2021-06-04

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量207 收藏
点赞数
文章标签: java shiro jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Huan_Bo/article/details/117552127
版权

spring boot+shiro+jwt结合微信实现免密登录+权限控制

本人第一次写博客,如有错误请大佬们指正

情况说明

由于需求原因,在微信授权登录的基础上需要实现免密登录,在微信第三方页面中集成了后台管理,此处需要用权限做验证,思来想去,用拦截器也可以实现,但由于强迫症的原因,还是想用shiro做权限验证,此处将项目中遇到的问题在此说出,不正确的地方还请各位指正!

一.导入maven

		<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.5.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.5</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

二.免密登录

1.在项目中继承了shiro,但都是基于账号密码作出的登录认证和授权,这与我项目需求不符合,此处贴出结合shiro免密登录 大概意思:继承 shiroUsernamePasswordToken ,给定特定的免密标识。

import org.apache.shiro.authc.UsernamePasswordToken;
/**
 * 重写UsernamePasswordToken 免密登录调用方法和密码登录
 * @ClassName: UsernamePasswordToken
 * @author
 * @date 2021年05月11日
 */

public class CustomToken extends UsernamePasswordToken {
    private static final long serialVersionUID = -2564928913725078138L;
    private LoginType type;
    public CustomToken() {
        super();
    }
    public CustomToken(String username, String password, LoginType type, boolean rememberMe, String host) {
        super(username, password, rememberMe,  host);
        this.type = type;
    }
    public LoginType getType() {
        return type;
    }
    public void setType(LoginType type) {
        this.type = type;
    }
/**
     * 免密登录
     * @param username
  */

    public CustomToken(String username) {
        super(username, "", false, null);
        this.type = LoginType.NOPASSWD;
    }
 
/**
     * 账号密码登录
     * @param username
     * @param pwd
  */

    public CustomToken(String username, String pwd) {
        super(username, pwd, false, null);
        this.type = LoginType.PASSWORD;
    }

}

2.重写 HashedCredentialsMatcher,不需要密码登录 用与shiro免密识别免密登录标识,并在 shiroconfig 配置文件中配置

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.springframework.context.annotation.Configuration;


/**
 * 重写HashedCredentialsMatcher,不需要密码登录 用与shiro免密登录
 * @ClassName: HashedCredentialsMatcher
 * @author jiangb
 * @date 2021年05月13日
 */

@Configuration
public class MyRetryLimitCredentialsMatcher extends HashedCredentialsMatcher {
    @Override
    public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
        //获取自定义继承了UsernamePasswordToken的用户密码token类
        CustomToken tk = (CustomToken) authcToken;
        //将类中的登录标志符拿出来比对,如果是免密登录,则返回ture
        if(tk.getType().equals(LoginType.NOPASSWD)){
            return true;
        }
        boolean matches = super.doCredentialsMatch(authcToken, info);
        return matches;
    }
}

3.登录类型枚举

public enum LoginType {
    PASSWORD("password"), // 密码登录
    NOPASSWD("nopassword"); // 免密登录
 
    private String code;// 状态值
 
    private LoginType(String code) {
        this.code = code;
    }
    public String getCode () {
        return code;
    }
}

4.自己配置的MyRealm

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import java.util.HashSet;
import java.util.List;
import java.util.stream.Collectors;

@Component
@Slf4j
public class MyRealm extends AuthorizingRealm  {
    @Autowired
    private UserService  userService;

    @Autowired
    private PermissionMapper permissionMapper;

    /**
     *  表示根据用户身份获取授权信息。授权认证
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        log.info("----------------开始授权认证-----------");
        UserVo user = (UserVo)principalCollection.getPrimaryPrincipal();
        //通过用户名查询该用户的所有权限
        List<Permission> permissionList = permissionMapper.findPermissionByUserName(user.getUsername());
        //使用stream流循环去重添加到set中
        HashSet<String> collect = (HashSet<String>) permissionList.stream().map(a -> a.getPermissionName()).collect(Collectors.toSet());
        //声明  将权限设置到该对象中
        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setStringPermissions(collect);
        //返回授权信息
        log.info("----------------授权认证结束-----------");
        return simpleAuthorizationInfo;


    }

    /**
     * 表示登录获取身份验证信息; 登录认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    log.info("----------------开始登陆认证-----------");
        //获取用户名信息
        String userName = (String)authenticationToken.getPrincipal();
        //根据用户名去数据库查询该用户
        UserVo userVo = userService.findByUserName(userName);
        //声明SimpleAuthenticationInfo 将前端传入的用户名,以及从数据库查询楚的密码
        //以及当前类的名称放置生成SimpleAuthenticationInfo 进行返回
        SimpleAuthenticationInfo simpleAuthenticationInfo=new SimpleAuthenticationInfo(userVo,userVo.getUsername(),this.getName());
        log.info("----------------登陆认证结束-----------");
        return simpleAuthenticationInfo;
    }
    /**
     * 清除当前用户的权限认证缓存
     *
     * @param principals 权限信息
     */
    @Override
    public void clearCache(PrincipalCollection principals) {
        super.clearCache(principals);
    }
}

三.shiro配置文件

重点在这,当时我实现了微信授权登录+shiro的免密登录,数据也入库了,但是就是验证权限的时候死活不进MyRealm的权限认证。还是因为自己的粗心大意,重点必须在SecurityManager
bean中配置自己自定义的shiro session 缓存管理器,否则,前后端分离时,拿不到sessionID,识别不了用户,就会出现已经登录了,还是识别不了登陆用户的错误。

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
@Slf4j
public class ShiroConfig {
	
	//shiro的过滤器
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean sf = new ShiroFilterFactoryBean();
        sf.setSecurityManager(securityManager);
        LinkedHashMap<String, String> filterChainDe = new LinkedHashMap<>();
        //配置你自己需要权限的拦截接口
        filterChainDe.put("/**/**", "authc");
        //配置自己的放行接口
        filterChainDe.put("/login", "anon");
        filterChainDe.put("/callBack", "anon");
        sf.setFilterChainDefinitionMap(filterChainDe);
        return sf;
    }
    @Bean
    public MyRealm myRealm() {
        MyRealm myRealm=new MyRealm();
       myRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myRealm;
    }

    // 必须使用session管理器,才能够解决前后端分离shiro的subject未认证的问题
    @Bean
    public SessionManager sessionManager(){
        //将我们继承后重写的shiro session 注册
        ShiroSession shiroSession = new ShiroSession();
        shiroSession.setSessionDAO(new EnterpriseCacheSessionDAO());
        return shiroSession;
    }


 
    // 它继承了DefaultSecurityManager类,实现了WebSecurityManager接口,没有使用这个类,无法验证会话中登录的用户,也无法进行登录校验 登出
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //defaultWebSecurityManager.setCacheManager(cacheManager());
        defaultWebSecurityManager.setRealm(myRealm());
        //自定义的shiro session 缓存管理器,
        //此处需特别注意,需要set自定义的session管理器,否则会出现已登录,但找不到登录用户信息的错误
   		defaultWebSecurityManager.setSessionManager(sessionManager());
        return defaultWebSecurityManager;
    }

    //开启shiro权限注解模式
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor=new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }
    //使用自定义的免密登录方式
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
       MyRetryLimitCredentialsMatcher matcher = new MyRetryLimitCredentialsMatcher();
        return matcher;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
}

四.前后端分离实现登录认证及权限认证

shiro配置文件配完后,需要在登录时,主动获取sessionId,并返回给前端,让前端保存到 localstorage

1.登录

	Subject subject = SecurityUtils.getSubject();
        String sessionId = (String) subject.getSession().getId();
        log.info("获取sessionId  "+sessionId);
        //使用自定义的免密登录方式
        CustomToken token =new CustomToken(user.getUsername());
        log.info("开始免密登录");
        subject.login(token);
        if (subject.isAuthenticated()) {
        //自己的登录逻辑,并把sessionId  返回给前端
        }

2.返回给前端,让前端保存到 localstorage

localStorage.setItem("authToken", res.data.authToken)

3.在自定的shiroSession管理中 ,通过获取请求头的方式拿到sessionId,在使用注解实现权限验证的时候(我用的是@RequiresPermissions),就会根据sessionId 拿到登录认证信息,进入到权限认证中,实现权限的校验(代码注解说明)

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
 * 目的: shiro 的 session 管理
 *      自定义session规则,实现前后分离,在跨域等情况下使用token 方式进行登录验证才需要,否则没必须使用本类。
 	 * 在前后端分离的时候,由于跨域和其他的原因sessionID会失效,或者出现
     * 当时登录后拿到的登录认证信息不是现在登录的认证信息,相当于登录了
     * 两次,系统会识别新一次的认证信息,这时候再进入到权限认证中,就会
     * 报信息不匹配的错误,这里起到了一个维护会话的作用,相当于浏览器的cookie
 *
 */
@Slf4j
public class ShiroSession extends DefaultWebSessionManager {
    /**
     * 定义的请求头中使用的标记key,用来传递 token
     */
    private static final String AUTH_TOKEN = "authToken";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public ShiroSession() {
        super();
        //设置 shiro session 失效时间,默认为30分钟,这里现在设置为15分钟
        setGlobalSessionTimeout(MILLIS_PER_MINUTE * 60);
    }

    /**
     * 获取sessionId,原本是根据sessionKey来获取一个sessionId
     * @param request ServletRequest
     * @param response ServletResponse
     * @return Serializable
     */
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头中的 AUTH_TOKEN 的值,如果请求头中有 AUTH_TOKEN 则其值为sessionId。shiro就是通过sessionId 来控制的
        log.info("获取authToken");
        String sessionId = WebUtils.toHttp(request).getHeader(AUTH_TOKEN);

        if (StringUtils.isEmpty(sessionId)){
            //如果没有携带id参数则按照父类的方式在cookie进行获取sessionId
            return super.getSessionId(request, response);

        } else {
            //请求头中如果有 authToken, 则其值为sessionId
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            //sessionId
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return sessionId;
        }
    }
}

此篇文章用于记录自己项目中所遇到的错误,如有不足之处,还望进行指点!

本文借鉴了这篇博客: https://blog.csdn.net/qq_43114230/article/details/112490186
如有侵权,请联系删除!

Huan_Bo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro 自定义登录方式,非密码方式
Jerry
06-11 1998
主要绕过密码匹配,代码如下 ··· @Component public class MyHashedCredentialsMatcher extends HashedCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken token, Authentic...
shiro免密码登录
n009ww的博客
07-18 1304
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多样,比如短信验证码,邮箱验证码等其他手段。这样就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
Shiro免密码登录
m0_67401153的博客
08-24 2728
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
Shiro免密登录
xxfamly的博客
06-21 1万+
目录 1.千篇一律 2.点睛之笔 所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。 在网上查阅了一些贴子,套路基本一样,照搬了全部代码,发现在强转AuthenticationToken为自定义Tok...
SpringBoot+Shiro实现免密登录
qq_38410795冰淇淋的博客
09-07 1854
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
nodemcu-release-18-modules-2021-06-04-02-03-43-integer.bin
06-04
You successfully commissioned a NodeMCU custom build from the release branch.... We'll keep you posted by email about the progress of your build. In the meantime I suggest you take a look at the build ...
2021蓝牙市场最新资讯[2021-06-04](30页).pdf
05-18
2021年的蓝牙市场最新资讯展示了这一技术的最新进展和市场动态。 【蓝牙市场增长】 尽管2020年全球受到新冠疫情的严重影响,但蓝牙设备的出货量仍然展现出强大的韧性。预计2021年至2025年间,蓝牙设备的年出货量将...
nodemcu-release-18-modules-2021-06-04-02-03-43-float.bin
06-04
You successfully commissioned a NodeMCU custom build from the release branch. You selected the following 18 modules: adc dht file gpio ...
wiznote-windows-x86-2021-06-09.exe
06-22
为知笔记windows客户端
aggregated.diskwrites_resource-2021-06-22-183539.ips
06-24
aggregated.diskwrites_resource-2021-06-22-183539.ips
【Shiro】6、Shiro实现限制密码错误次数从而限制用户登录
热门推荐
Asurplus
05-22 20万+
我们的系统非常容易遭受攻击,被人暴力破解等,我们需要对同一账户密码错误次数进行统计,达到上限后,需要在一段时间内限制该用户登录,从而有效地保护账户密码的安全 1、重试限制散列凭据匹配器 package com.asurplus.common.shiro; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.
shiro学习分享(二)——登陆次数限制,RemberMe功能以及验证码功能实现
madonghyu的博客
03-19 784
实现登陆次数限制,RemberMe功能以及验证码功能的整合 登陆次数限制 实现:通过重写HashedCredentialsMatcher这个类实现,并且使用Ehcache管理内存 实现类: public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher { private Ca...
shiro授权拦截器的重写
lanlansir的博客
12-01 1400
shiro整合前后端分离的springboots,Vue项目真的是有很多大坑啊。 直接进总结: 先看总结 今天我的主题是:如何设置shiro过滤器。 遇到问题:我的项目是前后端分离的,shiro里面有一个shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函数 这是什么意思呢:这表示如果你访问了一个需要权限的url,但是目前你登陆的角色没有权限,那么页面默认跳转的地址。 看着似乎是没啥毛病。 但是!!! 如果是前后端分离怎么办呢?后端shiro让项目
【Shiro免密登录集成钉钉扫码登陆功能实现】
qq_37243341的博客
06-01 1449
最近公司来个新需求需要加一个钉钉扫码自动登录的功能,考虑到公司目前权限使用的框架是Shiro,开发过程中存在部分问题记录一下。
十.shiro加密解密,短信免密登录,限制密码重试次数、防止暴力破解
u014203449的博客
07-28 2985
一。加密解密 存储尽量不要用明文密码,且不可逆的加密存储 1.加密算法 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的 数据,常见的散列算法如 MD5、SHA 等。一般进行散列时最好提供一个 salt(盐),比如 加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一 些 md5 解密网站很容易的通...
最简单的Shiro免密登陆(springboot)
yuer629
04-19 2416
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
SpringBoot Shiro免密登录
化名三爷
04-11 4003
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是免密登录。 4,新增Logi...
若依(SpringBoot+shiro)免密登录配置
Leisurelyc的博客
05-12 2710
若依单机版(SpringBoot shiro)免密登录配置
分享在SSM框架中用第三方登录怎么绕过shiro的认证
蓝星花
03-14 8189
问题描述:用ssm框架整合shiro管理系统,然后想实现第三方登录功能,比如(qq,微信等),但是遇到了一个棘手的问题,用第三方登录,我们怎么去实现对用户的授权,这个问题困扰了我很久,网上找了很多相关的资料,都没有一个很好答案,然后自己摸索了许久,终于搞定了,所以想很你们分享一哈,哈哈哈。(如果密码不用md5不可逆加密,那就非常好实现了)效果演示:我们看一下后台具体情况:然后我们可以拿到QQ用户信...
解析kingbase SELECT to_char('2021-06-04 00:00:00','YYYY-MM-DD')出现SQL 错误 [22P02]: 错误: 无效的类型 numeric 输入语法: "2021-06-04 00:00:00" Where: SQL 函数 "to_char" 语句 1
最新发布
05-31
具体来说,to_char 函数的第一个参数需要是一个日期或时间类型的值,但是你传入的是一个字符串类型的值 "2021-06-04 00:00:00",这就导致了无法解析的错误。 要解决这个问题,你需要将字符串类型的值转换成日期或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值