博客
关于我
springboot整合Shiro
阅读量:660 次
发布时间:2019-03-15

本文共 5195 字,大约阅读时间需要 17 分钟。

Apache Shiro与Spring Boot集成实践指南

1.1 Shiro的三大核心概念

1.1.1 Subject

Subject是用户代表,任何与应用交互的主体都可视为Subject,包括用户、爬虫、机器人等。它与SecurityManager保持关联,所有安全交互都通过SecurityManager处理。

1.1.2 SecurityManager

作为Shiro的核心,SecurityManager管理所有Subject的安全交互,承担身份验证、权限验证等核心任务,类似于Spring MVC中的DispatcherServlet。

1.1.3 Realm

Realm是Shiro获取安全数据的源,用来从数据库或其他数据源获取用户的认证信息和权限。它类似于数据源,又类似于Spring中的DataSources。

2 Shiro的核心功能

2.1身份认证

通过验证用户凭证,确认用户身份的合法性。

2.2权限验证

确认已认证用户对特定资源的访问权限。

2.3会话管理

维护用户在应用中的会话信息,支持多种环境的会话管理。

2.4数据加密

保障敏感数据的安全性,例如密码加密存储。

2.5缓存机制

缓存用户信息等常用数据,提升应用性能。

2.6并发安全

支持多线程环境下的安全交互,确保多个线程间的权限传播。

3 Spring Boot整合Shiro

3.1导入依赖

       
    
     org.apache.shiro
        
    
     shiro-spring
        
    
     1.7.1

3.2配置javaConfig

配置ShiroFilterFactoryBean、DefaultWebSecurityManager和Realm,通过注解方式管理相关Bean的生命周期。

3.3拦截器分类

dest NJ、campusservices、noSession等主要拦截器类别。

3.4javaConfig示例

@Configurationpublic class ShiroConfig {    @Bean    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Autowired DefaultWebSecurityManager securityManager) {        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();        filterFactoryBean.setSecurityManager(securityManager);        Map
   
     filterChainDefinitionMap = new LinkedHashMap<>();        filterChainDefinitionMap.put("/user/add", "authc");        filterChainDefinitionMap.put("/user/update", "authc");        filterChainDefinitionMap.put("/user/*", "authc");        filterChainDefinitionMap.put("/logout", "logout");        filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);        filterFactoryBean.setLoginUrl("/toLogin");        filterFactoryBean.setUnauthorizedUrl("/unauth");        return filterFactoryBean;    }    @Bean    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Autowired UserRealm userRealm) {        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();        securityManager.setRealm(userRealm);        return securityManager;    }    @Bean    public UserRealm userRealm() {        return new UserRealm();    }}

3.5 Realm实现

public class UserRealm extends AuthorizingRealm {    @Autowired    private UserService userService;    @Override    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();        Subject currentUser = SecurityUtils.getSubject();        String username = currentUser.getPrincipal().toString();        User user = userService.getByUsername(username);        if (!StringUtils.isBlank(user.getPerm())) {            String[] perms = user.getPerm().split(",");            List
   
     permList = new ArrayList<>();            Collections.addAll(permList, perms);            authorizationInfo.addStringPermissions(permList);        }        return authorizationInfo;    }    @Override    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {        UsernamePasswordToken wpToken = (UsernamePasswordToken) token;        String username = wpToken.getUsername();        User user = userService.getByUsername(username);        if (user == null) {            throw new UnknownAccountException(username);        }        return new SimpleAuthenticationInfo(username, user.getPassword(), "");    }}

3.6Controller实现

@Controllerpublic class MyController {    @RequestMapping("/toLogin")    public String toLogin() {        return "login";    }    @RequestMapping({"/", "/index"})    public String toIndex(Model model) {        model.addAttribute("msg", "Hello,Shiro");        return "index";    }    @RequestMapping("/user/add")    public String addUser() {        return "user/add";    }    @RequestMapping("/user/update")    public String updateUser() {        return "user/update";    }    @PostMapping("/login")    public String login(String username, String password, Model model) {        UsernamePasswordToken token = new UsernamePasswordToken(username, password);        Subject currentUser = SecurityUtils.getSubject();        try {            currentUser.login(token);            Session session = currentUser.getSession();            session.setAttribute("username", username);            return "index";        } catch (UnknownAccountException uae) {            model.addAttribute("msg", token.getPrincipal() + "用户名不匹配");            return "login";        } catch (IncorrectCredentialsException ice) {            model.addAttribute("msg", token.getPrincipal() + "密码错误");            return "login";        }    }    @ResponseBody    @RequestMapping("/unauth")    public String unAuth() {        return "未经授权";    }    @RequestMapping("/logout")    public String logout() {        return "/login";    }}

4 Shiro的"记住我"功能实现

通过配置RememberMe cookie,实现用户自动登录功能。

5 Shiro与Thymeleaf的整合

5.1依赖管理

       
    
     com.github.theborakompanioni
        
    
     thymeleaf-extras-shiro
        
    
     2.0.0

5.2页面命名空间

        
       
   
    管理员界面
   
    
       
   
    
        
        
   
    
       
   
    
    
   
    
       
   
    具有更新权限的用户可以访问

6 实际案例

配置完成后,依次访问各资源,观察Shiro的拦截和授权效果,验证配置是否正确。

通过以上步骤,你可以完成Spring Boot与Shiro的成功集成,实现用户认证、权限管理和记住我等功能,同时结合Thymeleaf实现动态页面展示。

转载地址:http://hcbmz.baihongyu.com/

你可能感兴趣的文章
PHP源码安装后如何新增模块
查看>>
php源码详细安装步骤,linux下php源码安装步骤
查看>>
php漏洞tips
查看>>
php版Zencoding之 phpstorm
查看>>
PHP版本升级5.4手记
查看>>
php版本升级总结
查看>>
php版本微信公众号开发
查看>>
php版的微信公众号开发演示
查看>>
php生成html文件的多种方法介绍
查看>>
php生成二维码到图片上
查看>>
php生成二维码并下载图片(适应于框架)
查看>>
PHP生成及获取JSON文件的方法
查看>>
PHP生成唯一不重复的编号
查看>>
PHP生成器-动态生成内容的数组
查看>>
php用户量剧增导致cpu100%解决办法
查看>>
PHP的ip2long和long2ip升级函数
查看>>
PHP的json_encode函数应用到微信接口问题(include \uxxxx will create fail)
查看>>
PHP的readfile函数和file_get_contents函数错误: Unable to find the wrapper "https"
查看>>
php的web路径获取
查看>>
php的一些小笔记--字符串
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2026-06-19 03:46:30   当前IP: 10.8.248.218   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2025 baihongyu.com 京ICP备2021015314号-2