详解Java springboot 整合Shiro框架
目录
- Shiro介绍
- Springboot整合Shiro
- Shiro整合Thymeleaf
- 总结
Shiro介绍
Shiro是一款安全框架,主要的三个类Subject、SecurityManager、Realm
- Subject:表示当前用户
- SecurityManager:安全管理器,即所有与安全有关的操作都会与SecurityManager交互;且其管理着所有Subject;可以看出它是Shiro的核心,它负责与Shiro的其他组件进行交互,它相当于SpringMVC中DispatcherServlet的角色
- Realm:Shiro从Realm 获取安全数据(如用户、角色、权限)
Shiro框架结构图
Springboot整合Shiro
建项目是勾选spring web,导入依赖
<!-- thymeleaf-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!-- shiro-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.7.1</version>
</dependency>
<!-- lombok-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
<version>1.18.2</version>
</dependency>
<!-- mysql-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<!-- druid-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.0.9</version>
</dependency>
<!-- mybatis-->
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.1</version>
</dependency>
<!-- log4j-->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<!-- thymeleaf、shiro整合包-->
<dependency>
<groupId>com.github.theborakompanioni</groupId>
<artifactId>thymeleaf-extras-shiro</artifactId>
<version>2.0.0</version>
</dependency>
编写页面及其控制层
转发的设置,全部编写在MVCConfig中的前端控制器中
@Configurationpublic class MyMvcConfig implements WebMvcConfigurer { @Override public void addViewControllers(ViewControllerRegistry registry) { registry.addViewController("/").setViewName("index"); registry.addViewController("/login.html").setViewName("login"); registry.addViewController("/user/add").setViewName("user/add"); registry.addViewController("/user/update").setViewName("user/update"); registry.addViewController("/loginout").setViewName("login"); }}
连接数据库
编写application.yml
spring:
datasource:
username: ***
password: ***
url: jdbc:mysql://localhost:3306/db_2?useUnicode=true&characterEncoding=UTF-8&serverTimezone=UTC
driver-class-name: com.mysql.cj.jdbc.Driver
type: com.alibaba.druid.pool.DruidDataSource
initialSize: 5
minIdle: 5
maxActive: 20
maxWait: 60000
timeBetweenEvictionRunsMillis: 60000
minEvictableIdleTimeMillis: 300000
validationQuery: SELECT 1 FROM DUAL
testWhileIdle: true
testOnBorrow: false
testOnReturn: false
poolPreparedStatements: true
filters: stat,wall,log4j
maxPoolPreparedStatementPerConnectionSize: 20
useGlobalDataSourceStat: true
connectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=500
mybatis:
type-aliases-package: com.example.demo.pojo
编写 pojo、dao、service三层,dao层可以直接使Mybatis的注解。
需要的方法就是findByName(String username),通过表单传入的username值进行查询。
编写UserRealm 需要继承AuthorizingRealm
public class UserRealm extends AuthorizingRealm {
@Autowired
private IuserService iuserService;
// 授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("===>授权");
SimpleAuthorizationInfo Info = new SimpleAuthorizationInfo();
// 获取登录对象
Subject subject = SecurityUtils.getSubject();
user principal = (user) subject.getPrincipal();//拿到user
Info.addStringPermission(principal.getPerms());
return Info;
}
// 认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("==>认证");
UsernamePasswordToken authenticationToken1 = (UsernamePasswordToken) authenticationToken;
user byName = iuserService.findByName(authenticationToken1.getUsername());
if(byName==null){
return null;//抛出用户名错误的异常
}
//密码认证shiro自己完成 将user对象 传递给上面的方法进行授权
return new SimpleAuthenticationInfo(byName,byName.getPassword(),"");
}
}
代码的分析:
认证部分:
将表单提交的数据封装成一个对象,通过username从数据库中查询返回一个对象,进行比对
最后将这个查询的对象传递给授权方法。
授权部分:
获取到用户对象,给用户对象进行相应的授权。(传递的user对象中就有权限设置)
编写ShiroConfig
@Configuration
public class ShiroConfig {
@Bean //创建对象
public UserRealm userRealm(){
return new UserRealm();
}
@Bean //接管对象 @Bean 默认使用方法名称
public DefaultWebSecurityManager securityManager(@Qualifier("userRealm") Realm realm){
DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
defaultWebSecurityManager.setRealm(realm);
return defaultWebSecurityManager;
}
@Bean //交给前端处理
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);
HashMap<String, String> hashMap = new HashMap<>();
// 该路径 必须通过认证 才能进行访问
hashMap.put("/user/*","authc");
// 进行授权
hashMap.put("/user/add","perms[add]");
hashMap.put("/user/update","perms[update]");
// 注销
hashMap.put("/logout","logout");
shiroFilterFactoryBean.setFilterChainDefinitionMap(hashMap);
// 设置登录页面的路径
shiroFilterFactoryBean.setLoginUrl("/login.html");
// 设置授权页面
shiroFilterFactoryBean.setUnauthorizedUrl("/noLogin");
return shiroFilterFactoryBean;
}
// 完成整合
@Bean
public ShiroDialect getShiroDialect(){
return new ShiroDialect();
}
}
代码分析
在这个配置类中,配置的方法就是ioc注入。
ShiroFilterFactoryBean中可以配置
- 资源路径对应的权限
- 登陆页面
- 权限不足 无法访问的页面路径
- 注销
补充: 拦截的属性
- anon: 无需认证就可以访问
- authc: 必须认证了才能访问
- user: 必须拥有记住我功能才能用
- perms: 拥有对某个资源的权限才能访问
- role: 拥有某个角色权限
编写控制层代码
@Controller
public class logincontroller {
// 执行流程 前端表单-》控制层代码-》config
@PostMapping("/login")
public String login(String username, String password, Model model){
// 获取一个用户
Subject subject = SecurityUtils.getSubject();
// 封装用户登陆数据
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
// 执行登录方法,如果失败就会抛出异常
try{
subject.login(usernamePasswordToken);
return "index";
}catch (UnknownAccountException e){
model.addAttribute("msg","用户名错误");
return "login";
}catch (IncorrectCredentialsException e){
model.addAttribute("msg","密码错误");
return "login";
}
}
@GetMapping("/noLogin")
@ResponseBody
public String nologin(){return "未经授权 无法访问";}
}
代码分析:
login方法:获取从表单传递的数据,封装从UsernamePasswordToken对象,调用login方法进行登录操作
Shiro整合Thymeleaf
在ShiroConfig需要整合ShiroDialect
// 完成整合
@Bean
public ShiroDialect getShiroDialect(){
return new ShiroDialect();
}
约束
xmlns:shiro="http://www.pollix.at/thymeleaf/shiro"
使用方法
shiro:notAuthenticated:没有进行登录 显示shiro:authenticated:已经登陆 显示shiro:hasPermission="A"用户存在A的权限则显示
示例代码:
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>首页</h1>
<div shiro:notAuthenticated>
<a th:href="@{/login.html}">登录</a>
</div>
<div shiro:authenticated>
<a th:href="@{/logout}">注销</a>
</div>
<div shiro:hasPermission="add">
<a th:href="@{/user/add}">ADD</a>
</div>
<div shiro:hasPermission="update">
<a th:href="@{/user/update}">UPDATE</a>
</div>
</body>
</html>
总结
登录的流程:login表单-》loginController-》ShiroConfig-》UserRealm
效果:
点击登录,控制台会显示
进入add/update的页面,也会打印"===>授权",这个也证明了登录的执行流程
本篇文章就到这里了,希望能够给你带来帮助,也希望您能够多多关注我们的更多内容!
相关推荐
-
springboot2.x整合shiro权限框架的使用
序 在实际项目中,经常需要用到角色权限区分,以此来为不同的角色赋予不同的权利,分配不同的任务.比如,普通用户只能浏览:会员可以浏览和评论:超级会员可以浏览.评论和看视频课等:实际应用场景很多.毫不夸张的说,几乎每个完整的项目都会设计到权限管理. 在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是由于 Spring Security 过于庞大和复杂,只要能满足业务需要,大多数公司还是会选择 Apache Shiro 来使用. 一般来说,Spri
-
Java安全框架——Shiro的使用详解(附springboot整合Shiro的demo)
Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理 三个核心组件:Subject, SecurityManager 和 Realms Subject代表了当前用户的安全操作 SecurityManager管理所有用户的安全操作,是Shiro框架的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务. Realm充当了Shiro与应用安全数据间的"桥梁"或者"连接器&q
-
SpringBoot整合Shiro框架,实现用户权限管理
一.Shiro简介 核心角色 1)Subject:认证主体 代表当前系统的使用者,就是用户,在Shiro的认证中,认证主体通常就是userName和passWord,或者其他用户相关的唯一标识. 2)SecurityManager:安全管理器 Shiro架构中最核心的组件,通过它可以协调其他组件完成用户认证和授权.实际上,SecurityManager就是Shiro框架的控制器. 3)Realm:域对象 定义了访问数据的方式,用来连接不同的数据源,如:关系数据库,配置文件等等. 核心理念 Shi
-
SpringBoot配置shiro安全框架的实现
首先引入pom <!--SpringBoot 2.1.0--> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.0.RELEASE</version> </parent> <!--shiro--> &l
-
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
GitHub源码地址:知了一笑 https://github.com/cicadasmile/middle-ware-parent 一.Shiro简介 1.基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.作为一款安全框架Shiro的设计相当巧妙.Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中. 2.核心角色 1)Subject:认证主体 代表当前系统的使用者,就是用户,在Shiro的认证中,
-
详解Java springboot 整合Shiro框架
目录 Shiro介绍 Springboot整合Shiro Shiro整合Thymeleaf 总结 Shiro介绍 Shiro是一款安全框架,主要的三个类Subject.SecurityManager.Realm Subject:表示当前用户 SecurityManager:安全管理器,即所有与安全有关的操作都会与SecurityManager交互:且其管理着所有Subject:可以看出它是Shiro的核心,它负责与Shiro的其他组件进行交互,它相当于SpringMVC中DispatcherSe
-
详解Java单元测试之Junit框架使用教程
目录 单元测试 Junit单元测试框架 单元测试快速入门 单元测试 单元测试就是针对最小的功能单元编写测试代码,Java程序最小的功能单元是方法,因此,单元测试就是针对Java方法的测试,进而检查方法的正确性 目前测试方法是怎么进行的,存在什么问题? 1.只有一个main方法,如果一个方法的测试失败了,其他方法测试会受到影响 2.无法得到测试的结果报告,需要程序员自己去观察测试是否成功 3.无法实现自动化测试 Junit单元测试框架 1.Junit是使用Java语言实现的单元测试框架,它是开源的
-
SpringBoot整合Shiro的代码详解
shiro是一个权限框架,具体的使用可以查看其官网 http://shiro.apache.org/ 它提供了很方便的权限认证和登录的功能. 而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot结合springmvc,mybatis,整合shiro完成对于用户登录的判定和权限的验证. 1.准备数据库表结构 这里主要涉及到五张表:用户表,角色表(用户所拥有的角色),权限表(角色所涉及到的权限),用户-角色表(用户和角色是多对多的),角色-权限表
-
SpringBoot整合Shiro的方法详解
目录 1.Shito简介 1.1 什么是shiro 1.2 有哪些功能 2.QuickStart 3.SpringBoot中集成 1.导入shiro相关依赖 2.自定义UserRealm 3.定义shiroConfig 4.新建页面进行测试 1.Shito简介 1.1 什么是shiro Apache Shiro是一个java安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在javase环境,也可以用在javaee环境 shiro可以完成,认证,授权,加密,会话管理,we
-
springboot整合shiro的过程详解
目录 什么是 Shiro Shiro 架构 Shiro 架构图 Shiro 工作原理 Shiro 详细架构图 springboot 整合 shiro springboot 整合 shiro 思路 项目搭建 主要依赖 数据库表设计 实体类 自定义 Realm shiro 的配置类 ShiroFilterFactoryBean 过滤器链配置中的 url 匹配规则 ShiroFilterFactoryBean 过滤器 ShiroFilterFactoryBean 过滤器分类 前端页面 登录页面 log
-
SpringBoot详解如何进行整合Druid数据源
目录 1.自定义方式 1.添加依赖 2.编写配置 3.测试 2.starter方式(推荐) 1.添加依赖 2.编写配置 3.测试 Druid是数据库连接池,它能够提供强大的监控和扩展功能.官方文档 Spring Boot整合第三方技术的两种方式: 自定义 找starter场景 1.自定义方式 使用自定义方式整合Druid 1.添加依赖 在pom.xml添加相关依赖 <!--数据库相关--> <dependency> <groupId>org.springframewor
-
详解Java Socket通信封装MIna框架
核心类 IoService :Mina中将服务端和客户端都看成是服务,这里提供统一接口IoService,这个接口的作用就是用来处理套接字机制.也正是IoService来监听消息返回消息这些步骤,可以说IoService就是我们Mina中核心 IoProcessor:这个接口在另一个线程上,负责检查是否有数据在通道上读写,也就是说它也拥有自己的Selector,这是与我们使用JAVA NIO 编码时的一个不同之处,通常在JAVA NIO 编码中,我们都是使用一个Selector,也就是不区分Io
-
详解Java 中的UnitTest 和 PowerMock
学习一门计算机语言,我觉得除了学习它的语法外,最重要的就是要学习怎么在这个语言环境下进行单元测试,因为单元测试能帮你提早发现错误:同时给你的程序加一道防护网,防止你的修改破坏了原有的功能:单元测试还能指引你写出更好的代码,毕竟不能被测试的代码一定不是好代码:除此之外,它还能增加你的自信,能勇敢的说出「我的程序没有bug」. 每个语言都有其常用的单元测试框架,本文主要介绍在 Java 中,我们如何使用 PowerMock,来解决我们在写单元测试时遇到的问题,从 Mock 这个词可以看出,这类问题主