shiro-登录授权会话的简单使用demo

最新推荐文章于 2021-05-21 21:31:08 发布
最新推荐文章于 2021-05-21 21:31:08 发布
阅读量451 收藏
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cenmen_17714/article/details/86465950
版权

刚刚学习shiro,动手做了个入门demo,高手请绕道。嘻嘻

项目源码:https://github.com/cenmen/shiro-demo1.0.git

项目结构如下图:

在shiro数据库中新建两个表user和authority,表的内容如下图:

备注:demo使用springboot+ssm框架,在项目结构中的beans,mapper,service,service.impl包中的代码我就不贴出来了,也就是对数据库操作的代码,想要的可以自行下载源码看哦。

1,在pom.xml中引入shiro

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.2.3</version>
</dependency>

2,配置ShiroConfiguration类

package com.liang.auth;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Configurable;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;


@Configuration
public class ShiroConfiguration {
	
	/*
		<bean id="userRealm" class="org.gec.smart.auth.UserRealm"/>
	*/
	@Bean
	public UserRealm userRealm() {
		return new UserRealm();
	}
	
	/*
		<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
			<property name="securityManager" ref="securityManager"/>
		</bean>
	*/
	@Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //指定认证失败后跳转的页面
        shiroFilterFactoryBean.setLoginUrl("/login.html");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index.html");
        // 未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/error.html");
        //配置资源的访问规则
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
        // 配置不会被拦截的链接 顺序判断,authc:所有url都必须认证通过才可以访问, anon:所有url都都可以匿名访问
        filterChainDefinitionMap.put("/login.html", "anon");
        filterChainDefinitionMap.put("/sys/login.do", "anon");
        //访问authority.html需要add权限
        filterChainDefinitionMap.put("/authority.html", "perms[add]");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

	/*
		<bean id="securityManager" class="org.apache.shiro.mgt.SecurityManager">
			<property name="realm" value="userRealm">
		</bean>
	*/
    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        return securityManager;
    } 

}

3,自定义Realm类:UserRealm

package com.liang.auth;

import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.liang.beans.Authority;
import com.liang.beans.User;
import com.liang.service.IUserService;

public class UserRealm extends AuthorizingRealm {
	@Autowired
	private IUserService userService;

	//执行授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("执行授权...");
		User token = (User)SecurityUtils.getSubject().getPrincipal();
		System.out.println(token);
	    String userRole = token.getRole();
	    SimpleAuthorizationInfo info =  new SimpleAuthorizationInfo();
	    //根据用户ID查询角色(role),放入到Authorization里。
	    Authority authority = userService.findAuthor(userRole);
	    Set<String> permissionSet = new HashSet<String>();
//	    String author = authority.getAuthor();
	    permissionSet.add(authority.getAuthor());
//	    info.setRoles(roleSet); //添加角色
	    info.setStringPermissions(permissionSet);
	    return info;
	}

	//执行认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg) throws AuthenticationException {
		System.out.println("执行认证......");
		UsernamePasswordToken token = (UsernamePasswordToken) arg;
		String password = new String(token.getPassword());
		User user = userService.findUsers(token.getUsername(), password);
		//如果该方法返回AuthenticationInfo对象就代表认证成功,如果返回null就代表认证失败
		if (user != null) { //登录成功
			return new SimpleAuthenticationInfo(
					user, //priciple,使用当前登录用户对象
					password,  //credentials
					user.getName()); //realmName
		}
		return null;  //返回null代表认证失败
	}
}

4,在Controller层操作:UserController

package com.liang.controller;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import com.liang.beans.User;
import com.liang.service.IUserService;

@RestController //就是@Controlller和@ResponseBody注解的结合
@RequestMapping("/sys")
public class UserController {
	@Autowired
	private IUserService userService;

	@RequestMapping(path="/login.do", produces="application/json;charset=utf-8")
	public Map login(String username, String password) {
		Map map =new HashMap();
		//第一步:创建令牌
		UsernamePasswordToken token = new UsernamePasswordToken(username, password); //james , 234
		//第二步:获取Subject对象,该对象封装了一系列的操作
		Subject subject = SecurityUtils.getSubject();
		//第三步:执行认证
		try {
			subject.login(token);
			System.out.println("登录成功");
			map.put("status", "200");
			map.put("message", "登录成功");
			return map;
		} catch (AuthenticationException e) {
			e.printStackTrace();
			map.put("status", "500");
			map.put("message", "登录失败");
		}
		return map;

	}
	
	@RequestMapping(path="/logout.do", produces="application/json;charset=utf-8")
	public Map logout(HttpSession session) {
		//session.removeAttribute("user"); //删除Session的user属性
		//session.invalidate(); //把整个session销毁
		Map map =new HashMap();
		SecurityUtils.getSubject().logout();
		map.put("status", "200");
		map.put("message", "注销成功");
		return map;
	}
	
	@RequestMapping(path="/addSession.do", produces="application/json;charset=utf-8")
	public Map addSession(HttpSession session) {
		session.setAttribute("session", "session");
		Map map =new HashMap();
		try {
			userService.addSession();
			map.put("status", "200");
			map.put("message", "添加Session成功");
		} catch (Exception e) {
			e.printStackTrace();
			map.put("status", "500");
			map.put("message", "登录失败");
		}
		return map;
	}
}

5,login.html

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<script src="https://cdn.staticfile.org/jquery/3.2.1/jquery.min.js"></script>
<title>login</title>
<script>
function submit() {
	$.post("/sys/login.do", {
		username: $("input[name='username']").val(),
		password: $("input[name='password']").val()
		},function(data){
			if(data.status=='200'){
				$(location).attr('href', 'index.html');
				}else{
					alert(data.message+","+data.status);
				}
		    });
}
</script>
</head>
<body>
	<div>
		<input type="text" name="username">
		<input type="password" name="password">
		<button onclick="submit()">submit</button>
	</div>
</body>
</html>

其他html我就不贴了,大概都差不多,就是发送请求。

总结

  • ShiroConfiguration配置类,配置资源访问的规则,注入自定义的Realm类;
  • 在自定义Realm类中重写doGetAuthorizationInfo(授权)和doGetAuthenticationInfo(认证)方法。在登录时提交token,在后台利用token的get方法获取字段,然后可以进行数据库的查询,将返回的数据进行处理。
  • Session manager的使用,在Serivice层亦可以获取Session。
Cenmen_17714
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 简单登录demo
风雨过后的博客
01-07 1万+
1.shiro 是java强大的安全认证框架 shiro框架的核心功能:认证,授权会话管理,加密 shiro框架认证流程   Application Code:应用程序代码,由开发人员负责开发的 Subject:框架提供的接口,代表当前用户对象 SecurityManager:框架提供的接口,代表安全管理器对象 Realm:可以开发人员编写,框架也提供一些,类似于DAO,用于访问权...
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
shiro系列-认证&授权 demo
weixin_40380118的博客
09-29 449
本人学习某项技术,喜欢先整体感受一遍,然后再根据需要详细了解学习某个模块。先贴下官网的例子,让大家对shiro有个整体的映像,之后再对各个模块进行介绍。 1,引入shiro依赖,这里采用maven方式 org.apache.shiro shiro-spring 1.4.0 2,shrio 配置,命名shiro.ini # 等号左边是用
shiro登陆简单 demo
芒果哥的专栏
10-11 4733
先介绍下 shiro 是个 用来方便 权限管理 的框架  想具体了解 请自行百度, 这里只说简单的登陆功能介绍 表结构如下 CREATE TABLE `user` ( `id` int(11) NOT NULL, `userName` varchar(20) DEFAULT NULL, `passWord` int(20) DEFAULT NULL, `eMail` varch
shiro——Demo登录测试
userzou的博客
05-21 169
<dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.1.3</version> </dependency> <dependency> <groupId>org.apache.s.
shiro-demo使用redis做缓存.zip
12-01
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权会话管理和加密等功能,广泛应用于Web应用和企业级系统中。在这个"shiro-demo使用redis做缓存"的示例中,我们将深入探讨如何利用Redis这个高性能的...
shiro-demo使用ehcache做缓存.zip
12-01
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权会话管理和加密等功能,使得开发者可以轻松地处理应用程序的安全需求。在这个“shiro-demo使用ehcache做缓存”的示例中,我们将深入探讨如何结合...
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权会话管理和加密等问题。在本项目中,Shiro被用于实现权限管理功能。它允许我们定义角色(Role)、权限(Permission)以及用户与角色、权限之间的关系...
JFinal-Shiro-JDBC-Demo-master.zip_DEMO_jfinal_shiro
09-21
在这个Demo项目中,Shiro被用来处理用户的登录、权限控制以及会话管理等安全问题。Shiro通过与JDBC的集成,实现了数据存储在数据库中的用户认证和授权。这包括了用户信息、角色和权限的数据库操作,以及基于这些信息...
jwt-shiro-demo:jwt-shiro-demo
02-25
【JWT-Shiro-Demo】是一个基于Java开发的项目示例,主要展示了如何将JSON Web Tokens (JWT)与Apache Shiro安全框架结合使用。这个项目旨在帮助开发者理解如何在实际应用中实现用户认证和授权,利用JWT进行无状态的...
shiro使用简单Demo
11-01
基于url和注解的权限管理shiro简单易用的例子,好用易上手,适合初次接触shiro的人员,使用中如有疑问,可以留言,我修改了积分,只需要1积分便可下载,目的分享资源,不为其他。
shirodemo实现web登陆
10-10
shiro在web的实现,使用jsp实现,给html实现了登陆测试。
springmvc+shiro 实现安全登录demo
09-17
实现了shiro安全登录,包括密码加密匹配和登录失败次数限制的功能
ssm框架实现登录/shiro/demo
02-19
我最近用了2天整理一了个相对来说比较好的ssm框架,目前实现登录功能,有比较完善的权限功能。先上效果图,激发一下你们的学习兴趣。
SpringBoot搭建的shiro鉴权的最简单登录demo(绝对可用)
09-04
直接把项目导入idea就能打开使用,该项目在简单实现shiro登录鉴权的基础上,还实现了接收数据的统一加工处理模块,在接收post或者get请求后,能返回固定模板格式的json数据给前端,对于初期的学习与应用很有帮助。对了数据库需要自己布置一下,有问题的话可以给我留言
shiro授权
加油吧,少年!
03-07 260
接上篇shiro认证基本流程 在Relam添加用户时,给用户一个角色 simpleAccountRealm.addAccount(&quot;Mark&quot;,&quot;123456&quot;,&quot;admin&quot;);//给用户赋予管理员角色 验证用户是否有这样的角色 subject.checkRole(&quot;admin&quot;);//检查用户是否具备这样的角色;若不存在这样的角色,会抛出主体
shiro权限案例demo
07-18
shiro权限demo
shiro登录的小demo
蹲在电饭煲上的猫
06-22 967
放在git上了,方便自己以后看,也方便正在找demo的你 https://github.com/wangshanghello/shiro-master      
Shiro权限管理】19.Shiro会话管理
程序猿之洞
12-17 2413
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 下面我们来说一下Shiro里面的会话管理,这个“会话”与JavaWeb里面的HttpSession 是一致的,都是表示客户端与服务器的一次会话Shiro会话的特点: Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(比如Web容器tomcat),不管 JavaSE还是JavaEE环境都可以使用
shiro-550和shiro-721漏洞的异同点
最新发布
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。该漏洞可被用于在目标服务器上执行任意命令,获取敏感信息等。 Shiro-721漏洞是Apache Shiro框架中的一种权限绕过漏洞,攻击者可以通过构造特定的请求,来绕过Shiro框架的权限控制,从而访问未经授权的资源或执行未经授权的操作。该漏洞可被用于获取未经授权的访问权限,访问敏感信息等。 因此,Shiro-550和Shiro-721漏洞的主要区别在于漏洞类型和漏洞影响。建议开发者及时升级Shiro框架版本或者关闭相关功能以避免此类漏洞的风险。同时,建议对请求参数进行严格的过滤和验证,避免恶意请求的输入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值