一、shiro使用必須了解的知識
1、shiro是什麼?
1、Apache Shiro是一個Java的安全性(權限)框架
2、可以容易的開發出足夠好的應用,既可以在JavaEE中使用,也可以在JavaSE中使用
3、shiro可以完成,認證、授權、加密、會話管理,web整合、快取等
2、shiro架構三個常用三大核心物件
Subject:使用者
SecurityManager:管理所有使用者
Readim:連接資料
3、在springboot中使用時,主要可將其視為兩個模組(請求過濾模組、認證授權模組)
1、認證授權模組:在認證授權模組中主要包含兩個方面,分別是認證和授權。認證是指對使用者登入的情況進行判定;授權就是指對目前使用者所擁有的角色、權限進行取得並將其交給AuthoriztionInfo,使其能夠將相關資訊交給Shiro
2、請求過濾模組:根據目前使用者所擁有的權限、角色等資訊來進行判斷是否具有請求的權限(即是否能夠請求目前要存取的位址),如果該使用者俱有存取目前請求位址的權限,則放行,否則進行攔截
3、以上是使用shiro框架進行權限認證攔截的最基本實現,此外還可以透過對密碼進行加密,登入次數限流(redis)等功能重寫來按照自己實際業務情況進行學習
4、依賴
<!-- 后台拦截-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>二、具體使用
1、編寫配置類別(config)
1.1、Shiro過濾物件(ShiroFilterFactoryBean)
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier(SecurityManager) DefaultWebSecurityManager securityManager){
ShiroFilterFactiryBean bean = new ShiroFilterFactoryBean()
//关联SecurityManager设置安全管理器
bean.setSecurityManager(securityManager)
//添加内置过滤器
/*
anon:无需过滤就可以访问
authc:必须认证了才可访问(登录后才可访问)
user:必须拥有"记住我"功能才可访问
perms:拥有对某个资源的权限才可以访问
role:拥有某个角色权限才可访问
*/
Map<String,String> filterMap = new LinkedHashMap<>();
//拦截
//filterMap.put("页面地址","内置过滤器")
//filterMap.put("/user/name","anon")
//filterMap.put("/user/book","authc")
//具有user:add权限时才可以访问/user/name
//perms中的“user:add”与数据库中对应权限要一致
filterMap.put("/user/name","perms[user:add]")
//授权,正常情况下,没有授权会跳转到未授权页面
bean.setUnauthorizedUrl("未授权时跳转的页面")
//创建一个过滤器链(其中内容通过Map存储)
bean.setFilterChainDefinitionMap(FilterMap);
//设置登录请求(登录的地址添加,当使用"authc"时,如果未登录,则跳转到登录页面)
bean.setLoginUrl("/login")
return bean;
}1.2、Shiro安全性物件(DefaultWebSecurity)
//@Qualifier:引入bena对象
@Bean(name="SecurityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("MyRealm") MyRealm myRealm){
DefaultWebSecurityManager securityManager = new DefaultWebSecurotyManager();
//关联MyRealm
securityManager.setRealm(myRealm);
return securityManager;
}1.3、建立realm物件(自訂)
//将自定义的realm对象交给spring
//@Bean(name="MyRealm")中name属性不加默认名称为方法名
@Bean(name="MyRealm")
public MyRealm MyRealm(){
return new MyRealm();
}2、建立realm物件
2.1、自訂realm類別去繼承AuthorizingRealm類別
class MyRealm extends AuthorizingRealm
2.2、重寫AuthorizingRealm中的方法
授權:
project AthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals){
//1、权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//2、拿到当前登录的对象信息,通过认证方法SimpleAuthenticationInfo(第一个参数)已经进行存入
User user =(user)SecurityUtils.getSubject().getPrincipal();
//3、将该对象的角色信息进行存入
// 赋予角色
List<Role> roleList = roleService.listRolesByUserId(userId);
for (Role role : roleList) {
info.addRole(role.getName());
}
//4、设置该用户的权限
infO.addStringPermission(user.getPerms())
//5、将该对象的权限信息进行存入(permissionSet一个权限信息的集合)
info.setStringPermissions(permissionSet);
return info;
}認證:
project AuthenticationInfo doGetAuthorizationInfo(AuthenticationToken token){
//1、拿到用户登陆的信息
UsernamePasswordToken userToken =(UsernamePasswordToken) token;
//2、通过用户名(userToken.getUsername)获取数据库中的对象user
//如果获取对象user为空则该用户不从在,返回return null(抛出用户不存在异常)
if (user == null) {
throw new UnknownAccountException("账号不存在!");
//或直接 return null;
}
//3、密码认证,有shiro完成(AuthenticationInfo是一个接口,SimpleAuthenticationInfo是其接口的实现类)
//也可对密码进行加密 如MD5 MD5盐值
return new SimpleAuthenticationInfo("用户对象信息(user)","通过用户从数据库中获得的用户密码(user.password)","")
}3、登入使用者的資訊傳入(透過controller取得登入的請求資訊)
//获取当前用户
Subject subject = SecurityUtils.getSubject();
//封装用户的登录数据(username:用户登陆时传入的账号;password:用户登陆时传入的密码)
UsernamePasswordToken token = new UsernamePasswordToken(username,password);
//执行登录(如果有异常则登录失败,没有异常则登录成功,在Shiro中已经为我们封装了登录相关的异常,直接使用即可)
try{
subject.login(token);//执行登录成功后
return "首页"
}catch(UnknowAccountException e){//用户名不存在
return "login"
}catch(IncorrectCredentialsException e){//密码不存在
return "login"
}
注意:该方法中登录失败后返回的是跳转的页面,故不可用@ResponseBody
三、具體實作
1、realm實作
package com.lingmeng.shiro;
import com.lingmeng.pojo.entity.Admin;
import com.lingmeng.pojo.entity.Permission;
import com.lingmeng.pojo.entity.Role;
import com.lingmeng.pojo.resp.BaseResp;
import com.lingmeng.service.AdminService;
import com.lingmeng.service.RoleService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.HashSet;
import java.util.Set;
public class MyRealm extends AuthorizingRealm {
@Autowired
RoleService roleService;
@Autowired
AdminService adminService;
//授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//获取用户信息
Subject subject = SecurityUtils.getSubject();
Admin admin =(Admin) subject.getPrincipal();
//获取用户的权限及角色信息
BaseResp baseResp = roleService.selectOne(admin.getUsername());
Role role = (Role) baseResp.getData();
//将获取的角色及权限进行存入
if (role!=null){
//角色存入
info.addRole(role.getName());
//权限信息进行存入
Set<String> perms = new HashSet<>();
for (Permission perm : role.getPerms()) {
perms.add(perm.getUrl());
}
info.setStringPermissions(perms);
}
return info;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//获取登录信息(登录的账号)
String username =(String)authenticationToken.getPrincipal();
// UsernamePasswordToken userToken =(UsernamePasswordToken) authenticationToken;拿到登录时传入的账号和密码对象
//从数据库中查询该对象的信息
Admin admin = adminService.selectOne(username);
if (admin==null){
throw new UnknownAccountException("账号不存在");
}
return new SimpleAuthenticationInfo(admin,admin.getPassword(),this.getName());
}
}2、controller實作
package com.lingmeng.controller;
import com.lingmeng.pojo.entity.Admin;
import com.lingmeng.pojo.resp.BaseResp;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.*;
@RestController
public class AdminController {
@PostMapping("background/login")
public BaseResp login(@RequestBody Admin admin){
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(admin.getUsername(), admin.getPassword());
try{
subject.login(token);
return BaseResp.SUCCESS("登录成功",null,null);
}catch (UnknownAccountException e){//账号不存在
return BaseResp.FAIL(201,"账号不存在");
}catch(IncorrectCredentialsException incorrectCredentialsException){//密码错误
return BaseResp.FAIL(201,"密码错误") ;
}
}
@GetMapping("/background/exitLogin")
public BaseResp exitLogin(){
Subject subject = SecurityUtils.getSubject();
System.out.println(subject.getPrincipal());
try{
subject.logout();//退出登录
return BaseResp.SUCCESS("退出登录",null,null);
}catch(Exception e){
return BaseResp.FAIL(202,"退出失败");
}
}
}3、config實現
package com.lingmeng.config;
import com.lingmeng.shiro.MyRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
bean.setSecurityManager(securityManager);
//配置请求拦截并存入map中
/*
anon:无需过滤就可以访问
authc:必须认证了才可访问(登录后才可访问)
user:必须拥有"记住我"功能才可访问
perms:拥有对某个资源的权限才可以访问
role:拥有某个角色权限才可访问
*/
Map<String, String> map = new LinkedHashMap<>();
map.put("/background/**","authc");
map.put("background/login","anon");
bean.setFilterChainDefinitionMap(map);
//设置未授权跳转地址
bean.setUnauthorizedUrl("");
//设置登录地址
bean.setLoginUrl("/background/login");
return bean;
}
@Bean("securityManager")
public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("myRealm") MyRealm myRealm){
return new DefaultWebSecurityManager(myRealm);
}
@Bean()
public MyRealm myRealm(){
return new MyRealm();
}
}以上是一些shiro在springboot中的基本用法,希望能夠對大家學習有所幫助(程式碼中的實體,角色,權限根據自己資料庫查詢結果進行替換即可)。
以上是Shiro在springboot中如何快速實現的詳細內容。更多資訊請關注PHP中文網其他相關文章!
陳述
本文轉載於:亿速云。如有侵權,請聯絡admin@php.cn刪除
如何將Maven或Gradle用於高級Java項目管理,構建自動化和依賴性解決方案?Mar 17, 2025 pm 05:46 PM本文討論了使用Maven和Gradle進行Java項目管理,構建自動化和依賴性解決方案,以比較其方法和優化策略。
如何使用適當的版本控制和依賴項管理創建和使用自定義Java庫(JAR文件)?Mar 17, 2025 pm 05:45 PM本文使用Maven和Gradle之類的工具討論了具有適當的版本控制和依賴關係管理的自定義Java庫(JAR文件)的創建和使用。
如何使用咖啡因或Guava Cache等庫在Java應用程序中實現多層緩存?Mar 17, 2025 pm 05:44 PM本文討論了使用咖啡因和Guava緩存在Java中實施多層緩存以提高應用程序性能。它涵蓋設置,集成和績效優勢,以及配置和驅逐政策管理最佳PRA
如何將JPA(Java持久性API)用於具有高級功能(例如緩存和懶惰加載)的對象相關映射?Mar 17, 2025 pm 05:43 PM本文討論了使用JPA進行對象相關映射,並具有高級功能,例如緩存和懶惰加載。它涵蓋了設置,實體映射和優化性能的最佳實踐,同時突出潛在的陷阱。[159個字符]
Java的類負載機制如何起作用,包括不同的類載荷及其委託模型?Mar 17, 2025 pm 05:35 PMJava的類上載涉及使用帶有引導,擴展程序和應用程序類負載器的分層系統加載,鏈接和初始化類。父代授權模型確保首先加載核心類別,從而影響自定義類LOA
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
R.E.P.O.能量晶體解釋及其做什麼(黃色晶體)
4 週前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳圖形設置
4 週前By尊渡假赌尊渡假赌尊渡假赌
刺客信條陰影:貝殼謎語解決方案
2 週前ByDDD
R.E.P.O.如果您聽不到任何人,如何修復音頻
1 個月前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.聊天命令以及如何使用它們
1 個月前By尊渡假赌尊渡假赌尊渡假赌
熱工具
ZendStudio 13.5.1 Mac
強大的PHP整合開發環境
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
DVWA
Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序,非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具,幫助Web開發人員更好地理解保護網路應用程式的過程,並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞,難度各不相同。請注意,該軟體中
VSCode Windows 64位元 下載
微軟推出的免費、功能強大的一款IDE編輯器
