springboot2.x shiro整合_spring boot2.x shiro-程序员宅基地

前言

这篇博客旨在完成Springboot2.x与shiro与JWT的整合，先从Springboot2.x整合shiro开始，再将JWT与Shiro整合，其中JWT部分用到了缓存Redis。

正文

介绍

shiro介绍网上已经很多了，我们这里引用一下其中一个博客 Shiro框架简介：

Apache Shiro是Java的一个安全框架。对比另一个安全框架Spring Sercurity，它更简单和灵活。Shiro可以帮助我们完成：认证、授权、加密、会话管理、Web集成、缓存等。

Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

Authorization：授权，即验证权限，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限。

Session Management：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通的JavaSE环境的，也可以是Web环境的。

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

Web Support：Web支持，可以非常容易的集成到Web环境中

Caching：缓存，比如用户登录后，其用户信息，拥有的角色/权限不必每次去查，提高效率。

Concurrency：Shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

Testing：提供测试支持

Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问

Rember Me：记住我，这是非常常见的功能，即一次登录后，下次再来的话不用登录了。

原理

我们看完基本的介绍后，要首先了解一下shiro是怎么工作的：
在这里插入图片描述

Subject：用户主体（把操作交给SecurityManager）这个可以当成一个用户、一个爬虫…
SecurityManager：安全管理器（关联Realm）。进行认证和授权操作
Realm：Shiro连接数据的桥梁，这里就是获取数据库中密码、权限的地方。

流程（为了方便理解需要仔细读一下）：

用户访问登录接口，传入username、password（或者其他的字段）后，为了能让shiro完成校验（账号密码认证、权限认证等），我们需要提供用户的真实密码，用户的权限信息，而这些信息需要我们重写Realm类中的两个方法来获取。
然后shiro先进行账号密码校验，正确后会返回seesionId信息（或者其他的，这个没有仔细看过），shiro还会把这些信息存放在内存中（session），用户下次访问带上这个sessioinId进行访问。
当用户携带sessionId进行访问有权限限制的资源时，shiro首先会根据我们提供的用户真实的密码验证sessionId是否正确（这里每次请求都要访问数据库似乎会大大提高服务器的开销，这里后面会提到），验证通过后会进一步根据我们提供（重写）的获取权限的方法进行权限验证，通过后才可正常访问。

所以我们只需要完成：：

获取用户密码（我们需要把用户传过来的密码和数据库中的密码传给shiro，shiro帮我们完成了密码对比）
获取用户的权限（权限认证shiro也会帮我们完成，我们只需要标注下访问某个接口需要什么权限就好了）

引入

首先我们需要引入pom文件：

<dependency> 
    <groupId>org.apache.shiro</groupId> 
    <artifactId>shiro-spring</artifactId>    
    <version>1.4.0</version>
</dependency>

配置

我们引入后需要进行配置，也就是原理中提到的 Subject->SecurityManager->Realm，我们记得顺序。然后开始编写 ShiroConfig 类：

ShiroConfig


/**
 * @Author: goodtimp
 * @Date: 2019/10/7 20:46
 * @description :  shiro配置类
 */
@Con

本文链接：https://blog.csdn.net/weixin_43223929/article/details/102756305

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

css的mediaquery查询几种不生效的原因_media- query 不生效-程序员宅基地

文章浏览阅读6.3k次。今天上午搞了半个小时，在webstrom中修改了css样式，用chrom浏览器浏览不生效，在网上查了半天，看是不是webstrom的有写保护，或者chorm浏览器不支持，最后发现少and后面少了一个空格导致css mediaquery查询不生效，即使在chrom中的network中css样式文件已经被加载了。@media screen and 不起作用原因汇总。首先确认是不是css本身的问题，而不..._media- query 不生效

Arduino 语法、函数使用、最常用函数、arduino教程、arduino笔记、参考手册_arduino常用函数手册-程序员宅基地

文章浏览阅读1w次，点赞38次，收藏194次。函数部分数字 I/OpinMode()描述将指定的引脚配置成输出或输入。详情请见digital pins。语法pinMode(pin, mode)参数pin:要设置模式的引脚mode:INPUT或OUTPUT返回无例子ledPin = 13 // LED连接到数字脚13 void setup() { pinMode（ledPin，OUTPUT）;//设置数字脚为输..._arduino常用函数手册

MySQL数据库概览_后,我们首先就来看一下,mysql数据库中有多少个数据库(你可以理解为,mysql数据库是-程序员宅基地

文章浏览阅读257次。SQL语句分类：DCL: 数据控制语言 GRANT、DENY、REVOKEDDD: 数据定义语言 CREATE、ALTER、DROP、TRUNCATEDML: 数据操纵语言 SELECT、DELETE、UPDATE、SELECTMysql默认数据库有4个（version 5.7及8)mysql: mysql的核心数据库，类似于sql server中的master表，主要负责存储数据库的用户、权限设置、关键字等mysql自己需要使用的控制和管理信息。(常用的，在mysql.user表中_后,我们首先就来看一下,mysql数据库中有多少个数据库(你可以理解为,mysql数据库是

H3C S5500-52C-EI SSH 服务器发送了断开连接数据包_服务器发送了断开连接的数据包-程序员宅基地

文章浏览阅读2.9k次。H3C S5500-52C-EI SSH 服务器发送了断开连接数据包The connection is closed by SSH Server.(code:2)_服务器发送了断开连接的数据包

iOS-底层原理 21：Method-Swizzling 方法交换_ios方法交换父类死循环-程序员宅基地

文章浏览阅读1.3k次。iOS 底层原理文章汇总method-swizzling 是什么？method-swizzling的含义是方法交换，其主要作用是在运行时将一个方法的实现替换成另一个方法的实现，这就是我们常说的iOS黑魔法，在OC中就是利用method-swizzling实现AOP，其中AOP(Aspect Oriented Programming，面向切面编程)是一种编程的思想，区别于OOP（面向对象编程）OOP和AOP都是一种编程的思想ios_lowLevelOOP编程思想更加倾向于对业务模块的._ios方法交换父类死循环

前端移动端适配 - 媒体查询适配方案_pc端写的固定宽度,媒体查询适配移动端,width写100%没效果-程序员宅基地

文章浏览阅读3.4k次，点赞6次，收藏18次。工作中难免会有写静态页面的需求，有时候移动端适配真的是做的心累，如果自己新做一个页面倒还好，整体布局会按照自己习惯来，但有时候不得不修改别人的代码，尤其是别人没适配好的代码，找样式以及命名规范等问题够折磨一整天了。_pc端写的固定宽度,媒体查询适配移动端,width写100%没效果

随便推点

PyTorch深度学习遥感影像地物分类与目标检测、分割及遥感影像问题深度学习优化技术_深度学习框架遥感-程序员宅基地

文章浏览阅读930次，点赞2次，收藏8次。深度卷积网络采用“端对端”的特征学习，通过多层处理机制揭示隐藏于数据中的非线性特征，能够从大量训练集中自动学习全局特征（这种特征被称为“学习特征”），是其在遥感影像自动目标识别取得成功的重要原因，也标志特征模型从手工特征向学习特征转变。为使广大学者能理解卷积神经网络背后的数学模型和计算机算法，掌握利用PyTorch为基础的遥感影像地物分类，遥感图像目标检测，以及遥感图像目标分割等应用。1.现有几个优秀模型结构的演变原理，包括AlexNet，VGG，googleNet，ResNet，DenseNet等模型。_深度学习框架遥感