基于spring boot 2和shiro实现身份验证案例

更新时间：2020年04月23日 09:15:15 投稿：yaominghui

这篇文章主要介绍了基于spring boot 2和shiro实现身份验证案例,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

Shiro是一个功能强大且易于使用的Java安全框架，官网：https://shiro.apache.org/。

主要功能有身份验证、授权、加密和会话管理。

其它特性有Web支持、缓存、测试支持、允许一个用户用另一个用户的身份进行访问、记住我。

Shiro有三个核心组件：Subject，SecurityManager和 Realm。

Subject：即当前操作“用户”，“用户”并不仅仅指人，也可以是第三方进程、后台帐户或其他类似事物。

SecurityManager：安全管理器，Shiro框架的核心，通过SecurityManager来管理所有Subject，并通过它来提供安全管理的各种服务。

Realm：域，充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。当配置Shiro时，必须至少指定一个Realm，用于认证和（或）授权。

Spring Boot 中整合Shiro，根据引入的依赖包shiro-spring和shiro-spring-boot-web-starter（当前版本都是1.4.2）不同有两种不同方法。

方法一：引入依赖包shiro-spring

1、IDEA中创建一个新的SpringBoot项目，pom.xml引用的依赖包如下：

<dependency>
   <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>1.4.2</version>
    </dependency>

2、创建Realm和配置shiro

（1）创建Realm

package com.example.demo.config;

import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class MyRealm extends AuthorizingRealm {

  /**权限信息，暂不实现*/
  @Override
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    return null;
  }

  /**身份认证:验证用户输入的账号和密码是否正确。*/
  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    //获取用户输入的账号
    String userName = (String) token.getPrincipal();
    //验证用户admin和密码123456是否正确
    if (!"admin".equals(userName)) {
      throw new UnknownAccountException("账户不存在!");
    }
    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName, "123456", getName());
    return authenticationInfo;
    //实际项目中，上面账号从数据库中获取用户对象，再判断是否存在
    /*User user = userService.findByUserName(userName);
    if (user == null) {
      throw new UnknownAccountException("账户不存在!");
    }
    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user,user.getPassword(), getName());
    return authenticationInfo;
    */
  }
}

（2）配置Shiro

package com.example.demo.config;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
  @Bean
  MyRealm myRealm() {
    return new MyRealm();
  }

  @Bean
  DefaultWebSecurityManager securityManager() {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    manager.setRealm(myRealm());
    return manager;
  }

  @Bean
  ShiroFilterFactoryBean shiroFilterFactoryBean() {
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(securityManager());
    //如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
    bean.setLoginUrl("/login");
    //登录成功后要跳转的链接
    bean.setSuccessUrl("/index");
    //未授权界面
    bean.setUnauthorizedUrl("/403");
    //配置不会被拦截的链接
    Map<String, String> map = new LinkedHashMap<>();
    map.put("/doLogin", "anon");
    map.put("/**", "authc");
    bean.setFilterChainDefinitionMap(map);
    return bean;
  }
}

3、控制器测试方法

package com.example.demo.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class LoginController {

  @GetMapping("/login")
  public String login() {
    return "登录页面...";
  }

  @PostMapping("/doLogin")
  public String doLogin(String userName, String password) {
    Subject subject = SecurityUtils.getSubject();
    try {
      subject.login(new UsernamePasswordToken(userName, password));
      return "登录成功!";
    } catch (UnknownAccountException e) {
      return e.getMessage();
    } catch (AuthenticationException e) {
      return "登陆失败，密码错误!";
    }
  }

  //如果没有先登陆，访问会跳到/login
  @GetMapping("/index")
  public String index() {
    return "index";
  }

  @GetMapping("/403")
  public String unauthorizedRole(){
    return "没有权限";
  }
}

方法二：引入依赖包shiro-spring-boot-web-starter

1、pom.xml中删除shiro-spring，引入shiro-spring-boot-web-starter

<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring-boot-web-starter</artifactId>
      <version>1.4.2</version>
    </dependency>

2、创建Realm和配置shiro

（1）创建Realm，代码和方法一的一样。

（2）配置Shiro

package com.example.demo.config;

import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {
  @Bean
  MyRealm myRealm() {
    return new MyRealm();
  }

  @Bean
  DefaultWebSecurityManager securityManager() {
    DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
    manager.setRealm(myRealm());
    return manager;
  }

  @Bean
  ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
    definition.addPathDefinition("/doLogin", "anon");
    definition.addPathDefinition("/**", "authc");
    return definition;
  }
}

（3）application.yml配置

shiro:
 unauthorizedUrl: /403
 successUrl: /index
 loginUrl: /login

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

java使用dom4j生成与解析xml文档的方法示例
这篇文章主要介绍了java使用dom4j生成与解析xml文档的方法,结合实例形式分析了java基于dom4j操作xml节点生成xml文档以及解析xml文档的相关操作技巧,需要的朋友可以参考下
2017-07-07
Eureka源码解析服务离线状态变更
这篇文章主要为大家介绍了Eureka源码解析服务离线的状态变更示例，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-10-10
java中的String定义的字面量最大长度是多少
这篇文章主要介绍了java中的String定义的字面量最大长度是多少，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-12-12
一文带你搞懂Java中的泛型和通配符
泛型机制在项目中一直都在使用，甚至很多源码中都用到了泛型机制。但是里面很多的机制和特性一直没有明白，尤其通配符这块，经常忘记。本文对此做了一些总结，具有一定借鉴价值，希望有所帮助
2022-09-09
IDEA打包的两种方式及注意事项说明
这篇文章主要介绍了IDEA打包的两种方式及注意事项说明，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-04-04
jar包加密方案分享
如何对jar包进行加密呢？其实没有想象中的那么困难，有一款开源工具已经提供了较为完善的加密方案，这款开源工具的名字叫做xjar。接下来我们就看一下使用xjar工具给jar包加密有多么的容易。
2021-06-06
详解Java分布式IP限流和防止恶意IP攻击方案
这篇文章主要介绍了详解Java分布式IP限流和防止恶意IP攻击方案，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-03-03
Spring成员对象注入的三种方式详解
这篇文章主要为大家详细介绍了Spring成员对象注入的三种方式，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下，希望能够给你带来帮助
2022-02-02
idea打开和读取*properties文件乱码的解决
本文主要介绍了idea打开和读取*properties文件乱码的解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2023-09-09
如何通过SpringBoot实现商城秒杀系统
这篇文章主要介绍了如何通过SpringBoot实现商城秒杀系统,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-11-11