.java

Mapper.xml


 <!--添加通过账号查询用户信息-->
  <select id="queryByName" resul

			
		

	





	

		

			

				
					
springboot整合shiro实现权限控制

				
			

			

				

					jiankang66的博客
				

				

					05-24
					
					4万+
					
				

			

		

		

			
				
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。上个月写了一个在线教育的项目用到了shiro权限控制,这几天又复盘了一下,对其进行了深入探究,来总结一下。

下面所总结的有关shiro的代码已经传到我的github上,可以访问下面的......

			
		

	





	

		

			

				
					
30分钟学会如何使用Shiro

				
			

			

				

					weixin_30426879的博客
				

				

					07-22
					
					1196
					
				

			

		

		

			
				
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936
我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。
一、架构
要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...

			
		

	





	

		

			

				
					
SpringSecurity自定义登录

				
			

			

				

					weixin_51431465的博客
				

				

					12-12
					
					902
					
				

			

		

		

			
				
【代码】SpringSecurity自定义登录。

			
		

	





	

		

			

				
					
springboot集成shiro实现用户登录认证

				
			

			

				

					tang_seven的博客
				

				

					08-11
					
					3350
					
				

			

		

		

			
				
shiro安全框架入门,集成springboot和mybatis_plus实现登录认证功能

			
		

	





	

		

			

				
					
springmvc整个shiro实现Perms的权限认证(细粒度)(三)

				
			

			

				

					xcc_2269861428的博客
				

				

					07-14
					
					9691
					
				

			

		

		

			
				
前言:上一篇文章讲述了如何使用角色url进行粗粒度验证。地址:https://blog.youkuaiyun.com/xcc_2269861428/article/details/95768417

这篇说下如何使用perms进行细粒度验证,已经我写代码过程中碰见的坑。

看下角色界面



我在数据库中分别为2个就是设置了perms权限



用户界面



图中可以看出,xcc是没有角色管理权限的,所以不...

			
		

	





	

		

			

				
					
SpringBoot + Shiro + Jwt 实现登录认证,代码分析

				
			

			

				

					passerbyYSQ
				

				

					08-25
					
					5961
					
				

			

		

		

			
				
前言


花了几天了解Shiro框架(也不算太深入),根据网上资料做了一个Demo:SpringBoot 2.2.9.RELEASE+ Shiro + Jwt 实现登录认证。

1、这个Demo关注 登录授权(比较通用),基本不涉及权限控制,因为权限控制设计到具体业务。所以可以本Demo可以根据自身实际情况稍加修改,就可以作为前后端分离项目的登录模块。

2、本博客适用于对Shiro和Jwt有了解,起码对于几个关键的类的作用及方法有了解,下面我不会展开,只会对Demo的思路和代码做分析。


思路分析




			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
zhl_BeginLife

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值