在BOS项目中应用shiro框架进行认证(登录认证)

最新推荐文章于 2022-07-15 15:26:31 发布
最新推荐文章于 2022-07-15 15:26:31 发布
阅读量388 收藏
点赞数
分类专栏: spring shiro安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_jungle/article/details/81483964
版权

原理介绍:

shiro框架认证流程

Application Code:应用程序代码,由开发人员负责开发的

Subject:框架提供的接口,代表当前用户对象

SecurityManager:框架提供的接口,代表安全管理器对象

Realm:可以开发人员编写,框架也提供一些,类似于DAO,用于访问权限数据

第一步:引入shiro框架相关的jar

<!-- 引入shiro框架的依赖 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.2</version>
        </dependency>

第二步:在web.xml中配置spring框架提供的用于整合shiro框架的过滤器

<!-- 配置过滤器,用于整合shiro -->
  <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping> 

 启动tomcat服务器,抛出异常:spring工厂中不存在一个名称为“shiroFilter”的bean对象

第三步:在spring配置文件中配置bean,id为shiroFilter

<!-- 配置shiro框架的过滤器工厂对象 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器对象 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 注入相关页面访问URL -->
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/index.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!--注入URL拦截规则 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp = anon
                /userAction_login.action = anon
                /page_base_staff.action = perms["staff-list"]
                /* = authc
            </value>
        </property>
    </bean>

 框架提供的过滤器:

第四步:配置安全管理器

    <!-- 注册安全管理器对象 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"/>
        <!-- 将缓存管理器注入安全管理器对象 -->
        <property name="cacheManager" ref="cacheManager"></property>
    </bean>

 第五步:修改UserAction中的login方法,使用shiro提供的方式进行认证操作

@Autowired
    private IUserService userService;
    
    /**
     * 用户登录
     */
    public String login(){
        //从Session中获取生成的验证码
        String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
        //校验验证码是否输入正确
        if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){
            //输入的验证码正确
            //使用shiro框架提供的方式进行验证
            Subject subject = SecurityUtils.getSubject();       //获得当前登录用户,现在为未认证状态
            //用户名密码令牌
            AuthenticationToken token =
                    new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
            try {
                subject.login(token);
            } catch (Exception e) {
                e.printStackTrace();
                this.addActionError("用户名或密码错误!");
                return LOGIN;
            }
            User user = (User) subject.getPrincipal();
            ServletActionContext.getRequest().setAttribute("loginUser", user);
            return HOME ;
        }else{
            //输入的验证码错误,设置提示信息,跳转到登录页面
            this.addActionError("输入的验证码错误!");
            return LOGIN;
        }
    }

 第六步:自定义realm,并注入给安全管理器

/**
 * 自定义realm,并注入给安全管理器
 * @author Administrator
 *
 */
public class BOSRealm extends AuthorizingRealm{

    @Autowired
    private IUserDao userDao ;
    @Autowired
    private IFunctionDao functionDao ;
    
    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //System.out.println("realm中的认证方法执行了。。。。");
        UsernamePasswordToken mytoken = (UsernamePasswordToken)token;
        String username = mytoken.getUsername();
        //根据用户名查询数据库中的密码
        User user = userDao.findUserByUsername(username);
        if(user == null) {
            //用户名不存在
            return null ;
        }
        //如果能查询到,再由框架比对数据库中查询到的密码和页面提交的密码是否一致
        AuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),this.getName());
        return info;
    }
    
    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addStringPermission("staff-list");
        
        //info.addStringPermission("");
        //TODO 以后修改为从数据库中查询
        return info;
    }

}

 在spring配置文件中注册ream

<!-- 注册realm -->
    <bean id="bosRealm" class="com.itheima.bos.bosrealm.BOSRealm">

 注入给安全管理器

A_jungle
关注
专栏目录
Shiro 安全框架——验证与授权
热心网友
08-21 258
身份验证 身份验证,即在应用谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro ,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以...
shiro实现APP保持登录状态,以及web统一登录认证和权限管理,会话保持在web和APP之间。
热门推荐
gaofeihu_的博客
03-05 1万+
先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制。好的,那么问题来了:先说web端1.因为一般网页主需要记住7天密码(或者稍微更长)的功能就可以了,可以使用cookie实现,而且shiro也提供了记住密码的功能,在服务器端session不需要保存过长时间。再说app端2...
BOS基础知识培训
03-13
BOS开发环境1.1 BOS Studio简介1.2 BOS逻辑架构1.3 BOS-IDE 环境 理解BOS的元数据 2.1实体 2.2关系 2.3数据表 2.4Query 2.5UI2.6其它 理解EAS-BOS特性 3.1模型,java实现 3.2技术特性 3.3应用框架 3.4安装、发布
SpringBoot使用Shiro实现权限验证
默存
10-09 2127
一、Shiro简介 Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject、SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro,...
BOS项目应用shiro框架进行认证
疙瘩陈
04-25 231
BOS项目应用shiro框架进行认证概念:认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证功能-----让系统知道你是谁??授权:系统授予用户可以访问哪些功能的许可(证书)----让系统知道你能做什么?? 常见的权限控制方式URL拦截权限控制(此文章使用这个)底层基于拦截器或者过滤器实现 方法注解权限控制https://blog.csdn.net/qq_36138324/artic...
BOS初级开发培训认证(题库)
zongshiyinanping的博客
07-15 4785
关于金蝶的bos初级开发培训认证,这里我整理了一些我考试的时候的资料,希望对大家有所帮助,同时也欢迎大家来帮忙完善答案
bos物流项目
09-13
在权限控制方面,项目采用了Apache Shiro框架Shiro提供了一套完整的安全解决方案,包括认证、授权、会话管理和加密服务。它易于理解和使用,可以轻松地集成到现有的系统,对用户角色和权限进行精细化管理。 ...
bos.zip_BOS系统开发_bos_bos系统_权限管理_物流系统
09-23
在“bos_bos系统”Shiro框架应用可以实现对不同用户角色的权限控制,如管理员、员工、客户等,确保每个用户只能访问他们被授权的操作和数据。Shiro的易用性和灵活性使得它成为许多系统开发的首选安全解决...
SpringBoot整合Shiro实现登录验证与拦截全攻略
"本文将介绍如何在SpringBoot项目整合Apache Shiro框架,实现登录验证和拦截功能。通过一系列步骤,包括数据库准备、依赖引入、配置设置、自定义过滤器、匹配器、 Realm、会话管理以及异常处理,来构建一个完整的...
缓存框架EhCache整合shiro权限验证(基于spring整合)
今晚有风
10-08 7717
缓存简介: 缓存可以提高查询数据性能,对同一批数据进行多次查询时, 第一次查询走数据库,查询数据后,将数据保存在内存,第二次以后查询可以直接从内存获取数据,而不需要和数据库进行交互。 每次访问一个需要被权限控制资源时,调用Realm的授权方法,根据当前用户查询角色(role)和权限(permission)信息,每次调用 都会查询一次数据库。 问题: 为什么使用ehcache而不使用re
BOS初级开发培训认证
whatupwoman的博客
08-26 3548
【A】Q1.[单选题](1分)客户化开发设计需要考虑的因素说法错误的是() A客户化开发由于是基于项目去个性化实现的,所以没必要考虑其扩展性和灵活性 B设计时需要考虑易用性,让客户能方便使用和操作,能简单明了 C设计时需要考虑需求是否明确,是否正确和完整 D客户化开发设计时需要考虑客户的数据量情况、用户数情况、并发情况、该功能使用频率等,并考虑系统的性能 【C】Q2.[单选题](1分)二开服务取数插件时产生的临时表需要在哪个方法里面清除掉 AGet...
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6127
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
shiro框架 身份认证流程
hanfangning1989的博客
08-01 703
身份认证流程 首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils.setSecurityManager()设置; Security Manager负责真正的身份验证逻辑,它会委托给Authenticator进行身份验证; Authenticator才是真正的身份验证者,Shiro API核心的身...
Spring集成shiro框架进行验证登录并且给用户授权
kxj19980524的博客
12-08 954
使用shiro验证登录的流程主要就是,现在配置文件配置好那些过滤器,然后在controller验证登录的方法获取到用户名密码,把它交给shiro提供的对象 AuthenticationToken,然后调用它的subject.login(token); 然后跳转到realm方法当,然后在这个类当去从数据库获取用户名密码,交给shiro进行比对,如果抛出异常就说明没有认证成功,没抛异常说明认证成...
SpringMVC自定义异常处理
A_jungle的博客
09-04 2495
1.异常处理器: springmvc在处理请求过程出现异常信息交由异常处理器进行处理,自定义异常处理器可以实现一个系统的异常处理逻辑。  2.异常处理速度: 系统异常包括两类:预期异常和运行时异常RuntimeException,前者通过捕获异常从而获取异常信息,后者主要通过规范代码开发、测试通过手段减少运行时异常的发生。 系统的dao、service、controller出现都通过t...
SpringMVC自定义参数绑定Date()日期类型
A_jungle的博客
09-04 1248
1.需求: 在商品修改页面可以修改商品的生产日期,并且根据业务需求自定义日期格式。 2.需求分析: 由于日期数据有很多种格式,springmvc没办法把字符串转换成日期类型。所以需要自定义参数绑定。 前端控制器接收到请求后,找到注解形式的处理器适配器,对RequestMapping标记的方法进行适配,并对方法的形参进行参数绑定。可以在springmvc处理器适配器上自定义转换器Co...
SpringMVC解决POST提交文乱码以及Get方式提交文乱码问题
A_jungle的博客
09-04 988
1.对于POST方式提交乱码直接在web.xml添加一下代码段即可: &lt;!-- 解决post乱码问题 --&gt; &lt;filter&gt;         &lt;filter-name&gt;encoding&lt;/filter-name&gt;         &lt;filter-class&gt;org.springframework.web.filter.Cha...
Unable to instantiate Action, CustomerAction, defined for 'findById' in name
A_jungle的博客
07-14 753
-----------------------------------------------------springbean配置------------------------------------------
SpringMVC上传图片
A_jungle的博客
09-04 491
1.问题说明: 在我们平时练习时,上传图片都是上传到Tomcat服务上,但是这样的缺点也是显而易见的,那就是随着Tomcat服务器的重启,所上传的图片也会随之被清空,所以要想在服务器重启时图片不被清空,我们可以在Tomcat配置虚拟路径,将我们上传图片的路径映射到硬盘上以解决服务器重启后图片消失问题. 2.配置虚拟路径: 在tomcat下conf/server.xml添加: &lt;C...
金蝶BOS应用框架开发全攻略:提升效率与统一架构
金蝶BOS开发指南的"应用框架"章节深入介绍了企业资源计划系统(Business Operating System, BOS)的一项关键组件。这个框架是金蝶在长期的开发实践,通过不断的技术积累和实践经验总结而成,旨在为开发者提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值