SpringBoot整合Shiro权限框架

最新推荐文章于 2025-01-16 21:30:35 发布
原创 最新推荐文章于 2025-01-16 21:30:35 发布 · 255 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#shiro #java #spring #spring boot
本文介绍了如何在SpringBoot项目中集成Shiro权限框架,包括添加依赖、配置Realm、安全策略和登录接口实现,以完成基本的用户认证和授权功能。

前言

在系统管理中,权限是非常重要的一个环节。目前权限框架中使用比较多的有Shiro、Spring Security。🎃
本篇简单写一下SpringBoot整合Shiro权限框架小栗子🌰。

个人博客地址:SpringBoot整合Shiro权限框架

介绍Shiro

Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。++更多详细介绍参考:w3cschool-shiro++

🚀开始

创建项目就不多嗦了,直接上干货~~

相关依赖

<!-- web依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <exclusions>
        <!-- 剔除spring logging依赖,防止与log4j2冲突 -->
        <exclusion>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<!-- log4j依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
</dependency>
<!-- shiro 安全框架-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.6.0</version>
</dependency>

系统配置

shiro权限的主要配置部分分为:

  • subject(可以认为是一个认证对象,与当前应用交互的任何东西都是subject)
  • securityManager(安全管理器,所有安全相关的东西都是跟它交互的,它管理着所有的subject)
  • realm(可以认为是一个安全信息数据源,主要通过校验subject是否符合安全策略。所以我们在使用shiro时,需要先配置自己的realm)。

配置Realm

话不多说上代码~ 这里先以登录认证作为粟子

@Slf4j
public class MyShiroRealm extends AuthorizingRealm {

    @Resource
    private SysUserService sysUserService;

    /**
     * 授权信息配置
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

	// 主要以登录认证作为例子, 此处暂时不做认证, 之后例子做补充
        return null;
    }

    /**
     * 登录认证信息
     * @param token token
     * @return 认证信息
     * @throws AuthenticationException e
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 返回认证信息, 一般为用户名
        Object principal = token.getPrincipal();
        if (ObjectUtil.isNull(principal)) {
            return null;
        }
        // 获取数据库中用户信息
        String loginName = principal.toString();
        SysUser user = sysUserService.findSysUserByName(loginName);
        if (null == user) {
            log.debug("{} - 登录用户不存在!", loginName);
            throw new UnknownAccountException("登录用户不存在!");
        }

        // 使用盐加密 构造方法
        ByteSource credentialsSalt = ByteSource.Util.bytes(loginName);;
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user, user.getLoginPwd(), credentialsSalt, getName());

        // 验证信息
        //SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user, user.getLoginPwd(), getName());
        log.debug("验证登录信息: {} ===>>>> {}", loginName, simpleAuthenticationInfo.getPrincipals());
        return simpleAuthenticationInfo;
    }
}

配置安全策略

增加完Realm域配置,我们需要让此配置生效,所以需要将它添加给Shiro的安全管理策略。

/**
 * 自定义安全管理策略
 */
@Bean
public SecurityManager securityManager(MyShiroRealm myShiroRealm) {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 设置自定义的realm
    securityManager.setRealm(myShiroRealm);
    return securityManager;
}
/**
 * 地址过滤器
 *
 * @param securityManager
 * @return
 */
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    // 设置安全管理
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    // 设置登录地址
    shiroFilterFactoryBean.setLoginUrl("/login");
    // 设置主页地址
    shiroFilterFactoryBean.setSuccessUrl("/index");
    // 设置未授权的url
    shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    // 开放登录接口
    filterChainDefinitionMap.put("/doLogin", "anon");
    // 生成验证码接口
    filterChainDefinitionMap.put("/captcha/captchaImg", "anon");
    // 开放静态资源文件
    filterChainDefinitionMap.put("/assets/**", "anon");
    // 其余url全部拦截,必须放在最后
    filterChainDefinitionMap.put("/**", "authc");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilterFactoryBean;
}

/**
 * shiro生命周期
 * @return
 */
@Bean
public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
    return new LifecycleBeanPostProcessor();
}

/**
 * shiro注解启用配置
 * @return
 */
@Bean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
    DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
    defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
    return defaultAdvisorAutoProxyCreator;
}

/**
 *
 * @param securityManager
 * @return
 */
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor sourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    sourceAdvisor.setSecurityManager(securityManager);
    return sourceAdvisor;
}

登录

设置完自定义域,以及自定义策略我们shiro就可以进行下一步了,那就是接口认证操作,这里简单定义一个接口

/**
 * 登录操作
 *
 * @param loginName 登录名
 * @param loginPwd  登录密码
 * @return url
 */
@ResponseBody
@PostMapping("/doLogin")
public Result<String> doLogin(String loginName, String loginPwd, String captcha, boolean rememberMe, HttpServletRequest request) {

    // 验证码校验
    String sessionCaptcha = (String) request.getSession().getAttribute(AppConstants.CAPTCHA_KEY);
    if (!StringUtils.equalsIgnoreCase(captcha, sessionCaptcha)) {
        return Result.error("验证码不匹配!");
    }
    UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(loginName, loginPwd, rememberMe);
    Subject subject = SecurityUtils.getSubject();
    try {
	// 认证操作
        subject.login(usernamePasswordToken);

        // 获取登录的用户
        SysUser user = (SysUser) subject.getPrincipal();

        // 将用户信息存入cookie中
        Session session = subject.getSession();
        session.setAttribute("user", user);
        // 删除session验证码
       request.getSession().removeAttribute(AppConstants.CAPTCHA_KEY);
    } catch (UnknownAccountException e) {
        log.debug("未知用户! {}", e.getMessage());
        return Result.error("未知用户!");
    } catch (IncorrectCredentialsException e) {
        log.debug("{} - 用户登录密码校验异常! {}", loginName, e.getMessage());
        return Result.error("密码校验异常!");
    } catch (AuthenticationException e) {
        log.debug("{} - 用户登录认证失败! {}", loginName, e.getMessage());
        return Result.error("登录失败!");
    } catch (Exception e) {
        log.debug("{} - 用户登录异常! {}", loginName, e.getMessage());
        return Result.error("登录异常!");
    }
    return Result.success("登录成功!");
}

测试

接口定义完,我们需要一个登录页面来完成登录认证操作,这里使用我之前写的登录页面来完成。
在这里插入图片描述

点击登录后观察接口执行情况:
在这里插入图片描述
当执行到subject.login()方法后,会进行认证操作,这时候就会执行到我们设置的自定义Realm。红框处是我们做完登录用户与数据库中比对过后,将用户信息存到了认证信息中并返回给接口。
在这里插入图片描述

最后页面成功跳转至新页面,我们就完成了登录认证操作啦。🕛

END

简单的完成了一个登录认证的操作,之后会慢慢更新shiro的其他功能😀

SpringBoot整合Shiro(最详细)
m0_67392273的博客
06-12 2万+
pom.xml 2.3 创建前端页面 在webapp文件夹中创建index.jsp和login.jsp index.jsp login.jsp 2.4 配置视图信息 application.properties 2.5 解决IDEA冲突问题 JSP 与IDEA 与SpringBoot存在一定的不兼容,修改此配置即可解决 pom.xml 3.2 自定义Realm 在shiro文件夹下创建realm文件夹 3.3 Shiro配置 在config文件夹中创建ShiroConfig.java 3.4 启动测试 输入
SpringBootShiro整合
fangliangke的博客
02-01 6502
本文章介绍了Spring bootshiro与thymeleaf、mybatis的整合过程,Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 6341
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro的使用非常灵活,可以根据我们的需求进行定制。
Springboot整合shiro
chao的博客
07-10 2767
是一款主流的Java安全框架,不依赖任何容器,可以运行在Java SE和Java EE项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。Shiro 就是用来解决安全管理的系统化框架Shiro是基于session的身份认证和访问控制框架。RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。
Springboot整合Shiro框架入门
web15285868498的博客
04-08 8297
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
SpringBoot2.x 整合 shiro 权限框架
Java极客技术
08-31 1689
每天早上七点三十,准时推送干货在实际项目中,经常需要用到角色权限区分,以此来为不同的角色赋予不同的权利,分配不同的任务。比如,普通用户只能浏览;会员可以浏览和评论;超级会员可以浏览、评论...
SpringBoot 整合 Shiro 权限框架
qq_54429571的博客
11-23 1520
SpringBoot 整合 Shiro 权限框架Shiro概述、功能及架构、环境搭建登录、退出、授权、角色认证实现、多个 realm 的认证策略设置、会话管理等。
玩转SpringBoot整合 shiro 权限框架
bieber007的博客
09-11 481
在实际项目中,经常需要用到角色权限区分,以此来为不同的角色赋予不同的权利,分配不同的任务。比如,普通用户只能浏览;会员可以浏览和评论;超级会员可以浏览、评论和看视频课等;实际应用场景很多。毫不夸张的说,几乎每个完整的项目都会涉及到权限管理。 因此,这篇文章,阿淼就带大家将 shiro 权限框架整合SpringBoot 中,以达到快速的实现权限管理的功能。 序 在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是由于 Spring Security
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 1023
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache ShiroJava 的一个安全(权限框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
SpringBoot整合Shiro
初学者
03-16 2678
Shiro简介   Apache Shiro是一个开源的轻量级的Java安全框架,它提供了身份认证、授权、密码管理、会话管理等操作。我们知道在Spring中也有一个跟它功能差不多的框架Spring Security,Shiro框架可以更加直观的提供安全性操作,在SSM框架整合Shrio的配置步骤比较多。但是争对SpringBoot,在SpringBoot官方也提供了对应的启动器。这样的话化简了S...
Springboot整合Shiro
不惧困难 顽强拼搏
07-07 1132
springboot整合shiro完成登录,权限。完成前后端分离。shiro权限对象缓存到redis中+使用Swagger2接口文档测试
ShiroSpringBoot整合
小凯的博客
03-03 1440
Shrio整合springboot及相关案例解析
shirospringboot整合shiro
开心博客
07-07 341
springboot整合shiro,实现用户登录认证,权限校验及rememberMe
极简shiro入门
czhAL的博客
12-07 626
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
Spring Boot 整合 Shiro详解
最新发布
ning的博客
01-16 2214
创建一个自定义Realm类,用于实现用户认证和授权的逻辑:java复制import orgthrow new UnknownAccountException("用户不存在");} }throw new UnknownAccountException("用户不存在");} }throw new UnknownAccountException("用户不存在");
springboot集成shiro
Flying_Fish_roe的博客
09-11 2125
自定义Realm用于从数据库中获取用户信息并进行身份验证。我们可以通过继承// 授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// 在这里配置用户的角色和权限信息 // authorizationInfo.addRole("admin");
Shiro教程(二):Springboot整合Shiro全网最全教程
WwLK123的博客
07-12 2034
Apache Shiro是一个Java的安全权限框架Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。- Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等。这里是SpringBoot整合Shiro最完整最详细教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丶Yann

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值