shiro认证与授权步骤

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量261 收藏
点赞数
文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jenny_yao/article/details/116374087
版权

自定义Realm方法

package com.shiro;
import com.bean.ActiveUser;
import com.bean.Sys_User;
import com.bean.Sys_permission;
import com.bean.Sys_role;
import com.service.RoleService;
import com.service.SysService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.ArrayList;
import java.util.List;

public class CustomRealm extends AuthorizingRealm {

	Logger logger = LoggerFactory.getLogger(this.getClass());

	@Autowired
	private SysService sysService;
	
	@Autowired
	private RoleService roleService;
	
	@Override
	public void setName(String name) {
		super.setName("customRealm");
	}

	/**
	 * realm的认证方法,从数据库查询用户信息
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		
		// token是用户输入的用户名和密码,第一步从token中取出用户名
		String username = (String) token.getPrincipal();
		
		// 第二步:根据用户输入的username从数据库查询
		Sys_User sysUser = null;
		
		try {
			sysUser = sysService.getSysUserByName(username);
		} catch (Exception e) {
			logger.error(e.getMessage());
		}
		
		// 如果查询不到返回null
		if(sysUser==null){
			if (logger.isDebugEnabled()){
				logger.debug("user not exist!");
			}
			return null;
		}
		
		String password = sysUser.getPassword();

		// 如果查询到返回认证信息AuthenticationInfo
		//activeUser就是用户身份信息
		ActiveUser activeUser = new ActiveUser();
		
		activeUser.setUserid(sysUser.getId());
		activeUser.setUsername(sysUser.getUsername());
		activeUser.setUserStatus(sysUser.getLocked());
		
		Sys_role sysRole = null;
		try {
			sysRole = roleService.findRoleByUserId(sysUser.getId());
		} catch (Exception e) {
			logger.error(e.getMessage());
		}
		activeUser.setRolename(sysRole.getRoleName());
		activeUser.setRoleStatus(sysRole.getAvailable());
		
		logger.info(activeUser.getUsername());
		
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
				activeUser, password, this.getName());

		return simpleAuthenticationInfo;
	}

	/**
	 * realm的授权方法
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		//从 principals获取主身份信息
		//将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthenticationInfo认证通过填充到SimpleAuthenticationInfo中身份类型),
		ActiveUser activeUser =  (ActiveUser) principals.getPrimaryPrincipal();
		
		//根据身份信息从数据库获取到权限数据
		List<Sys_permission> permissionList = null;
		try {
			permissionList = sysService.findPermissionListByUserId(activeUser.getUserid());
		} catch (Exception e) {
			logger.error(e.getMessage());
		}
		List<String> permissions = new ArrayList<String>();
		if(permissionList!=null){
			for(Sys_permission sysPermission:permissionList){
				permissions.add(sysPermission.getPercode());
			}
		}
		
		//查到权限数据,返回授权信息(要包括 上边的permissions)
		SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
		//将上边查询到授权信息填充到simpleAuthorizationInfo对象中
		simpleAuthorizationInfo.addStringPermissions(permissions);

		return simpleAuthorizationInfo;
	}
	
	//清除缓存
	public void clearCached() {
		PrincipalCollection principals = SecurityUtils.getSubject().getPrincipals();
		super.clearCache(principals);
	}
}

认证的步骤

访问Login的uri

获取subject判断是否认证

未认证进行subject.login(token)

缓存中没有的话从自定义realm中获取数据库中的凭证和密码等信息

使用credentialMatcher比较token(前端获取的密码)和info(数据库获取的密码)是否一致

认证失败抛出异常

 

授权步骤

访问限定权限的uri

执行权限验证方法 subject.isPermitted(String permission)

从自定义realm的授权方法获得权限

判断是否有权限 没有返回false

Jenny_yao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro的authc过滤器的执行流程
qq_28000789的博客
01-19 1万+
Shiro的authc过滤器的执行流程 1.先執行isAccessAllowed(),通過subject.isAuthenticated()判斷當前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 **问题?:
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
Shiro 之 SimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5144
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
权限认证框架---Shiro
qq_60067835的博客
12-07 1063
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证全流程
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 326
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
shiro中使用authc配置无反应问题
m0_67401606的博客
04-07 1219
原因:shiro配置文件中配置了authc,又在LoginController配置了登陆逻辑,shiro会根据authc配置自动尝试登录逻辑,然后后者失效。 在shiro配置文件中配置了/index路径的authc配置:代表指定url需要form表单登陆,默认会从请求中获取username,password,rememberMe等参数并尝试登陆,如果登陆不了就会跳转带loginUrl配置的路径。 可是在我的loginController中已经自定义了登陆逻辑: 二者一起配置的话就会起冲突! ...
shiro学习:shiro整合springweb项目实现用户登录和退出
刘大磊的博客
10-22 4563
一、实现原理 使用FormAuthenticationFilter过虑器实现 ,原理如下: 将用户没有认证时,请求loginurl进行认证,用户身份和用户密码提交数据到loginurl FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的) FormAuthenticationFilter调用realm传入
Shiro登录授权认证功能
09-26
通过以上步骤,我们可以实现一个基于Shiro的Spring Boot应用,实现登录授权认证功能,确保只有经过身份验证并拥有相应权限的用户才能访问特定的资源。同时,Shiro的灵活性使得它可以轻松适应各种复杂的安全需求。
shiro权限认证授权
02-26
### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们声称的那个人。在Shiro中,这个过程通常涉及以下步骤: - **凭证匹配**:用户提供的登录信息(如...
shiro认证授权案例
10-12
**一、Shiro认证流程** Shiro认证过程主要涉及以下几个步骤: 1. **凭证匹配器(CredentialsMatcher)**:这是Shiro用来比对用户输入的凭证(如密码)和系统存储的凭证是否一致的组件。在案例中,可能使用了MD5...
CAS+Shiro实现认证授权
11-15
本文将深入探讨如何使用Apache Shiro和Central Authentication Service(CAS)来实现高效的用户认证授权。这两个工具都是在Java环境中广泛使用的安全框架,它们能帮助开发者构建安全、健壮的Web应用。 首先,...
理解这9大内置过滤器,才算是精通Shiro
MarkerHub的博客
05-12 315
小Hub领读:权限框架一般都是一堆过滤器、拦截器的组合运用,在shiro中,有多少个内置的过滤器你知道吗?在哪些场景用那些过滤器,这篇文章希望你能对shiro有个新的认识!别忘了,点个 ...
springboot整合shiro认证授权流程
健康平安的活着的专栏
05-30 426
一 .整合流程 流程图: 结论: 1.服务启东加载顺序是:先加载reaml,再加载securitymanager,最后shirofilter。而调用顺序是shirofilter调用securitymanager,securitymanager调用reaml。 2.在登录认证时,shirofilter对请求进行过滤,公共资源放行,受限资先认证授权,其中认证调用xx.login(xxx)就是调用自定义reaml中的doAuthenticationIfo(xxx)方法。 2.在登录授权时,x.
shiro权限认证,自定义 Realm
苏凯的博客
09-11 414
public class UserRealm extends AuthorizingRealm { private UserService userService = new UserServiceImpl(); protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {...
Apache shiro集群实现 (三)shiro身份认证Shiro Authentication)
热门推荐
04-23 3万+
一、术语介绍 Authentication:身份认证,即用户提供一些信息来证明自己的身份。如用户名和密码,licence等。 Principals :主体的“标识属性”,可以是任意标识,例如用户名,身份证号码,手机号码等。Principals 可以有多个,但是必须有一个主要的Principal(Primary Principal),这个标识,必须是唯一的。 Credentials:凭据,即
Shiro授权流程篇
qq_43654581的博客
10-29 365
了解Shiro授权流程,并debug演示
shiro表单登录认证及退出(自定义form认证器)
爱雨轩
06-03 4827
博主地址:http://blog.csdn.net/zcl_love_wx 注意:此文是基于springMVC框架的,所以关于springMVC的配置这里不说,后面有时间专门写一个shiro整合spring的文章 1.自定义form认证器 自定义的form表单认证器需要继承FormAuthenticationFilter类,我们先看看该类里面有哪些变量 public static f
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 573
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
shiro 授权和注解开发
LIN_17970的博客
10-15 334
shiro 授权和注解开发shiro授权shiro注解式开发 数据库的表设计: shiro授权ShiroUserMapper.xml中新增内容 <!-- 这是根据用户id获取到所拥有的角色集合--> <select id="getRolesByUserId" resultType="java.lang.String" parameterType="java.lang....
Shiro认证流程:权限分配与授权详解
Shiro认证过程分为几个步骤: 1. 应用程序创建一个包含用户认证信息的AuthenticationToken对象,然后调用Subject的login方法开始认证。 2. Subject会将这个请求传递给应用程序配置的SecurityManager,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值