《基于SpringBoot+Shiro的权限管理实现》论文笔记
一、基本信息
标题:基于SpringBoot+Shiro的权限管理实现
来源:成都大学信息工程与科学学院,成都,610100
关键字:Shiro 框架;SpringBoot 框架;权限管理
二、研究内容
- Shiro 概述
- Apache Shiro 是一个拥有许多功能的综合性的程序安全框架, Shiro 提供了一个干净而直观的API, 它干净利落地处理身份认证、授权、企业会话管理和加密。Shiro 易于使用和理解, 同时功能十分强大, 能验证用户来核实他们的身份、对用户执行访问控制、判断用户是否被分配了一个确定的安全角色、判断用户是否被允许做某事。
- Shiro 当中的Session 功能是在相应应用中创建会话编程范式, 其与容器是相互独立的关系, 因此Shiro 支持在任何环境下使用Session API, 即使没有Web 或EJB容器。Shiro 还能在身份验证访问控制期间或在会话的生命周期, 对事件作出反应。
- Apache Shiro 的架构有3 个主要的概念: Subject,SecurityManager 和Realms。其中Subject 是一个比较抽象的概念, 通常我们会将Subject 对象理解为一个任何可以与应用交互的“用户”, 但它也有可能是一个三方程序, 可以理解为任何与系统交互的“东西” 都是Subject。在Shiro 框架中通过Subject 完成登录、退出、校验权限、获得Session 等。SecurityManager 是Shiro 的心脏, 是Shiro 中最核心的组件; 所有具体的安全操作都通过SecurityManager 进行控制; SecurityManager 管理着所有Subject, 并且关于Subject 的所有操作都由SecurityManager进行交互。Realms 担当Shiro 和应用程序的安全数据之间的“桥梁” 或“连接器”, 用于用户认证和授权; Realms 本质上是一个特定安全的DAO: 它封装了数据源的连接详细信息, 使Shiro 所需的相关的数据可用。当配置Shiro 时, 必须指定至少一个Realm 用来进行身份验证和授权。SecurityManager 可以配置多个Realms, 但至少需要配置一个。
- 配置pom 文件
xml <! --集成shiro--> <dependency> <group|d> org.apache.shiro </group|d> <artifact|d> shiro-spring </artifact|d> <version> 1.4.0 </version> </dependency>
- 自定义Reaml
@Component public class MyShiroUserRealm extends AuthorizingRealm { @Autowired UserServiceImpl userService; /** * 用于授权 * * @param principa|s * @return 授权信息 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { UserInforMation userInfo = (UserInforMation) principals.getPrimaryPrincipal(); //用户权限列表 Set<String> userPermsSet = userService.getUserPermissions(userInfo); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setStringPermissions(userPermsSet); return info; } /** * 用于认证 * * @param token * @return 认证信息 * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //用户信息获取 String userNameInput = (String) token.getPrincipal(); String passwordInput = new String((char[]) token.getCredentials()); //查询用户信息 UserInforMation user = userService.findld(userNameInput); //用户不存在 if (user == null) { throw new UnknownAccountException("用户账号不存在! "); } //密码错误 if (!passwordInput.equals(user.getPassword())) { throw new IncorrectCredentialsException("账号用户名或者密码错误! "); } //账号被注销 if (user.getState().equals("0")) { throw new LockedAccountException("账户已被注销! "); } System.out.println("用户登陆成功! "); SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), user.getName()); return info; } }
三、结论
- 通过在SpringBoot 项目中使用Shiro 安全框架为项目 提供了安全访问控制的功能,同时实现了用户身份认证、授权、会话管理等功能。任何程序都需要安全控制,将 程序的安全控制交给Shiro,利用Shiro 简单易用的特点 配合SpringBoot 快速便捷开发,减少了为项目安全控制 编写大量重复代码的工作.
四、参考文献
- [1]王杉文.基于SpringBoot+Shiro的权限管理实现[J].电脑编程技巧与维护,2019,(9):160-161,173.