安科网

SpringBoot整合Shiro

zmzmmf

zmzmmf

2020-01-03

关注 关注

导入Pom.xml

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.4.2</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.1</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.47</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.21</version>
        </dependency>
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>

创建Shiro核心类

package com.shiyan.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    //ShiroFilterFactoryBean
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
        //配置shiro内置管理器
        Map<String,String> map = new LinkedHashMap<>();
        /**
         * anno 无需验证即可登录
         * authc 验证后才能登陆
         * user  拥有记住我功能后才能使用
         * perms 拥有对某个资源的权限才能访问
         * role  拥有某个角色才能访问
         */
        map.put("/user/add","perms[user:add]");
        map.put("/user/update","perms[user:update]");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        //设置登录的请求
        shiroFilterFactoryBean.setLoginUrl("/toLogin");

        //设置为授权的页面请求
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");
        return shiroFilterFactoryBean;
    }

    //创建DefaultWebSecurityManager
    @Bean(name = "defaultWebSecurityManager")
    public DefaultWebSecurityManager defaultSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);
        return securityManager;
    }


    //创建realm对象  需要自定义 继承AuthorizingRealm
    @Bean//bean的id默认为方法名
    public UserRealm userRealm(){
        return new UserRealm();
    }

    //Shiro和Thymeleaf整合   用于thymeleaf模板使用shiro标签
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }
}

认证以及授权

package com.shiyan.config;

import com.shiyan.pojo.Users;
import com.shiyan.service.impl.UserServiceImpl;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;

/**
 * @ProjectName: SpringBoot
 * @Package: com.shiyan.config
 * @ClassName: UserRealm
 * @Author: DANGEROUS
 * @Description:
 * @Date: 2020/1/3 13:56
 * @Version: 1.0
 */
public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserServiceImpl service;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Users user = (Users) principalCollection.getPrimaryPrincipal();
        //数据库中查询相应权限并且授权
        info.addStringPermission(user.getPerms());
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //System.out.println("执行了认证");

        //模拟数据库信息
//        String username = "root";
//        String password = "123456";

        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //数据库中获取用户信息
        Users users = service.queryOne(token.getUsername());
        if(users==null){//没有查询出这个用户名,数据库没有这个人
            return null;//抛出   UnknownAccountException 用户名有误
        }

        //将查询出来的user放进shiro的session中
        Subject currentUser = SecurityUtils.getSubject();
        Session session = currentUser.getSession();
        session.setAttribute("loginUser",currentUser);

        //密码认证Shiro做
        return new SimpleAuthenticationInfo(users,users.getPassword(),"");
    }
}

UserController

package com.shiyan.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;


@Controller
public class UserController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","欢迎来到首页!!!");
        return "index";
    }

    @RequestMapping("/user/add")
    public String add(){
        return "/user/add";
    }

    @RequestMapping("/user/update")
    public String update(){
        return "/user/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username,String password,Model model){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        try {
            subject.login(token);
            return "index";
        } catch (UnknownAccountException e) {
            model.addAttribute("msg","用户名有误");
            return "login";
        }catch (IncorrectCredentialsException e) {
            model.addAttribute("msg","密码有误");
            return "login";
        }
    }

    @ResponseBody
    @RequestMapping("/unauth")
    public String unauth(){
        return "未经授权无法访问。。。。";
    }

    @RequestMapping("/logout")
    public String logout(){
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "redirect:/toLogin";
    }

}

index.html

<!DOCTYPE html>
<html lang="en"  xmlns:th="http://www.thymeleaf.org"
      xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>首页</h1>
    <!--没有认证-->
<div shiro:notAuthenticated="">
    <a th:href="@{/toLogin}">登陆</a>
</div>
    <!--通过认证-->
<div shiro:authenticated="">
    <a th:href="@{/logout}">注销</a>
</div>
<div th:text="${msg}"></div>
<hr>
<div shiro:hasPermission="user:add">
    <a th:href="@{/user/add}">add</a><br>
</div>
<div shiro:hasPermission="user:update">
    <a th:href="@{/user/update}">update</a>
</div>
</body>
</html>

login.html

<!DOCTYPE html>
<html lang="en"  xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>登陆</h1>
<hr>
<div style="text-align: center">
    <form action="/login" method="post">
        <span style="color: crimson" th:text="${msg}"></span>
        <p>用户名:<input type="text" name="username"></p>
        <p>密码:<input type="password" name="password"></p>
        <p><input type="submit" value="登陆"></p>
    </form>
</div>
</body>
</html>

前台Shiro标签

guest标签
  <shiro:guest>
  </shiro:guest>
  用户没有身份验证时显示相应信息,即游客访问信息。

user标签
  <shiro:user>  
  </shiro:user>
  用户已经身份验证/记住我登录后显示相应的信息。

authenticated标签
  <shiro:authenticated>  
  </shiro:authenticated>
  用户已经身份验证通过,即Subject.login登录成功,不是记住我登录的。

notAuthenticated标签
  <shiro:notAuthenticated>
  
  </shiro:notAuthenticated>
  用户已经身份验证通过,即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。

principal标签
  <shiro: principal/>
  
  <shiro:principal property="username"/>
  相当于((User)Subject.getPrincipals()).getUsername()。

lacksPermission标签
  <shiro:lacksPermission name="org:create">
 
  </shiro:lacksPermission>
  如果当前Subject没有权限将显示body体内容。

hasRole标签
  <shiro:hasRole name="admin">  
  </shiro:hasRole>
  如果当前Subject有角色将显示body体内容。

hasAnyRoles标签
  <shiro:hasAnyRoles name="admin,user">
   
  </shiro:hasAnyRoles>
  如果当前Subject有任意一个角色(或的关系)将显示body体内容。

lacksRole标签
  <shiro:lacksRole name="abc">  
  </shiro:lacksRole>
  如果当前Subject没有角色将显示body体内容。

hasPermission标签
  <shiro:hasPermission name="user:create">  
  </shiro:hasPermission>

shiro

zmzmmf

zmzmmf

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中,其中有一个页面需要配置为无需登录就能访问,配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径,但是实际访问时,却报如下错误:

杜鲁门 2020-11-05

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

luckyxl0 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

Dullonjiang 2020-08-09

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf 2020-08-03

不用 Spring Security 可否?试试这个小而美的安全框架

写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Ses

MicroBoy 2020-08-02

springboot windows10风格 工作流 整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

ganjing 2020-08-02

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour 2020-08-01

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

zmzmmf 2020-07-09

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理,权限校验有两种方式、角色资源校验、URL校验,如果有

MicroBoy 2020-07-05

springcloud vue.js 微服务 分布式 flowable 工作流 前后分离 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

zzhao 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

子云 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段,那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名,前面自己加上http://头。复制payload,

visionzheng 2020-06-07

Spring Security

Spring家族的安全管理框架,竞品是Shiro。虽然Security功能比Shiro强大,但Spring Boot出现之前,Security的整合比较麻烦,使得大部分项目选择使用Shiro。Spring Boot对于Spring Security提供了自

neweastsun 2020-06-04

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 2020-06-01

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。

ganjing 2020-05-29

Java项目源码 考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理:可以根据条件检索考生成绩,分值排序逆序,查看排名,查看考生试卷信息,查看试题统计图。列表动态滑动放大展示。

zmzmmf 2020-05-28

shiro配置登录验证(前后端分离项目)

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点,首先项目是前后端分离的后台,提供json格式的接口数据,但又是一个web项目,现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的,继承ShiroFilte

nullcy 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:。token可以理解为用户令牌,登录的过程被抽象为S

ganjing 2020-05-22
zmzmmf

zmzmmf

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号