Shiro在springboot中如何快速實現-java教程-PHP中文網

首頁

Java

java教程

Shiro在springboot中如何快速實現

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 11, 2023 pm 06:49 PM

springbootshiro

一、shiro使用必須了解的知識

1、shiro是什麼？

1、Apache Shiro是一個Java的安全性（權限）框架
2、可以容易的開發出足夠好的應用，既可以在JavaEE中使用，也可以在JavaSE中使用
3、shiro可以完成，認證、授權、加密、會話管理，web整合、快取等

2、shiro架構三個常用三大核心物件

Subject：使用者
SecurityManager：管理所有使用者
Readim:連接資料

3、在springboot中使用時，主要可將其視為兩個模組（請求過濾模組、認證授權模組）

1、認證授權模組：在認證授權模組中主要包含兩個方面，分別是認證和授權。認證是指對使用者登入的情況進行判定；授權就是指對目前使用者所擁有的角色、權限進行取得並將其交給AuthoriztionInfo，使其能夠將相關資訊交給Shiro
2、請求過濾模組：根據目前使用者所擁有的權限、角色等資訊來進行判斷是否具有請求的權限（即是否能夠請求目前要存取的位址），如果該使用者俱有存取目前請求位址的權限，則放行，否則進行攔截
3、以上是使用shiro框架進行權限認證攔截的最基本實現，此外還可以透過對密碼進行加密，登入次數限流（redis）等功能重寫來按照自己實際業務情況進行學習

4、依賴

<!--        后台拦截-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

二、具體使用

1、編寫配置類別（config）

1.1、Shiro過濾物件（ShiroFilterFactoryBean）

@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier(SecurityManager) DefaultWebSecurityManager securityManager){
   	ShiroFilterFactiryBean bean = new ShiroFilterFactoryBean()
	//关联SecurityManager设置安全管理器	
 	bean.setSecurityManager(securityManager)
    
	//添加内置过滤器
        /*
        	anon:无需过滤就可以访问
            authc：必须认证了才可访问(登录后才可访问)
            user：必须拥有"记住我"功能才可访问
            perms：拥有对某个资源的权限才可以访问
            role：拥有某个角色权限才可访问
        */
  	Map<String,String> filterMap = new LinkedHashMap<>();
    //拦截 
    //filterMap.put("页面地址","内置过滤器")
	//filterMap.put("/user/name","anon")
	//filterMap.put("/user/book","authc")
    
	//具有user:add权限时才可以访问/user/name
    //perms中的“user:add”与数据库中对应权限要一致
    filterMap.put("/user/name","perms[user:add]")
    
	//授权，正常情况下，没有授权会跳转到未授权页面
 	bean.setUnauthorizedUrl("未授权时跳转的页面")  
        
  	//创建一个过滤器链(其中内容通过Map存储)
 	bean.setFilterChainDefinitionMap(FilterMap); 
    //设置登录请求(登录的地址添加，当使用"authc"时，如果未登录，则跳转到登录页面)
    bean.setLoginUrl("/login")
	return bean;
}

1.2、Shiro安全性物件（DefaultWebSecurity）

//@Qualifier:引入bena对象
@Bean(name="SecurityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("MyRealm") MyRealm myRealm){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurotyManager();
    //关联MyRealm
    securityManager.setRealm(myRealm);
    return securityManager;
}

1.3、建立realm物件（自訂）

//将自定义的realm对象交给spring
//@Bean(name="MyRealm")中name属性不加默认名称为方法名
@Bean(name="MyRealm")
public MyRealm MyRealm(){
 	return new MyRealm();
}

2、建立realm物件

2.1、自訂realm類別去繼承AuthorizingRealm類別

class MyRealm extends AuthorizingRealm

2.2、重寫AuthorizingRealm中的方法

授權：

project AthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
    //1、权限信息对象info,用来存放查出的用户的所有的角色（role）及权限（permission）
 	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    //2、拿到当前登录的对象信息，通过认证方法SimpleAuthenticationInfo（第一个参数）已经进行存入 
    User user =（user）SecurityUtils.getSubject().getPrincipal();
    //3、将该对象的角色信息进行存入
    // 赋予角色
	List<Role> roleList = roleService.listRolesByUserId(userId);
	for (Role role : roleList) {
		info.addRole(role.getName());
	}
    //4、设置该用户的权限
    infO.addStringPermission(user.getPerms())
    //5、将该对象的权限信息进行存入（permissionSet一个权限信息的集合）
    info.setStringPermissions(permissionSet);
    return info;
}

認證：

project AuthenticationInfo doGetAuthorizationInfo(AuthenticationToken token){
    //1、拿到用户登陆的信息
    UsernamePasswordToken userToken =(UsernamePasswordToken) token;
    //2、通过用户名（userToken.getUsername）获取数据库中的对象user
    //如果获取对象user为空则该用户不从在，返回return null（抛出用户不存在异常）
    if (user == null) {
            throw new UnknownAccountException("账号不存在！");
        	//或直接 return null;
        }
    //3、密码认证，有shiro完成(AuthenticationInfo是一个接口，SimpleAuthenticationInfo是其接口的实现类)
    //也可对密码进行加密 如MD5 MD5盐值
    return new SimpleAuthenticationInfo("用户对象信息（user）","通过用户从数据库中获得的用户密码（user.password）","")
}

3、登入使用者的資訊傳入（透過controller取得登入的請求資訊）

//获取当前用户
Subject subject = SecurityUtils.getSubject();
//封装用户的登录数据(username:用户登陆时传入的账号；password：用户登陆时传入的密码)
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
//执行登录(如果有异常则登录失败，没有异常则登录成功，在Shiro中已经为我们封装了登录相关的异常，直接使用即可)
try{
    subject.login(token);//执行登录成功后
    return "首页"
}catch(UnknowAccountException e){//用户名不存在
    return "login"
}catch(IncorrectCredentialsException e){//密码不存在
    return "login"
}
注意：该方法中登录失败后返回的是跳转的页面，故不可用@ResponseBody

三、具體實作

1、realm實作

package com.lingmeng.shiro;
 
import com.lingmeng.pojo.entity.Admin;
import com.lingmeng.pojo.entity.Permission;
import com.lingmeng.pojo.entity.Role;
import com.lingmeng.pojo.resp.BaseResp;
import com.lingmeng.service.AdminService;
import com.lingmeng.service.RoleService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
 
import java.util.HashSet;
import java.util.Set;
 
public class MyRealm extends AuthorizingRealm {
 
    @Autowired
    RoleService roleService;
 
    @Autowired
    AdminService adminService;
 
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获取用户信息
        Subject subject = SecurityUtils.getSubject();
        Admin admin =(Admin) subject.getPrincipal();
        //获取用户的权限及角色信息
        BaseResp baseResp = roleService.selectOne(admin.getUsername());
        Role role = (Role) baseResp.getData();
        //将获取的角色及权限进行存入
        if (role!=null){
            //角色存入
            info.addRole(role.getName());
            //权限信息进行存入
            Set<String> perms = new HashSet<>();
            for (Permission perm : role.getPerms()) {
                perms.add(perm.getUrl());
            }
            info.setStringPermissions(perms);
        }
        return info;
    }
 
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取登录信息(登录的账号)
        String username =(String)authenticationToken.getPrincipal();
//      UsernamePasswordToken userToken =(UsernamePasswordToken) authenticationToken;拿到登录时传入的账号和密码对象
        //从数据库中查询该对象的信息
        Admin admin = adminService.selectOne(username);
        if (admin==null){
            throw new UnknownAccountException("账号不存在");
        }
        return new SimpleAuthenticationInfo(admin,admin.getPassword(),this.getName());
    }
}

2、controller實作

package com.lingmeng.controller;
 
import com.lingmeng.pojo.entity.Admin;
import com.lingmeng.pojo.resp.BaseResp;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;
 
@RestController
public class AdminController {
 
    @PostMapping("background/login")
    public BaseResp  login(@RequestBody Admin admin){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(admin.getUsername(), admin.getPassword());
        try{
            subject.login(token);
            return BaseResp.SUCCESS("登录成功",null,null);
        }catch (UnknownAccountException e){//账号不存在
            return BaseResp.FAIL(201,"账号不存在");
        }catch(IncorrectCredentialsException incorrectCredentialsException){//密码错误
            return BaseResp.FAIL(201,"密码错误") ;
        }
    }
 
    @GetMapping("/background/exitLogin")
    public BaseResp exitLogin(){
        Subject subject = SecurityUtils.getSubject();
        System.out.println(subject.getPrincipal());
        try{
            subject.logout();//退出登录
            return BaseResp.SUCCESS("退出登录",null,null);
        }catch(Exception e){
            return BaseResp.FAIL(202,"退出失败");
        }
    }
}

3、config實現

package com.lingmeng.config;
 
import com.lingmeng.shiro.MyRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
 
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class ShiroConfig {
 
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        //配置请求拦截并存入map中
         /*
        	anon:无需过滤就可以访问
            authc：必须认证了才可访问(登录后才可访问)
            user：必须拥有"记住我"功能才可访问
            perms：拥有对某个资源的权限才可以访问
            role：拥有某个角色权限才可访问
        */
        Map<String, String> map = new LinkedHashMap<>();
        map.put("/background/**","authc");
        map.put("background/login","anon");
 
 
        bean.setFilterChainDefinitionMap(map);
        //设置未授权跳转地址
        bean.setUnauthorizedUrl("");
        //设置登录地址
        bean.setLoginUrl("/background/login");
        return bean;
    }
 
    @Bean("securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("myRealm") MyRealm myRealm){
        return new DefaultWebSecurityManager(myRealm);
    }
 
    @Bean()
    public MyRealm myRealm(){
        return new MyRealm();
    }
}

以上是一些shiro在springboot中的基本用法，希望能夠對大家學習有所幫助（程式碼中的實體，角色，權限根據自己資料庫查詢結果進行替換即可）。

以上是Shiro在springboot中如何快速實現的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：亿速云。如有侵權，請聯絡admin@php.cn刪除

JVM性能與其他語言May 14, 2025 am 12:16 AM

JVM'SperformanceIsCompetitiveWithOtherRuntimes，operingabalanceOfspeed，安全性和生產性。 1）JVMUSESJITCOMPILATIONFORDYNAMICOPTIMIZAIZATIONS.2）c提供NativePernativePerformanceButlanceButlactsjvm'ssafetyFeatures.3）

Java平台獨立性：使用示例May 14, 2025 am 12:14 AM

JavaachievesPlatFormIndependencEthroughTheJavavIrtualMachine（JVM），允許CodeTorunonAnyPlatFormWithAjvm.1）codeisscompiledIntobytecode，notmachine-specificodificcode.2）bytecodeisisteredbytheybytheybytheybythejvm，enablingcross-platerssectectectectectross-eenablingcrossectectectectectection.2）

JVM架構：深入研究Java虛擬機May 14, 2025 am 12:12 AM

TheJVMisanabstractcomputingmachinecrucialforrunningJavaprogramsduetoitsplatform-independentarchitecture.Itincludes:1)ClassLoaderforloadingclasses,2)RuntimeDataAreafordatastorage,3)ExecutionEnginewithInterpreter,JITCompiler,andGarbageCollectorforbytec

JVM：JVM與操作系統有關嗎？May 14, 2025 am 12:11 AM

JVMhasacloserelationshipwiththeOSasittranslatesJavabytecodeintomachine-specificinstructions,managesmemory,andhandlesgarbagecollection.ThisrelationshipallowsJavatorunonvariousOSenvironments,butitalsopresentschallengeslikedifferentJVMbehaviorsandOS-spe

Java：寫一次，在任何地方跑步（WORA） - 深入了解平台獨立性May 14, 2025 am 12:05 AM

Java實現“一次編寫，到處運行”通過編譯成字節碼並在Java虛擬機（JVM）上運行。 1）編寫Java代碼並編譯成字節碼。 2）字節碼在任何安裝了JVM的平台上運行。 3）使用Java原生接口（JNI）處理平台特定功能。儘管存在挑戰，如JVM一致性和平台特定庫的使用，但WORA大大提高了開發效率和部署靈活性。

Java平台獨立性：與不同的操作系統的兼容性May 13, 2025 am 12:11 AM

JavaachievesPlatFormIndependencethroughTheJavavIrtualMachine（JVM），允許Codetorunondifferentoperatingsystemsswithoutmodification.thejvmcompilesjavacodeintoplatform-interploplatform-interpectentbybyteentbytybyteentbybytecode，whatittheninternterninterpretsandectectececutesoneonthepecificos，atrafficteyos，Afferctinginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginginging

什麼功能使Java仍然強大May 13, 2025 am 12:05 AM

JavaispoperfulduetoitsplatFormitiondence，對象與偏見，RichstandardLibrary，PerformanceCapabilities和StrongsecurityFeatures.1）Platform-dimplighandependectionceallowsenceallowsenceallowsenceallowsencationSapplicationStornanyDevicesupportingJava.2）

頂級Java功能：開發人員的綜合指南May 13, 2025 am 12:04 AM

Java的頂級功能包括：1)面向對象編程，支持多態性，提升代碼的靈活性和可維護性；2)異常處理機制，通過try-catch-finally塊提高代碼的魯棒性；3)垃圾回收，簡化內存管理；4)泛型，增強類型安全性；5)ambda表達式和函數式編程，使代碼更簡潔和表達性強；6)豐富的標準庫，提供優化過的數據結構和算法。

See all articles