AI 助理
备案控制台
开发者社区 安全 文章 正文

springboot简单集成shiro权限管理

2022-12-17 172
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: springboot简单集成shiro权限管理

为了解决项目当中的权限管理问题,我们一般会选择引入spring security或者shiro框架来帮助我们更好地更快地构建权限管理体系。

依赖

首先第一步,我们需要给当前项目引入对应的依赖包。与spring boot集成一般首选starter包。

<!-- shiro权限管理框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.9.1</version>
</dependency>
复制代码

配置

无论是spring security还是shiro,两者都是基于servlet的Filter过滤器机制实现的权限管理。所以第一步配置我们就需要把对应的Filter给加入进来。

  • Filter过滤器配置
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean() {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    // 设置securityManager,负责权限验证的核心事务处理。
    shiroFilterFactoryBean.setSecurityManager(securityManager());
    // 配置过滤器链
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    // anon表示该url不需要经过权限验证
    filterChainDefinitionMap.put("/static/**", "anon");
    // logout表示用户登出功能的过滤器;调用指定的url会让已经登陆的用户退出
    filterChainDefinitionMap.put("/logout", "logout");
    // authc过滤器表示对应的url都需要权限验证才能访问
    filterChainDefinitionMap.put("/**", "authc");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    // 配置用户登陆的url。调用该接口需要传username和password字段。
    shiroFilterFactoryBean.setLoginUrl("/login");
    // 登陆成功自动跳转页面
    shiroFilterFactoryBean.setSuccessUrl("/index");
    return shiroFilterFactoryBean;
  }
复制代码
  • securityManager配置看上面代码,我们就可以分析出,需要把这些Filter过滤器创建出来,除了配置一些需要拦截的url之外,我们还要创建一个非常核心的securityManager,这个才是权限验证过程处理的核心。
@Bean
public DefaultWebSecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(userRealm());
    return securityManager;
}
复制代码
  • 别看securityManager里面我只设置了Realm,其实securityManager就像一个大领导,压根不干活儿,有啥活都派给底下的小弟去干。我们来看看securityManager底下到底有哪些小弟;
  • SessionManager:管理用户session;
  • SubjectDao:负责Subject保存和删除;
  • CacheManager:负责缓存管理;
  • Realm:负责用户登陆和权限验证;
  • RememberMeManager:负责实现remember me功能;
  • EventBus:事件总线;
  • SubjectFactory:创建Subject;
  • 后续的博客中会逐一解析这些小弟的作用,今天就先把如何简单集成shiro讲完。

image.png

  • Realm配置
    下面我们应该要给出如何判断用户登陆和鉴定用户权限了:
@Bean
public UserRealm userRealm() {
    UserRealm userRealm = new UserRealm();
    userRealm.setCredentialsMatcher(credentialsMatcher());
    return userRealm;
}
复制代码
  • 因为Realm需要查询用户的密码已经改用户对应的角色和权限,所以我们自定义了自己的Realm。
    通过继承AuthorizingRealm:
package com.example.awesomespring.security;
import com.example.awesomespring.bo.AccountInfo;
import com.example.awesomespring.service.AccountService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import javax.annotation.Resource;
/**
 * @author zouwei
 * @className UserRealm
 * @date: 2022/7/31 下午1:19
 * @description:
 */
public class UserRealm extends AuthorizingRealm {
    @Resource
    private AccountService accountService;
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 从authenticationToken中获取用户提交的username
        String accountName = (String) authenticationToken.getPrincipal();
        // 通过username查询到对应的用户信息
        AccountInfo accountInfo = accountService.findByAccount(accountName);
        if (accountInfo == null) {
            return null;
        }
        // 取出查询到的用户密码
        String password = accountInfo.getPassword();
        // 取出用户密码加密需要用到的盐值
        String salt = accountInfo.getSalt();
        // 把查询出来的用户信息、密码、加密盐值、Realm名称包装进SimpleAuthenticationInfo返回
        return new SimpleAuthenticationInfo(accountInfo, password, ByteSource.Util.bytes(salt), getName());
    }
    // 这个方法是在用户登陆成功后,调用需要权限才能访问的接口时才来鉴定权限
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 拿到已经登陆的用户信息
        AccountInfo accountInfo = (AccountInfo) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 下面的角色和权限需要从数据库中查询
        // 设置角色
        authorizationInfo.addRole("User");
        // 设置权限
        authorizationInfo.addStringPermission("User:read");
        // 返回角色和权限
        return authorizationInfo;
    }
}
复制代码
  • 到这里,我们可以看出,Realm就是用来帮助用户登陆,并且在用户访问需要权限的接口时,查询出用户的角色和权限,交给决策器来决定用户是否登陆成功,鉴权是否通过。
  • 密码加密
    这是一个不容易被注意的点,使用默认的配置时只会简单的比较输入的密码和数据库查出来的密码是否一致,这显然是不符合要求的,因为我们数据库里面的密码是已经加密好了的。
    另一个就是我们在创建用户的时候也是需要使用到同样的密码加密手段,所以我们有必要把密码加密给拎出来处理一下,做一个自定义的加密。
@Bean
public CredentialsMatcher credentialsMatcher() {
    return new PasswordHashedCredentialsMatcher("MD5");
}
package com.example.awesomespring.security;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.util.ByteSource;
/**
 * @author zouwei
 * @className PasswordHashedCredentialsMatcher
 * @date: 2022/7/31 下午3:43
 * @description:
 */
public class PasswordHashedCredentialsMatcher extends HashedCredentialsMatcher {
    public PasswordHashedCredentialsMatcher(String hashAlgorithmName) {
        super(hashAlgorithmName);
        setHashIterations(2);
    }
    public String encryptedPassword(String passwordString, String salt) {
        return hashProvidedCredentials(passwordString, ByteSource.Util.bytes(salt), getHashIterations()).toHex();
  }
}
复制代码
  • 其实我们就是继承了HashedCredentialsMatcher,在它的基础上提高了直接针对密码加密的功能。这样既能满足shiro的登陆验证,又能拿出来用到创建用户的时候加密使用。

测试

为了验证我们的配置是否成功,我们需要写几个测试接口:

package com.example.awesomespring.controller;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
/**
 * @author zouwei
 * @className UserController
 * @date: 2022/7/16 下午11:13
 * @description:
 */
@RestController
@RequestMapping("/user")
@Slf4j
public class UserController {
  @GetMapping("/{id}")
  @RequiresPermissions("User:info")
  String getUserInfo(@PathVariable String id) {
    log.info("获取用户信息开始");
    log.info("请求参数 id:{}", id);
    log.info("获取用户信息结束");
    return "getUserInfo";
  }
  @GetMapping("/hello")
  String hello() {
    return "hello world!";
  }
  @GetMapping("/read")
  @RequiresPermissions("User:read")
  String read() {
    return "read";
  }
}
复制代码

上面的几个接口,我们如果直接访问的话,在浏览器中,会被重定向到"/login"页面,因为我们目前没有这个页面,所以一旦重定向这个url,说明用户没有登陆。

其次我们通过调用post请求"/login",提交username和password成功登陆后,页面会重定向到"/index"页面,目前我们也是没有这个页面的,不过从响应体中可以看到响应码是302。

当我们在用户登陆成功后,再访问"/user/read"是能正常访问,并返回结果"read";如果访问"/user/123456"是不行的,页面会直接报500错误。

通过上述测试,我们已经初步完成了shiro的集成。后续我们将逐步完善shiro的相关配置,让它能够更加灵活地为我们服务。


文章标签:
密钥管理服务
Java
数据安全/隐私保护
Spring
安全
数据库
缓存
关键词:
集成springboot
Spring Boot shiro
Spring Boot集成shiro
集成shiro
Spring Boot权限管理
dc73hre37f4my
目录
相关文章
游客zi3qmblbcdexu
|
3月前
|
Java Maven Docker
gitlab-ci 集成 k3s 部署spring boot 应用
gitlab-ci 集成 k3s 部署spring boot 应用
游客zi3qmblbcdexu
79 1
1176112968452250
|
4月前
|
安全 Java Apache
SpringBoot+Shiro(一)
SpringBoot+Shiro(一)
1176112968452250
70 1
java冯坚持
|
3月前
|
安全 Java 数据库
shiro学习一:了解shiro,学习执行shiro的流程。使用springboot的测试模块学习shiro单应用(demo 6个)
这篇文章是关于Apache Shiro权限管理框架的详细学习指南,涵盖了Shiro的基本概念、认证与授权流程,并通过Spring Boot测试模块演示了Shiro在单应用环境下的使用,包括与IniRealm、JdbcRealm的集成以及自定义Realm的实现。
java冯坚持
59 3
shiro学习一:了解shiro,学习执行shiro的流程。使用springboot的测试模块学习shiro单应用(demo 6个)
一位隐者
|
2月前
|
消息中间件 监控 Java
您是否已集成 Spring Boot 与 ActiveMQ?
您是否已集成 Spring Boot 与 ActiveMQ?
一位隐者
63 0
nanshaws
|
3月前
|
Java API Apache
Springboot+shiro,完整教程,带你学会shiro
这篇文章提供了一个完整的Apache Shiro与Spring Boot结合使用的教程,包括Shiro的配置、使用以及在非Web和Web环境中进行身份验证和授权的示例。
nanshaws
140 2
Springboot+shiro,完整教程,带你学会shiro
nanshaws
|
3月前
|
前端开发 Java Apache
Springboot整合shiro,带你学会shiro,入门级别教程,由浅入深,完整代码案例,各位项目想加这个模块的人也可以看这个,又或者不会mybatis-plus的也可以看这个
本文详细讲解了如何整合Apache Shiro与Spring Boot项目,包括数据库准备、项目配置、实体类、Mapper、Service、Controller的创建和配置,以及Shiro的配置和使用。
nanshaws
738 1
Springboot整合shiro,带你学会shiro,入门级别教程,由浅入深,完整代码案例,各位项目想加这个模块的人也可以看这个,又或者不会mybatis-plus的也可以看这个
java冯坚持
|
3月前
|
NoSQL Java Redis
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
这篇文章介绍了如何使用Spring Boot整合Apache Shiro框架进行后端开发,包括认证和授权流程,并使用Redis存储Token以及MD5加密用户密码。
java冯坚持
52 0
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
刘大猫.
|
2月前
|
JavaScript NoSQL Java
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
刘大猫.
66 0
热爱技术的小郑
|
5月前
|
SQL Java 数据库连接
springboot+mybatis+shiro项目中使用shiro实现登录用户的权限验证。权限表、角色表、用户表。从不同的表中收集用户的权限、
这篇文章介绍了在Spring Boot + MyBatis + Shiro项目中,如何使用Shiro框架实现登录用户的权限验证,包括用户、角色和权限表的设计,以及通过多个表查询来收集和验证用户权限的方法和代码实现。
热爱技术的小郑
182 0
springboot+mybatis+shiro项目中使用shiro实现登录用户的权限验证。权限表、角色表、用户表。从不同的表中收集用户的权限、
热爱技术的小郑
|
5月前
|
SQL 前端开发 Java
springboot项目中使用shiro实现用户登录以及权限的验证
这篇文章详细介绍了如何在Spring Boot项目中集成Apache Shiro框架来实现用户登录和权限验证,包括项目依赖配置、数据库连接、实体类定义、控制器、服务层、Mapper层以及前端页面的实现,并展示了实际效果和过滤器代码。
热爱技术的小郑
686 0
springboot项目中使用shiro实现用户登录以及权限的验证

热门文章

最新文章

  • 1
    Spring Boot功能实战
  • 2
    SpringBoot入门到精通(二十一)如何优雅的设计 RESTful API 接口版本号,实现 API 版本控制!
  • 3
    Java:SpringBoot给Controller添加统一路由前缀
  • 4
    Intellij IDEA SpringBoot项目热部署解决方案
  • 5
    Spring Boot 实现微信扫码登录,真香。。(1)
  • 6
    java B2B2C Springboot多租户电子商城系统-spring-cloud-eureka-consumer
  • 7
    Netty(一) SpringBoot 整合长连接心跳机制(上)
  • 8
    如何在SpringBoot中实现邮件的发送? | 带你读《SpringBoot实战教程》之二十五
  • 9
    SpringBoot整合RabbitMQ实现消息的发送与接收,确认消息,延时消息
  • 10
    SpringBoot上传文件到远程服务器(二十九)中
  • 1
    MongoDB Atlas Vector Search与Amazon Bedrock集成已全面可用
    2652
  • 2
    Playwright安装与Python集成:探索跨浏览器测试的奇妙世界
    165
  • 3
    【MongoDB 专栏】MongoDB 与 Spring Boot 的集成实践
    269
  • 4
    LabVIEW风力涡轮机的雷电流测量系统中集成高速摄像机
    58
  • 5
    FFmpeg开发笔记(十七)Windows环境给FFmpeg集成字幕库libass
    177
  • 6
    sprinboot+vue集成neo4j图数据库
    190
  • 7
    RabbitMQ的springboot项目集成使用-01
    153
  • 8
    springboot集成ElasticSearch的具体操作(系统全文检索)
    101
  • 9
    基于RuoYi-Flowable-Plus的若依ruoyi-nbcio支持自定义业务表单流程的集成方法与步骤(二)
    409
  • 10
    基于RuoYi-Flowable-Plus的若依ruoyi-nbcio支持自定义业务表单流程的集成方法与步骤(一)
    348

    • 相关课程

    更多
  • 消息队列 RocketMQ 消息集成
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • SpringBoot实战教程
  • SpringBoot快速掌握 - 核心技术
  • SpringBoot快速掌握 - 高级应用
  • Springboot项目云开发快速迁移

    • 相关电子书

    更多
  • 阿里邮箱—安全高效集成
  • 集成智能接入网关APP:优化企业级移动办公网络
  • 云效助力企业集成安全到DevOps中

    • 相关实验场景

    更多
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    DataWorks智能交互式数据开发与分析之旅