Shiro配置及获取用户工具类

最新推荐文章于 2024-10-01 09:31:13 发布
最新推荐文章于 2024-10-01 09:31:13 发布
阅读量1.3k 收藏
点赞数
文章标签: java 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kother/article/details/125124075
版权

Shiro配置及获取用户工具类

本学期做了一个项目,利用了Shiro这个安全框架来做身份验证和权限管理。以本文章记录一下项目中使用的Shiro配置及获取当前用户信息的工具类和一个简单的MD5密码加密工具类。

获取用户信息的工具类主要是利用Shiro中自带的Session,在项目中都可以直接使用该工具类获取当前用户信息。

shiro配置类

ps:下面添加的userRealm,adminRealm,communityRealm都是项目中自定义的3个身份Realm,分别为用普通用户、管理员和社团用户

@Configuration
public class ShiroConfig {
    //创建Realm对象
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();//返回自己定义的类
    }

    @Bean
    public AdminRealm adminRealm(){ return new AdminRealm();}

    @Bean
    public CommunityRealm communityRealm() { return new CommunityRealm();}


    @Bean(name="securityManager")
    // 2.创建DefaultSecurityManager                       @Qualifier:指定方法名字   此时UserRealm已经被Spring托管
    public DefaultSecurityManager getDefaultSecurityManager(@Qualifier("userRealm") UserRealm userRealm, @Qualifier("adminRealm") AdminRealm adminRealm,@Qualifier("communityRealm")CommunityRealm communityRealm){
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();

        //管理Realm
        Collection<Realm> realms = new ArrayList<>();
        realms.add(userRealm);
        realms.add(adminRealm);
        realms.add(communityRealm);

        defaultSecurityManager.setRealms(realms);
        //当然也可以继续增加别的Realm....
        //defaultSecurityManager.setRealm(communityRealm);

        //ThreadContext.bind(defaultSecurityManager);

        return defaultSecurityManager;
    }



    //3.设置授权、过滤器
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultSecurityManager securityManager){
        //过滤器工厂
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

        //设置安全管理器
        bean.setSecurityManager(securityManager);

        //来添加shiro的内置过滤器
        /*
        anon: 无需认证即可访问
        authc: 必须认证才能用x
        user: 必须拥有 “记住我” 功能才能用
        perms: 拥有对某个资源的权限才能用
        role: 拥有某个角色权限才能访问
        */
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
        Map<String, Filter> filters = filterFactory.getFilters();
        filters.put("authc", new AuthenticationFilter());
        bean.setFilters(filters);
        //先设置授权
        //===================设置授权======================
        //user用户 且有add权限,才能访问
        //filterChainDefinitionMap.put("/user/add","perms[user:add]");
        //user用户 且有update权限,才能访问
        //filterChainDefinitionMap.put("/user/update","perms[user:update");

        //===================设置拦截======================

        //设置首页 : 无需认证即可访问
        //filterChainDefinitionMap.put("/login","anon");
        //设置其他页面:需要认证才能访问 (此时是user包下的所有html)
        //filterChainDefinitionMap.put("/user/*","authc");


        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);

//        //设置用户如果未登录
//        bean.setLoginUrl("/toLogin");
//
//        //设置未授权的跳转页面
//        bean.setUnauthorizedUrl("/toLogin");

        return bean;
    }


    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * @return DefaultAdvisorAutoProxyCreator
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

}

普通用户的配置:

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserServiceImpl userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //如果进入一些需要授权的页面,就会进入这个方法
        System.out.println("执行用户授权");

        //拿到当前登录的对象
        Subject subject = SecurityUtils.getSubject();

        Session session = subject.getSession();
        User user = (User) session.getAttribute("user");

        //如果当前用户不是普通用户,不授权
        if(user.getUserRole() != USER){
            return null;
        }

        //封装角色信息
        Set<String> roles = new HashSet<>();
        roles.add("user");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
        System.out.println("普通用户授权完成");
        //返回的是info
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行普通用户认证");
        //这是用户登录的token 将它转换为UsernamePasswordToken
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        //获取用户信息
        User user = userService.queryUserByName(userToken.getUsername());

        if(user==null){
            System.out.println("用户名不正确");
            return null;
        }
        if(user.getUserRole() != USER){
            return null;
        }
        System.out.println("普通用户认证成功");

        //如果用户认证成功,Session中保存该用户
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        session.setAttribute("user",user);

        //如果用户名正确,让shiro来执行密码认证,注意密码加密

        //1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象
        Object principal = user.getUserName();
        //2)credentials:密码
        Object credentials = ((UsernamePasswordToken) token).getPassword();
        //3)realmName:当前realm对象的name,调用父类的getName()方法即可
        String realmName = getName();
        //4)credentialsSalt盐值
        ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值

        return new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,realmName);
    }
}

UserUtils工具类

@Component
public class UserUtils {

    //直接获取当前用户
    public User getUser(){
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        return (User) session.getAttribute("user");
    }

    //获取用户姓名
    public String getUserName(){
        return getUser().getUserName();
    }

    //获取用户id
    public int getUserId(){
        return getUser().getUserId();
    }

    //获取用户头像
    public String getUserAvatar(){
        return getUser().getUserAvatar();
    }

    //获取用户描述
    public String getUserDescription(){
        return getUser().getUserDescription();
    }

    //获取用户身份
    public int getUserRole(){
        return getUser().getUserRole();
    }

    //获取用户Email
    public String getUserEmail(){
        return getUser().getUserEmail();
    }

    //获取用户密码
    public String getUserx(){
        return getUser().getUserPassword();
    }


}

最后用到了一个MD5加密密码的算法,同样也封装成了工具类,可以直接使用。

@Component
public class MD5Utils {

    public String MD5EncryptPassword(String userName,String password){
        String hashAlgorithmName = "MD5";//加密方式
        ByteSource salt = ByteSource.Util.bytes(userName);//以账号作为盐值
        int hashIterations = 1024;//加密1024次
        String newPassword = String.valueOf(new SimpleHash(hashAlgorithmName, password,salt,hashIterations));
        return newPassword;
    }
}
姚同学阿
关注
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
sso与shiro整合所需工具类
11-14
- **util**:这里可能存放通用的工具类,比如加密解密工具、SSO配置工具等。 - **base**:基础类或基类,可能包含SSO认证的基础组件,如自定义Realm或Filter的基类。 整合Shiro与SSO的关键在于设计一个灵活且可扩展...
Shiro权限控制,获取当前登录用户信息
weixin_34503526的博客
01-03 2900
1.在自定义 UserRealm,doGetAuthenticationInfo 方法中 ,设置 登录用户userInfo return new SimpleAuthenticationInfo(userInfo, token, "userRealm"); protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException { // ..
shiro学习教程
最新发布
alankuo的专栏
10-01 425
Apache Shiro是一个强大且易用的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计理念是简单易用,同时又能满足复杂的安全需求,可以轻松地集成到各种Java应用程序中,如Web应用、命令行应用、移动应用等。// 用于身份验证@Override// 假设从数据库获取用户信息进行验证// 这里应该查询数据库验证用户信息} else {throw new AuthenticationException("用户名或密码错误");// 用于授权。
Shiro的permission管理,用户的认证和授权
超人的博客
08-16 3604
以下是步骤: 1.web.xml中配置:<display-name>shirodemo</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <context-param> <param-name>contex
springboot项目中使用shiro实现用户登录以及权限的验证
日常笔记 | 干货分享 | 毕设源码 | 毕设指导 | 答辩指导
11-02 4781
建立spring boot项目。 目录结构这个样子的 项目的jar包依赖 <dependencies> <!--整合shiro subject:用户 security manager:管理所有的用户 realm:连接数据库 --> <dependency> <groupId>org.apache.shiro&lt
③【Shiro】角色(权限组)、权限授权
ebb29bbe的博客
03-20 1154
Shiro权限授权
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
2. 配置序列化策略:限制允许反序列化的类,只接受可信的序列化数据,避免未经验证的数据输入。 3. 使用安全的序列化库:例如,可以考虑使用 Google 的 `Protocol Buffers` 或 `Java Object Streaming API (Java ...
jfinal整合shiro权限控制(从数据库读取配置信息)
04-20
本文将深入探讨如何使用Java框架JFinal与Apache Shiro进行整合,实现从数据库读取配置信息的动态权限控制。首先,我们来看看标题提到的“jfinal整合shiro权限控制”,这涉及到两个主要的组件:JFinal和Apache Shiro...
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
1. **配置Shiro**:首先需要在Spring Boot的配置文件中引入Shiro的相关配置,包括 Realm(自定义的权限认证类),以及过滤器链的定义,确保Shiro能正确拦截请求并进行权限校验。 2. **设计数据库表**:创建用户表、...
shiro反序列化工具
02-11
- **安全配置建议**:提供有关如何加固 Shiro 配置以防止反序列化攻击的指导。 使用这样的工具,开发者和安全专业人员可以更好地理解和评估 Shiro 应用程序的反序列化安全风险,并采取必要的预防措施。然而,任何...
shiro 权限与角色
02-01
这里是shrio权限与角色,入门做为一个参考
shiro框架 02使用shiro进行用户的认证和用户权限控制
qq_38757863的博客
06-29 502
instanceof是Java的一个保留关键字,左边是对象,右边是类,返回类型是Boolean类型。它的具体作用是测试左边的对象是否是右边类或者该类的子类创建的实例对象,是,则返回true,否则返回false。在此对象中定义相关方法,处理客户端的登陆请求,例如获取用户名,密码等然后提交该 shiro 框架进行认证。在用户数据层对象 SysUserDao 中,按特定条件查询用户信息,并对其进行封装。本模块的业务在 Realm 类型的对象中进行实现,我们编写 realm 时,要继承。
shiro实现用户授权
kitahiragawa的博客
02-04 314
shiro授权在自定义的realm类里面来实现 public class UserRealm extends AuthorizingRealm { @Autowired UserMapper userMapper; //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out
shiro授权
yzq102873的博客
08-29 1016
shiro授权
shiro中获得当前subject的所有角色,权限列表
热门推荐
woaiqianzhige的博客
06-21 1万+
两种方法:1.首先我们注入自定义的realm shiroDbRealm.doGetAuthorizationInfo(SecurityUtils.getSubject().getPrincipals()) 从新执行一遍doGetAuthorizationInfo这里面是自己写的,能获取到。2.realm 中写一方法核心语句AuthorizationInfo authorizationInfo1 =...
Shiro 授权(权限
我的博客----机械鱼人
01-09 1710
一、授权(权限) 1.1 什么是权限 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。 1.2 权限框架 shiro spring security Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单, 对比Spring Security,可能没有Spring Security做的功能强大,但...
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权
m0_52479012的博客
04-13 3372
springboot项目:通过shiro实现用户的认证和授权服务 设置网页的访问权限,不同的网页是具有不同的权限用户才能够访问的
Shiro学习笔记(二)Shiro实现用户授权及简单整合springboot
今晨的个人博客
04-23 171
Shiro学习笔记(二)Shiro实现用户授权及简单整合springboot 授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限时无法访问的。 授权流程 系统调用subject相关方法将用户信息(例如isPermitted)递交给SecurityManager。 SecurityManager将权限检测操作委托给Authorizer对象。 Authorizer将用户信息委托给realm。 Realm访问数据库获取用户权限信息并封装。 Aut
springboot+shiro+jwt获取当前登录用户
09-01
在Spring Boot中使用Shiro和JWT获取当前登录...总结:通过配置Shiro和JWT,重写ShiroRealm,创建JWT工具类,并在登录和获取用户接口中进行相关操作,可以实现在Spring Boot中使用Shiro和JWT获取当前登录用户的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值