当前位置: 开发笔记 > 运维 > 正文

基于springboot2和shiro实现身份验证案例

作者：好久不见.Mr | 来源：互联网 | 2022-01-12 22:12

这篇文章主要介绍了基于springboot2和shiro实现身份验证案例,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

Shiro是一个功能强大且易于使用的Java安全框架，官网：https://shiro.apache.org/。

主要功能有身份验证、授权、加密和会话管理。

其它特性有Web支持、缓存、测试支持、允许一个用户用另一个用户的身份进行访问、记住我。

Shiro有三个核心组件：Subject，SecurityManager和 Realm。

Subject：即当前操作“用户”，“用户”并不仅仅指人，也可以是第三方进程、后台帐户或其他类似事物。

SecurityManager：安全管理器，Shiro框架的核心，通过SecurityManager来管理所有Subject，并通过它来提供安全管理的各种服务。

Realm：域，充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。当配置Shiro时，必须至少指定一个Realm，用于认证和（或）授权。

Spring Boot 中整合Shiro，根据引入的依赖包shiro-spring和shiro-spring-boot-web-starter（当前版本都是1.4.2）不同有两种不同方法。

方法一：引入依赖包shiro-spring

1、IDEA中创建一个新的SpringBoot项目，pom.xml引用的依赖包如下：


   org.springframework.boot
      spring-boot-starter-web
    

    
      org.apache.shiro
      shiro-spring
      1.4.2

2、创建Realm和配置shiro

（1）创建Realm

package com.example.demo.config;

import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class MyRealm extends AuthorizingRealm {

  /**权限信息，暂不实现*/
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    return null;
  }

  /**身份认证:验证用户输入的账号和密码是否正确。*/
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    //获取用户输入的账号
    String userName = (String) token.getPrincipal();
    //验证用户admin和密码123456是否正确
    if (!"admin".equals(userName)) {
      throw new UnknownAccountException("账户不存在!");
    }
    SimpleAuthenticationInfo authenticatiOnInfo= new SimpleAuthenticationInfo(userName, "123456", getName());
    return authenticationInfo;
    //实际项目中，上面账号从数据库中获取用户对象，再判断是否存在
    /*User user = userService.findByUserName(userName);
    if (user == null) {
      throw new UnknownAccountException("账户不存在!");
    }
    SimpleAuthenticationInfo authenticatiOnInfo= new SimpleAuthenticationInfo(user,user.getPassword(), getName());
    return authenticationInfo;
    */
  }
}

（2）配置Shiro

package com.example.demo.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
  @Bean
  MyRealm myRealm() {
    return new MyRealm();
  }

  @Bean
  DefaultWebSecurityManager securityManager() {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    manager.setRealm(myRealm());
    return manager;
  }

  @Bean
  ShiroFilterFactoryBean shiroFilterFactoryBean() {
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(securityManager());
    //如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
    bean.setLoginUrl("/login");
    //登录成功后要跳转的链接
    bean.setSuccessUrl("/index");
    //未授权界面
    bean.setUnauthorizedUrl("/403");
    //配置不会被拦截的链接
    Map map = new LinkedHashMap<>();
    map.put("/doLogin", "anon");
    map.put("/**", "authc");
    bean.setFilterChainDefinitionMap(map);
    return bean;
  }
}

3、控制器测试方法

package com.example.demo.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class LoginController {

  @GetMapping("/login")
  public String login() {
    return "登录页面...";
  }

  @PostMapping("/doLogin")
  public String doLogin(String userName, String password) {
    Subject subject = SecurityUtils.getSubject();
    try {
      subject.login(new UsernamePasswordToken(userName, password));
      return "登录成功!";
    } catch (UnknownAccountException e) {
      return e.getMessage();
    } catch (AuthenticationException e) {
      return "登陆失败，密码错误!";
    }
  }

  //如果没有先登陆，访问会跳到/login
  @GetMapping("/index")
  public String index() {
    return "index";
  }

  @GetMapping("/403")
  public String unauthorizedRole(){
    return "没有权限";
  }
}

方法二：引入依赖包shiro-spring-boot-web-starter

1、pom.xml中删除shiro-spring，引入shiro-spring-boot-web-starter


      org.springframework.boot
      spring-boot-starter-web
    

    
      org.apache.shiro
      shiro-spring-boot-web-starter
      1.4.2

2、创建Realm和配置shiro

（1）创建Realm，代码和方法一的一样。

（2）配置Shiro

package com.example.demo.config;

import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {
  @Bean
  MyRealm myRealm() {
    return new MyRealm();
  }

  @Bean
  DefaultWebSecurityManager securityManager() {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    manager.setRealm(myRealm());
    return manager;
  }

  @Bean
  ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
    definition.addPathDefinition("/doLogin", "anon");
    definition.addPathDefinition("/**", "authc");
    return definition;
  }
}

（3）application.yml配置

shiro:
 unauthorizedUrl: /403
 successUrl: /index
 loginUrl: /login

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

推荐阅读

port
深入解析Spring AOP框架中的代理对象生成机制

在前文探讨了Spring如何为特定的bean选择合适的通知器后，本文将进一步深入分析Spring AOP框架中代理对象的生成机制。具体而言，我们将详细解析如何通过代理技术将通知器（Advisor）中包含的通知（Advice）应用到目标bean上，以实现切面编程的核心功能。 ... [详细]

蜡笔小新 2024-11-06 10:11:10
service
REST与RPC：选择哪种API架构风格？

在探讨REST与RPC这两种API架构风格的选择时，本文首先介绍了RPC（远程过程调用）的概念。RPC允许客户端通过网络调用远程服务器上的函数或方法，从而实现分布式系统的功能调用。相比之下，REST（Representational State Transfer）则基于资源的交互模型，通过HTTP协议进行数据传输和操作。本文将详细分析两种架构风格的特点、适用场景及其优缺点，帮助开发者根据具体需求做出合适的选择。 ... [详细]

蜡笔小新 2024-11-07 12:00:58
port
如何安全地手动移除Exchange Server 2003以确保系统稳定性和数据完整性

本文详细介绍了如何安全地手动卸载Exchange Server 2003，以确保系统的稳定性和数据的完整性。根据微软官方支持文档（https://support.microsoft.com/kb833396/zh-cn），在进行卸载操作前，需要特别注意备份重要数据，并遵循一系列严格的步骤，以避免对现有网络环境造成不利影响。此外，文章还提供了详细的故障排除指南，帮助管理员在遇到问题时能够迅速解决，确保整个卸载过程顺利进行。 ... [详细]

蜡笔小新 2024-11-06 08:13:47
port
C++ 开发实战：实用技巧与经验分享

C++ 开发实战：实用技巧与经验分享 ... [详细]

蜡笔小新 2024-11-07 20:31:03
port
Hibernate（第四部分）：深入探讨缓存机制与懒加载策略

在探讨Hibernate框架的高级特性时，缓存机制和懒加载策略是提升数据操作效率的关键要素。缓存策略能够显著减少数据库访问次数，从而提高应用性能，特别是在处理频繁访问的数据时。Hibernate提供了多层次的缓存支持，包括一级缓存和二级缓存，以满足不同场景下的需求。懒加载策略则通过按需加载关联对象，进一步优化了资源利用和响应时间。本文将深入分析这些机制的实现原理及其最佳实践。 ... [详细]

蜡笔小新 2024-11-07 16:19:28
port
将密码链接至密码输入框中以增强安全性

在通常情况下，当TextBox的TextMode设置为Password时，直接在后台（.cs文件）绑定值到该文本框是不可行的。然而，在某些场景下，为了增强安全性，需要将密码值安全地传递到密码输入框中。本文介绍了一种方法，通过使用特定的技术手段，实现后台与前端密码输入框的安全绑定，从而提高系统的整体安全性。 ... [详细]

蜡笔小新 2024-11-07 13:59:42
centos
在CentOS 7中配置EPEL、Nux Dextop和ELRepo等多个第三方软件源

在 CentOS 7 中，为了扩展可用软件包的数量，通常需要配置多个第三方软件源。这些第三方源包括 EPEL、Nux Dextop 和 ELRepo 等，它们提供了大量官方源中未包含的软件包，从而增强了系统的功能性和灵活性。通过正确配置这些源，用户可以轻松安装和管理更多种类的软件，满足不同的需求。 ... [详细]

蜡笔小新 2024-11-07 10:18:48
容器
《Spring in Action 第4版：全面解析与实战指南》

《Spring in Action 第4版：全面解析与实战指南》不仅详细介绍了Spring框架的核心优势，如简洁易测试、低耦合特性，还深入探讨了其轻量级和最小侵入性的设计原则。书中强调了声明式编程的优势，并通过基于约定的方法简化开发流程。此外，Spring的模板机制有效减少了重复代码，而依赖注入功能则由容器自动管理，确保了应用的灵活性和可维护性。 ... [详细]

蜡笔小新 2024-11-07 09:21:12
容器
SpringBoot 教程系列（56）：配置SSL证书实现HTTPS安全访问

在日常的项目开发中，测试环境和生产环境通常采用HTTP协议访问服务。然而，从浏览器的角度来看，这种访问方式会被标记为不安全。为了提升安全性，当前大多数生产环境已经转向了HTTPS协议。本文将详细介绍如何在Spring Boot应用中配置SSL证书，以实现HTTPS安全访问。通过这一过程，不仅可以增强数据传输的安全性，还能提高用户对系统的信任度。 ... [详细]

蜡笔小新 2024-11-07 08:56:04
service
SSAS入门指南：基础知识与核心概念解析

### SSAS入门指南：基础知识与核心概念解析Analysis Services 是一种专为决策支持和商业智能（BI）解决方案设计的数据引擎。该引擎能够为报告和客户端应用提供高效的分析数据，并支持在多维数据模型中构建高性能的分析应用。通过其强大的数据处理能力和灵活的数据建模功能，Analysis Services 成为了现代 BI 系统的重要组成部分。 ... [详细]

蜡笔小新 2024-11-07 03:53:06
colors
探索资源访问的学习路径与方法

本文探讨了资源访问的学习路径与方法，旨在帮助学习者更高效地获取和利用各类资源。通过分析不同资源的特点和应用场景，提出了多种实用的学习策略和技术手段，为学习者提供了系统的指导和建议。 ... [详细]

蜡笔小新 2024-11-06 18:03:41
colors
JavaScript XML操作实用工具类：XmlUtilsJS技巧与应用

JavaScript XML操作实用工具类：XmlUtilsJS技巧与应用 ... [详细]

蜡笔小新 2024-11-06 15:15:26
grep
从文本中全面提取所有URL链接

本文探讨了一种高效的方法，用于从大量文本数据中全面提取所有URL链接。通过使用正则表达式和Python编程语言，该方法能够准确识别并提取出各种格式的URL，包括HTTP、HTTPS等常见协议。实验结果表明，该方法在处理大规模文本数据时具有较高的准确率和效率。 ... [详细]

蜡笔小新 2024-11-05 20:35:44
apache
如何在Eclipse中批量转换Java源代码文件的编码格式从GBK到UTF-8

在Eclipse中批量转换Java源代码文件的编码格式从GBK到UTF-8是一项常见的需求。通过编写简单的Java代码，可以高效地实现这一任务。该方法不仅适用于Java文件，还可以用于其他类型的文本文件编码转换。具体实现可以通过导入`java.io.File`类来操作文件系统，从而完成批量转换。此外，建议在转换过程中添加异常处理机制，以确保代码的健壮性和可靠性。 ... [详细]

蜡笔小新 2024-11-05 17:44:15
apache
深入解析CGLIB BeanCopier的应用与优化技巧

本文深入探讨了CGLIB BeanCopier在Bean对象复制中的应用及其优化技巧。相较于Spring的BeanUtils和Apache的BeanUtils，CGLIB BeanCopier在性能上具有显著优势。通过详细分析其内部机制和使用场景，本文提供了多种优化方法，帮助开发者在实际项目中更高效地利用这一工具。此外，文章还讨论了CGLIB BeanCopier在复杂对象结构和大规模数据处理中的表现，为读者提供了实用的参考和建议。 ... [详细]

蜡笔小新 2024-11-04 19:31:32

好久不见.Mr

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章