Shiro - 登陆验证

最新推荐文章于 2024-04-28 17:17:13 发布
最新推荐文章于 2024-04-28 17:17:13 发布
阅读量350 收藏
点赞数
分类专栏: Shiro 文章标签: Shiro 登陆验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/badguy_gao/article/details/87075807
版权

本文将利用springboot集成shiro进行用户的登陆验证功能的开发实现。

springboot集成shiro需要引入以下依赖

<!-- shiro-spring -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

实现登陆验证功能之前,我们需要先准备一些数据。


@Getter
@Setter
@ToString
public class User implements Serializable {
    private static final long serialVersionUID = -444037253400871944L;
    /** 用户编码 */
    private Integer id;
    /** 用户名 */
    private String userName;
    /** 账户密码 */
    private String password;
    /** 创建日期 */
    private Date createTime;
    /** 账户状态 1正常 0锁定 */
    private String status;
}

数据准备好之后,就可以进行登陆验证功能的开发了。(数据操作层省略,具体可以下载代码进行查阅)

shiro进行登陆验证的过程大致可以归纳为以下几点

  1. 在ShiroConfig中配置SecurityManagerBean,SecurityManager为shiro的安全管理器,subject由他统一管理。具体概念可以参考https://blog.csdn.net/badguy_gao/article/details/87075726
  2. 在ShiroConfig中配置ShiroFilterFactoryBean,他是Shiro过滤器工厂类,依赖SecurityManager。
  3. 根据自己的需求,自定义Realm。
    Realm包含doGetAuthorizationInfo()doGetAuthenticationInfo()方法 。分别为登陆认证和权限认证。

ShiroConfig

@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/login");
        shiroFilterFactoryBean.setSuccessUrl("index");
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 静态文件,设置不拦截
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/fonts/**", "anon");
        filterChainDefinitionMap.put("/images/**", "anon");
        filterChainDefinitionMap.put("/sass/**", "anon");

        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/", "anon");
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm());
        return securityManager;
    }

    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        // shiro 生命周期处理器
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 该Realm需要用户自定义
     * @return
     */
    @Bean
    public ShiroRealm shiroRealm(){
        // 配置Realm
        ShiroRealm shiroRealm = new ShiroRealm();
        return shiroRealm;
    }
}

过滤器filterChain是基于短路机制实现的(最先匹配原则)。

anon,authc,logout等。是shiro为我们实现的过滤器。

anon

org.apache.shiro.web.filter.authc.AnonymousFilter
匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例/static/**=anon

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter
基于表单的拦截器;如/**=authc,如果没有登录会跳到相应的登录页面登录

logout

org.apache.shiro.web.filter.authc.LogoutFilter
退出拦截器,主要属性:redirectUrl:退出成功后重定向的地址(/),示例/logout=logout

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
权限授权拦截器,验证用户是否拥有所有权限;属性和roles一样;示例/user/**=perms["user:create"

port

org.apache.shiro.web.filter.authz.PortFilter
端口拦截器,主要属性port(80):可以通过的端口;示例/test= port[80],如果用户访问该页面是非80,将自动将请求端口改为80并重定向到该80端口,其他路径/参数等都一样

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
角色授权拦截器,验证用户是否拥有所有角色;示例/admin/**=roles[admin]

user

org.apache.shiro.web.filter.authc.UserFilter
用户拦截器,用户已经身份验证/记住我登录的都可;示例/**=user

ShiroConfig配置完成之后,我们根据需求实现Realm,然后将其注入到SecurityManager中。

Realm

自定义Realm需要集成AuthorizingRealm类,然后重写 doGetAuthorizationInfo()和doGetAuthenticationInfo()方法即可。 这一节我们只实现登陆验证功能,所以之重写
doGetAuthorizationInfo ()即可。

@Slf4j
public class ShiroRealm extends AuthorizingRealm {
    @Autowired
    private UserMapper userDao;

    /**
     * 获取用户角色和权限(暂不实现)
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 登陆认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 获取界面中输入的用户名和密码
        String username = (String) authenticationToken.getPrincipal();
        String password = new String((char[]) authenticationToken.getCredentials());
        log.info("认证登录:username is {}", username);

        // 通过用户名获取用户信息
        User user = userDao.getByName(username);
        if (user == null) {
            throw new UnknownAccountException("用户名或密码错误!");
        }
        if (!password.equals(user.getPassword())) {
            throw new IncorrectCredentialsException("用户名或密码错误!");
        }
        if (user.getStatus().equals("0")) {
            throw new LockedAccountException("账号已被锁定!");
        }
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, password, getName());
        return info;
    }
}

页面准备:

编写测试页面login.html,index.html

编写LoginController

@Controller
public class LoginController {
    /**
     * 登陆
     * @return
     */
    @GetMapping("/login")
    public String login(){
        return "login";
    }

    @PostMapping("/login")
    @ResponseBody
    public Result login(String username, String password, Boolean rememberMe) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            return Result.ok();
        } catch (UnknownAccountException e) {
            return Result.error(e.getMessage());
        } catch (IncorrectCredentialsException e) {
            return Result.error(e.getMessage());
        } catch (LockedAccountException e) {
            return Result.error(e.getMessage());
        } catch (AuthenticationException e) {
            return Result.error("认证失败!");
        }
    }

    @RequestMapping("/")
    public String redirectIndex() {
        return "redirect:/index";
    }

    @RequestMapping("/index")
    public String index(Model model) {
        User user = (User) SecurityUtils.getSubject().getPrincipal();
        model.addAttribute("user", user);
        return "index";
    }
}

登录成功后,根据之前在ShiroConfig中的配置shiroFilterFactoryBean.setSuccessUrl("/index"),页面会自动访问/index路径。

接下来,就可以欣赏自己的成果了。http://localhost:8080

测试用户:

正常用户 admin/admin 锁定用户test/test

RememberMe功能

当用户成功登录之后,关闭浏览器然后再次访问该网址时,页面会再次跳转到登陆页面。之前的登陆已经失效。

下面我们开发一个Remember Me功能(Shiro为我们提供了Remember功能)。使用户的登陆状态不会因为浏览器的关闭而失效。

首先在ShiroConfig中添加cookie对象

/**
 * cookie对象
 * @return
 */
public SimpleCookie rememberMeCookie() {
    // 设置cookie名称,对应login.html页面的<input type="checkbox" name="rememberMe"/>
    SimpleCookie cookie = new SimpleCookie("rememberMe");
    // 设置cookie的过期时间,单位为秒,这里为一小时
    cookie.setMaxAge(3600);
    return cookie;
}

/**
 * cookie管理对象
 * @return
 */
public CookieRememberMeManager rememberMeManager() {
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    cookieRememberMeManager.setCookie(rememberMeCookie());
    // rememberMe cookie加密的密钥 
    cookieRememberMeManager.setCipherKey(Base64.decode("4AvVhmFLUs0KTA3Kprsdag=="));
    return cookieRememberMeManager;
}

接下来将cookie对象设置到SecurityManager中

@Bean  
public SecurityManager securityManager(){  
    DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
    securityManager.setRealm(shiroRealm());
    securityManager.setRememberMeManager(rememberMeManager());
    return securityManager;  
}

将ShiroFilterFactoryBean的filterChainDefinitionMap.put("/**", "authc");更改为filterChainDefinitionMap.put("/**", "user"); user的功能上面有详细介绍。

功能开发完成之后,我们分别在html页面和LoginController中加入RememberMe的相关代码即可。

@PostMapping("/login")
@ResponseBody
public Result login(String username, String password, Boolean rememberMe) {
	UsernamePasswordToken token = new UsernamePasswordToken(username, password);
	Subject subject = SecurityUtils.getSubject();
	try {
		subject.login(token);
		return Result.ok();
	} catch (UnknownAccountException e) {
		return Result.error(e.getMessage());
	} catch (IncorrectCredentialsException e) {
		return Result.error(e.getMessage());
	} catch (LockedAccountException e) {
		return Result.error(e.getMessage());
	} catch (AuthenticationException e) {
		return Result.error("认证失败!");
	}
}
<p><input type="checkbox" name="rememberMe" />记住我</p>

<script th:inline="javascript"> 
    var ctx = [[@{/}]];
    function login() {
        var username = $("input[name='username']").val();
        var password = $("input[name='password']").val();
        var rememberMe = $("input[name='rememberMe']").is(':checked');
        $.ajax({
            type: "post",
            url: ctx + "login",
            data: {"username": username,"password": password,"rememberMe": rememberMe},
            dataType: "json",
            success: function (r) {
                if (r.code == 0) {
                    location.href = ctx + 'index';
                } else {
                    alert(r.msg);
                }
            }
        });
    }
</script>

当rememberMe参数为true的时候,Shiro就会帮我们记住用户的登录状态。启动项目即可看到效果。

Yanliang_
关注
专栏目录
shiro-1.7.1.zip
02-07
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能。`shiro-1.7.1.zip`是一个包含...
一文读懂 Shiro 登录认证全流程
csdn565973850的博客
09-14 5275
一起跟着源码看 Shiro登录认证流程
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6731
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
shiro-登录验证
m0_54850825的博客
04-22 680
shiro实现登录验证,可以用它自身的方法来实现,也可以自定义方法来实现登录验证,了解了shiro登录逻辑,实现自定义的验证逻辑就很简单 1、用shiro方法实现 shiro配置: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" > <property name="securityManager" ref="securityManager" />
Shiro安全框架登录验证实例解析
资料免费分享,点击名片
10-19 186
2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称。1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时),故filterChainDefinitions的配置顺序为自上而下,以最上面的为准。(2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;
shiro-1.9.0版本jar包
05-10
5. **Web 支持**:Shiro 提供了Filter来集成到Servlet容器中,可以方便地实现登录、权限控制等功能。 在1.9.0版本中,可能包含以下改进: - **性能优化**:可能对内部算法或数据结构进行了优化,提高了运行效率。 ...
shiro-all jar
04-16
它包括了登录验证、密码加密、记住我(Remember Me)服务等功能。 4. **org.apache.shiro.authz**: 授权(Authorization)模块,处理用户权限问题。Shiro可以基于角色、基于资源或者两者结合来进行权限控制,确保...
SpringMVC-Mybatis-Shiro-redis-master
01-18
在Web应用中,Shiro可以帮助控制用户的访问权限,实现用户登录、权限验证以及安全相关的操作。例如,它可以限制未登录用户访问特定页面,或者根据用户角色分配不同的操作权限。 **Redis** 是一个高性能的键值存储...
shiro-root-1.4.1-source-release.zip
06-10
3. **Filters**:Shiro 提供了一系列过滤器,它们可以插入到 Web 应用的过滤链中,处理如登录、权限检查等安全相关的请求。 4. **Session Manager**:负责会话的创建、持久化、超时检测等功能,可以配置 session ...
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
2401_84281638的博客
04-28 757
Apache Shiro是一个Java的安全(权限)框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。shiro功能:Authentication:身份认证、登录验证用户是不是拥有相应的身份;
shiro认证登录
AC_XI的博客
03-19 387
问题:Shrio是如何通过认证的 背景:使用DefultWebSecurityManage实现用户登录认证,并且自定义一个Realm 线索: (1)在配置文件中,ShiroFilterFactoryBean依赖与SecurityManager,SecurityManager依赖于Realm,也就是说在代码中这几个之间构成了某种关系 (2)先弄清楚Realm的实现类,Subject的实现类更加容易理解方法的调用,他们贯穿了整个认证流程 基于Shiro实现的登录逻辑 1.用户输入login.do并且加入user
Shiro登录验证
weixin_45834569的博客
01-16 1533
1.首先需要导入Shiro依赖包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> 2.定义自己的Reaml 需要继承AuthenticatingRealm 重写doGetAuthenticationInf
Shiro登录认证流程
weixin_39463716的博客
01-11 3010
登录认证流程 1.获取当前用户 Subject currentUser = SecurityUtils.getSubject(); 2.判断用户是否登录 currentUser.isAuthenticate(); 3.将用户名密码封装成tonken UsernamePasswordToken tonken = new UsernamePasswordToken(“username”,“passwo...
第二章:企业级 Spring Boot 整合 Shiro 安全框架(详解优化版)(含项目代码)
qq_45607784的博客
12-14 1565
在本文中,我们将深入探讨如何使用Spring Boot和Shiro框架来实现认证、授权和安全策略的配置。我们还将分享一些优化技巧和最佳实践,以确保整合后的应用程序能够在安全性和性能方面达到最佳状态。此外,我们还将提供完整的项目代码,以便读者可以直接参考并应用于实际项目中。
Springboot 整合 Shiro 实现登录认证和权限校验
古小龙
07-04 705
shiro介绍: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Sub...
解决https服务使用shiro跳转登录界面变成http
m0_67402564的博客
04-12 2279
最近项目上线跳转登录页面的时候报错400,权限框架使用的是shiro,排查后发现是https跳转登录页面变成了http导致的问题。 查看源码可以发现,shiro登录过滤器FormAuthenticationFilter的方法中调用了saveRequestAndRedirectToLogin方法 protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOExc
Apache Shiro 反序列化漏洞分析与利用(Shiro-550 & Shiro-721)
"本文主要讨论了Apache Shiro框架中的两个安全漏洞,Shiro-550和Shiro-721,以及如何进行自动化漏洞利用。Shiro是一个流行的Java安全框架,提供认证、授权、加密和会话管理等功能。文章详细介绍了这两个漏洞的原理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值