springboot之shiro十分钟从入门到熟悉

原文：https://blog.csdn.net/weixin_38132621/article/details/80216056

最近搞了下 Shiro 安全框架，找了一些网上的博客文章，但是一到自己实现的时候就遇到了各种坑，需要各种查资料看源码以及各种测试。
那么这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中，并避开一些小坑，这次实现了基本的登陆以及角色权限，往后的文章也讲解了其他的功能，如《教你 Shiro + SpringBoot 整合 JWT》
附上源码：https://github.com/HowieYuan/shiro

依赖包

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.3.2</version>
</dependency>

数据库表

一切从简，用户 user 表，以及角色 role 表 user

role

Shiro 相关类

Shiro 配置类

@Configuration
public class ShiroConfig {@Beanpublic ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();// 必须设置 SecurityManagershiroFilterFactoryBean.setSecurityManager(securityManager);// setLoginUrl 如果不设置值，默认会自动寻找Web工程根目录下的"/login.jsp"页面 或 "/login" 映射shiroFilterFactoryBean.setLoginUrl("/notLogin");// 设置无权限时跳转的 url;shiroFilterFactoryBean.setUnauthorizedUrl("/notRole");// 设置拦截器Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();//游客，开发权限filterChainDefinitionMap.put("/guest/**", "anon");//用户，需要角色权限 “user”filterChainDefinitionMap.put("/user/**", "roles[user]");//管理员，需要角色权限 “admin”filterChainDefinitionMap.put("/admin/**", "roles[admin]");//开放登陆接口filterChainDefinitionMap.put("/login", "anon");//其余接口一律拦截//主要这行代码必须放在所有权限设置的最后，不然会导致所有 url 都被拦截filterChainDefinitionMap.put("/**", "authc");shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);System.out.println("Shiro拦截器工厂类注入成功");return shiroFilterFactoryBean;}/*** 注入 securityManager*/@Beanpublic SecurityManager securityManager() {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();// 设置realm.securityManager.setRealm(customRealm());return securityManager;}/*** 自定义身份认证 realm;* <p>* 必须写这个类，并加上 @Bean 注解，目的是注入 CustomRealm，* 否则会影响 CustomRealm类 中其他类的依赖注入*/@Beanpublic CustomRealm customRealm() {return new CustomRealm();}
}

注意：里面的 SecurityManager 类导入的应该是 import org.apache.shiro.mgt.SecurityManager; 但是，如果你是复制代码过来的话，会默认导入 java.lang.SecurityManager 这里也稍稍有点坑，其他的类的话，也是都属于 shiro 包里面的类

shirFilter 方法中主要是设置了一些重要的跳转 url，比如未登陆时，无权限时的跳转；以及设置了各类 url 的权限拦截，比如 /user 开始的 url 需要 user 权限，/admin 开始的 url 需要 admin 权限等

权限拦截 Filter

当运行一个Web应用程序时，Shiro将会创建一些有用的默认 Filter 实例，并自动地将它们置为可用，而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的，当然我们也可以自定义 Filter 实例，这些在以后的文章中会讲到

Filter	解释
anon	无参，开放权限，可以理解为匿名用户或游客
authc	无参，需要认证
logout	无参，注销，执行后会直接跳转到`shiroFilterFactoryBean.setLoginUrl();` 设置的 url
authcBasic	无参，表示 httpBasic 认证
user	无参，表示必须存在用户，当登入操作时不做检查
ssl	无参，表示安全的URL请求，协议为 https
perms[user]	参数可写多个，表示需要某个或某些权限才能通过，多个参数时写 perms["user, admin"]，当有多个参数时必须每个参数都通过才算通过
roles[admin]	参数可写多个，表示是某个或某些角色才能通过，多个参数时写 roles["admin，user"]，当有多个参数时必须每个参数都通过才算通过
rest[user]	根据请求的方法，相当于 perms[user:method]，其中 method 为 post，get，delete 等
port[8081]	当请求的URL端口不是8081时，跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等，serverName 是你访问的 Host，8081 是 Port 端口，queryString 是你访问的 URL 里的 ? 后面的参数

常用的主要就是 anon，authc，user，roles，perms 等

注意：anon, authc, authcBasic, user 是第一组认证过滤器，perms, port, rest, roles, ssl 是第二组授权过滤器，要通过授权过滤器，就先要完成登陆认证操作（即先要完成认证才能前去寻找授权) 才能走第二组授权器（例如访问需要 roles 权限的 url，如果还没有登陆的话，会直接跳转到 shiroFilterFactoryBean.setLoginUrl(); 设置的 url ）

自定义 realm 类

我们首先要继承 AuthorizingRealm 类来自定义我们自己的 realm 以进行我们自定义的身份，权限认证操作。记得要 Override 重写 doGetAuthenticationInfo 和 doGetAuthorizationInfo 两个方法（两个方法名很相似，不要搞错）

public class CustomRealm extends AuthorizingRealm {private UserMapper userMapper;@Autowiredprivate void setUserMapper(UserMapper userMapper) {this.userMapper = userMapper;}/*** 获取身份验证信息* Shiro中，最终是通过 Realm 来获取应用程序中的用户、角色及权限信息的。** @param authenticationToken 用户身份信息 token* @return 返回封装了用户信息的 AuthenticationInfo 实例*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {System.out.println("————身份认证方法————");UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;// 从数据库获取对应用户名密码的用户String password = userMapper.getPassword(token.getUsername());if (null == password) {throw new AccountException("用户名不正确");} else if (!password.equals(new String((char[]) token.getCredentials()))) {throw new AccountException("密码不正确");}return new SimpleAuthenticationInfo(token.getPrincipal(), password, getName());}/*** 获取授权信息** @param principalCollection* @return*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {System.out.println("————权限认证————");String username = (String) SecurityUtils.getSubject().getPrincipal();SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();//获得该用户角色String role = userMapper.getRole(username);Set<String> set = new HashSet<>();//需要将 role 封装到 Set 作为 info.setRoles() 的参数set.add(role);//设置该用户拥有的角色info.setRoles(set);return info;}
}

重写的两个方法分别是实现身份认证以及权限认证，shiro 中有个作登陆操作的 Subject.login() 方法，当我们把封装了用户名，密码的 token 作为参数传入，便会跑进这两个方法里面（不一定两个方法都会进入）

其中 doGetAuthorizationInfo 方法只有在需要权限认证时才会进去，比如前面配置类中配置了 filterChainDefinitionMap.put("/admin/**", "roles[admin]"); 的管理员角色，这时进入 /admin 时就会进入 doGetAuthorizationInfo 方法来检查权限；而 doGetAuthenticationInfo 方法则是需要身份认证时（比如前面的 Subject.login() 方法）才会进入

再说下 UsernamePasswordToken 类，我们可以从该对象拿到登陆时的用户名和密码（登陆时会使用 new UsernamePasswordToken(username, password);），而 get 用户名或密码有以下几个方法

token.getUsername()  //获得用户名 String
token.getPrincipal() //获得用户名 Object 
token.getPassword()  //获得密码 char[]
token.getCredentials() //获得密码 Object

注意：有很多人会发现，UserMapper 等类，接口无法通过 @Autowired 注入进来，跑程序的时候会报 NullPointerException，网上说了很多诸如是 Spring 加载顺序等原因，但其实有一个很重要的地方要大家注意，CustomRealm 这个类是在 shiro 配置类的 securityManager.setRealm() 方法中设置进去的，而很多人直接写securityManager.setRealm(new CustomRealm()); ,这样是不行的，必须要使用 @Bean 注入 MyRealm，不能直接 new 对象：

    @Beanpublic SecurityManager securityManager() {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();// 设置realm.securityManager.setRealm(customRealm());return securityManager;}@Beanpublic CustomRealm customRealm() {return new CustomRealm();}

道理也很简单，和 Controller 中调用 Service 一样，都是 SpringBean，不能自己 new

当然，同样的道理也可以这样写：

    @Beanpublic SecurityManager securityManager(CustomRealm customRealm) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();// 设置realm.securityManager.setRealm(customRealm);return securityManager;}

然后只要在 CustomRealm 类加上个类似 @Component 的注解即可

功能实现

本文的功能全部以接口返回 json 数据的方式实现

根据 url 权限分配 controller

游客
@RestController
@RequestMapping("/guest")
public class GuestController{@Autowired    private final ResultMap resultMap;@RequestMapping(value = "/enter", method = RequestMethod.GET)public ResultMap login() {return resultMap.success().message("欢迎进入，您的身份是游客");}@RequestMapping(value = "/getMessage", method = RequestMethod.GET)public ResultMap submitLogin() {return resultMap.success().message("您拥有获得该接口的信息的权限！");}
}

普通登陆用户
@RestController
@RequestMapping("/user")
public class UserController{@Autowired    private final ResultMap resultMap;@RequestMapping(value = "/getMessage", method = RequestMethod.GET)public ResultMap getMessage() {return resultMap.success().message("您拥有用户权限，可以获得该接口的信息！");}
}

管理员
@RestController
@RequestMapping("/admin")
public class AdminController {@Autowired    private final ResultMap resultMap;@RequestMapping(value = "/getMessage", method = RequestMethod.GET)public ResultMap getMessage() {return resultMap.success().message("您拥有管理员权限，可以获得该接口的信息！");}
}

突然注意到 CustomRealm 类那里抛出了 AccountException 异常，现在建个类进行异常捕获

@RestControllerAdvice
public class ExceptionController {private final ResultMap resultMap;@Autowiredpublic ExceptionController(ResultMap resultMap) {this.resultMap = resultMap;}// 捕捉 CustomRealm 抛出的异常@ExceptionHandler(AccountException.class)public ResultMap handleShiroException(Exception ex) {return resultMap.fail().message(ex.getMessage());}
}

还有进行登陆等处理的 LoginController

@RestController
public class LoginController {@Autowired    private ResultMap resultMap;private UserMapper userMapper;@RequestMapping(value = "/notLogin", method = RequestMethod.GET)public ResultMap notLogin() {return resultMap.success().message("您尚未登陆！");}@RequestMapping(value = "/notRole", method = RequestMethod.GET)public ResultMap notRole() {return resultMap.success().message("您没有权限！");}@RequestMapping(value = "/logout", method = RequestMethod.GET)public ResultMap logout() {Subject subject = SecurityUtils.getSubject();//注销subject.logout();return resultMap.success().message("成功注销！");}/*** 登陆** @param username 用户名* @param password 密码*/@RequestMapping(value = "/login", method = RequestMethod.POST)public ResultMap login(String username, String password) {// 从SecurityUtils里边创建一个 subjectSubject subject = SecurityUtils.getSubject();// 在认证提交前准备 token（令牌）UsernamePasswordToken token = new UsernamePasswordToken(username, password);// 执行认证登陆subject.login(token);//根据权限，指定返回数据String role = userMapper.getRole(username);if ("user".equals(role)) {return resultMap.success().message("欢迎登陆");}if ("admin".equals(role)) {return resultMap.success().message("欢迎来到管理员页面");} return resultMap.fail().message("权限错误！");}
}

测试

登陆前访问信息接口

普通用户登陆

密码错误

管理员登陆

获取信息

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

win7查看linux分区资料
电脑有2快硬盘，原来系统是ubuntu，现在需要强制转换好win7下开发（原因嘛，你懂的），因ubuntu下资料想保存下来，所以将资料转移到其中一块硬盘，用另一块硬盘装的win7，而在win7是看不到ext3格式的分区的，都是狗血的software惹的祸。现在要查找原ubuntu下的资料，google一下…...
2024/4/14 21:56:27
AI：2020年6月24日北京智源大会演讲分享之知识智能专题论坛——12:00-12:30杨红霞阿里巴巴达摩院技术总监《人工智能从感知走向认知》
AI：2020年6月24日北京智源大会演讲分享之知识智能专题论坛——12:00-12:30杨红霞阿里巴巴达摩院技术总监《人工智能从感知走向认知》导读：首先感谢北京智源大会进行主题演讲的各领域顶级教授，博主受益匪浅，此文章为博主在聆听各领域教授或专家演讲时，一张一张截图进行保存…...
2024/4/14 21:56:26
一行代码！生成自己QQ、微信的动态二维码
文章目录1.安装Python2.安装myqr3.转换图片 1.安装Python 1.在百度输入Pyth官网，回车。搜索结果中第一条就是官网的网址www.python.org。2.这是一个英文的网站，如果你用的是谷歌浏览器，可以使用自带的谷歌将网站翻译成中文的。这样看起来就非常的方便。在网页的上方有一排菜…...
2024/4/14 21:56:23
MEID 16进制和10进制格式转换函数
16进制格式转换为10进制格式: CString ConvertMEIDHex2Dec(CString strMEIDHex) {if(strMEIDHex.GetLength()!=14 && strMEIDHex.GetLength()!=15) return TEXT("");CString strRet,strTemp;strTemp.Format(TEXT("%u"),_tcstoul(strMEIDHex.Mid(0,…...
2024/4/14 21:56:22
视频教程-38集19年Shiro视频教程Springboot教程整合Shiro 权限教程微服务教程-Java
38集19年Shiro视频教程Springboot教程整合Shiro 权限教程微服务教程7年的开发架构经验，曾就职于国内一线互联网公司，开发工程师，现在是某创业公司技术负责人，擅长语言有node/java/python，专注于服务端研发，人工智能相关领域, 熟悉分布式高可用系统的架构，大数据处理，微…...
2024/4/14 21:56:22
Windows PowerShell漫谈-win7下没有超级终端
Windows PowerShell是我在研究win7新特性的时候发现的新工具，起初没有对它产生太大的兴趣，只是简单看看了有关它的介绍、简单使用了一下，感觉上它和cmd.exe没有本质区别。对它产生兴趣是一个纯粹的偶然，有一次一个硬件工程师同事让我帮忙联调串口，我才发现win7下没有超级…...
2024/4/14 21:56:20
Linux下架设代理服务器
再次感谢，本文的作者bye2000。 Linux下架设代理服务器作者：bye2000 一、代理服务器概述 1.1什么是代理服务器在TCP/IP网络中，传统的通信过程是这样的：客户端向服务器请求数据，服务器响应该请求，将数据传送给客户端。在引入了代理服务器以后，这一过程变成了这样：…...
2024/5/7 15:13:12
AutoCAD2004下载AutoCAD2004中文版安装教程
AutoCAD2004（32/64位）下载：https://pan.baidu.com/s/1n4u90xT_9B9rldhl_Atz_w 【下载方法】复制下载链接，粘贴纸浏览器网址栏（无提取码）打开，保存到网盘，打开网盘客户端，下载到自己的电脑上；一、安装视频教程 https://v.qq.com/x/page/m0918tc1uv7.html 观看1080P高…...
2024/4/14 21:56:18
java SSM 框架多数据源代码生成器 websocket即时通讯 shiro redis 后台框架
获取【下载地址】 QQ: 313596790 【免费支持更新】三大数据库 mysql oracle sqlsever 更专业、更强悍、适合不同用户群体【新录针对本系统的视频教程，手把手教开发一个模块，快速掌握本系统】 A 集成代码生成器 [正反双向(单表、主表、明细表、树形表，开发利器)+快速构…...
2024/5/2 12:00:24
微盟这么大体量的公司，核心运维工程师竟然可以凭一己之力删除主备服务器上的数据？是技术问题还是管理问题？
微盟这么大体量的公司，核心运维工程师竟然可以凭一己之力删除主备服务器上的数据？是技术问题还是管理问题？这件事情确实很让人吃惊，如果说一个100人以内的小公司，运维老大因为某种原因在服务器中执行个rm - rf/*，同时删除所有的快照和数据库备份文件及日志文件，那么也许…...
2024/4/14 21:56:16
有趣的题目(进制转换）
昨天比赛遇到一道进制转换题,叫有趣的题目,择日不如撞日,不如借此给你们讲讲进制转换类题目的解法.有趣的题目 Description小伙子玩过2017codeforces的愚人节场吗~？ wx非常无聊，整天就知道吃饭睡觉打洞洞，于是乎他又给自己找了一个乐子，他随手写一个十进制的数字，请问这…...
2024/4/14 21:56:15
视频：训练一个神经网络来玩贪食蛇
最近在Youtube （ www.youtube.com/watch?v=zIkBYwdkuTk ）看到的一个视频《SnakeAI：Training a Neural Network to play Snake》，已搬运过来了。http://v.qq.com/x/page/d0785ow6dt6.html下面这个 GitHub 的项目，应该是对应的：https://github.com/greerviau/SnakeAI推荐阅…...
2024/4/14 21:56:14
计算机网络--DNS完全解析
前言前几天，因为要申请一个VR方面的专利在网上找参考资料，准备基于Oculus的sdk进行二次开发。突然发现进不了Oculus的官方网站，后面发现是电脑网络设置中的DNS在作妖。最近几天正好看计算机网络的方面的书，就抽时间把DNS总结一下。DNS的作用TCP／IP网络中要求每一个互连的计…...
2024/4/14 22:49:42
VMware版虚拟机怎么安装win7系统（详细教程）
转载：http://jingyan.baidu.com/article/cd4c29791fcf1b756e6e6034.html现在很多人都会在虚拟机上体验不同的系统，可是很多时候我们并不能非常顺利的安装好系统，这中间经常会出现很多差错，导致我们安装不上，比如在虚拟机上安装win7系统，很多人发现安装的时候总是会跳到工…...
2024/4/19 17:33:29
苹果macbook air安装win7系统详细图解
相信大家都知道苹果笔记本预装的是Mac系统吧，虽然mac系统很强大，但是很多朋友操作起来始终感觉不方便，想给苹果macbook air安装win7系统，但是却从来没有在苹果电脑上安装过微软操作系统，苦于不知如何操作。今天快启动小编就跟大家分享一下苹果macbookair安装win7系统详细图…...
2024/5/2 16:36:34
Qt QTcpSocket 对连接服务器中断的不同情况进行判定
简述对于一个C/S结构的程序，客户端有些时候需要实时得知与服务器的连接状态。而对于客户端与服务器断开连接的因素很多，现在就目前遇到的情况进行一下总结。分为下面六种不同情况客户端网线断开客户端网络断开客户端通过HTTP代理连接服务器，代理机器断开代理客户端通过HT…...
2024/4/14 22:49:39
Linux安装JDK1.8（解压缩版）
1、在线下载JDK(我这下的是解压缩版本) JDK官网2、解压下载的压缩文件 tar -zxvf jdk-8u231-linux-x64.tar.gz?AuthParam=1571989602_4d3850d23a21c807fdda9a19dc6331933、修改环境变量 vim /etc/profile添加变量 export JAVA_HOME=/usr/java/jdk1.8.0_231 export JRE_HOME=$…...
2024/5/2 7:18:40
springboot+shiro进阶篇
文章的进阶并不是对源码进行一通分析，只是在入门篇上进行更深入的思考，并在实际应用中遇到的可能性比较大的问题，此文章的项目代码是在入门篇基础上添加的。1、文章的主要内容介绍项目需求中往往会遇到这种情况：有A,B,C三个链接，有无数个用户，有admin,simple，reader三个…...
2024/5/2 10:52:41
十六进制转换成八进制
/*问题描述从键盘输入一个不超过8位的正的十六进制数字符串，将它转换为正的十进制数后输出。注：十六进制数中的10~15分别用大写的英文字母A、B、C、D、E、F表示。样例输入 FFFF 样例输出 65535*/ #include<stdio.h> #include<string.h> int main(void) {int i=0…...
2024/5/6 19:11:36
浙江推出冷链上“链” 全面掌握冷链食品供应链流向
冷链上“链”。6月22日，记者从省市场监管局获悉，基于区块链技术开发的浙江省冷链食品追溯系统（下称“浙冷链”）正式上线。“浙冷链”首批将对进口生食水产品进行赋码、扫码，后续实现全省重点冷链食品全覆盖。该系统以进口食品经营企业和农产品批发市场作为首站，利用“冷…...
2024/4/14 22:49:35