简介:

  Apache Shiro 是一一个开源的轻量级的Java安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。

  相对于Spring Security, Shiro框架更加直观、易用,同时也能提供健壮的安全性。在传统的SSM框架中,手动整合Shiro的配置步骤还是比较多的,针对Spring Boot, Shiro 官方提供了shiro-spring-boot-web-starter 用来简化Shiro 在Spring Boot 中的配置。

pom.xml

<dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring-boot-web-starter</artifactId>  //已经依赖spring-boot-web-starter

            <version>1.4.0</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-thymeleaf</artifactId>

        </dependency>

        <dependency>

            <groupId>com.github.theborakompanioni</groupId>

            <artifactId>thymeleaf-extras-shiro</artifactId>

            <version>2.0.0</version>

        </dependency>

application.properties

#开启shiro
shiro.enabled=true

#开启shiro web
shiro.web.enabled=true

#登陆地址,默认/login.jsp
shiro.loginUrl=/login

#登陆成功地址
shiro.successUrl=/index

#未获授权跳转地址
shiro.unauthorizedUrl=/unauthorized

#是否允许通过url进行会话跟踪,默认true
shiro.sessionManager.sessionIdUrlRewritingEnabled=true

#是否允许通过Cookie实现会话跟踪
shiro.sessionManager.sessionIdCookieEnabled=true

配置shiro

@Configuration

public class ShiroConfig {

    @Bean

    public Realm realm() {//添加用户

        TextConfigurationRealm realm = new TextConfigurationRealm();

        realm.setUserDefinitions("sang=123,user\n admin=123,admin"); //添加用户名+密码+角色

        realm.setRoleDefinitions("admin=read,write\n user=read");  //添加权限

        return realm;

    }

    
@Bean  #添加过滤规则
public ShiroFilterChainDefinition shiroFilterChainDefinition() {

        DefaultShiroFilterChainDefinition chainDefinition =

                new DefaultShiroFilterChainDefinition();

        chainDefinition.addPathDefinition("/login", "anon");    //可以匿名访问

        chainDefinition.addPathDefinition("/doLogin", "anon"); //同上

        chainDefinition.addPathDefinition("/logout", "logout"); //注销登陆

        chainDefinition.addPathDefinition("/**", "authc");      //其余请求都需要认证后擦可以访问

        return chainDefinition;

    }

    @Bean

    public ShiroDialect shiroDialect() {  //可以在Thymeleaf中使用shiro标签

        return new ShiroDialect();

    }

}

controller:

@Controller

public class UserController {
  @GetMapping("/hello")
  public String hello() {
      return "hello shiro!";
  }
    @PostMapping("/doLogin")

    public String doLogin(String username, String password, Model model) {

        UsernamePasswordToken token =

                new UsernamePasswordToken(username, password);

        Subject subject = SecurityUtils.getSubject();

        try {

            subject.login(token);      //登陆

        } catch (AuthenticationException e) {

            model.addAttribute("error", "用户名或密码输入错误!");

            return "login";

        }

        return "redirect:/index";

    }


    @RequiresRoles("admin")    //admin角色

    @GetMapping("/admin")

    public String admin() {

        return "admin";

    }


    @RequiresRoles(value = {"admin","user"},logical = Logical.OR)    //admin或者user任意一个都可以

    @GetMapping("/user")

    public String user() {

        return "user";

    }

}

对于不需要角色就可以访问的页面

@Configuration

public class WebMvcConfig implements WebMvcConfigurer{

    @Override

    public void addViewControllers(ViewControllerRegistry registry) {

        registry.addViewController("/login").setViewName("login");

        registry.addViewController("/index").setViewName("index");

        registry.addViewController("/unauthorized").setViewName("unauthorized");

    }

}

全局异常处理:

@ControllerAdvice

public class ExceptionController {

    @ExceptionHandler(AuthorizationException.class)

    public ModelAndView error(AuthorizationException e) {

        ModelAndView mv = new ModelAndView("unauthorized");

        mv.addObject("error", e.getMessage());

        return mv;

    }

}

新建5个页面:

admin.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<h1>管理员页面</h1>

</body>

</html>

index.html

<!DOCTYPE html>

<html lang="en" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<h3>Hello, <shiro:principal/></h3>

<h3><a href="/logout">注销登录</a></h3>

<h3><a shiro:hasRole="admin" href="/admin">管理员页面</a></h3>

<h3><a shiro:hasAnyRoles="admin,user" href="/user">普通用户页面</a></h3>

</body>

</html>

login.html

<!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<div>

    <form action="/doLogin" method="post">

        <input type="text" name="username"><br>

        <input type="password" name="password"><br>

        <div th:text="${error}"></div>

        <input type="submit" value="登录">

    </form>

</div>

</body>

</html>

unauthorized.html

<!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<div>

    <h3>未获授权,非法访问</h3>

    <h3 th:text="${error}"></h3>

</div>

</body>

</html>

user.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<h1>普通用户页面</h1>

</body>

</html>

访问http://localhost:8080/login

由于上面的shiro配置,可以匿名访问

输入我们在shiro配置的2用户

 sang/123

 admin/123

不同角色,权限不一样,页面也不一样

SpringBoot安全管理--(三)整合shiro的更多相关文章

  1. SpringBoot 优雅的整合 Shiro

    Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理.借助Shiro易于理解的API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最 ...

  2. 在 springboot 中如何整合 shiro 应用 ?

     Shiro是Apache下的一个开源项目,我们称之为Apache Shiro. 它是一个很易用与Java项目的的安全框架,提供了认证.授权.加密.会话管理,与spring Security 一样都是 ...

  3. SpringBoot学习:整合shiro(身份认证和权限认证),使用EhCache缓存

    项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 (一)在pom.xml中添加依赖: <properties> <shi ...

  4. SpringBoot学习:整合shiro自动登录功能(rememberMe记住我功能)

    首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cooki ...

  5. SpringBoot学习:整合shiro(rememberMe记住我后自动登录session失效解决办法)

    项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 定义一个拦截器,判断用户是通过记住我登录时,查询数据库后台自动登录,同时把用户放入ses ...

  6. SpringBoot学习:整合shiro(验证码功能和登录次数限制功能)

    项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 (一)验证码 首先login.jsp里增加了获取验证码图片的标签: <body s ...

  7. SpringBoot学习:整合shiro(rememberMe记住我功能)

    项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; ...

  8. SpringBoot整合Shiro (二)

    Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码学和会话管理.相比较Spring Security,shiro有小巧.简单.易上手等的优点.所以很多框架都在使用sh ...

  9. SpringBoot整合Shiro 三:整合Mybatis

    搭建环境见: SpringBoot整合Shiro 一:搭建环境 shiro配置类见: SpringBoot整合Shiro 二:Shiro配置类 整合Mybatis 添加Maven依赖 mysql.dr ...

随机推荐

  1. [bzoj4568] [loj#2013] [Scoi2016] 幸运数字

    Description \(A\) 国共有 \(n\) 座城市,这些城市由 \(n-1\) 条道路相连,使得任意两座城市可以互达,且路径唯一.每座城市都有一个幸运数字,以纪念碑的形式矗立在这座城市的正 ...

  2. EFCore-脚手架Scaffold发生Build Failed问题的终极解决

    大家在使用EntityFrameworkCore的DBFirst的脚手架(Scaffolding)时应该遇到过Build Failed的错误,而没有任何提示,我也遇到过不少次,目前已经完美解决并将排查 ...

  3. python条件与循环-循环

    1 while语句 while用于实现循环语句,通过判断条件是否为真,来决定是否继续执行. 1.1 一般语法 语法如下: while expression: suite_to_repeat 1.2 计 ...

  4. URL方案最佳做法|高级路由特性 | 精通ASP-NET-MVC-5-弗瑞曼

    使 URL整洁和人性化 GET(安全交互)和POST(不安全交互):选用正确的一个.

  5. python中的dumps和loads区别

    一.概念理解 json是一种轻量级的数据交换格式,对象由花括号括起来的逗号分割的成员构成,成员是字符串键和上文所述的值由逗号分割的键值对组成,如:{"name":"cct ...

  6. python从excel中读取数据传给其他函数使用

    首先安装xlrd库 pip install xlrd 方法1: 表格内容如下: 场景描述,读取该表格A列数据,然后打印出数据 代码何解析如下: import xlrd #引入xlrd库 def exc ...

  7. 龙芯 fedora28 安装指南

    版权声明:原创文章,未经博主允许不得转载 关于硬件 龙芯3号的板子安装系统都差不多,我分别在 Lemote A1310 和 Lemote A1901 上都尝试过. 本文主要依据 Lemote A190 ...

  8. 每日一技|巧用 Telnet 调试 Dubbo 服务

    个人博客地址 studyidea.cn,点击查看更多原创文章 0x00. 前言 想象这样一个场景,线上某个服务突发异常,导致上游服务调用异常,数据处于中间状态.服务恢复之后,我们需要修复这笔数据至正常 ...

  9. Ubuntu安装openjdk8

    sudo apt-get update sudo apt-get install openjdk-8-jdk 通过 which java 找到java安装路径 添加环境变量 sudo vim ~/.b ...

  10. 基于Arduino开发的简易“高水位报警系统解决方案”

    长期以来,针对“某些办公室空调没有排水系统,只能用水桶接水,经常造成水漫金山的问题”而提出来的. 材料:Arduino开发板一块.水位传感器一个.高电平蜂鸣器一个.杜邦线若干. 原理:将水位传感器置于 ...