Shiro 登录

最新推荐文章于 2024-09-04 13:59:13 发布
最新推荐文章于 2024-09-04 13:59:13 发布
阅读量189 收藏 3
点赞数 10
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KuloloGulolo/article/details/135979079
版权
本文详细描述了用户登录过程中,如何通过Oauth2Filter和Oauth2Realm进行身份验证,包括createToken方法的调用、SecurityManager处理AuthenticationToken、以及Shiro进行身份比对的过程。特别关注了token验证和部分URL的免验证配置。
摘要由CSDN通过智能技术生成

用户尝试登录: 用户提供用户名和密码(或其他身份信息)尝试登录应用程序。

AuthenticatingFilter 的 createToken 方法: 当用户提交登录请求时,与登录相关的过滤器,比如你的 Oauth2Filter 中的 createToken 方法被调用。在这个方法中,创建了 AuthenticationToken 对象(这里是 Oauth2Token),并将其返回。

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        //获取请求token
        String token = getRequestToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            return null;
        }
        return new Oauth2Token(token);
    }
public class Oauth2Token implements AuthenticationToken {
    /**
	 * 
	 */
	private static final long serialVersionUID = 1L;
	private String token;

    public Oauth2Token(String token) {
        this.token = token;
    }

    @Override
    public String getPrincipal() {
        return token;
    }

    @Override
    public Object getCredentials() {
        return token;
    }
}

SecurityManager 调用 Realm 的 doGetAuthenticationInfo 方法: Shiro 的 SecurityManager 接收到 AuthenticationToken 对象后,会调用配置的 Realm 的 doGetAuthenticationInfo 方法,传递 AuthenticationToken 给 Realm。这时,Oauth2Realm 中的 doGetAuthenticationInfo 方法被调用。

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken = (String) token.getPrincipal();
        String userId = null;
        try {
            userId = jwtUtil.getUserId(accessToken);
        } catch (Exception ex) {
            throw new AuthenticationException("Token失效,请重新登录!");
        }
        //查询用户信息
        SysUserEntity user = shiroService.queryUser(userId);
        if (user != null) {
            //账号锁定
            if (user.getStatus() == 0) {
                throw new LockedAccountException("账号已被锁定,请联系管理员");
            }
        }
        return new SimpleAuthenticationInfo(user, accessToken, getName());
    }

Realm 中执行身份认证逻辑: 在 Oauth2Realm 的 doGetAuthenticationInfo 方法中,你可以编写自定义的身份认证逻辑,例如验证用户名和密码是否匹配,检查用户是否被锁定等。

返回 AuthenticationInfo 对象: 在 doGetAuthenticationInfo 方法中,你需要创建并返回一个 AuthenticationInfo 对象,其中包含了用户的身份信息。通常,你会返回一个 SimpleAuthenticationInfo 对象,其中包括认证成功的用户对象以及用于后续身份验证的凭证信息(例如密码或令牌)。

Shiro 进行身份验证: Shiro 将获得的 AuthenticationInfo 与用户提供的身份信息进行比对,如果匹配,则认为用户通过了身份验证。

方法调用顺序 :

Oauth2Filter.isAccessAllowed  (请求方法类型 是否为 OPTION)   如果返回true,则跳过token 验证,执行api。 如果返回false,则需要验证token。

Oauth2Filter.onAccessDenied (如果token 为空,直接返回401 报错 。) 如果token 不为空,执行executeLogin 方法,其中会调用Oauth2Filter.createToken,然后调用subject.login方法,其中会调用Oauth2Realm.doGetAuthenticationInfo 。 

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        log.info("step : Oauth2Filter.isAccessAllowed");
        // 请求方法类型是否为OPTION,如果是,则跳过token的解析校验
        return ((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name());
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        log.info("step : Oauth2Filter.onAccessDenied");
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if (StringUtils.isBlank(token)) {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
            String json = new Gson().toJson(RestResponse.error(401, "invalid token"));
            httpResponse.getWriter().print(json);
            return false;
        }
        // 调用 createToken 和 Oauth2Realm的doGetAuthenticationInfo
        Boolean flag = executeLogin(request, response);
        return flag;
    }

ShiroConfig 
配置哪些url 不需要经过验证

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //oauth过滤
        Map<String, Filter> filters = new HashMap<>(16);
        filters.put("oauth2", new Oauth2Filter());
        shiroFilter.setFilters(filters);
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/sys/login", "anon");
        filterMap.put("/sys/tyyw/login", "anon");
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

OhKeKeKe
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
我的shiro之旅: 十四 shiro 自动登录
Dylan的博文
03-04 2万+
博客已移至 http://blog.gogl.top shiro有几种状态,其中包括guest,user,authenticated。guest就是游客,authenticated就是认证后的用户,而user是介于两者之前。user并不代表用户已经成功认证,当用户上次登录时选择rememberMe,下次用户再访问时就是user状态。登录时选择rememberMe,shiro会通过一种加密方式将p...
Shiro单用户登录
n009ww的博客
06-18 793
有这样一个需求,两地同时使用一个账号登录,需要将先登录的用户的session删除 流程分析 用户登录时判断是否之前改账号在别的地方登录 若没有登录,直接进行登录 若有登录,则找到登录的session,给该session做个标记 当之前登录的用户再次进行操作时,判断其是否有标记,有则删除其session,并返回友好提示 自定义登录验证 /** * 自定义realm,用于用户...
shiro 登录 注册
12-08
还没有写完的shiro demo会继续完善上传的,考虑清楚哦
shiro登录
wangtao的博客
06-22 251
shiro登录 1.获取当前的Subject,调用SecurityUtils.getSubject(); 2.判断当前用户是否被认证(登录),调用Subject的isAuthenticated(); 3.没有认证,把用户名和密码封装为UsernamePasswordToken对象; 3.1创建表单页面; 3.2将请求提交到springmvc的handle; 3.3获取用户名和密码 4.执行登录调用Subject的login(AuthenticationToken token) 5.自定义的...
Shiro_登陆
weixin_44840242的博客
03-29 547
四大基石:密码学 会话管理 登陆 授权 目录 1.Shiro集成Spring导包 2.Web.xml的配置 3.applicationContext-shiro.xml的配置 4.创建JpaRealm 5.Spring配置文件中引入shiro的配置文件 6.密码设置 1.准备一个加密算法 2.通过算法加密数据库密码 3.添加员工时密码加密 6.准备登陆页面 ...
Shiro(二)——shiro 登录流程、整合 SSM + ShiroShiro 密码加密(编码方式、密码加盐)、JdbcRealm(采取哪个数据作盐)、自定义访问数据库或字段、多 Realm 配置
qq_41824825的博客
01-20 1324
Shiro(二)—— 一、shiro 登录流程 1、shiro 登录流程 二、整合 SSM + Shiro 在 SS SHiro 的基础上导入 mybatis。 1、依赖导入 所有依赖: 2、Spring 配置文件 这里是原有配置代码的基础上添加新的进去,而不是只有这个: 这里注释,因为这一块可以通过注解去注释: 然后 MyRealm 添加注解: 然后自己添加一个实体类,写一个查询方法,接着修改 MyRealm: 到这里为止,就算整合完成了。 三、Shiro 密码加密 1、编码方式 2、密码
Shiro实现登录功能
test253506088的博客
06-24 1184
需要导入的依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> Shiro接管了项目的登录功能,我们只要按照Shiro登录流程走(调用方法)就可以了,下面是Shiro登录功能的简单
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
shiro登录拦截校验demo
07-19
"shiro登录拦截校验demo"是一个实际应用Shiro框架进行登录验证和权限拦截的示例项目。 在该demo中,我们可以学习到以下几个核心知识点: 1. **Shiro的基本概念**: - **身份验证(Authentication)**:确认用户...
springboot整合shiro登录失败次数限制功能的实现代码
08-27
主要介绍了springboot整合shiro-登录失败次数限制功能,实现此功能如果是防止坏人多次尝试,破解密码的情况,所以要限制用户登录尝试次数,需要的朋友可以参考下
Java shiro登录验证实例
04-29
Java shiro登录验证实例。 shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781 shiro
[免费]Shiro登录简单实例源码
08-29
本资源提供的 "[免费]Shiro登录简单实例源码" 是一个非常适合初学者理解Shiro核心功能的示例项目。 在Shiro中,主要涉及以下几个核心概念: 1. **Subject**:Shiro的核心概念,代表了当前操作的用户或者实体,可以...
使用Shiro 实现登录
m0_67392661的博客
04-28 1235
项目的目录结构 1、login.jsp <script type="text/javascript"> function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); $.ajax({ type: "POST", url: "login",
Shiro实现用户登录
hgg923的专栏
08-30 2422
Shiro登录认证(原理:用户提交 用户名和密码 --- shiro 封装令牌 ---- realm 通过用户名将密码查询返回 ---- shiro 自动去比较查询出密码和用户输入密码是否一致---- 进行登陆控制 详细学习: http://jinnianshilongnian.iteye.com/blog/2019547
Shiro登录验证
weixin_45834569的博客
01-16 1531
1.首先需要导入Shiro依赖包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> 2.定义自己的Reaml 需要继承AuthenticatingRealm 重写doGetAuthenticationInf
Shiro实现注册、登录
lair_h的博客
09-18 311
1)创建盐配置类,添加用户时,在serviceImpl中对密码进行盐加密,使用md5进行加密。3)Controller代码实现。1)ShiroConfig配置。#shiro相关配置。
shiro 登录流程
jtf19901223的博客
11-08 343
登录过滤器 AuthenticatingFilter protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception { // 从request参数中创建token, AuthenticationToken token = createToken(request, response); if (token == null) {
基于Shiro框架的登录功能
程序员小火龙的知识分享
07-21 1037
Apache Shiro是一个Java安全框架,它提供了一套易于使用的API,用于身份验证、授权、加密和会话管理等安全操作。Shiro框架的主要目标是提供易于使用的安全功能,同时保持灵活性和可扩展性。
raksmart香港大带宽服务器地址
最新发布
IDC_USA的博客
09-04 592
综上所述,在选择RAKsmart香港大带宽服务器时,可以根据自己的具体需求选择合适的配置和线路类型,以达到最优的使用效果。Rak部落小编温馨提示:以上就是小编为您整理发布raksmart香港大带宽服务器地址相关内容,更多关于服务器的专业科普和优惠活动可关注我们,科技赋能,RAKsmart机房为给您的工作和生活带来便利而努力。RAKsmart香港大带宽服务器的地址是由RAKsmart公司提供的香港机房所在地,具体地址未在公开资料中披露,但其主要特点是提供高带宽且不限制流量的服务。
shiro登录拦截器
08-23
Shiro登录拦截器是Shiro框架中的一个组件,用于实现用户登录的拦截和控制。它可以在用户请求到达后台之前拦截请求,并根据用户的登录状态进行处理。 通常,Shiro登录拦截器的配置需要在Shiro的配置文件中进行。在配置文件中,你可以指定需要进行登录拦截的URL路径,以及登录成功后的跳转页面等信息。 在Shiro框架中,一般会使用一个自定义的拦截器类来实现登录拦截器的逻辑。这个拦截器类需要继承Shiro提供的`org.apache.shiro.web.filter.authc.FormAuthenticationFilter`类,并重写其中的方法,以实现自定义的登录逻辑。 具体来说,你可以在自定义拦截器中重写`onAccessDenied`方法,在该方法中判断用户是否已经登录,如果未登录,则进行登录操作;如果已经登录,则放行请求。 除了自定义拦截器外,你还需要在Shiro的配置文件中将该拦截器配置为过滤器链的一部分,以便在请求到达时触发拦截器的逻辑。 总结一下,Shiro登录拦截器是用于实现用户登录拦截和控制的组件,需要在Shiro配置文件中配置,并通过自定义拦截器类实现具体的登录逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值