【SHIRO身份验证】Spring boot基于SHIRO实现登录验证

最新推荐文章于 2022-12-07 22:04:48 发布
最新推荐文章于 2022-12-07 22:04:48 发布
阅读量279 收藏
点赞数
分类专栏: SHIRO 文章标签: shiro 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anvy8907/article/details/112725876
版权

什么是Apache Shiro?

Apache Shiro是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证,授权,企业会话管理和加密。

Apache Shiro的首要目标是易于使用和理解。安全有时可能非常复杂,甚至会很痛苦,但这不是必须的。框架应尽可能掩盖复杂性,并公开简洁直观的API,以简化开发人员确保其应用程序安全的工作。

Apache Shiro是具有许多功能的全面的应用程序安全框架。下图显示了Shiro集中关注的功能点:
在这里插入图片描述
Shiro所谓的“应用程序安全性的四个基石”为目标-身份验证,授权,会话管理和密码。

  1. Authentication(身份验证): 有时称为“登录”,这是证明用户是他们所说的身份的行为。
  2. Authorization(授权): 访问控制的过程,即确定“谁”有权访问“什么”。
  3. Session Management(会话管理): 即使在非Web或EJB应用程序中,也管理用户特定的会话。
  4. Cryptography(密码): 使用密码算法保持数据安全,同时仍易于使用。

在不同的应用程序环境中,还具有其他功能来支持和加强这些问题,尤其是:

  1. Web Support(Web支持):Shiro的Web支持API可帮助轻松保护Web应用程序。
  2. Caching(缓存):缓存是Apache Shiro API的第一层公民,可确保安全操作保持快速有效。
  3. Concurrency(并发性):Apache Shiro的并发功能支持多线程应用程序。
  4. Testing(测试):测试支持可以帮助您编写单元测试和集成测试,并确保您的代码将按预期进行保护。
  5. “Run As”(运行方式):一种功能,允许用户采用其他用户的身份(如果允许),有时在管理方案中很有用。
  6. “Remember Me”(记住我):在整个会话中记住用户的身份,因此他们仅在必要时登录。

身份验证

在这里插入图片描述

身份验证是身份验证的过程-也就是说,证明用户实际上就是他们所说的身份。为了使用户证明自己的身份,他们需要提供一些标识信息以及系统可以理解和信任的那种身份证明。
这是通过向Shiro提交用户的主体和凭据来完成的,以查看它们是否与应用程序期望的匹配。

Principal 是受试者的“识别属性”。校长可以是可以识别主题的任何东西,例如名字(姓氏),姓氏(姓氏或姓氏),用户名,社会保险号等。当然,诸如姓氏之类的东西并不擅长唯一地标识a
Subject,因此用于身份验证的最佳主体对于应用程序是唯一的-通常是用户名或电子邮件地址。
Credentials 通常是仅由知道的秘密值,Subject它们被用作证明它们实际上“拥有”所主张身份的支持证据。凭据的一些常见示例是密码,生物特征数据(例如指纹和视网膜扫描)以及X.509证书。

主体/凭证配对的最常见示例是用户名和密码。用户名是声明的身份,密码是与声明的身份匹配的证明。如果提交的密码与应用程序期望的密码匹配,则该应用程序可以在很大程度上假定用户确实是他们所说的真实身份,因为没有其他人应该知道相同的密码。

验证Subjects
身份验证的过程Subject可以有效地分为三个不同的步骤:

  • 收集主题提交的主体和证书
  • 提交主体和凭据以进行身份​​验证。
  • 如果提交成功,则允许访问,否则重试身份验证或阻止访问。

Spring boot 集成 Shiro

  • 依赖包(身份验证)
<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>LATEST</version>
</dependency>
  • 配置文件shiroConfig:
package com.anvy.shiro.config;

import com.anvy.shiro.realm.UserRealm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.annotation.Resource;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Resource
    private UserRealm userRealm;

	//配置ShiroFilterFactoryBean过滤策略。
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        factoryBean.setSecurityManager(securityManager);
        factoryBean.setLoginUrl("/login");
//        factoryBean.setUnauthorizedUrl("");
        Map<String,String> filterMap = new LinkedHashMap<>();
        filterMap.put("/user/login", "anon");
        filterMap.put("/swagger*/**", "anon");
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/v2/**", "anon");
        filterMap.put("/**", "authc");
        factoryBean.setFilterChainDefinitionMap(filterMap);
        return factoryBean;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }
}


Shiro自带的过滤器有:
//org.apache.shiro.web.filter.mgt.DefaultFilter
	anon(AnonymousFilter.class),
    authc(FormAuthenticationFilter.class),
    authcBasic(BasicHttpAuthenticationFilter.class),
    authcBearer(BearerHttpAuthenticationFilter.class),
    logout(LogoutFilter.class),
    noSessionCreation(NoSessionCreationFilter.class),
    perms(PermissionsAuthorizationFilter.class),
    port(PortFilter.class),
    rest(HttpMethodPermissionFilter.class),
    roles(RolesAuthorizationFilter.class),
    ssl(SslFilter.class),
    user(UserFilter.class),

ShiroConfig中的filterMap可以设置访问权限,针对访问URL设置不同的拦截权限。

  • 自定义Realm。
package com.anvy.shiro.realm;

import com.anvy.mybatis.entity.PetUser;
import com.anvy.mybatis.service.IPetUserService;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.baomidou.mybatisplus.core.toolkit.StringUtils;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

@Component
public class UserRealm extends AuthorizingRealm {

    @Autowired
    private IPetUserService petUserService;

    /**
     * 权限
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 身份认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String userName = (String) authenticationToken.getPrincipal();
        if(StringUtils.isBlank(userName)){
            throw new AccountException("账户不正确!");
        }
        String password = (String) authenticationToken.getCredentials();
        if(StringUtils.isBlank(password)){
            throw new AccountException("密码不正确!");
        }
        PetUser petUser = new PetUser(userName);
        QueryWrapper<PetUser> query = new QueryWrapper<PetUser>(petUser);
        PetUser one = petUserService.getOne(query);
        if(one == null){
            throw new UnknownAccountException("未知登陆用户~");
        }
        if(!password.equals(one.getUserPassword())){
            throw new AuthenticationException("密码验证错误~");
        }
        return new SimpleAuthenticationInfo(userName,password,getName());
    }
}
  • 书写controller进行登录操作。
package com.anvy.petcare.modules.user.controller;

import com.anvy.dto.ResultVo;
import com.anvy.mybatis.entity.PetUser;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

/**
 * <p>
 *  前端控制器
 * </p>
 *
 * @author Anvy Lao
 * @since 2021-01-16
 */
@Api("登陆控制")
@Slf4j
@RestController
@RequestMapping("/user")
public class PetUserController {


    @ApiOperation(value = "用户登录",notes = "用户")
    @RequestMapping(value = "login",method = RequestMethod.POST)
    public ResultVo login(PetUser user){

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getUserPassword());
        try {
            subject.login(token);
        } catch (UnknownAccountException uae) {
            return ResultVo.error().message("未知账户");
        } catch (IncorrectCredentialsException ice) {
            return ResultVo.error().message("密码不正确~");
        } catch (LockedAccountException lae) {
            return ResultVo.error().message("账户已锁定~");
        } catch (ExcessiveAttemptsException eae) {
            return ResultVo.error().message("用户名或密码错误次数过多");
        } catch (AuthenticationException ae) {
            return ResultVo.error().message("用户名或密码不正确!");
        }
        if (subject.isAuthenticated()) {
            return ResultVo.success().message("登录成功~");
        } else {
            token.clear();
            return ResultVo.error().message("登录失败~");
        }
    }
}

swagger进行登录操作,会调用Realm中的doGetAuthenticationInfo方法进行验证操作。
在这里插入图片描述
在这里插入图片描述

anvy、问天
关注
专栏目录
springboot整合shiro实现登录验证授权
灰太狼
01-25 776
springboot整合shiro实现登录验证授权 1.添加依赖: <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version&gt
spring boot整合Shiro实现单点登录的示例代码
08-28
Spring Boot 整合 Shiro 实现单点登录的示例代码 本篇文章主要介绍了 Spring Boot 整合 Shiro 实现单点登录的示例代码的知识点,旨在帮助读者快速掌握该技术的实现方法。下面是相关知识点的详细介绍: 一、Shiro ...
Spring Boot整合Shiro框架进行身份验证
我的博客
04-24 5626
Spring Boot整合Shiro框架进行身份验证 一.什么是Shiro Apache ShiroJava 的一个安全框架,Shiro 可以帮助我们完成:认证、授权、加密、会话管理等。相比较Spring Security 她更加的小巧易用。其基本功能点如下图所示: Authentication:身份认证 / 登录验证用户是不是拥有相应的身份; Authorization:...
SpringBoot学习笔记23——整合Shiro完成登录检验
月月大王的博客
05-05 480
今天来记录一下Shiro的整合,完成登录校验。 1.进入jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> &lt...
从零搭建基于SpringBoot的秒杀系统(五):基于Shiro的人员登陆认证
Java鱼仔的博客
08-09 488
前面实现了抢购的功能,但是人员目前是写死的,关于登陆有许多实现方式,这里采用Shiro实现人员的登陆认证。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等,在这里我们用shiro进行登陆认证。 1.登陆注册页面编写 两个页面的内容很简单,一个用户名输入框,一个密码输入框,一个登陆或者注册按钮。 首先是登陆页面: <!DOCTYPE html> <html lang="zh-CN" xmlns:th="http://www.thymeleaf
Springboot集成Shiro实现身份认证和权限控制
HZ博客
05-14 433
https://www.oxingsoft.com/blog/article/10.html 对比Spring Security Spring Security,是一个基于Spring身份验证和访问控制框架。支持主流的认证方式(HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等)。授权方面,提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。 官网:https://spring.io
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
Authentication:身份认证/登录验证用户是不是拥有相应的身份; Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。...
详解Spring Boot 集成Shiro和CAS
08-30
Shiro 的配置主要包括身份验证、授权、会话管理等功能,而 CAS 的配置主要包括身份验证、授权、会话管理等功能。 ShiroCasConfiguration ShiroCasConfiguration 是 Spring Boot 中集成 Shiro 和 CAS 的配置类。该...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能...
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBootShiro 密码加密,登录验证,权限控制demo
springboot集成shiro实现验证码校验
weixin_33725272的博客
08-10 336
github:https://github.com/peterowang/shiro/ 这里实现验证码校验的思路是自己添加一个Filter继承FormAuthenticationFilter,FormAuthenticationFilter负责表单验证shiro会先在FormAuthenticationFilter子类去校验验证码,然后再去做身份验证。 生成验证码这里使用Google...
SpringBoot 整合Shiro 实现身份权限验证
程序员超哥
11-09 305
SpringBoot 整合Shiro 实现身份权限验证 具体代码访问链接下载 从项目到部署服务器的过程,毕竟些写项目是为了发布部署服务器。 本篇主要介绍**SpringBoot 整合Shiro 实现身份权限验证** 原理: 1.没有登录情况:访问api接口--->shiro配置拦截——->跳转到shiro配置的setLoginUrl(“”)接口 2.去登陆【前提设置开放登陆接...
springbootshiro进行登录验证
最新发布
a806451906的博客
12-07 164
springboot整合shiro
SpringBoot集成Shiro(一)验证用户登录验证
江湖人称小程的博客
06-19 2182
SpringBoot集成Shiro(一)验证用户登录验证 SpringBoot集成Shiro(二)验证用户角色 SpringBoot集成Shiro(三)验证用户权限 SpringBoot集成Shiro(四)验证用户角色升级版 学习这篇文章之前,需要对 shiro 有一个简单的了解。 在SpringBoot中集成Shiro安全认证框架也很简单,大概可以分为以下几步: 创建项目并添加依赖 增加登录方法 增加验证方法 配置Shiro 创建项目 首先在 https://start.spring.io/ 创建.
springboot+shiro 整合与基本应用
weixin_34071713的博客
11-29 191
简介 Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 Shiro可以非常容易的开发出足够好的应用,...
Spring Boot整合Shiro实现用户身份认证和权限认证
齐天小圣^O^ 的博客
08-15 1261
至于Shiro的概念和功能就不再过多赘述,这些在网上都能查到。我们直接进入整合Shiro的正题。 一、项目结构 二、数据库表准备 准备五张表:用户表(user_tb)、角色表(role_tb)、权限表(permissions_tb)、用户角色表(user_role)、角色权限表(role_permissions)。 我们往表中添加三个用户信息,两个用户角色admin和user,两种权限read和edit。 其中第一个用户分配admin角色,分配read、edit权限。 第二个用户分配user.
springboot shiro 简单的登录验证
戴林峰的博客
07-26 214
Controller @RequestMapping("/loginHandle") public String loginHandle(String name, String pass, Model model) { /** * 编写shiro认证操作 */ // 1.获取subject // 通常我...
Shiro第二篇】SpringBoot + Shiro实现用户身份认证功能
weixiaohuai的博客
11-18 717
一、概述 前面一篇文章,我们已经总结了Shiro相关的一些概念以及架构知识,相信小伙伴们对Shiro安全框架都有了一定的认识。本篇文章我们将通过示例详细说明在日常工作中常见的-----用户身份认证功能。 什么是身份认证呢,简单理解,就是在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供principals(身份)和credentials(证明)给 shiro,从而应用能验证用户身份: ...
Spring Boot 2与Shiro:实战身份验证教程
本文档深入探讨了如何在Spring Boot 2环境中利用Apache Shiro框架实现身份验证功能。Shiro是一个功能强大的Java安全框架,专为简化安全控制设计,支持身份验证、授权、加密以及会话管理等功能。它不仅适用于人类用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值