2、可以容易的开发出足够好的应用,既可以在javaee中使用,也可以在javase中使用
3、shiro可以完成,认证、授权、加密、会话管理,web集成、缓存等
2、shiro架构三个常用三大核心对象subject:用户
securitymanager:管理所有用户
readim:连接数据
3、在springboot中使用时,主要可将其看作两个模块(请求过滤模块、认证授权模块)1、认证授权模块:在认证授权模块中主要包含两个方面,分别是认证和授权。认证就是指对用户登录的情况进行判定;授权就是指对当前用户所拥有的角色、权限进行获取并将其交给authoriztioninfo,使其能够将相关信息交给shiro
2、请求过滤模块:根据当前用户所拥有的权限、角色等信息来进行判断是否具有请求的权限(即是否能够请求当前要访问的地址),如果该用户具有访问当前请求地址的权限,则放行,否则进行拦截
3、以上是使用shiro框架进行权限认证拦截的最基本实现,此外还可以通过对密码进行加密,登录次数限流(redis)等功能重写来按照自己实际业务情况进行学习
4、依赖<!-- 后台拦截--> <dependency> <groupid>org.apache.shiro</groupid> <artifactid>shiro-spring</artifactid> <version>1.4.0</version> </dependency>
二、具体使用1、编写配置类(config)1.1、shiro过滤对象(shirofilterfactorybean)@beanpublic shirofilterfactorybean getshirofilterfactorybean(@qualifier(securitymanager) defaultwebsecuritymanager securitymanager){ shirofilterfactirybean bean = new shirofilterfactorybean() //关联securitymanager设置安全管理器 bean.setsecuritymanager(securitymanager) //添加内置过滤器 /* anon:无需过滤就可以访问 authc:必须认证了才可访问(登录后才可访问) user:必须拥有"记住我"功能才可访问 perms:拥有对某个资源的权限才可以访问 role:拥有某个角色权限才可访问 */ map<string,string> filtermap = new linkedhashmap<>(); //拦截 //filtermap.put("页面地址","内置过滤器") //filtermap.put("/user/name","anon") //filtermap.put("/user/book","authc") //具有user:add权限时才可以访问/user/name //perms中的“user:add”与数据库中对应权限要一致 filtermap.put("/user/name","perms[user:add]") //授权,正常情况下,没有授权会跳转到未授权页面 bean.setunauthorizedurl("未授权时跳转的页面") //创建一个过滤器链(其中内容通过map存储) bean.setfilterchaindefinitionmap(filtermap); //设置登录请求(登录的地址添加,当使用"authc"时,如果未登录,则跳转到登录页面) bean.setloginurl("/login") return bean;}
1.2、shiro安全对象(defaultwebsecurity)//@qualifier:引入bena对象@bean(name="securitymanager")public defaultwebsecuritymanager getdefaultwebsecuritymanager(@qualifier("myrealm") myrealm myrealm){ defaultwebsecuritymanager securitymanager = new defaultwebsecurotymanager(); //关联myrealm securitymanager.setrealm(myrealm); return securitymanager;}
1.3、创建realm对象(自定义)//将自定义的realm对象交给spring//@bean(name="myrealm")中name属性不加默认名称为方法名@bean(name="myrealm")public myrealm myrealm(){ return new myrealm();}
2、创建realm对象2.1、自定义realm类去继承authorizingrealm类class myrealm extends authorizingrealm
2.2、重写authorizingrealm中的方法授权:
project athorizationinfo dogetauthorizationinfo(principalcollection principals){ //1、权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission) simpleauthorizationinfo info = new simpleauthorizationinfo(); //2、拿到当前登录的对象信息,通过认证方法simpleauthenticationinfo(第一个参数)已经进行存入 user user =(user)securityutils.getsubject().getprincipal(); //3、将该对象的角色信息进行存入 // 赋予角色 list<role> rolelist = roleservice.listrolesbyuserid(userid); for (role role : rolelist) { info.addrole(role.getname()); } //4、设置该用户的权限 info.addstringpermission(user.getperms()) //5、将该对象的权限信息进行存入(permissionset一个权限信息的集合) info.setstringpermissions(permissionset); return info;}
认证:
project authenticationinfo dogetauthorizationinfo(authenticationtoken token){ //1、拿到用户登陆的信息 usernamepasswordtoken usertoken =(usernamepasswordtoken) token; //2、通过用户名(usertoken.getusername)获取数据库中的对象user //如果获取对象user为空则该用户不从在,返回return null(抛出用户不存在异常) if (user == null) { throw new unknownaccountexception("账号不存在!"); //或直接 return null; } //3、密码认证,有shiro完成(authenticationinfo是一个接口,simpleauthenticationinfo是其接口的实现类) //也可对密码进行加密 如md5 md5盐值 return new simpleauthenticationinfo("用户对象信息(user)","通过用户从数据库中获得的用户密码(user.password)","")}
3、登录用户的信息传入(通过controller获取登录的请求信息)//获取当前用户subject subject = securityutils.getsubject();//封装用户的登录数据(username:用户登陆时传入的账号;password:用户登陆时传入的密码)usernamepasswordtoken token = new usernamepasswordtoken(username,password);//执行登录(如果有异常则登录失败,没有异常则登录成功,在shiro中已经为我们封装了登录相关的异常,直接使用即可)try{ subject.login(token);//执行登录成功后 return "首页"}catch(unknowaccountexception e){//用户名不存在 return "login"}catch(incorrectcredentialsexception e){//密码不存在 return "login"}注意:该方法中登录失败后返回的是跳转的页面,故不可用@responsebody
三、具体实现1、realm实现package com.lingmeng.shiro; import com.lingmeng.pojo.entity.admin;import com.lingmeng.pojo.entity.permission;import com.lingmeng.pojo.entity.role;import com.lingmeng.pojo.resp.baseresp;import com.lingmeng.service.adminservice;import com.lingmeng.service.roleservice;import org.apache.shiro.securityutils;import org.apache.shiro.authc.*;import org.apache.shiro.authz.authorizationinfo;import org.apache.shiro.authz.simpleauthorizationinfo;import org.apache.shiro.realm.authorizingrealm;import org.apache.shiro.subject.principalcollection;import org.apache.shiro.subject.subject;import org.springframework.beans.factory.annotation.autowired; import java.util.hashset;import java.util.set; public class myrealm extends authorizingrealm { @autowired roleservice roleservice; @autowired adminservice adminservice; //授权 @override protected authorizationinfo dogetauthorizationinfo(principalcollection principalcollection) { simpleauthorizationinfo info = new simpleauthorizationinfo(); //获取用户信息 subject subject = securityutils.getsubject(); admin admin =(admin) subject.getprincipal(); //获取用户的权限及角色信息 baseresp baseresp = roleservice.selectone(admin.getusername()); role role = (role) baseresp.getdata(); //将获取的角色及权限进行存入 if (role!=null){ //角色存入 info.addrole(role.getname()); //权限信息进行存入 set<string> perms = new hashset<>(); for (permission perm : role.getperms()) { perms.add(perm.geturl()); } info.setstringpermissions(perms); } return info; } //认证 @override protected authenticationinfo dogetauthenticationinfo(authenticationtoken authenticationtoken) throws authenticationexception { //获取登录信息(登录的账号) string username =(string)authenticationtoken.getprincipal();// usernamepasswordtoken usertoken =(usernamepasswordtoken) authenticationtoken;拿到登录时传入的账号和密码对象 //从数据库中查询该对象的信息 admin admin = adminservice.selectone(username); if (admin==null){ throw new unknownaccountexception("账号不存在"); } return new simpleauthenticationinfo(admin,admin.getpassword(),this.getname()); }}
2、controller实现package com.lingmeng.controller; import com.lingmeng.pojo.entity.admin;import com.lingmeng.pojo.resp.baseresp;import org.apache.shiro.securityutils;import org.apache.shiro.authc.incorrectcredentialsexception;import org.apache.shiro.authc.unknownaccountexception;import org.apache.shiro.authc.usernamepasswordtoken;import org.apache.shiro.subject.subject;import org.springframework.web.bind.annotation.*; @restcontrollerpublic class admincontroller { @postmapping("background/login") public baseresp login(@requestbody admin admin){ subject subject = securityutils.getsubject(); usernamepasswordtoken token = new usernamepasswordtoken(admin.getusername(), admin.getpassword()); try{ subject.login(token); return baseresp.success("登录成功",null,null); }catch (unknownaccountexception e){//账号不存在 return baseresp.fail(201,"账号不存在"); }catch(incorrectcredentialsexception incorrectcredentialsexception){//密码错误 return baseresp.fail(201,"密码错误") ; } } @getmapping("/background/exitlogin") public baseresp exitlogin(){ subject subject = securityutils.getsubject(); system.out.println(subject.getprincipal()); try{ subject.logout();//退出登录 return baseresp.success("退出登录",null,null); }catch(exception e){ return baseresp.fail(202,"退出失败"); } }}
3、config实现package com.lingmeng.config; import com.lingmeng.shiro.myrealm;import org.apache.shiro.spring.web.shirofilterfactorybean;import org.apache.shiro.web.mgt.defaultwebsecuritymanager;import org.springframework.beans.factory.annotation.qualifier;import org.springframework.context.annotation.bean;import org.springframework.context.annotation.configuration; import java.util.linkedhashmap;import java.util.map;@configurationpublic class shiroconfig { @bean public shirofilterfactorybean shirofilterfactorybean(@qualifier("securitymanager") defaultwebsecuritymanager securitymanager){ shirofilterfactorybean bean = new shirofilterfactorybean(); bean.setsecuritymanager(securitymanager); //配置请求拦截并存入map中 /* anon:无需过滤就可以访问 authc:必须认证了才可访问(登录后才可访问) user:必须拥有"记住我"功能才可访问 perms:拥有对某个资源的权限才可以访问 role:拥有某个角色权限才可访问 */ map<string, string> map = new linkedhashmap<>(); map.put("/background/**","authc"); map.put("background/login","anon"); bean.setfilterchaindefinitionmap(map); //设置未授权跳转地址 bean.setunauthorizedurl(""); //设置登录地址 bean.setloginurl("/background/login"); return bean; } @bean("securitymanager") public defaultwebsecuritymanager defaultwebsecuritymanager(@qualifier("myrealm") myrealm myrealm){ return new defaultwebsecuritymanager(myrealm); } @bean() public myrealm myrealm(){ return new myrealm(); }}
以上是一些shiro在springboot中的基本用法,希望能够对大家学习有所帮助(代码中的实体,角色,权限根据自己数据库查询结果进行替换即可)。
以上就是shiro在springboot中如何快速实现的详细内容。