Shiro框架封装cookie和session配置实现RememberMe效果------Shiro框架

于 2024-06-11 12:15:36 发布
阅读量985 收藏 20
点赞数 15
分类专栏: # Shiro框架 # Spring-Boot框架 JAVA 文章标签: java 安全架构 web安全 安全 同态加密 mybatis spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75960169/article/details/139595590
版权
JAVA 同时被 3 个专栏收录
541 篇文章 3 订阅
订阅专栏
Spring-Boot框架
191 篇文章 0 订阅
订阅专栏
Shiro框架
17 篇文章 0 订阅
订阅专栏 
package com.alatus.shiro.config;

import com.alatus.shiro.realm.MyRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authc.pam.AllSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.ArrayList;
import java.util.List;

@Configuration
public class ShiroConfig {
    @Autowired
    private MyRealm realm;
//    配置SecurityManager
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(){
//        创建SecurityManager对象
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
//        创建加密对象,设置相关属性
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
//        采用MD5加密
        matcher.setHashAlgorithmName("md5");
//        迭代次数
        matcher.setHashIterations(3);
//        创建认证对象
        ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
//        全部策略通过
        modularRealmAuthenticator.setAuthenticationStrategy(new AllSuccessfulStrategy());
//        将认证对象传入
        defaultWebSecurityManager.setAuthenticator(modularRealmAuthenticator);
//        将加密对象存储到Realm中
        realm.setCredentialsMatcher(matcher);
//        将Realm存入defaultWebSecurityManager对象
//        如果有多个realm就放入多个,但是需要以集合的形式传入
        List list = new ArrayList<AuthorizingRealm>();
        list.add(realm);
        defaultWebSecurityManager.setRealms(list);
//        defaultWebSecurityManager.setRealm(realm);
//        设置rememberMe
        defaultWebSecurityManager.setRememberMeManager(rememberMeManager());
//        返回
        return defaultWebSecurityManager;
    }

    // 配置 Shiro 内置过滤器拦截范围
    @Bean
    public DefaultShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
        // 设置不需要认证可以访问的资源
        definition.addPathDefinition("/myController/userLogin", "anon");
        definition.addPathDefinition("/login", "anon");
        // 设置需要进行身份认证的拦截范围
        definition.addPathDefinition("/**", "authc");
//        存在rememberMe的过滤器
        definition.addPathDefinition("/**", "user");
        return definition;
    }

    // 创建记住我功能所需的简单 Cookie 对象
    public SimpleCookie rememberMeCookie() {
        SimpleCookie cookie = new SimpleCookie("rememberMe");
        // 设置 Cookie 的路径、HTTPOnly 属性和最大生存时间(以秒为单位,这里设置为30天)
        cookie.setPath("/");
        cookie.setHttpOnly(true);
        cookie.setMaxAge(30 * 24 * 60 * 60);
        return cookie;
    }

    // 创建 Shiro 的 CookieRememberMeManager 对象
    public CookieRememberMeManager rememberMeManager() {
        // 创建 CookieRememberMeManager 对象
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        // 设置 CookieRememberMeManager 的 Cookie 对象
        cookieRememberMeManager.setCookie(rememberMeCookie());
        // 设置 CookieRememberMeManager 的加密密钥
        cookieRememberMeManager.setCipherKey("1234567890987654".getBytes());
        return cookieRememberMeManager;
    }

}

package com.alatus.shiro.config;

import com.alatus.shiro.realm.MyRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authc.pam.AllSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.ArrayList;
import java.util.List;

@Configuration
public class ShiroConfig {
    @Autowired
    private MyRealm realm;
//    配置SecurityManager
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(){
//        创建SecurityManager对象
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
//        创建加密对象,设置相关属性
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
//        采用MD5加密
        matcher.setHashAlgorithmName("md5");
//        迭代次数
        matcher.setHashIterations(3);
//        创建认证对象
        ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
//        全部策略通过
        modularRealmAuthenticator.setAuthenticationStrategy(new AllSuccessfulStrategy());
//        将认证对象传入
        defaultWebSecurityManager.setAuthenticator(modularRealmAuthenticator);
//        将加密对象存储到Realm中
        realm.setCredentialsMatcher(matcher);
//        将Realm存入defaultWebSecurityManager对象
//        如果有多个realm就放入多个,但是需要以集合的形式传入
        List list = new ArrayList<AuthorizingRealm>();
        list.add(realm);
        defaultWebSecurityManager.setRealms(list);
//        defaultWebSecurityManager.setRealm(realm);
//        设置rememberMe
        defaultWebSecurityManager.setRememberMeManager(rememberMeManager());
//        返回
        return defaultWebSecurityManager;
    }

    // 配置 Shiro 内置过滤器拦截范围
    @Bean
    public DefaultShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
        // 设置不需要认证可以访问的资源
        definition.addPathDefinition("/myController/userLogin", "anon");
        definition.addPathDefinition("/login", "anon");
        // 设置需要进行身份认证的拦截范围
        definition.addPathDefinition("/**", "authc");
//        存在rememberMe的过滤器
        definition.addPathDefinition("/**", "user");
        return definition;
    }

    // 创建记住我功能所需的简单 Cookie 对象
    public SimpleCookie rememberMeCookie() {
        SimpleCookie cookie = new SimpleCookie("rememberMe");
        // 设置 Cookie 的路径、HTTPOnly 属性和最大生存时间(以秒为单位,这里设置为30天)
        cookie.setPath("/");
        cookie.setHttpOnly(true);
        cookie.setMaxAge(30 * 24 * 60 * 60);
        return cookie;
    }

    // 创建 Shiro 的 CookieRememberMeManager 对象
    public CookieRememberMeManager rememberMeManager() {
        // 创建 CookieRememberMeManager 对象
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        // 设置 CookieRememberMeManager 的 Cookie 对象
        cookieRememberMeManager.setCookie(rememberMeCookie());
        // 设置 CookieRememberMeManager 的加密密钥
        cookieRememberMeManager.setCipherKey("1234567890987654".getBytes());
        return cookieRememberMeManager;
    }

}

package com.alatus.shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import javax.servlet.http.HttpSession;

@Controller
@RequestMapping("myController")
public class MyController {
    @GetMapping("userLogin")
    public String userLogin(String name, String pwd,@RequestParam(defaultValue = "false")boolean rememberMe, HttpSession session){
//        获取subject对象
        Subject subject = SecurityUtils.getSubject();
//        封装对象到token
        AuthenticationToken token = new UsernamePasswordToken(name,pwd,rememberMe);
//        调用login方法进行认证
        try{
            subject.login(token);
            session.setAttribute("user",token.getPrincipal().toString());
            return "main";
        }
        catch (AuthenticationException e){
            e.printStackTrace();
            return "登陆失败";
        }
    }
    @GetMapping("userLoginRm")
    public String userLogin(HttpSession session){
        session.setAttribute("user","rememberMe");
        return "main";
    }

//    跳转登陆页面
    @GetMapping("login")
    public String login(){
        return "login";
    }
}

package com.alatus.shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import javax.servlet.http.HttpSession;

@Controller
@RequestMapping("myController")
public class MyController {
    @GetMapping("userLogin")
    public String userLogin(String name, String pwd,@RequestParam(defaultValue = "false")boolean rememberMe, HttpSession session){
//        获取subject对象
        Subject subject = SecurityUtils.getSubject();
//        封装对象到token
        AuthenticationToken token = new UsernamePasswordToken(name,pwd,rememberMe);
//        调用login方法进行认证
        try{
            subject.login(token);
            session.setAttribute("user",token.getPrincipal().toString());
            return "main";
        }
        catch (AuthenticationException e){
            e.printStackTrace();
            return "登陆失败";
        }
    }
    @GetMapping("userLoginRm")
    public String userLogin(HttpSession session){
        session.setAttribute("user","rememberMe");
        return "main";
    }

//    跳转登陆页面
    @GetMapping("login")
    public String login(){
        return "login";
    }
}

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Shiro</title>
</head>
<body>
    <h1>Shiro验证登录</h1>
    <br>
    <form action="/myController/userLogin">
        <div>
            用户名:<input type="text" name="name" value="Jack"/>
        </div>
        <div>
            密码:<input type="password" name="pwd" value="admin123"/>
        </div>
        <div>
            记住我:<input type="checkbox" name="rememberMe" value="true">
        </div>
        <div>
            <input type="submit" value="登录"/>
        </div>
    </form>
</body>
</html>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Shiro</title>
</head>
<body>
    <h1>Shiro验证登录</h1>
    <br>
    <form action="/myController/userLogin">
        <div>
            用户名:<input type="text" name="name" value="Jack"/>
        </div>
        <div>
            密码:<input type="password" name="pwd" value="admin123"/>
        </div>
        <div>
            记住我:<input type="checkbox" name="rememberMe" value="true">
        </div>
        <div>
            <input type="submit" value="登录"/>
        </div>
    </form>
</body>
</html>
旧约Alatus
关注
专栏目录
shiro框架04会话管理+缓存管理+Ehcache使用
全栈
11-12 1万+
一、会话管理Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat、WebLogic),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。1.基础组件。
Shiro 之rememberMe / session
Zllvincent的博客
09-24 7808
一、简介 ssm web 中记住用户信息可在下次用户访问时直接访问相关数据。web 中记住用户信息时使用Cookie 技术实现记住用户相关信息。 二、创建Maven Web 工程 本项目基于Shiro 之缓存 修改实现。 1.application.xml 修改为如下: <bean id="shiroFilter" class="org.apache.shiro.spring.web.Shi...
shiro反序列化漏洞原理分析以及漏洞复现
最新发布
hackzkaq的博客
11-04 437
shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。特征:cookie中含有rememberMe字段修复建议:更新shiro到1.2.4以上的版本。不使用默认的加密密钥,改为随机生成密钥。
shiro-ehcache
07-12
shiro-ehcache
Shiro整合EhCache
qq_63431773的博客
10-26 624
EhCache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,Java EE和轻量级容器。可以和大部分Java项目无缝整合,例如:Hibernate中的缓存就是基于EhCache实现的。EhCache支持内存和磁盘存储,默认存储在内存中,如内存不够时把缓存数据同步到磁盘中。EhCache支持基于Filter的Cache实现,也支持Gzip压缩算法。EhCache直接在JVM虚拟机中缓存,速度快,效率高;EhCache缺点是缓存共享麻烦,集群分布式应用使用不方便添加依赖添加配置文件。
Shiro缓存之EhCache
LOL111222333的博客
02-03 651
使用CacheManager:放入缓存的数据具有的特点是:查询多,增删改极少。因为当数据更新的时候,需要对缓存中的数据和数据库之间进行同步。 具体操作: 1.pom.xml导入依赖: <!--引入shiro整合ehcache的依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache
Shiro与EhCache的整合
qq_57907966的博客
12-26 756
缓存工具EhCache。
Shiro使用自己的SessionId管理和rememberMe配置
cloud的技术积累
06-14 9852
ShiroSession和RemeberMe配置
Shiro实现rememberMe功能
Massimo__JAVA的博客
10-06 2040
Shiro实现rememberMe功能
Shiro的rememberMe功能
weixin_65824274的博客
07-05 1677
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
shiro-demo使用ehcache做缓存.zip
12-01
shiro-demo使用ehcache做缓存.zip
java shiro实现退出登陆清空缓存
08-31
本篇文章主要介绍了java shiro实现退出登陆清空缓存,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringMVC+Mybatis+Spring+Shiro+ehcache整合配置文件
08-20
SpringMVC+Mybatis+Spring+Shiro+ehcache整合配置文件
“动吧“ - crud 练习 part7 - Shiro安全框架简介 - 58~60 - 、[扩展] - 动态菜单 - 60
LawssssCat的博客
01-18 781
文章目录1 Shiro安全框架简介1.1 Shiro概述1.2 Shiro概要架构1.3 Shiro详细架构 1 Shiro安全框架简介 1.1 Shiro概述 Shiro 是 apache 旗下一个开源安全框架(http://shiro.apache.org/) 它将软件系统的安全认证相关的功能抽取出来,实现: 用户身份认证 权限授权 加密 会话管理 等功能 组成了一个通用的安全认证框架...
SpringBoot -- 整合Shiro实现用户登录认证
Layduo
11-12 1080
前言:前段时间在搭建公司框架安全验证的时候,就想到之前web最火的shiro框架,所以就在空闲时间学习并总结一些搭建流程和解析,这里给大家出个简单的教程说明吧。 shiro的基本介绍这里就不再说了,可以自行百度相关的shiro教程,对于第一次接触shiro的小伙伴,博主推荐你可以先阅读该篇文章Shiro,对shiro进行初步的了解,以及它的核心原理。 一、什么是shiro? shiro是ap...
Shiro-550 漏洞复现
qq_46440393的博客
03-15 2194
开始时间:2022/3/14 14:15 1、什么是shiro ? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、shiro 可以用来干什么? 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人
springboot + shiro 配置 ehcache 缓存
快乐的小三菊的博客
05-26 2361
账号登录,第一次访问,查看控制台,有日志输出,如下所示,下面只截取了一部分的日志输出,再次访问将不再打印输出,证明缓存生效了。1、用两个浏览器分别用不同的用户登录到系统中,然后刷新界面,我们发现,无论怎么刷新,都不用有日志输出,因为此时查询的时缓存。方法,然后再刷新界面,我们发现此时后台有日志输出,即查询的数据是数据库里面的数据。方法,然后再刷新界面,我们发现此时后台有日志输出,即查询的数据是数据库里面的数据。中添加如下方法用于清除缓存,在添加或者删除权限的时候,都需要清除缓存。,并将缓存管理器添加到。
shiro、ehcache教程
08-28 407
权限概述(认证、授权) 系统提供了很多功能,并不是所有的用户登录系统都可以操作这些功能。我们需要对用户的访问进行控制。 登录用户-【超级管理员】-【客服】-【快递员】-【人事】- 【财务】-角色 认证:系统提供的用于识别用户身份的功能(通常是登录...
Shiro使用(与ehcache等技术)
u013917701的博客
08-23 249
https://www.cnblogs.com/learnhow/p/5694876.html
Java私塾《深入浅出学Shiro》- Shiro安全框架全面教程
"Apache Shiro是一个强大的Java安全框架,用于处理身份认证、授权、会话管理和加密等功能。这份PDF教程《深入浅出学Shiro》由java私塾提供,涵盖了Shiro的基础到高级用法,旨在帮助开发者系统地学习和掌握Shiro的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值