Spring Boot集成Shiro认证

最新推荐文章于 2025-02-27 23:28:58 发布
原创 最新推荐文章于 2025-02-27 23:28:58 发布 · 1.9k 阅读 · 36 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring boot #后端 #java

在现代Web开发中,安全性是至关重要的。Shiro是一个强大的Java安全框架,提供了认证、授权、加密和会话管理等功能。本文将详细介绍如何在Spring Boot项目中集成Shiro进行用户认证。

一、项目准备

首先,我们需要创建一个Spring Boot项目,并添加必要的依赖。在pom.xml文件中添加Shiro、MyBatis、数据库驱动和Thymeleaf等依赖:

<dependencies>
<!-- Spring Boot Starter Web -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- MyBatis Starter -->
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>1.3.1</version>
</dependency>
<!-- Thymeleaf Starter -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!-- Shiro Spring Integration -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.8.0</version>
</dependency>
<!-- Database Driver (e.g., MySQL) -->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<scope>runtime</scope>
</dependency>
</dependencies>
二、数据库和实体类

创建一个数据库和用户表,用于存储用户信息。例如,一个简单的用户表结构如下:

CREATE TABLE user (
id INT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(50) NOT NULL UNIQUE,
password VARCHAR(100) NOT NULL,
salt VARCHAR(50),
realname VARCHAR(100)
);

然后,在Spring Boot项目中创建一个对应的实体类User,并使用JPA注解进行映射:

import javax.persistence.*;
@Entity
@Table(name = "user")
public class User {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Integer id;
@Column(name = "username")
private String username;
@Column(name = "password")
private String password;
@Column(name = "salt")
private String salt;
@Column(name = "realname")
private String realname;
// Getters and Setters
}
三、配置Shiro

创建一个Shiro配置类ShiroConfig,配置Shiro的安全管理器、Realm和过滤器链:

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
@Configuration
public class ShiroConfig {
@Bean
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(myRealm());
return securityManager;
}
@Bean
public MyRealm myRealm() {
MyRealm realm = new MyRealm();
realm.setCredentialsMatcher(credentialsMatcher());
return realm;
}
@Bean
public HashedCredentialsMatcher credentialsMatcher() {
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("SHA-256");
matcher.setHashIterations(1024);
return matcher;
}
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
shiroFilterFactoryBean.setLoginUrl("/login");
shiroFilterFactoryBean.setSuccessUrl("/");
shiroFilterFactoryBean.setUnauthorizedUrl("/403");
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
filterChainDefinitionMap.put("/css/**", "anon");
filterChainDefinitionMap.put("/js/**", "anon");
filterChainDefinitionMap.put("/fonts/**", "anon");
filterChainDefinitionMap.put("/img/**", "anon");
filterChainDefinitionMap.put("/login", "anon");
filterChainDefinitionMap.put("/logout", "logout");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
}
四、自定义Realm

创建一个自定义的Realm类MyRealm,用于处理用户的认证和授权逻辑:

import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
public class MyRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String) principals.getPrimaryPrincipal();
User user = userService.findByUsername(username);
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.addRoles(user.getRoles());
authorizationInfo.addStringPermissions(user.getPermissions());
return authorizationInfo;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
String username = upToken.getUsername();
User user = userService.findByUsername(username);
if (user == null) {
throw new UnknownAccountException("用户不存在");
}
ByteSource salt = ByteSource.Util.bytes(user.getSalt());
return new SimpleAuthenticationInfo(username, user.getPassword(), salt, getName());
}
}
五、业务层和服务层

创建一个UserService接口和实现类,用于访问数据库中的用户信息:

import org.springframework.stereotype.Service;
import java.util.List;
public interface UserService {
User findByUsername(String username);
// 其他方法...
}
@Service
public class UserServiceImpl implements UserService {
@Autowired
private UserMapper userMapper;
@Override
public User findByUsername(String username) {
List<User> users = userMapper.findAll();
for (User user : users) {
if (user.getUsername().equals(username)) {
return user;
}
}
return null;
}
// 其他实现...
}

创建一个UserMapper接口和对应的XML映射文件,用于MyBatis操作数据库:

import org.apache.ibatis.annotations.Mapper;
import java.util.List;
@Mapper
public interface UserMapper {
List<User> findAll();
}

UserMapper.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">
<select id="findAll" resultType="com.example.demo.beans.User">
SELECT * FROM user
</select>
</mapper>
六、控制器和视图

创建一个控制器类,用于处理登录请求和受保护的资源请求:

package com.bdqn.controller;

import com.bdqn.pojo.Right;
import com.bdqn.pojo.Role;
import com.bdqn.pojo.User;
import com.bdqn.service.RoleService;
import com.bdqn.service.UserService;
import jakarta.annotation.Resource;
import jakarta.servlet.http.HttpSession;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;

import java.util.List;

/**
 * 登录注销相关控制器
 *
 * @author LILIBO
 * @since 2024/9/21
 */
@Controller
public class IndexController {

    @Resource
    private UserService userService;

    @Resource
    private RoleService roleService;

    /**
     * 去登录页
     */
    @GetMapping("/login")
    public String toLogin() {
        return "login";
    }

    /**
     * 执行登录操作
     */
    @PostMapping("/login")
    public String doLogin(HttpSession session, String usrName, String usrPassword, Model model) {
//        User loginUser = userService.login(usrName, usrPassword);
//        session.setAttribute("loginUser", loginUser);
//        return "redirect:/main";
        try {
            UsernamePasswordToken token=new UsernamePasswordToken(usrName,usrPassword);
            Subject subject= SecurityUtils.getSubject();
            subject.login(token);
            // 认证(登录)成功

            User user=(User) subject.getPrincipal();
            Role role  = user.getRole();
            List<Right> rights = roleService.getRigthsByRoleId(role);
            role.getRights().addAll(rights);
            session.setAttribute("loginUser",user);
            return "redirect:/main";
        }catch (UnknownAccountException | IncorrectCredentialsException e){
            model.addAttribute("message","用户名或密码失败,登录失败!");
            return "login";
        }catch (LockedAccountException e){
            model.addAttribute("message","用户被禁用,登录失败!");
            return "login";
        }catch (AuthenticationException e){
            model.addAttribute("message","认证异常,登录失败!");
            return "login";
        }
    }

    /**
     * 跳转到主页
     */
    @GetMapping("/main")
    public String toMain() {
        return "main";
    }

    /**
     * 退出登录
     */
    @GetMapping("/logout")
    public String logout(HttpSession session) {
        session.removeAttribute("loginUser");
        SecurityUtils.getSubject().logout();
        return "redirect:/login";
    }
    @GetMapping("/403")
    public String to403(){
        return "403";
    }


}

利瑞华
关注
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权
m0_52479012的博客
04-13 3621
springboot项目:通过shiro实现用户的认证和授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
低调做人,低调编码,神码都是浮云
04-12 2382
SpringBoot整合Shiro权限控制
springboot----shiro集成
likunpeng6656201的博客
07-27 266
springboot集成shiro相对简单,只需要两个类:一个是shiroConfig类,一个是CustonRealm类。 ShiroConfig类: 顾名思义就是对shiro的一些配置,相对于之前的xml配置。包括:过滤的文件和权限,密码加密的算法,其用注解等相关功能。 CustomRealm类: 自定义的CustomRealm继承AuthorizingRealm。并且重写父类中的doGetA...
Spring Boot整合Apache Shiro权限认证框架(基础篇)
热门推荐
沐雨橙风ιε的博客
07-02 1万+
本文详细介绍了在SpringBoot项目中整合Apache Shiro实现认证和授权的完整流程。主要内容包括:1)创建SpringBoot项目并添加Shiro依赖;2)配置数据库和用户表;3)实现公共响应类和异常处理;4)创建Shiro核心组件(Realm、配置类);5)实现登录认证功能;6)通过权限控制实现接口访问限制。文章提供了完整的代码示例,包括前端页面交互和后端接口实现,并演示了权限验证效果。通过本文可以快速掌握ShiroSpringBoot中的基本应用,为项目添加安全控制层。
SpringBoot整合Shiro
CSH__的博客
07-27 569
SpringBoot整合Shiro
Spring Boot 如何集成Shiro用户认证
censc的博客
12-18 197
#在Spring Boot集成Shiro进行用户的认证过程主要可以归纳为以下三点: 定义一个ShiroConfig,然后配置SecurityManager Bean,SecurityManager为Shiro的安全管理器,管理着所有Subject; 在ShiroConfig中配置ShiroFilterFactoryBean,其为Shiro过滤器工厂类,依赖于SecurityManager; 自定义Realm实现,Realm包含doGetAuthorizationInfo()和doGetAuthentic
Spring Boot集成 Shiro做简单的认证及授权.
zxc_123_789的博客
02-23 409
Spring Boot集成 Shiro做简单的认证及授权. 一. Shiro 三大核心组件 1.Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以...
Spring Boot 集成 Apache Shiro:实现安全认证与授权
最新发布
Myqijiahai的博客
02-27 884
通过本文,我们详细介绍了如何在 Spring Boot 项目中集成 Apache Shiro,实现身份验证、授权和动态权限管理。Shiro 提供了强大的安全功能,结合 Spring Boot 的自动配置和依赖管理,可以快速为应用添加安全防护。
Shiro(二):Spring-boot如何集成Shiro(上)
weixin_30787531的博客
06-17 469
这篇文章主要介绍了spring-boot是如何集成shiro的authentication流程的。 从shiro-spring-boot-web-starter说起 shiro-spring-boot-web-starter是shiro在web环境下快速集成spring-boot的配置包。其本身引入了shiro的必要模块。并在Configuration中以@Bean的形式声明了Shir...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 4341
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
ShiroSpringboot集成Shiro
少年你真的要止步于此嘛。
06-22 2661
Springboot集成Shiro
SpringBoot之整合Shiro(最详细)
Marathon_X的博客
03-08 973
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
springboot整合shiro (一) ShiroConfig配置类编写
m0_67402731的博客
04-08 665
shiro实现用户登录认证需要三个核心api Subject 用户主体 SecurityManager 安全管理器 Realm 连接数据的桥梁 1. 导入shiro的maven依赖 导入shirospring整合的依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
springboot整合shiro,完
weixin_43328357的博客
07-05 341
一、简介 shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 二 、架构思路 从上到下依次说明 1.subject :主体,主体可以是很多,用户或者程序,但是要访问系统必须进行验证和授权。 2.securityManager:安全管理器,里面包括授权和认证的。 3.authenticator:认证器,主体进行认证最终通过authenticator进行的。 4...
Spring Boot Shiro 入门
weixin_42073629的博客
05-04 917
1. 概述 艿艿:本文是《芋道 Spring Boot 安全框架 Spring Security 入门》的姊妹篇,所以开头就“重复”再来一遍,嘿嘿。 基本上,在所有的开发的系统中,都必须做认证(authentication)和授权(authorization),以保证系统的安全性。???? 考虑到很多胖友对认证和授权有点分不清楚,艿艿这里引用一个网上有趣的例子: FROM《认证 (aut...
Shiro安全框架与SpringBoot的整合(下)
qq_53433105的博客
07-26 862
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常容易地开发出足够安全的应用。Shiro的目标是帮助开发者摆脱大量安全相关的编码,使他们能够专注于应用的核心价值。
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 7258
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
Springboot集成shiro框架
weixin_35654814的博客
03-17 1200
Shiro是一个功能强大且易于使用的Java安全框架,可以运行在JavaSE和JavaEE项目中,可执行身份验证、授权、加密和会话管理。
springboot整合shiro 配置详解及原理分析
fl8545的博客
03-23 2042
springboot整合shiro+jwt实现前后端分离认证授权前言问题ShiroFilter什么是ShiroFilterSecurityManager什么是SecurityManager?ShiroConfig写在前面的话:ShiroConfig类:CustomRealm类:shiroConfig原理 前言 最近搞了下shiro安全框架,网上找了好多篇博客,感觉要么都是复制粘贴,要么就是错误百出。至于稍微讲解一下为什么要这么做,就更别说了。这篇文章就教大家如何将 Shiro 整合到 SpringBoot
springboot集成shiro实现用户登录认证
tang_seven的博客
08-11 3411
shiro安全框架入门,集成springboot和mybatis_plus实现登录认证功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值