shiro实现登录安全认证

最新推荐文章于 2022-08-24 02:26:42 发布
最新推荐文章于 2022-08-24 02:26:42 发布
阅读量383 收藏 3
点赞数 2
文章标签: 数据库 java 前端 ViewUI
原文链接:http://www.cnblogs.com/AngeLeyes/p/7196956.html
版权

shiro实现登录安全认证

shiro的优势,不需要再代码里面判断是否登录,是否有执行的权限,实现了从前端页面到后台代码的权限的控制非常的灵活方便

传统的登录认证方式是,从前端页面获取到用户输入的账号和密码之后,直接去数据库查询账号和密码是否匹配和存在,如果匹配和存在就登录成功,没有就提示错误

而shiro的认证方式则是,从前端页面获取到用户输入的账号和密码之后,传入给一个UsernamePasswordToken对象也就是令牌,

然后再把令牌传给subject,subject会调用自定义的 realm,

realm做的事情就是用前端用户输入的用户名,去数据库查询出一条记录(只用用户名去查,查询拿到返回用户名和密码),然后再把两个密码进行对比,不一致就跑出异常

也就是说如果subject.login(token);没有抛出异常,就表示用户名和密码是匹配的,表示登录成功

1.在pom.xml中引入shiro依赖

    <!-- 引入shiro框架的依赖 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.2</version>
        </dependency>

2.在web.xml中配置过滤器

<!-- 配置spring提供的用于整合shiro框架的过滤器 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.在applicationContext.xml中配置DelegatingFilterProxy的Bean

<!-- 配置一个shiro框架的过滤器工厂bean,用于创建shiro框架的过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器对象 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 注入登录页面访问URL -->
        <property name="loginUrl" value="/login.jsp"/>
        <!-- 注入权限不足提供页面访问URL -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/><!-- 已经登录,但是用户没有权限的时候才跳转 -->
        <!-- 配置URL拦截规则 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp* = anon
                /userAction_login.action = anon
                /page_base_staff.action = perms["staff"]
                /** = authc<!-- 其他设置用户认证才能使用-->
            </value>
        </property>
    </bean>
    
    <!-- 注册安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"></bean>

常用过滤器

常用过滤器:
anon:例子/admins/**=anon表示可以匿名访问
authc:例如/admins/user/**=authc表示需要认证才能使用,没有参数
perms:例子/page_base_staff.action = perms["staff"],当前用户需要有staff权限才可以访问。
roles:例子/admins/user/**=roles[admin],当前用户是否有这个角色权限。

登录方法的编写

传统的登录方法
    
    public String login(){
                //调用service层查询账号和密码是否一致
                UserBean user= userService.login(model);
                if(user!=null)
                {
                    return "index";
                }
                else
                {
                    addActionError("用户名和密码不匹配...");
                    return "login";
                }
                
            }
    }
shiro的登录认证方法
    public String login(){           
                if((!StringUtils.isBlank(checkcode))&&key.contentEquals(checkcode) )
                {
                    Subject subject = SecurityUtils.getSubject();//获取当前用户对象
                    //生成令牌(传入用户输入的账号和密码)
                    UsernamePasswordToken token=new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));
                    
                    //认证登录
                    try {
                        //这里会加载自定义的realm
                subject.login(token);//把令牌放到login里面进行查询,如果查询账号和密码时候匹配,如果匹配就把user对象获取出来,失败就抛异常
                UserBean user= (UserBean) subject.getPrincipal();//获取登录成功的用户对象(以前是直接去service里面查)
                ServletActionContext.getRequest().getSession().setAttribute("user", user);
                        return "index";
                    } catch (Exception e) {
                        //认证登录失败抛出异常
                        addActionError("用户名和密码不匹配...");
                        return "login";
                    }
                }
        }

自定义realm的编写

public class Bos_realm extends AuthorizingRealm {

    @Resource
    private IUserDao<UserBean> userDao;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
        // TODO Auto-generated method stub
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        
    UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//获取令牌(里面存放new UsernamePasswordToken放入的账号和密码)
      
        //得到账号和密码
        String username = usertoken.getUsername();
        
        UserBean findusername = userDao.findByusername(username);//去sql查询用户名是否存在,如果存在返回对象(账号和密码都有的对象)
      
        if(findusername!=null)//如果用户名存在
        {
            //参数1.用户认证的对象(subject.getPrincipal();返回的对象),
            //参数2.从数据库根据用户名查询到的用户的密码
            //参数3.把当前自定义的realm对象传给SimpleAuthenticationInfo,在配置文件需要注入
            AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
            return Info;
        
        }else
        {
            return null;
        }
    }

}

在安全管理器里面注入自定义的realm

    <!-- 注册安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 注入realm到安全管理器进行密码匹配 -->
    <property name="realm" ref="BosRealm"></property>
    </bean>
    <!-- 自定义的realm -->
    <bean id="BosRealm" class="com.itheima.bos.action.Bos_realm"></bean>

添加权限四方式

1_url

在里面添加拦截规则

<!-- 配置URL拦截规则 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp* = anon
                /User_login.action= anon
                /page_base_staff.action = perms["staff"] <!-- 拦截page_base_staff.action这个方法必须有staff权限才能使用 -->
                /** = authc
            </value>
        </property>

2_注解

需要在中配置开启注解扫描才能使用

开启添加权限的注解扫描

    <bean id="defaultAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
        <!-- 配置强制使用cglib方式为Action创建代理对象 -->
        <property name="proxyTargetClass" value="true"/>
    </bean>
    
    <!-- 配置shiro框架的切面类 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
//把订单设置为作废
    @RequiresPermissions("staff.delete")//为delete这个方法添加staff.delete权限
    public String delete()
    {
        //得到id
        staffService.deleteBatch(ids);
        return "staff";
    }

3_jsp页面

需要导入shiro标签库

<%@ taglib uri="http://shiro.apache.org/tags"  prefix="shiro"%>
    /* 有staff权限才能显示此按钮 */
<shiro:hasPermission name="staff1">
    {
        id : 'button-delete',
        text : '作废',
        iconCls : 'icon-cancel',
        handler : doDelete
    },
    </shiro:hasPermission>

4_代码(几乎不用)

在要设置权限的代码中添加一下两行代码就可以了

    //修改
    public String edit()
    {
        Subject subject = SecurityUtils.getSubject();
        subject.checkPermission("staff.edit");//要运行此方法下面的代码,必须要拥有staff.edit的权限
        //更新model
        staffService.update(model);
        return "staff";
    }

授权

手动授权和认证

因为要授权的权限太多,所以需要一张权限表

public class Bos_realm extends AuthorizingRealm {

    @Resource
    private IUserDao<UserBean> userDao;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {

      
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermission("staff");//为page_base_staff.action请求授权staff权限
        info.addStringPermission("staff.delete");//为page_base_staff.action请求授权staff权限
        info.addStringPermission("staff.edit");
        return info;
     
    }

    //用户的登录认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //这里添加认证代码
      
      UsernamePasswordToken usertoken=(UsernamePasswordToken) token;//获取令牌(里面存放的有账号和密码)
        
        //查询用户名是否存在
        String username = usertoken.getUsername();
        
        UserBean findusername = userDao.findByusername(username);//去sql查询用户名是否存在
        if(findusername!=null)//如果用户名存在
        {
            //参数1.用户认证的对象(subject.getPrincipal();返回的对象),
            //参数2.从数据库根据用户名查询到的用户的密码
            //参数3.把当前自定义的realm对象传给SimpleAuthenticationInfo,在配置文件需要注入
            AuthenticationInfo Info = new SimpleAuthenticationInfo(findusername, findusername.getPassword(),this.getName());
            return Info;
        
        }else
        {
            return null;
        }
      

}

遍历数据库授权

获取当前登录的用户,去数据库查询当前用户的所有权限,然后添加

    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();       

        //获取当前用户
        UserBean findusername = session.get......;
        
        //结果集
        List<AuthFunction> functionList =null;

        //去sql查询当前用户的权限
        if("admin".equals(findusername.getUsername()))//如果是管理员,获取所有权限
        {
             functionList = functionDao.findAll();
        }else
        {
            String hql = "SELECT DISTINCT f FROM AuthFunction f LEFT OUTER JOIN f.authRoles r LEFT              OUTER JOIN r.userBeans u WHERE u.id = ?";
            functionList = functionDao.findByHQL(hql,findusername.getId());
        }
        
        //遍历结果集授权
        for (AuthFunction authFunction : functionList) {
            info.addStringPermission(authFunction.getCode());
        }

        return info;

转载于:https://www.cnblogs.com/AngeLeyes/p/7196956.html

Licht1988
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro 登录认证源码详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro登录认证(Authentication)功能。
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
shiro实现登录安全认证(转)
WGH100817的博客
01-26 206
shiro实现登录安全认证 shiro的优势,不需要再代码里面判断是否登录,是否有执行的权限,实现了从前端页面到后台代码的权限的控制非常的灵活方便 传统的登录认证方式是,从前端页面获取到用户输入的账号和密码之后,直接去数据库查询账号和密码是否匹配和存在,如果匹配和存在就登录成功,没有就提示错误 而shiro认证方式则是,从前端页面获取到用户输入的账号和密码之后,传入给一个Usernam...
shiro进行登录认证和授权
shenhy95的博客
04-15 6440
1.Shiro核心架构 三个常用过滤器 anno:不需要任何权限即可访问资源 authc:需要登录的权限才可以访问资源 perms:需要指定的权限才能访问目标资源
shiro认证登录
AC_XI的博客
03-19 343
问题:Shrio是如何通过认证的 背景:使用DefultWebSecurityManage实现用户登录认证,并且自定义一个Realm 线索: (1)在配置文件中,ShiroFilterFactoryBean依赖与SecurityManager,SecurityManager依赖于Realm,也就是说在代码中这几个之间构成了某种关系 (2)先弄清楚Realm的实现类,Subject的实现类更加容易理解方法的调用,他们贯穿了整个认证流程 基于Shiro实现登录逻辑 1.用户输入login.do并且加入user
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证和授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
SpringBoot整合Shiro实现登录认证的方法
08-27
SpringBoot整合Shiro实现登录认证的方法 SpringBoot作为一个流行的微服务框架,安全性是其重要组成部分,而Shiro作为一个功能强大、灵活的安全框架,经常...这样可以实现安全登录认证和授权机制,保护系统的安全性。
shiro实现单点登录
10-15
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、会话管理和加密等功能,非常适合用来实现SSO。在Spring框架基础上整合Shiro、Spring Data Redis以及Spring Session Data Redis,可以构建一个高效、...
shiro+SSM实现安全登录的项目
06-19
本项目"shiro+SSM实现安全登录"旨在演示如何结合Spring、SpringMVC和MyBatis(SSM)框架与Apache Shiro库来构建一个安全登录系统。下面我们将深入探讨这一主题。 **一、Shiro简介** Apache Shiro是一款强大且易用...
Shiro实现登录授权功能
09-26
在“Shiro实现登录授权功能”这个主题中,我们将深入探讨如何利用 Shiro 进行用户的身份验证和权限管理。 1. **身份验证(Authentication)**:这是验证用户身份的过程,确保用户确实是他们声称的那个用户。在 ...
Shiro登陆验证实例,采用SSM
12-06
采用了Spring+SpringMVC+Mybatis+Shiro+Msql来写了一个登陆验证的实例,具体效果和过程看http://blog.csdn.net/evankaka/article/details/50196003
shiro登录认证系统的学习
苏一念的博客
10-29 380
参考 shiro的使用  参考 初始shiro 1、认识shiro架构 1.1外部了解:官方给出的架构图         流程:应用程序(Application)请求进行验证,将需要进行验证的账号密码存储在supject中,suoject将这些内容提交给SecurityManager。 【注】1)SecurityManager是shiro的核心,所有的认证,授权都要经过她的手。相当于 ...
shiro-登录验证
segegefe的博客
08-24 1418
从上可以看出,具体的登录账号和密码从request中取出来,并创建了token对象,调用subject的login方法,login方法实现大致流程是用token去realm中取AuthenticationInfo对象,AuthenticationInfo对象存放的是正确的登录账号和密码,并和token中数据进行匹配,然后根据匹配情况返回相应的结果。shiro实现登录验证,可以用它自身的方法来实现,也可以自定义方法来实现登录验证,了解了shiro登录逻辑,实现自定义的验证逻辑就很简单。
Shiro入门(二)Shiro登录认证
jwang的博客
05-08 365
前言 本章讲解使用Shiro实现登陆验证 方法 1.概念 Authentication,验证用户是否合法,说白了就是登陆。 需要提交用户的身份和凭证给shiro,简单点来说就是用户名和密码。 Principals:用户的身份信息,是Subjec的标识属性。能够唯一标识Subjcet。如电话号码、电子邮箱,身份证号等。 Credentials:凭证,是只被Subjec...
shiro实现登录认证与权限授权管理
小生的博客
02-27 2327
Apache Shiro 是一个强大而灵活的开源安全框架,从官网上,我们基本上可以了解到,她提供的服务非常明确: 1.Authentication(认证) 2.Authorization(授权) 3.Session Management(会话管理) 4.Cryptography(加密) 1.maven配置 &lt;!--处理登录相关依赖包--&gt; &lt;dep...
2 Apache Shiro 身份认证登录
又言又语
05-27 3631
2 Apache Shiro 身份认证登录
Shiro 安全框架详解一(概念+登录案例实现
zzvar的博客
06-16 2219
shiro 安全框架详细教程总结内容一、RBAC 的概念二、两种常用的权限管理框架1. Apache Shiro2. Spring Security3. Shiro 和 Spring Security 比较三、Shiro 的概述1. shiro 作用2. shiro 架构四、基于 ini 的认证案例实现1. 实现原理图2. 实现代码2.1 添加 maven jar包依赖2.2 编写 ini 配置文件:shiro-authc.ini2.3 使用 Shiro 相关的 ***API*** 完成身份认证五、项目中集
shiro登录认证过程
csdn565973850的博客
03-24 3009
shiro登录认证过程 登录方法 可以看到已经获取到了username、password和rememberMe ,为了接下来的认证过程,我们需要获取subject对象,也就是代表当前登录用户,并且要将username和password、rememberMe 两个变量设置到UsernamePasswordToken对象的token中, 调用SecurityUtils.getSubject().lo...
shiro如何实现登录安全认证,具体代码。
最新发布
05-30
以下是使用 Shiro 实现登录安全认证的示例代码: 1. 添加 Shiro 依赖 在项目的 pom.xml 文件中添加 Shiro 的依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.1</version> </dependency> ``` 2. 配置 Shiro 在应用程序中配置 Shiro,包括安全认证的过滤器、realm、密码加密等。这里使用 INI 配置文件进行配置。 shiro.ini 文件内容如下: ```ini [main] # 配置自定义 Realm myRealm = com.example.MyRealm securityManager.realm = $myRealm # 配置密码加密方式 credentialsMatcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher credentialsMatcher.hashAlgorithmName = MD5 credentialsMatcher.hashIterations = 1 myRealm.credentialsMatcher = $credentialsMatcher [users] # 配置用户信息 admin = 123456, admin [urls] # 配置受保护的 URL 路径 /login = anon /logout = logout /** = authc ``` 3. 实现自定义 Realm 实现自定义 Realm 来实现用户认证信息的获取和验证。这里使用 IniRealm 实现。 MyRealm.java 文件内容如下: ```java import org.apache.shiro.realm.text.IniRealm; public class MyRealm extends IniRealm { public MyRealm() { super("classpath:shiro.ini"); } } ``` 4. 实现登录功能 在登录页面中获取用户输入的用户名和密码,然后将其传递给 Shiro 进行认证。这里使用 UsernamePasswordToken 来封装用户信息。 LoginController.java 文件内容如下: ```java import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.subject.Subject; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; @Controller public class LoginController { @RequestMapping(value = "/login", method = RequestMethod.POST) public String login(String username, String password, Model model) { Subject currentUser = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { currentUser.login(token); return "redirect:/index"; } catch (AuthenticationException e) { model.addAttribute("error", "用户名或密码错误"); return "login"; } } } ``` 5. 配置登录页面 在 Shiro 的过滤器中配置登录页面的访问路径,当用户未登录时自动跳转到登录页面。这里使用 Thymeleaf 模板引擎实现。 login.html 文件内容如下: ```html <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>登录</title> </head> <body> <h1>登录</h1> <div th:if="${error}"> <p th:text="${error}"></p> </div> <form method="post" action="/login"> <label for="username">用户名:</label> <input type="text" id="username" name="username" required> <br> <label for="password">密码:</label> <input type="password" id="password" name="password" required> <br> <button type="submit">登录</button> </form> </body> </html> ``` 6. 实现注销功能 在应用程序中实现用户注销功能,同时清空用户的会话信息。这里使用 Shiro 提供的 Subject.logout() 方法实现。 LogoutController.java 文件内容如下: ```java import org.apache.shiro.SecurityUtils; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; @Controller public class LogoutController { @RequestMapping(value = "/logout", method = RequestMethod.GET) public String logout() { SecurityUtils.getSubject().logout(); return "redirect:/login"; } } ``` 通过以上步骤,就可以使用 Shiro 实现登录安全认证功能。具体实现的细节可以参考 Shiro 的官方文档或者相关的教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值