详谈 springboot整合shiro

卖不甜枣  金牌会员 | 2023-8-29 08:05:30 | 来自手机 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题

主题 791|帖子 791|积分 2373

背景:

上文学习了shrio 基本概念后,本章将进一步的落地实践学习,在springboot中如何去整合shrio,整个过程步骤有个清晰的了解。
 
利用Shiro进行登录认证主要步骤:

1. 添加依赖:首先,在pom.xml文件中添加Spring Boot和Shiro的相关依赖。
  1. <dependency>
  2.     <groupId>org.springframework.boot</groupId>
  3.     <artifactId>spring-boot-starter-web</artifactId>
  4. </dependency>
  5. <dependency>
  6.     <groupId>org.apache.shiro</groupId>
  7.     <artifactId>shiro-spring-boot-starter</artifactId>
  8.     <version>1.7.1</version>
  9. </dependency>
复制代码
2. 创建Shiro配置类:创建一个ShiroConfig类,用于配置Shiro的相关信息和组件。(对于配置的解释和作用见第三章杂谈
  1. @Configuration
  2. public class ShiroConfig {
  3.     // 配置安全管理器
  4.     @Bean
  5.     public DefaultWebSecurityManager securityManager() {
  6.         DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
  7.         securityManager.setRealm(myRealm());
  8.         return securityManager;
  9.     }
  10.     // 配置自定义Realm
  11.     @Bean
  12.     public MyRealm myRealm() {
  13.         return new MyRealm();
  14.     }
  15.     // 配置Shiro过滤器
  16.     @Bean
  17.     public ShiroFilterFactoryBean shiroFilterFactoryBean() {
  18.         ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
  19.         shiroFilterFactoryBean.setSecurityManager(securityManager());
  20.         shiroFilterFactoryBean.setLoginUrl("/login"); // 设置登录页面
  21.         shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); // 设置未授权页面
  22.         Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
  23.         // 允许匿名访问的路径
  24.         filterChainDefinitionMap.put("/login", "anon");
  25.         filterChainDefinitionMap.put("/static/**", "anon");
  26.         // 需要认证才能访问的路径
  27.         filterChainDefinitionMap.put("/**", "authc");
  28.         shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
  29.         return shiroFilterFactoryBean;
  30.     }
  31. }
复制代码
 3. 创建自定义Realm:创建一个MyRealm类,继承AuthorizingRealm并实现相关方法,用于处理认证和授权逻辑
  1. public class MyRealm extends AuthorizingRealm {
  2.     // 处理认证逻辑
  3.     @Override
  4.     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
  5.         // 从token中获取用户名
  6.         String username = (String) authenticationToken.getPrincipal();
  7.         // 模拟从数据库或其他存储中获取用户信息
  8.         // 例如,从数据库中查询用户信息并返回
  9.         String dbPassword = "123456"; // 假设从数据库中查询的密码是123456
  10.         // 返回认证信息,包括用户名和密码
  11.         return new SimpleAuthenticationInfo(username, dbPassword, getName());
  12.     }
  13.     // 处理授权逻辑
  14.     @Override
  15.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
  16.         // 从PrincipalCollection中获取用户名
  17.         String username = (String) principalCollection.getPrimaryPrincipal();
  18.         // 模拟从数据库或其他存储中获取用户角色和权限信息
  19.         // 例如,从数据库中查询用户对应的角色和权限并返回
  20.         Set<String> roles = new HashSet<>();
  21.         roles.add("admin"); // 假设用户拥有admin角色
  22.         Set<String> permissions = new HashSet<>();
  23.         permissions.add("user:read"); // 假设用户拥有user:read权限
  24.         // 创建授权信息
  25.         SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
  26.         authorizationInfo.setRoles(roles);
  27.         authorizationInfo.setStringPermissions(permissions);
  28.         return authorizationInfo;
  29.     }
  30. }
复制代码
4. 创建登录接口和登录页面:创建一个登录接口处理用户的登录请求
  1. @Controller
  2. public class LoginController {
  3.     @GetMapping("/login")
  4.     public String login() {
  5.         return "login";
  6.     }
  7.     @PostMapping("/login")
  8.     public String doLogin(String username, String password) {
  9.         // 执行登录逻辑
  10.         Subject currentUser = SecurityUtils.getSubject();
  11.         UsernamePasswordToken token = new UsernamePasswordToken(username, password);
  12.         try {
  13.             currentUser.login(token); // 执行登录
  14.             return "redirect:/home"; // 登录成功后跳转到首页
  15.         } catch (AuthenticationException e) {
  16.             return "redirect:/login-error"; // 登录失败后跳转到错误页面
  17.         }
  18.     }
  19. }
复制代码
整体的执行流程:


  • 用户在浏览器中访问登录页面,输入用户名和密码,并点击登录按钮。
  • Controller层的LoginController类中的doLogin方法被调用,该方法接收用户名和密码作为参数。
  • 创建一个Subject对象,该对象代表当前正在与应用程序交互的用户。
  • 创建一个UsernamePasswordToken对象,将用户名和密码设置为该对象的属性。
  • 调用Subject对象的login方法,将UsernamePasswordToken对象作为参数传递进去。
  • Subject对象将UsernamePasswordToken对象传递给Shiro进行认证。
  • Shiro框架会调用MyRealm类中的doGetAuthenticationInfo方法,该方法用于处理认证逻辑。
  • 在doGetAuthenticationInfo方法中,从UsernamePasswordToken对象中获取用户名。
  • 可以根据需要,从数据库或其他存储中获取与用户名对应的用户信息,例如密码等。
  • 将获取到的用户信息与UsernamePasswordToken对象中的密码进行比较,判断用户是否通过认证。
  • 如果认证成功,创建一个SimpleAuthenticationInfo对象,将用户名、数据库中的密码和Realm名称作为参数传递给它。
  • SimpleAuthenticationInfo对象会被返回给Shiro框架,表示认证成功。
  • Shiro框架会将认证成功的信息保存在Subject对象中。
  • 如果认证失败,将抛出AuthenticationException异常。
  • 在doLogin方法中,通过捕获AuthenticationException异常,可以处理登录失败的情况,例如重定向到登录失败页面。
  • 如果登录成功,可以根据需要执行一些操作,例如重定向到首页或其他需要登录后才能访问的页面。
总结起来,整个执行流程如下:

  • 用户输入用户名和密码,并提交登录表单。
  • Controller层的LoginController类中的doLogin方法接收到登录请求。
  • 创建Subject对象,代表当前用户。
  • 创建UsernamePasswordToken对象,将用户名和密码设置为其属性。
  • 调用Subject对象的login方法,将UsernamePasswordToken对象作为参数传入。
  • Shiro框架调用MyRealm类中的doGetAuthenticationInfo方法,处理认证逻辑。
  • 在doGetAuthenticationInfo方法中,获取用户名和密码,并与数据库中的信息进行比较。
  • 如果认证成功,返回一个SimpleAuthenticationInfo对象,表示认证通过。
  • 如果认证失败,抛出AuthenticationException异常。
  • 在doLogin方法中,根据认证结果执行相应的操作,例如重定向到登录成功页面或登录失败页面。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

卖不甜枣

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表