2. 程式人生 > >SpringBoot整合Shiro (二)

SpringBoot整合Shiro (二)

阿新 發佈:2018-08-15
mark alc depend sco repo 服務 框架 filter des

Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話管理。相比較Spring Security,shiro有小巧、簡單、易上手等的優點。所以很多框架都在使用shiro。

Shiro包含了三個核心組件:Subject, SecurityManager 和 Realms。

  • Subject 代表了當前用戶的安全操作。
  • SecurityManager 則管理所有用戶的安全操作。它是Shiro框架的核心,典型的Facade模式,Shiro通過SecurityManager來管理內部組件實例,並通過它來提供安全管理的各種服務。
  • Realm 充當了Shiro與應用安全數據間的“橋梁”或者“連接器”。也就是說,當對用戶執行認證(登錄)和授權(訪問控制)驗證時,Shiro會從應用配置的Realm中查找用戶及其權限信息。

下面通過示例來演示SpringBoot如何來整合Shiro

1、創建項目ShiroDemo
技術分享圖片

2、配置POM,添加SpringBoot以及Shiro依賴

<properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <java.version>1.8</java.version>
  </properties>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.3.5.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

  <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
        </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.1.3</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.2</version>
    </dependency>
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.25</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid</artifactId>
        <version>0.2.23</version>
    </dependency>
    <!-- shiro權限控制框架 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>
  </dependencies>

3、編寫MyShiroRealm類,實現AuthorizingRealm接口

public class MyShiroRealm extends AuthorizingRealm {

    /**
     * 授權用戶權限
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        //獲取用戶
        User user = (User)SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info 
 
=  new SimpleAuthorizationInfo();
        //獲取用戶角色
        Set<String> roleSet = new HashSet<String>();
        roleSet.add("100002");
        info.setRoles(roleSet);

        //獲取用戶權限
        Set<String> permissionSet = new HashSet<String>();
        permissionSet.add("權限添加");
        permissionSet.add("權限刪除");
        info.setStringPermissions(permissionSet);


        return info;
    }

    /**
     * 驗證用戶身份
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken) throws AuthenticationException {

        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        String username = token.getUsername();
        String password = String.valueOf(token.getPassword());

        Map<String, Object> map = new HashMap<String, Object>();
        map.put("nickname", username);
        //密碼進行加密處理  明文為  password+name
        String paw = password+username;
        String pawDES = MyDES.encryptBasedDes(paw);
        map.put("pswd", pawDES);

        User user = new User();
        user.setId("112222");
        user.setUsername(username);
        user.setPassword(pawDES);


        return new SimpleAuthenticationInfo(user, password, getName());
    }

}

4、實現ShiroConfiguration

@Configuration
public class ShiroConfiguration {

    /**
     * ShiroFilterFactoryBean 處理攔截資源文件問題。
     * 註意:單獨一個ShiroFilterFactoryBean配置是或報錯的,以為在
     * 初始化ShiroFilterFactoryBean的時候需要註入:SecurityManager
     *
     * Filter Chain定義說明 1、一個URL可以配置多個Filter,使用逗號分隔 2、當設置多個過濾器時,全部驗證通過,才視為通過
     * 3、部分過濾器可指定參數,如perms,roles
     *
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必須設置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 如果不設置默認會自動尋找Web工程根目錄下的"/login.jsp"頁面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登錄成功後要跳轉的鏈接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授權界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        //自定義攔截器
        Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
        //限制同一帳號同時在線的個數。
        //filtersMap.put("kickout", kickoutSessionControlFilter());
        shiroFilterFactoryBean.setFilters(filtersMap);

        // 權限控制map.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 配置不會被攔截的鏈接 順序判斷
        // 配置退出過濾器,其中的具體的退出代碼Shiro已經替我們實現了
        // 從數據庫獲取動態的權限
        // filterChainDefinitionMap.put("/add", "perms[權限添加]");
        // <!-- 過濾鏈定義,從上向下順序執行,一般將 /**放在最為下邊 -->:這是一個坑呢,一不小心代碼就不好使了;
        // <!-- authc:所有url都必須認證通過才可以訪問; anon:所有url都都可以匿名訪問-->
        //logout這個攔截器是shiro已經實現好了的。
        // 從數據庫獲取
        /*List<SysPermissionInit> list = sysPermissionInitService.selectAll();

        for (SysPermissionInit sysPermissionInit : list) {
            filterChainDefinitionMap.put(sysPermissionInit.getUrl(),
                    sysPermissionInit.getPermissionInit());
        }*/

        shiroFilterFactoryBean
                .setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 設置realm.
        securityManager.setRealm(myShiroRealm());
        // 自定義緩存實現 使用redis
        //securityManager.setCacheManager(cacheManager());
        // 自定義session管理 使用redis
        //securityManager.setSessionManager(sessionManager());
        //註入記住我管理器;
        securityManager.setRememberMeManager(rememberMeManager());
        return securityManager;
    }

    public MyShiroRealm myShiroRealm(){
        return new MyShiroRealm();
    }

    /**
     * cookie對象;
     * @return
     */
    public SimpleCookie rememberMeCookie(){
       //這個參數是cookie的名稱,對應前端的checkbox的name = rememberMe
       SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
       //<!-- 記住我cookie生效時間30天 ,單位秒;-->
       simpleCookie.setMaxAge(2592000);
       return simpleCookie;
    }

    /**
     * cookie管理對象;記住我功能
     * @return
     */
    public CookieRememberMeManager rememberMeManager(){
       CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
       cookieRememberMeManager.setCookie(rememberMeCookie());
       //rememberMe cookie加密的密鑰 建議每個項目都不一樣 默認AES算法 密鑰長度(128 256 512 位)
       cookieRememberMeManager.setCipherKey(Base64.decode("3AvVhmFLUs0KTA3Kprsdag=="));
       return cookieRememberMeManager;
    }

}

5、編寫LoginController類測試Shiro

@RestController
public class LoginController {

    @RequestMapping(value="/login",method=RequestMethod.POST)
    public String login(String username, String password,String vcode,Boolean rememberMe){
        System.out.println(username);
        UsernamePasswordToken token = new UsernamePasswordToken(username, password,rememberMe);
        SecurityUtils.getSubject().login(token);

        return "loginSuccess";
    }

    @RequestMapping(value="/index",method=RequestMethod.GET)
    public String home(){
        Subject subject = SecurityUtils.getSubject();
        User principal = (User)subject.getPrincipal();

        return "Home";
    }

}

  • 在postman中訪問http://127.0.0.1:8080/login,Body中攜帶參數以及值

技術分享圖片

  • 訪問http://127.0.0.1:8080/index,從Subject中獲取登錄後的用戶信息

技術分享圖片

SpringBoot整合Shiro (二)

相關推薦

SpringBoot整合Shiro ()

mark alc depend sco repo 服務 框架 filter des Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話管理。相比較Spring Security,shiro有小巧、簡單、易上手等的優點。所以很多框架

SpringBoot整合shiro)自定義sessionManager

傳統結構專案中,shiro從cookie中讀取sessionId以此來維持會話,在前後端分離的專案中(也可在移動APP專案使用),我們選擇在ajax的請求頭中傳遞sessionId,因此需要重寫shiro獲取sessionId的方式。自定義ShiroSessio

SpringBoot系列十SpringBoot整合 Shiro

1、概念:SpringBoot 整合 Shiro 2、具體內容 Shiro 是現在最為流行的許可權認證開發框架,與它起名的只有最初的 SpringSecurity(這個開發框架非常不好用,但是千萬不要 以為 SpringSecurity 沒有用處,它在 SpringClo

SpringBoot學習-(十五)SpringBoot整合Shiro(詳細版本)

整合內容包括 自定義realm,實現認證和授權 自定義加密,實現密碼加密驗證 自定義Cachemanager、Cache,實現Shiro的cache管理,儲存在redis中 自定義SessionManager、SessionDao、SessionIdCook

SpringBoot(十四):springboot整合shiro-登錄認證和權限管理

sets man throws 將不 匹配 跳轉 ida 管理員 領域 原文出處: 純潔的微笑 這篇文章我們來學習如何使用Spring Boot集成Apache Shiro。安全應該是互聯網公司的一道生命線,幾乎任何的公司都會涉及到這方面的需求。在Java領域一般有Spri

springboot整合shiro應用

exceptio dst over sql version ges sub star images 1、Shiro是Apache下的一個開源項目,我們稱之為Apache Shiro。它是一個很易用與Java項目的的安全框架,提供了認證、授權、加密、會話管理,與spr

springBoot整合shiro

shiro依賴包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.

30分鐘了解Springboot整合Shiro

autowired 常用 ddr 一個 matcher 所有 login tco etime 前言:06年7月的某日,不才創作了一篇題為《30分鐘學會如何使用Shiro》的文章。不在意之間居然斬獲了22萬的閱讀量,許多人因此加了我的聯系方式咨詢源碼工程,只可惜當時並沒有專門

springboot整合shiro遭遇自定義filter異常(自定義FormAuthenticationFilter)

最近忙著研究在 Springboot 上使用 Shiro 的問題。剛好就遇到個詭異事,百度 Google 也沒找到啥有價值的資訊,幾番周折自己解決了,這裡稍微記錄下。 自定義 Filter Shiro 支援自定義 Filter 大家都知道,也經常用,這裡我也用到了一個自定義 Filter,主

SpringBoot整合Shiro許可權管理框架

專案目錄結構 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://

springboot整合shiro+redis

之前整合過ssm+shiro+ehcache,也弄過ssh,這次把springboot+redis整合進去   對應的pom: <!--shiro--> <!-- https://mvnrepository.com/artifact/org.apa

springboot 整合 shiro ehcache

一、我的專案是多模組,這裡shiro單獨一個模組,下面的三個有用到的類   二、新增依賴包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&

springboot整合shiro無法載入樣式status302

1、攔截配置(按理來說是沒問題的,但是結果就是不講道理。) 2、樣式載入失敗                      3、請求失敗的url不包含static,也許

springboot整合shiro的簡單實現

springboot整合shiro的簡單實現 注意: 1.shiro需要自行在doGetAuthenticationInfo方法中進行賬號密碼的校驗 2.ip+埠形式訪問頁面會被shiro攔截,如果沒有登入會被重定向到login頁面,如果登入會被重定向到index

springboot整合shiro、ehcache

只需要一個自定義realm、一個shiro配置類和ehcache 自定義realm: package com.example.demo.config; import com.example.demo.entity.RoleEntity; import com.example.demo.en

SpringBoot 整合 Shiro框架 簡單配置

SpringBoot整合Shiro框架 pom.xml新增 <!-- shiro框架-->         <dependency>                <

springboot整合shiro swagger時候路徑過濾問題

//swagger介面許可權 開放 filterChainDefinitionMap.put("/swagger-ui.html", "anon"); filterChainDefinitionMap.put("/webjars/**", "anon"); filterChainDefinition

30分鐘瞭解Springboot整合Shiro

前言:06年7月的某日,不才創作了一篇題為《30分鐘學會如何使用Shiro》的文章。不在意之間居然斬獲了22萬的閱讀量,許多人因此加了我的聯絡方式諮詢原始碼工程,只可惜當時並沒有專門保留。2年後的今天在機緣巧合之下,我又重拾此話題。希望能帶給小夥伴們在Springboot下如何使用Shiro,當然若各位感興趣

springboot整合shiro時認證出現報錯(Submitted credentials for token...)

springboot整合shiro時認證出現報錯無非就是密碼不匹配 可能發生的原因: 前端傳的密碼是明文,而後臺儲存的是hash值,導致先後臺不匹配報錯 如果資料庫儲存的密碼是加密的 那麼要 從前端獲取密碼後,在Java裡將其轉換成hash值 如果jav

springboot整合shiro(含MD5加密)

寫在前面: 關於shiro介紹以及shiro整合spring,我在另一篇文章中已詳細介紹,此處不作說明,請參考spring整合shiro。 開發環境: 1、mysql - 5.7.21 2、navicat(mysql客戶端管理工具) 3、idea 2017 4、