shiro 进行权限管理 —— 用户登录认证

最新推荐文章于 2023-07-05 20:34:24 发布
最新推荐文章于 2023-07-05 20:34:24 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: JavaWeb 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuiCSDN/article/details/72589817
版权

本文介绍用户的认证,认证通过三个参数进行:用户名,密码和验证码。首先介绍认证的业务流程和实现方法,再介绍 shiro 的认证流程和原理,并加以实现。

1. 认证的流程和实现

1.1 前台发起校验的异步请求

  • 将输入的账号,密码和验证码拼接成一个字符串 code,用逗号分隔
  • 再发起一个“login_login”异步请求
  • 如果认证不通过,后台返回校验信息在前台显示
  • 如果认证通过则跳转 main/index 方法
function severCheck(){
            if(check()){

                var loginname = $("#loginname").val();
                var password = $("#password").val();
                var code = loginname+","+password+","+$("#code").val();
                $.ajax({
                    type: "POST",
                    url: 'login_login',
                    data: {KEYDATA:code,tm:new Date().getTime()},
                    dataType:'json',
                    cache: false,
                    success: function(data){
                        if("success" == data.result){
                            saveCookie();
                            window.location.href="main/index";
                        }else if("usererror" == data.result){
                            $("#loginname").tips({
                                side : 1,
                                msg : "用户名或密码有误",
                                bg : '#FF5080',
                                time : 15
                            });
                            showfh();
                            $("#loginname").focus();
                        }else if("codeerror" == data.result){
                            $("#code").tips({
                                side : 1,
                                msg : "验证码输入有误",
                                bg : '#FF5080',
                                time : 15
                            });
                            showfh();
                            $("#code").focus();
                        }else{
                            $("#loginname").tips({
                                side : 1,
                                msg : "缺少参数",
                                bg : '#FF5080',
                                time : 15
                            });
                            showfh();
                            $("#loginname").focus();
                        }
                    }
                });
            }
        }

1.2 后台校验

校验业务流程如下图所示

后台校验流程图

代码实现如下,只有最后一部分涉及 shiro 的认证,只想了解 shiro 认证直接看第二部分

@RequestMapping(value="login_login",produces="application/json;charset=UTF-8")//接收 json 格式数据 && 编码格式为 UTF-8
    @ResponseBody
    public Object login() throws Exception{

        Map<String,String> map = new HashMap<String,String>();
        PageData pd = new PageData();
        pd = this.getPageData();// 获取页面参数,封装在一个 map 中,自己编写封装方法
        String errInfo = ""; // 返回消息
        String[] KEYDATA = pd.getString("KEYDATA").split(",");
        if(KEYDATA != null && KEYDATA.length == 3){
            // 获取 shiro 的 session:SecurityUtils.getSubject().getSession();
            Session session = Jurisdiction.getSession();
            String sessionCode = (String) session.getAttribute(Const.SESSION_SECURITY_CODE); //获取session 中的验证码
            String code = KEYDATA[2]; // 输入的验证码
            if(code == null || code.equals("")){
                errInfo = "nullcode"; // 验证码为空
            }else{
                String USERNAME = KEYDATA[0];
                String PASSWORD = KEYDATA[1];
                pd.put("USERNAME", USERNAME);
                if(Tools.notEmpty(sessionCode) && sessionCode.equals(code)){ // 验证码校验
                    //密码加密
                    String passwd = new SimpleHash("SHA-1", USERNAME, PASSWORD).toString();
                    pd.put("PASSWORD", passwd);
                    pd = userService.getUserByNameAndPwd(pd);
                    if(pd != null){
                        pd.put("LAST_LOGIN",DateUtil.getTime().toString());
                        userService.updateLastLogin(pd);
                        User user = new User();
                        user.setUSER_ID(pd.getString("USER_ID"));
                        user.setUSERNAME(pd.getString("USERNAME"));
                        user.setPASSWORD(pd.getString("PASSWORD"));
                        user.setNAME(pd.getString("NAME"));
                        user.setRIGHTS(pd.getString("RIGHTS"));
                        user.setROLE_ID(pd.getString("ROLE_ID"));
                        user.setLAST_LOGIN(pd.getString("LAST_LOGIN"));
                        user.setIP(pd.getString("IP"));
                        user.setSTATUS(pd.getString("STATUS"));
                        session.setAttribute(Const.SESSION_USER, user);         //把用户信息放session中
                        session.removeAttribute(Const.SESSION_SECURITY_CODE);   //清除登录验证码的session
                        //shiro加入身份验证
                        Subject subject = SecurityUtils.getSubject(); 
                        UsernamePasswordToken token = new UsernamePasswordToken(USERNAME, PASSWORD); 
                        try { 
                            subject.login(token); 
                        } catch (AuthenticationException e) { 
                            errInfo = "身份验证失败!";
                        }
                    }else{
                        errInfo = "usererror"; //用户名或者密码错误
                    }

                }else{
                    errInfo = "codeerror"; // 验证码有误
                }
                if(Tools.isEmpty(errInfo)){
                    errInfo = "success";                    //验证成功
                }
            }
        }else{
            errInfo = "error";  //缺少参数
        }

        map.put("result", errInfo);
        return AppUtil.returnObject(new PageData(), map);
    }

2. shiro 实现认证

上文认证流程,只有最后部分利用 shiro 进行身份认证

//shiro加入身份验证
                        Subject subject = SecurityUtils.getSubject(); 
                        UsernamePasswordToken token = new UsernamePasswordToken(USERNAME, PASSWORD); 
                        try { 
                            subject.login(token); 
                        } catch (AuthenticationException e) { 
                            errInfo = "身份验证失败!";
                        }

2.1 shiro 认证流程

shiro 认证流程图

1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后,调用Subject.login方法。

2、Subject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,会委托应用程序设置的securityManager实例调用securityManager.login(token)方法。 

3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token). ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制。 

4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应。 注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略。 

5、判断每一个Realm是否支持提交的token,如果支持,Realm将调用getAuthenticationInfo(token); getAuthenticationInfo 方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理。

所以我们需要做两件事:
1. 添加自定义realm
2. 编写自定义 realm

2.2 配置文件添加

<!-- 自定义 realm 用于校验 -->
    <bean id="shiroRealm" class="com.shuiyujie.interceptor.shiro.ShiroRealm" />

2.3 自定义 realm 中的认证方法

/*
     * 登录信息和用户验证信息验证(non-Javadoc)
     * @see org.apache.shiro.realm.AuthenticatingRealm#doGetAuthenticationInfo(org.apache.shiro.authc.AuthenticationToken)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
         String username = (String)token.getPrincipal();                //得到用户名 
         String password = new String((char[])token.getCredentials());  //得到密码
         if(null != username && null != password){
             return new SimpleAuthenticationInfo(username, password, getName());
         }else{
             return null;
         }
    }

2.4 用户退出

@RequestMapping(value="/logout")
    public ModelAndView logout(){
        String USERNAME = Jurisdiction.getUsername();   //当前登录的用户名
        logBefore(logger, USERNAME+"退出系统");
        ModelAndView mv = this.getModelAndView();
        PageData pd = new PageData();
        Session session = Jurisdiction.getSession();    //以下清除session缓存
        session.removeAttribute(Const.SESSION_USER);
                .
                .
                .
        //shiro销毁登录
        Subject subject = SecurityUtils.getSubject(); 
        subject.logout();

        // 跳转回登录界面
        mv.setViewName("system/index/login");
        mv.addObject("pd",pd);
        return mv;
    }

还差个认证成功跳转的方法,“/main/index”

-略-

Java英雄之旅
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot与shiro整合—登录认证权限管理实例项目
04-16
亲测可用的,springboot与shiro整合—登录认证权限管理实例项目,对于学习理论之后需要实战实现功能的初级程序员很有用!
about shiro 在springboot中集成
没故事的码农的博客
03-29 112
Shiro 是一个强大、简单易用的 Java 安全框架,主要用来更便捷的认证,授权,加密,会话管等等,可 为任何应用提供安全保障。本课程主要来介绍 Shiro认证和授权功能。 1. Shiro 三大核心组件 Shiro 有三大核心的组件: Subject 、 SecurityManager 和 Realm 。先来看一下它们之间的关系。 1. Subject:认证主体。它包含两个信息:Principals 和 Credentials。看一下这两个信息具体是什 么。 Principals:身份
Shiro框架 filter&realm绑定 多登陆入口,区分前后台
Yihy的博客
08-20 8068
# Shiro框架 filter&realm绑定这种实现方式有问题,会影响到后续的角色验证。不建议看了新的实现方式 : 自定义Token shiro filter与Realm绑定 使用Spring整合Shiro 多登陆入口,成功后跳转到不同地址 - 重写Realm获取方式 最近在项目中使用了apache的轻量级Shiro框架进行权限管理,使用了多个filter,Shiro会默认迭代Realm进行
Shiro框架针对不同登录界面和不同角色用户
weixin_42803027的博客
12-05 1万+
开发思路 最近,项目经理分配的一个任务是:要求根据不同角色身份的用户设计不用的登录界面,同时,用户不能跨登录界面登录。原话,我忘记了,意思是:比如,管理员只能用管理员登录界面登录,普通用户只能用普通用户登录界面的登录。因为,我们的项目,登录时,shiro会对请求进行拦截,并根据绑定的realm完成校验… …现在我就根据代码详细的说明,如果有说错的地方,希望能不吝赐教。 Filter 请求被au...
权限管理+安全框架shiro+密码加密器
不惧困难 顽强拼搏
07-05 300
权限管理+安全框架shiro+使用shiro完成认证功能,完成授权功能+密码加密器+密码匹配器使用在shiro
shiro实现不同身份使用不同Realm进行验证
热门推荐
Alan_Xiang的博客
02-01 3万+
假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。   但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证
springboot+shiro+jwt实现多端用户登录
哈利路亚的收藏夹
09-06 2954
shiro中是通过realm进行权限认证的,本身shiro是支持多realm进行权限认证的。 现有场景如下。 平台分管理角色和互联网角色,分别存储在sys_user和student表中。sys_user当然是通过管理后台来进行创建。student表中的用户是允许前端注册的,不走后台权限角色体系。 但是提供的接口均需要实现token的安全验证,毕竟不能裸奔不是。所以需要在基础框架基础上,实现多realm认证,并且使用相同token。主要是不想拆分两个后台api项目。 首先项目pom中需要导入相应的包。
用户登录功能实现(shiro)
luoshisiji的专栏
10-25 214
一 配置shiro的filter实现URL级别权限控制 登录流程:应用程序-->Subject(就是shiro管理的用户)-->securityManger(安全管理器,shiro权限控制的核心)--Realm(应用程序和安全数据之间连接器)--安全数据---->SecurityManager(底层判断)---->Suject--->application c...
shiro 实现多种方式登录_同一个项目中shiro多种登陆方式的一种实现
weixin_39830233的博客
12-18 1182
1、序由于项目中需要同时实现两种访问方式(JWT和普通登陆访问),在网上搜了下使用shiro相关的实现,方法有挺多的,但是有部分方法的代码耦合性太强,因为另一种方式可能以后会拆分出去作为一个独立项目的登陆,因此希望两种登陆方式彼此间的耦合尽量少。2、登陆流程由于希望找到一种低入侵性的实现方式,所以整理了一下登陆流程,从FormAuthenticationFilter的onAccessDenied方...
接口Session的获取,存放和清除
weixin_38387649的博客
06-13 1187
import org.apache.shiro.session.Session; 一,Session的获取 Session session = Jurisdiction.getSession(); -------------------------------------------- SecurityUtils类 1.user对象 user.setUSER_ID(pd.g...
【基于shiro权限管理系统——分布式版】.zip
03-03
一个用spring、mybatis、redis和shiro开发的分布式权限管理系统 Java是一种高性能、跨平台的面向对象编程语言。它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种...
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
主要介绍了SpringBoot集成Shiro进行权限控制和管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于Springboot和Shiro权限管理系统设计源码
最新发布
04-09
该项目提供了一个基于Springboot和Shiro权限管理系统,通过界面交互和功能模块,为用户提供了一个高效、易用的权限管理解决方案。该系统流程详细、代码干净、配置简单,非常适合初学者上手学习。
SpringBoot+MyBatis+Shiro权限管理系统
12-23
适合学习SpringBoot、MyBatis、Shiro的开发小白,包含源码和数据脚本,文章地址:https://blog.csdn.net/u013343114/article/details/111592137
Play框架文件上传
深页
02-06 1990
最近正在使用Play框架搭建项目,做到图片上传部分有一些问题,所以记录一下解决情况 1. Play框架的文件上传简介Play框架处理了HTTP文件上传,我们只需要调用就好了。上传的图片会首先缓存在tmp目录中,然后会在data/attachments/目录下生成一个图片文件,文件名的形式为一串UUID但是没有后缀名。2. Models创建Play框架利用play.db.jpa.Blob类型来存储图片
Play框架的@OneToMany、@ManyToOne级联操作
深页
02-06 1265
对象之间有一对一,一对多,多对一,多对多的关系,Play框架底层使用hibernate模板,所以可以用注释@OneToOne,@OneToMany,@ManyToOne和@ManyToMany来表示他们之间的关系。但是再利用@ManyToOne进行保存时出现了错误,直到今天才解决。 1. 错误再现报错如下大概意思就是在级联保存的时候出错了,在刷新前还没有保存瞬时实例。代码如下Model如下:这是和级
Java 生成验证码
深页
05-20 956
Java 生成验证码
shiro 进行权限管理 —— 使用BigInteger进行权限计算获取菜单
深页
05-24 852
BigInteger权限判断
shiro分布式权限管理
05-23
可以使用Shiro进行分布式权限管理实现不同用户对不同资源的访问控制。 在分布式环境中,Shiro支持多种认证方式,包括基于用户名/密码的认证、基于Token的认证、基于OAuth2的认证等。可以使用Shiro的分布式Session...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值