转载

Shiro项目配置

Apache Shiro是一个常见并且易用的的Java安全框架,可以很方便的实现执行身份验证、授权、密码和会话管理等功能

它有三个核心组件:Subject, SecurityManager 和 Realms

Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。

Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

步骤

  • 依赖导入

    • 首先在pom.xml文件中导入 shiro-spring 依赖
  • 实现自定义的UserRealm

    • 自定义一个 继承自AuthorizingRealm 的Realm类
  • 实现登录认证的业务逻辑

    核心代码

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username,password.toCharArray());
try {
  subject.login(token);
} catch(Exception ex) {
  jsonData = new JsonData(1,ex.getMessage());
}
if(subject.isAuthenticated()){
  jsonData = new JsonData(0,"登录成功");
}
  • 配置Shiro并提供SecurityManager
@Configuration
public class ShiroConfig {
    
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        bean.setLoginUrl("/sys/toLogin");// 设置登录地址,鉴权失败时返回这个地址
        // 权限的全局设置
        Map<String,String> auths = new HashMap<String, String>();
        auths.put("/sys/toLogin", "anon");
        auths.put("/sys/doLogin", "anon");
        auths.put("/**", "anon");// 
        return bean;
    }
    
    @Bean
    public SecurityManager securityManager() {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(new MyUserRealm());
        return securityManager();
    }
}
原文  https://segmentfault.com/a/1190000021436012
正文到此结束
Loading...