springboot + shiro 简单实例

最新推荐文章于 2026-01-20 11:57:41 发布
原创 最新推荐文章于 2026-01-20 11:57:41 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#springboot shiro #springboot + shiro

本文介绍如何在Spring Boot项目中集成Apache Shiro进行权限管理,包括Shiro依赖引入、自定义ShiroRealm实现认证与授权、配置ShiroFilter进行拦截及登录逻辑。
本文属于原创,说明简介,如果有问题,可留言一起探讨

1.搭建springboot项目,这里不做概述
2.引入shiro 依赖
<!-- apache shiro 权限框架 -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.0</version>
</dependency>

3.创建ShiroRealm
package wx.milk.web.controller.admin;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import wx.milk.service.admin.IUserService;
import wx.milk.web.utils.SpringBeanFactoryUtils;
import wx.query.Query;
import wx.query.Statement;
import wx.security.User;

import java.util.HashSet;
import java.util.Set;

/**
* Created by zhong.h on 2018/6/13/013.
*/
@Component
public class ShiroRealm extends AuthorizingRealm {

@Autowired
private IUserService service;

/* 认证.登录 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
if (service == null) {
service = SpringBeanFactoryUtils.getBean(IUserService.class);
}
UsernamePasswordToken userToken = (UsernamePasswordToken) token;//获取用户输入的token

String account = userToken.getUsername();

Query query = new Query();
Statement statement = new Statement();
statement.setName("account");
statement.setValue(account);
query.and(statement);
User user = service.findByParam(query);
return new SimpleAuthenticationInfo(user, user.getPassword(),this.getClass().getName());//放入shiro.调用CredentialsMatcher检验密码
}

/**
* 授权用户权限
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(
PrincipalCollection principals) {
//获取用户
User user = (User) SecurityUtils.getSubject().getPrincipal();
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//获取用户角色
Set<String> roleSet = new HashSet<String>();
roleSet.add("100002");
info.setRoles(roleSet);

//获取用户权限
Set<String> permissionSet = new HashSet<String>();
permissionSet.add("权限添加");
permissionSet.add("权限删除");
info.setStringPermissions(permissionSet);


return info;
}
}


4.创建configuration
package wx.milk.web.configuration;

import org.apache.shiro.codec.Base64;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import wx.milk.web.controller.admin.ShiroRealm;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
* Created by zhong.h on 2018/6/13/013.
*/
@Configuration
public class ShiroConfiguration {

public ShiroRealm shiroRealm(){
return new ShiroRealm();
}

/**
* ShiroFilterFactoryBean 处理拦截资源文件问题。
* 注意:单独一个ShiroFilterFactoryBean配置是或报错的,以为在
* 初始化ShiroFilterFactoryBean的时候需要注入:SecurityManager
*
* Filter Chain定义说明 1、一个URL可以配置多个Filter,使用逗号分隔
* 2、当设置多个过滤器时,全部验证通过,才视为通过
* 3、部分过滤器可指定参数,如permsroles
*
*/
@Bean
public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

// 必须设置 SecurityManager
shiroFilterFactoryBean.setSecurityManager(securityManager);

// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
shiroFilterFactoryBean.setLoginUrl("/admin/login");
// 登录成功后要跳转的链接
shiroFilterFactoryBean.setSuccessUrl("/admin/index");
// 未授权界面;
shiroFilterFactoryBean.setUnauthorizedUrl("/error");

//自定义拦截器
Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
//限制同一帐号同时在线的个数。
//filtersMap.put("kickout", kickoutSessionControlFilter());
shiroFilterFactoryBean.setFilters(filtersMap);

// 权限控制map.
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
// 配置不会被拦截的链接 顺序判断
// 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
// 从数据库获取动态的权限
// filterChainDefinitionMap.put("/add", "perms[权限添加]");
// <!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
// <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
//logout这个拦截器是shiro已经实现好了的。
// 从数据库获取
/*List<SysPermissionInit> list = sysPermissionInitService.selectAll();

for (SysPermissionInit sysPermissionInit : list) {
filterChainDefinitionMap.put(sysPermissionInit.getUrl(),
sysPermissionInit.getPermissionInit());
}*/

shiroFilterFactoryBean
.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}

@Bean
public DefaultWebSecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 设置realm.
securityManager.setRealm(shiroRealm());
// 自定义缓存实现 使用redis
//securityManager.setCacheManager(cacheManager());
// 自定义session管理 使用redis
//securityManager.setSessionManager(sessionManager());
//注入记住我管理器;
securityManager.setRememberMeManager(rememberMeManager());
return securityManager;
}

/**
* cookie对象;
* @return
*/
public SimpleCookie rememberMeCookie(){
//这个参数是cookie的名称,对应前端的checkboxname = rememberMe
SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
//<!-- 记住我cookie生效时间30 ,单位秒;-->
simpleCookie.setMaxAge(2592000);
return simpleCookie;
}

/**
* cookie管理对象;记住我功能
* @return
*/
public CookieRememberMeManager rememberMeManager(){
CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
cookieRememberMeManager.setCookie(rememberMeCookie());
//rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 )
cookieRememberMeManager.setCipherKey(Base64.decode("3AvVhmFLUs0KTA3Kprsdag=="));
return cookieRememberMeManager;
}
}

5. 测试
@RequestMapping(value = "/signin")
public String login(HttpServletRequest request, HttpSession session,
String account, String password, String validatecode)
throws JsonManagerException {

String exception = (String) request.getAttribute("shiroLoginFailure");
if (StringUtils.isEmpty(account) || StringUtils.isEmpty(password)) {
return null;
}

try {
UsernamePasswordToken token = new UsernamePasswordToken(account, password);
Subject subject = SecurityUtils.getSubject();
subject.login(token);

User user=(User) subject.getPrincipal();
session.setAttribute("user", user);

return "/admin/index";
} catch (Exception e) {
logger.error(e.getMessage(), e);
throw e;
}

6。重要工具类
package wx.milk.web.utils;

import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.stereotype.Component;

/**
* spring加载时候,注入的bean 的顺序是 先是Lisener 然后是 Filter 最后是 Servlet
* 因此如果在过滤器或者监听器里面注入service等会是空,因为在过滤器或者监听器加载的时候
* Servletservice等还没有加载,因此是空的,所以就手动注入
*
* Created by zhong.h on 2018/6/13/013.
*/
@Component
public class SpringBeanFactoryUtils implements ApplicationContextAware {

private static ApplicationContext applicationContext;

@Override
public void setApplicationContext(ApplicationContext applicationContext)
throws BeansException {
if (SpringBeanFactoryUtils.applicationContext == null) {
SpringBeanFactoryUtils.applicationContext = applicationContext;
}

}

public static ApplicationContext getApplicationContext() {
return applicationContext;
}

//根据名称(@Resource 注解)
public static Object getBean(String name) {
return getApplicationContext().getBean(name);
}

//根据类型(@Autowired
public static <T> T getBean(Class<T> clazz) {
return getApplicationContext().getBean(clazz);
}

public static <T> T getBean(String name, Class<T> clazz) {
return getApplicationContext().getBean(name, clazz);
}

}

垦芒
关注
Springboot 集成Shiro自定义Filter
坤哥的博客
11-25 1万+
网上自定义Filter的实现很多,这里我提供一种Springboot在代码中的实现。Shiro提供的Filter我这里不一一介绍了,一般基于web会话的都是使用authc(这是FormAuthenticationFilter)。根据我无状态的登陆需求,选择了AccessControlFilter,网上也有说这个是最被广泛使用的,具体还是看自己需求吧。Filter代码:/** * @author C
后台管理系统,前后端分离,后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
02-22
后台管理系统,前后端分离,后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen
zuul集成jwt和shiro进行认证和鉴权
龙ygl龙的博客
03-26 2933
废话不多说,直接上代码。 首先,我将shiro鉴权和jwt认证做成了一个微服务:lls-base-shiro。 关键pom如下: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</...
Spring Boot整合Shiro实现权限认证
最新发布
J_liaty的博客
01-20 1183
本文介绍如何在Spring Boot项目中整合Apache Shiro安全框架,实现完整的认证授权功能。主要内容包括:环境准备(JDK 1.8+、Spring Boot 2.7.x、MyBatis-Plus 3.5.x等)、Maven依赖配置(包含Shiro核心整合包、Thymeleaf扩展等)、以及application.yml配置示例(数据源、服务器端口等)。文章提供完整的依赖管理和配置方案,帮助开发者快速搭建基于Shiro的安全框架,实现权限控制功能。
Spring Boot集成无状态Shiro--内容详细介绍
坤哥的博客
11-23 9364
这里对昨天的shiro项目做个说明,整个项目主要参考的是GitHub的一个项目,他是基于session会话的,有集成redis,如果需要的话大家可以参考下:https://github.com/lovelyCoder/springboot-shiro。 我的项目GitHub地址:https://github.com/rhettpang/Springboot-Shiro。现在说下我的无状态的shir
Shiro系列教程ShiroFilter源码分析
大新博客
04-28 2307
Shiro系列教程ShiroFilter源码分析 DefaultFilter //一个枚举类定义了shiro全部的默认拦截器 public enum DefaultFilter { anon(AnonymousFilter.class), authc(FormAuthenticationFilter.class), authcBasic(BasicHttp
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1348
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
主要介绍了Springboot+Vue+shiro实现前后端分离、权限控制的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot+Mybatis+Shiro项目实例
12-12
SpringBoot+Mybatis+Shiro,本项目使用SpringBoot,集成Mybatis和Shiro,实现了账号及权限管理等基本操作
springboot+shiro+jpa+email
11-15
springboot整合shiro简单的测试,加邮箱发送,连接mysql jpa自动创建数据
SpringBoot+shiro+redis+jwt .zip
01-03
当我们开发需要简单的鉴权功能时,springboot更快捷、简单的集成JWT,使得项目更加简洁(Compact)、自包含(Self-contained)、安全(security);鉴权的流程为下。
spring+springMVC+shiro 完美例子
04-15
非常完美的spring+springMVC+shiro 完美例子实现权限认证,相信你一定会喜欢,里面有文档说明
Springboot集成Shiro简单案例
m0_52363682的博客
11-16 477
Springboot集成Shiro安全框架的简单案例
Springboot + Shiro完美案列
weixin_43959028的博客
03-26 2577
Springboot + Shiro完美案列1.创建Springboot项目2.添加依赖3.配置数据4.创建项目结构5.项数据插入数据6.配置访问页面7.测试 本来之前没想过写博客后来看见,一个大佬写了好几篇不错的博客,感悟挺多的我也决定写博客(其实前面不知道该写啥),正好看见一个不错的安全框架Shiro就自己摸索着写了这个不错的案列,Shiro是干什么的有什么用处不知道的小伙伴可也自行百度,...
SpringBoot整合Shiro(Java安全框架)案例(含源码)
iijik55的博客
08-24 412
Subject:主体,一般指用户。SecurityManager:Shiro的核心部分,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用,本质上就是一个工厂类似Spring中的ApplicationContext安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)
SpringBoot整合shiro的一个例子
AnalogElectronic的博客
03-10 218
http://shiro.apache.org/ Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any appli
springboot集成shiro+jwt详解+完整实例
Timmer的博客
05-26 9390
目录 简介 目的 需要的jar 集成过程 1.配置shiro 2.创建自定义Realm 2.1 LoginRealm用于处理用户登录 2.2 JwtRealm用于在登录之后,用户的token是否正确以及给当前用户授权等 2.3OurModularRealmAuthenticator用于匹配的相应的Realm 2.4 DataAutoToken及实现类 2.5JwtFilter处理在shiro配置的自定义的Filter 2.6 controller层登录和其他接口 2.7 se...
springboot + shiro快速入门,五分钟教会你如何在springboot使用shiro
m0_59485371的博客
03-21 2354
springboot整合shiro快速入门 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> </dependency>
使用SpringBoot集成Shiro应用场景和示例代码
a_beiyo的博客
07-25 555
Apache Shiro是一个强大且易于使用的Java安全框架,提供认证、授权、加密和会话管理等功能。通过与Spring Boot集成,可以方便地实现权限控制和安全管理。@Autowired// 用户认证@Overrideif (user!= null) {} else {throw new UnknownAccountException("用户不存在");// 用户授权@Override// 查询用户角色和权限,设置到AuthorizationInfo中。
springBoot整合Shiro(详细教程分析)
ggjklncffd的博客
04-18 6322
🚩1.1 什么是ShiroShiro是一个开源的Java安全框架,它提供了身份认证、授权、加密和会话管理等功能,可以帮助我们快速地构建安全可靠的应用程序。🚩1.2 为什么要用Shiro在开发Web应用程序时,安全性是一个非常重要的问题。使用Shiro可以帮助我们快速地构建安全可靠的应用程序,而且Shiro使用非常灵活,可以根据我们的需求进行定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值