Comment implémenter rapidement Shiro dans Springboot
- WBOYavant
- 2023-05-11 18:49:061352parcourir
1. Ce que vous devez savoir sur l'utilisation de shiro
1. Qu'est-ce que shiro ?
1. Apache Shiro est un framework de sécurité (autorisation) Java
2. Il peut facilement développer des applications assez bonnes qui peuvent être utilisées dans JavaEE ou JavaSE
3. Shiro peut effectuer l'authentification, l'autorisation, cryptage, gestion de session, intégration Web, mise en cache, etc.
2. L'architecture Shiro a trois objets de base couramment utilisés
Sujet : Utilisateur
SecurityManager : Gérer tous les utilisateurs
Readim : données de connexion
3. Lorsqu'il est utilisé dans Springboot, il peut être principalement considéré comme deux modules (module de filtrage des demandes, module d'authentification et d'autorisation)
1 Module d'authentification et d'autorisation : dans l'authentification et l'autorisation Le module contient principalement deux aspects, à savoir. authentification et autorisation. L'authentification fait référence à la détermination du statut de connexion de l'utilisateur ; l'autorisation fait référence à l'obtention des rôles et des autorisations détenus par l'utilisateur actuel et à leur transmission à AuthoriztionInfo afin qu'il puisse transmettre les informations pertinentes à Shiro
2. Module de filtrage des demandes : selon l'utilisation actuelle les autorisations, les rôles et autres informations détenues par l'utilisateur pour déterminer s'il dispose des autorisations demandées (c'est-à-dire s'il peut demander l'adresse en cours d'accès. Si l'utilisateur a les autorisations pour accéder à l'adresse actuellement demandée, ce sera le cas). autorisé, sinon il sera intercepté.3. Ci-dessus Il s'agit de l'implémentation la plus basique de l'interception d'authentification d'autorisation utilisant le framework shiro. De plus, vous pouvez également réécrire des fonctions telles que le cryptage du mot de passe et la limite du numéro de connexion (redis) pour apprendre en fonction de vos besoins. situation commerciale réelle
<!-- 后台拦截-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>
2, utilisation spécifique 1. Classe de configuration d'écriture (config) 1.1, objet filtre Shiro (ShiroFilterFactoryBean) @Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier(SecurityManager) DefaultWebSecurityManager securityManager){
ShiroFilterFactiryBean bean = new ShiroFilterFactoryBean()
//关联SecurityManager设置安全管理器
bean.setSecurityManager(securityManager)
//添加内置过滤器
/*
anon:无需过滤就可以访问
authc:必须认证了才可访问(登录后才可访问)
user:必须拥有"记住我"功能才可访问
perms:拥有对某个资源的权限才可以访问
role:拥有某个角色权限才可访问
*/
Map<String,String> filterMap = new LinkedHashMap<>();
//拦截
//filterMap.put("页面地址","内置过滤器")
//filterMap.put("/user/name","anon")
//filterMap.put("/user/book","authc")
//具有user:add权限时才可以访问/user/name
//perms中的“user:add”与数据库中对应权限要一致
filterMap.put("/user/name","perms[user:add]")
//授权,正常情况下,没有授权会跳转到未授权页面
bean.setUnauthorizedUrl("未授权时跳转的页面")
//创建一个过滤器链(其中内容通过Map存储)
bean.setFilterChainDefinitionMap(FilterMap);
//设置登录请求(登录的地址添加,当使用"authc"时,如果未登录,则跳转到登录页面)
bean.setLoginUrl("/login")
return bean;
}
1.2, objet de sécurité Shiro (DefaultWebSecurity) //@Qualifier:引入bena对象
@Bean(name="SecurityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("MyRealm") MyRealm myRealm){
DefaultWebSecurityManager securityManager = new DefaultWebSecurotyManager();
//关联MyRealm
securityManager.setRealm(myRealm);
return securityManager;
}
1. .3 , créez un objet de domaine (personnalisé) //将自定义的realm对象交给spring
//@Bean(name="MyRealm")中name属性不加默认名称为方法名
@Bean(name="MyRealm")
public MyRealm MyRealm(){
return new MyRealm();
}
2 , Créez un objet de domaine 2.1 Personnalisez la classe de domaine pour hériter de la classe AuthorizingRealm class MyRealm extends AuthorizingRealm
2.2.2.2. Remplacez les méthodes dans AuthorizingRealm Autorisation : project AthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
//1、权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//2、拿到当前登录的对象信息,通过认证方法SimpleAuthenticationInfo(第一个参数)已经进行存入
User user =(user)SecurityUtils.getSubject().getPrincipal();
//3、将该对象的角色信息进行存入
// 赋予角色
List<Role> roleList = roleService.listRolesByUserId(userId);
for (Role role : roleList) {
info.addRole(role.getName());
}
//4、设置该用户的权限
infO.addStringPermission(user.getPerms())
//5、将该对象的权限信息进行存入(permissionSet一个权限信息的集合)
info.setStringPermissions(permissionSet);
return info;
}Authentification : rrre. ee
3. Transmettez les informations de l'utilisateur connecté (via le contrôleur Obtenez les informations de demande de connexion)project AuthenticationInfo doGetAuthorizationInfo(AuthenticationToken token){
//1、拿到用户登陆的信息
UsernamePasswordToken userToken =(UsernamePasswordToken) token;
//2、通过用户名(userToken.getUsername)获取数据库中的对象user
//如果获取对象user为空则该用户不从在,返回return null(抛出用户不存在异常)
if (user == null) {
throw new UnknownAccountException("账号不存在!");
//或直接 return null;
}
//3、密码认证,有shiro完成(AuthenticationInfo是一个接口,SimpleAuthenticationInfo是其接口的实现类)
//也可对密码进行加密 如MD5 MD5盐值
return new SimpleAuthenticationInfo("用户对象信息(user)","通过用户从数据库中获得的用户密码(user.password)","")
}
3. Implémentation spécifique 1. Implémentation du domaine //获取当前用户
Subject subject = SecurityUtils.getSubject();
//封装用户的登录数据(username:用户登陆时传入的账号;password:用户登陆时传入的密码)
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
//执行登录(如果有异常则登录失败,没有异常则登录成功,在Shiro中已经为我们封装了登录相关的异常,直接使用即可)
try{
subject.login(token);//执行登录成功后
return "首页"
}catch(UnknowAccountException e){//用户名不存在
return "login"
}catch(IncorrectCredentialsException e){//密码不存在
return "login"
}
注意:该方法中登录失败后返回的是跳转的页面,故不可用@ResponseBody
2. Ce qui précède présente quelques utilisations de base de shiro dans Springboot. J'espère que cela pourra aider. Il sera utile à tout le monde de l'apprendre (les entités, les rôles et les autorisations dans le code peuvent être remplacés en fonction des résultats de votre propre requête de base de données). Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!