springboot整合shiro之ShiroConfig 配置類

原創 曹振浩 2020-06-16 06:59

 

shiro目錄:

  1. springboot 整合shiro之shiroconfig配置文件
  2. springboot整合shiro之 Authentication詳解

shiro 導入包:

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

ShiroConfig 配置類


import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * 描述:
 *
 * @author caojing
 * @create 2019-01-27-13:38
 */
@Configuration
public class ShiroConfig {
        private static final  Logger log = LoggerFactory.getLogger(ShiroConfig.class);
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //以下兩種攔截請求後的處理方式二選一
        //對於沒有登錄的請求碼,進行跳轉至登錄頁面
//        shiroFilterFactoryBean.setLoginUrl("/login");
//        shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");

        //對於沒有登錄的請求碼攔截後返回JSON的狀態信息碼,
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("authc", new AjaxPermissionsAuthorizationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // <!-- anon:所有url都都可以匿名訪問 ;authc:所有url都必須認證通過纔可以訪問-->
        filterChainDefinitionMap.put("/webjars/**", "anon");
        filterChainDefinitionMap.put("/login2", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/", "anon");
        filterChainDefinitionMap.put("/front/**", "anon");
        filterChainDefinitionMap.put("/api/**", "anon");

        filterChainDefinitionMap.put("/admin/**", "authc");
        filterChainDefinitionMap.put("/user/**", "authc");
        //主要這行代碼必須放在所有權限設置的最後,不然會導致所有 url 都被攔截 剩餘的都需要認證
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        defaultSecurityManager.setRealm(customRealm());
        return defaultSecurityManager;
    }
    @Bean
    public CustomRealm customRealm() {
        CustomRealm customRealm = new CustomRealm();
        // 告訴realm,使用credentialsMatcher加密算法類來驗證密文
        customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        customRealm.setCachingEnabled(false);
        return customRealm;
    }
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
    /**
     * *
     * 開啓Shiro的註解(如@RequiresRoles,@RequiresPermissions),需藉助SpringAOP掃描使用Shiro註解的類,並在必要時進行安全邏輯驗證
     * 配置以下兩個bean(DefaultAdvisorAutoProxyCreator(可選)和AuthorizationAttributeSourceAdvisor)即可實現此功能
     * * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }


    /**
     * 上面密碼都是採用的明文方式進行比對的。
     * shiro提供給我們一種密碼加密的方式
     * @return
     */
    @Bean(name = "credentialsMatcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 散列算法:這裏使用MD5算法;
        log.info("MD5算法");
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 散列的次數,比如散列兩次,相當於 md5(md5(""));
        hashedCredentialsMatcher.setHashIterations(2);
        // storedCredentialsHexEncoded默認是true,此時用的是密碼加密用的是Hex編碼;false時用Base64編碼
        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
        return hashedCredentialsMatcher;
    }
}

歡迎留言討論

github地址:shiro

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Shiro框架學習筆記(二)基於內置ini文件的身份認證

一開始學習我們先從簡單的開始學習,先不從數據庫中取數據來進行交互檢測,先通過內置一個shiro.ini文件來進行簡單的身份驗證。 shiro.ini文件如下: #定義⽤戶信息 #格式:⽤戶名=密碼,⻆⾊1,⻆⾊2,.... [us

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(一)shiro簡介以及工作流程

不知道大家在做java web項目的時候有沒有想過這個,雖然我們一般做項目時都會選擇讓用戶先註冊登錄之後才能看到我們項目的具體內容,在知道了內部頁面的路徑之後我們能夠在未登錄的情況下,直接在網頁中輸入我們內部頁面的絕對路徑訪問到呢

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(三)與web集成之後進行簡單的身份驗證

首先說一下shiro在web程序中的運作流程 shiro就像是一個包裹着web應用程序的罩子,所有的用戶請求都需要經過shiro這一層罩子,經過shiro這層罩子以後,就會接着通過一條循環的過濾器鏈,從上到下通過,在經過與該請求適

瓤瓤 2020-07-07 04:53:42

springboot 整合shiro之Authentication

shiro目錄: springboot 整合shiro之shiroconfig配置文件 springboot 整合shiro之Authentication shior作爲輕量級的權限管理框架,相較於SpringSecurity框架,沒有其

曹振浩 2020-06-16 06:59:35

Shiro框架

浪子唐少 2020-02-25 21:09:46

springboot與shiro整合

曹振浩 2020-02-22 11:12:50

Shiro框架學習筆記(二)基於內置ini文件的身份認證

一開始學習我們先從簡單的開始學習,先不從數據庫中取數據來進行交互檢測,先通過內置一個shiro.ini文件來進行簡單的身份驗證。 shiro.ini文件如下: #定義⽤戶信息 #格式:⽤戶名=密碼,⻆⾊1,⻆⾊2,.... [us

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(一)shiro簡介以及工作流程

不知道大家在做java web項目的時候有沒有想過這個,雖然我們一般做項目時都會選擇讓用戶先註冊登錄之後才能看到我們項目的具體內容,在知道了內部頁面的路徑之後我們能夠在未登錄的情況下,直接在網頁中輸入我們內部頁面的絕對路徑訪問到呢

瓤瓤 2020-07-07 04:53:42

Shiro框架學習筆記(三)與web集成之後進行簡單的身份驗證

首先說一下shiro在web程序中的運作流程 shiro就像是一個包裹着web應用程序的罩子,所有的用戶請求都需要經過shiro這一層罩子,經過shiro這層罩子以後,就會接着通過一條循環的過濾器鏈,從上到下通過,在經過與該請求適

瓤瓤 2020-07-07 04:53:42

Shiro使用實例

博文目錄 權限的簡單描述實例表結構及內容及POJOShiro-pom.xmlShiro-web.xmlShiro-MyShiro-權限認證,登錄認證層Shiro-applicationContext-shiro.xmlHomeCont

Z. ZHANG 2020-07-01 16:14:43

Shiro框架授權(三)

本文轉載自跟我學Shiro 授權,也叫訪問控制,即在應用中控制誰能訪問哪些資源(如訪問頁面/編輯數據/頁面操作等)。在授權中需瞭解的幾個關鍵對象:主體(Subject)、資源(Resource)、權限(Permission)、角色

caoyue_new 2020-06-23 18:58:42

Shiro框架與Web集成(七)

轉載自跟我學shiro Shiro提供了與Web集成的支持,其通過一個ShiroFilter入口來攔截需要安全控制的URL,然後進行相應的控制,ShiroFilter類似於如Strut2/SpringMVC這種web框架的前端控制

caoyue_new 2020-06-23 18:58:42

springboot 整合shiro之Authentication

shiro目錄: springboot 整合shiro之shiroconfig配置文件 springboot 整合shiro之Authentication shior作爲輕量級的權限管理框架,相較於SpringSecurity框架,沒有其

曹振浩 2020-06-16 06:59:35

Apache Shiro框架在CORS跨域訪問中遇到的問題及解決

程序员逍遥峰 2020-04-14 19:30:52

Shiro框架

浪子唐少 2020-02-25 21:09:46