springboot整合shiro框架做用户认证与授权

springboot整合shiro框架的流程主要分为:

  1. 导入shiro依赖

    <dependency>
    
        <groupId>org.apache.shiro</groupId>
    
        <artifactId>shiro-spring</artifactId>
    
        <version>1.7.1</version>
    
</dependency>
  2. 编写shiro配置类,其中shiroconfig类主要用于配置过滤器,管理器和自定义的认证鉴权类。userRealm类是自定义的认证鉴权类继承自AuthorizingRealm类。 
    package com.codeyoung.shirodemo.config;/**
    
 * @author: ouououou
    
 * @date: 2021/11/3 14:17
    
 * @description:
    
 */

import org.apache.shiro.realm.Realm;
    
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
    
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
    
import org.springframework.beans.factory.annotation.Autowired;
    
import org.springframework.context.annotation.Bean;
    
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
    
import java.util.Map;

/**
    
 * @ClassName ShiroConfig
    
 * @Description TODO
    
 * @Author ouououou
    
 * @Date 2021/11/3 14:17
    
 * @Version 1.0
    
 **/
    
@Configuration
    
public class ShiroConfig {
    
    //ShiroFilterFactoryBean DefaultWebSecurityManager  Realm
    
    @Bean
    
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired DefaultWebSecurityManager defaultWebSecurityManager){
    
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    
        //设置管理器
    
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
    
        //设置拦截器
    
        Map<String, String> map=new LinkedHashMap<>();
    
        //设置需要拦截的请求和内置的过滤器 anon:无需认证 authc:必须认证了才能通过 user:必须拥有记住我功能 perms:拥有某个资源的权限 role:拥有某个角色权限
    
        map.put("/user/**","authc");
    
        //可以在map中进行权限过滤 添加的过滤器类型为perms 表示拥有user:add权限的用户才可以访问/user/add页面
    
        map.put("/user/add","perms[user:add]");
    
        //设置未授权跳转页面
    
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
    
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
    
        shiroFilterFactoryBean.setLoginUrl("/toLogin");
    
        return shiroFilterFactoryBean;
    
    }

    @Bean
    
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Autowired UserRealm userRealm){
    
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
    
        defaultWebSecurityManager.setRealm(userRealm);
    
        return defaultWebSecurityManager;
    
    }

    @Bean
    
    public UserRealm getUserRealm(){
    
        return new UserRealm();
    
    }
    
}
    package com.codeyoung.shirodemo.config;/**
    
 * @author: ouououou
    
 * @date: 2021/11/3 14:17
    
 * @description:
    
 */

import com.sun.crypto.provider.PBEWithMD5AndDESCipher;
    
import org.apache.catalina.User;
    
import org.apache.shiro.SecurityUtils;
    
import org.apache.shiro.authc.*;
    
import org.apache.shiro.authc.credential.Md5CredentialsMatcher;
    
import org.apache.shiro.authz.AuthorizationInfo;
    
import org.apache.shiro.authz.SimpleAuthorizationInfo;
    
import org.apache.shiro.realm.AuthorizingRealm;
    
import org.apache.shiro.subject.PrincipalCollection;
    
import org.apache.shiro.subject.Subject;

/**
    
 * @ClassName UserRealm
    
 * @Description TODO
    
 * @Author ouououou
    
 * @Date 2021/11/3 14:17
    
 * @Version 1.0
    
 **/
    
public class UserRealm  extends AuthorizingRealm {
    
    /**
    
     * @description 授权 用户认证后经过授权过滤会进入此方法,可在此方法中进行授权
    
     * @param principalCollection
    
     * @date 2021/11/3 14:25
    
     * @return org.apache.shiro.authz.AuthorizationInfo
    
     */
    
    @Override
    
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    
        //获取当前登录的用户为其授权
    
        Subject subject = SecurityUtils.getSubject();
    
        //用户经过认证后将其用户信息放入subject的principal中获取出来
    
        //User principal = (User) subject.getPrincipal();
    
        //通过用户的信息查询数据库中的权限为其授权
    
        simpleAuthorizationInfo.addStringPermission("");
    
        return simpleAuthorizationInfo;
    
    }

    /**
    
     * @description 认证 控制层调用login方法会进入此方法执行
    
     * @param authenticationToken
    
     * @date 2021/11/3 14:25
    
     * @return org.apache.shiro.authc.AuthenticationInfo
    
     */
    
    @Override
    
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    
        //将token转为保存用户名密码的token
    
        UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
    
        //获取用户名
    
        String username = userToken.getUsername();
    
        //查询数据库获取用户信息
    
        //User user=userService.findUserByName(username);
    
        //通过用户名查询出对应的密码进行认证 模拟查询回来的密码
    
        String password="132";
    
        Md5CredentialsMatcher md5CredentialsMatcher = new Md5CredentialsMatcher();

        return new SimpleAuthenticationInfo("", "password", "");
    
    }
    
}
  3. 当访问任意页面时会进入ShiroConfig类中的过滤器,验证访问该页面需要的认证要求。如果需要登录则会跳转到登录页面。
  4. 当前端发起登录请求,通过SecurityUtils获取到当前登录的用户,将用户的数据封装到一个UsernamePasswordToken中,执行subject的login方法会进入到自定义认证鉴权类的认证方法doGetAuthenticationInfo(),将方法参数的token转为配置了用户登录参数的token,取出用户名在数据库查询出用户信息后,通过shiro框架的SimpleAuthenticationInfo对象传入密码,shiro框架会对密码进行验证。 
    @RequestMapping("/login")
    
    public String login(@RequestParam("username") String username,@RequestParam("password") String password,Model model){
    
        //获取当前登录用户
    
        Subject subject = SecurityUtils.getSubject();
    
        //封装用户登录数据
    
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username,password);
    
        //登录请求会进到认证方法中
    
        try {
    
            subject.login(usernamePasswordToken);
    
            return "index";
    
        }catch (UnknownAccountException e){
    
            model.addAttribute("msg","用户名错误");
    
            return "login";
    
        }catch (IncorrectCredentialsException e){
    
            model.addAttribute("msg","密码错误");
    
            return "login";
    
        }catch (AuthenticationException e) {
    
            e.printStackTrace();
    
            return "login";
    
        }
    
    }
  5. 登陆成功后访问页面,如果页面需要授权则会经过shiroConfig的过滤器跳转到授权的页面,并对用户进行授权。UserRealm类的doGetAuthorizationInfo方法可以对用户进行授权,通过SecurityUtils获取出当前登录的用户,查询数据库获得当前登录的用户的权限列表,再通过simpleAuthorizationInfo对象将用户的权限设置后返回。 
    @Override
    
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
    
        //获取当前登录的用户为其授权
    
        Subject subject = SecurityUtils.getSubject();
    
        //用户经过认证后将其用户信息放入subject的principal中获取出来
    
        //User principal = (User) subject.getPrincipal();
    
        //通过用户的信息查询数据库中的权限为其授权
    
        simpleAuthorizationInfo.addStringPermission("");
    
        simpleAuthorizationInfo.setObjectPermissions(new HashSet<>());
    
        return simpleAuthorizationInfo;
    
    }

springboot整合shiro框架学习的更多相关文章

  1. SpringBoot整合Shiro权限框架实战

    什么是ACL和RBAC ACL Access Control list:访问控制列表 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系 ...

  2. springboot整合Shiro功能案例

    Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...

  3. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理|前后端分离(下)----筑基后期

    写在前面 在上一篇文章<SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期>当中,我们初步实现了SpringBoot整合Shiro ...

  4. 补习系列(6)- springboot 整合 shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

  5. 转:30分钟了解Springboot整合Shiro

    引自:30分钟了解Springboot整合Shiro 前言:06年7月的某日,不才创作了一篇题为<30分钟学会如何使用Shiro>的文章.不在意之间居然斩获了22万的阅读量,许多人因此加了 ...

  6. SpringBoot 整合Shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

  7. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期

    写在前面 通过前几篇文章的学习,我们从大体上了解了shiro关于认证和授权方面的应用.在接下来的文章当中,我将通过一个demo,带领大家搭建一个SpringBoot整合Shiro的一个项目开发脚手架, ...

  8. (十二)整合 Shiro 框架,实现用户权限管理

    整合 Shiro 框架,实现用户权限管理 1.Shiro简介 1.1 基础概念 1.2 核心角色 1.3 核心理念 2.SpringBoot整合Shiro 2.1 核心依赖 2.2 Shiro核心配置 ...

  9. SpringBoot 整合 Shiro 密码登录与邮件验证码登录(多 Realm 认证)

    导入依赖(pom.xml)  <!--整合Shiro安全框架--> <dependency> <groupId>org.apache.shiro</group ...

  10. SpringBoot整合Shiro实现权限控制

    目录 1.SpringBoot整合Shiro 1.1.shiro简介 1.2.代码的具体实现 1.2.1.Maven的配置 1.2.2.整合需要实现的类 1.2.3.项目结构 1.2.4.ShiroC ...

随机推荐

  1. redis雪崩问题解决

    缓存雪崩 出现的场景 缓存服务器宕机,没有设置持久化 介绍:缓存服务器宕机,没有设置持久化,导致缓存数据全部丢失,请求全部转发到数据库,造成数据库短时间内承受大量请求而崩掉. 缓存集中失效 缓存的ke ...

  2. 为什么 kubelet 不使用容器化部署?

    每日一问系列 为什么 kubelet 不使用容器化部署? 通过脚本(shell/ansible 等)在节点上部署 kubelet 服务时,涉及 kubelet 进程 service 启动配置.证书等, ...

  3. 使用react-test-renderer/shallow写测试

    我的项目是采用react + ts来写的,项目中要写单元测试,于是采用了Jest库,  主要用的package有 react-test-renderer react-test-renderer/sha ...

  4. tcpdump抓指定端口/ip的数据包

    抓指定端口,这里以7070端口为例 tcpdump -i ens192 port 7070 -s 0 -l -A -w /chris/70.pcap ens192是网卡  抓完ctrl c停止 抓指定 ...

  5. go语言实用工具编写要这样学

    写作目的 本篇章写作有以下目的: 介绍go语言的基础知识,这里你会发现go语言学习成本较低,与python语言相似. 介绍go语言的常用标准库,这里你会发现go语言的标准库已经非常强大,python语 ...

  6. SQL-去除最大值与最小值求均值的问题

    背景 今天有同事问我一道关于数据库SQL的面试题,我刚开始随便给了一个思路,后来思索发现这个思路有漏洞,于是总结下来,仅供参考. 问题: 薪水表中是员工薪水的基本信息,包括雇员编号,和薪水,查询除去最 ...

  7. 当 GPT-4 拥有了 Diff 视图,那真的是如虎添翼!

    目录 1. 当你要求 GPT-4 帮你写点代码时 2. 你需要的背景知识都在这里 2.1 关于 GoPool 和 DevChat 2.2 关于 GoPool 的工作原理 2.3 我想要让 taskQu ...

  8. 知识图谱(Knowledge Graph)- Neo4j 5.10.0 Desktop & GraphXR 连接自建数据库

    #输入查看数据库连接 neo4j$ :server status 添加 远程连接,输入连接地址 Graph Apps 选择 GraphXR 打开 显示

  9. 三维模型OBJ格式轻量化压缩处理的数据质量提升方法分析

    三维模型OBJ格式轻量化压缩处理的数据质量提升方法分析 在三维模型的OBJ格式轻量化压缩处理过程中,除了减小文件大小和提高加载速度之外,我们也需要考虑如何提升数据质量.以下是几种常见的方法: 1.优化 ...

  10. 修改内置框架css 样式

    <style scoped> 1 <style scoped> 2 .info /deep/ .video{ // info 外层便签 /deep/ 可以理解为连接桥 .vid ...