SpringBoot整合shiro实现登录认证,配置redis实现session共享

最新推荐文章于 2024-04-23 16:15:03 发布
最新推荐文章于 2024-04-23 16:15:03 发布
阅读量1.3k 收藏 1
点赞数
文章标签: spring boot redis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ewl0116/article/details/127670895
版权

未完待续。。。

一、Shiro介绍(此章节为搬运)

Shiro 是 Apache 旗下的一个开源安全认证框架,是安全认证方面的一个 Java 类库,实现用户身份认证,权限授权,加密,会话管理(Session)等功能。下面,是 Shiro 中的一些核心概念。

1.1 Realm

领域,处理用户的认证、授权,需要继承 AuthorizingRealm 类,自行重写认证、授权方法。(从数据库获取用户权限信息、密码加密校验等)

1.2 SecurityManager

安全管理器,Shiro 的核心,对用户的认证、授权进行安全管理。

1.3 SessionManager

会话管理器,Shiro 框架自己实现的不依赖Web容器的会话管理,并且可以将Session缓存搭配Redis中,所以非web项目也可以使用Shiro。

1.4 CacheManager

缓存管理。可以将用户的权限信息缓存到内存或者Redis中。

二、整合Shiro

2.1 引入pom依赖

<!-- Shiro核心框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.9.1</version>
</dependency>

<!-- Shiro使用Spring框架 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.9.1</version>
</dependency>

2.2 授权与认证

package com.xxx.shiro;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

/**
 * @Author: yiwenli
 * @Description: ShiroRealm shiro与应用安全数据间的"桥梁"或"连接器"
 * @Date: 2022/10/21
 */
@Slf4j
@Component
public class ShiroRealm extends AuthorizingRealm {

    @Value("${shiro.username:admin}")
    private String shiroUsername;
    @Value("${shiro.password:admin}")
    private String shiroPassword;

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        log.info("执行了授权doGetAuthorizationInfo");
        return null;
    }

    /**
     * 认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) {

        log.info("执行了认证doGetAuthenticationInfo");

        // 强转shiro封装成的token
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        // TODO 正常应该去数据库中查用户信息

        // 用户名认证
        if (!userToken.getUsername().equals(shiroUsername)) {
            return null;
        }

        // 密码认证
        return new SimpleAuthenticationInfo(shiroUsername, shiroPassword, this.getName());
    }

}

2.3 自定义密码校验

package com.xxx.shiro;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;

/**
 * @Author: yiwenli
 * @Description: 自定义密码校验,默认会调用shiro默认的
 * @Date: 2022/10/26
 */
public class MyCredentialsMatcher extends SimpleCredentialsMatcher {

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken tokenResolve = (UsernamePasswordToken) token;
        String tokenPwd = new String(tokenResolve.getPassword());
        String infoPwd = (String) info.getCredentials();
        // 调用当前类重写的equals方法来对比两个password是否一致,返回对比结果
        return super.equals(tokenPwd, infoPwd);
    }
}

2.4 自定义过滤器配置(解决中文路径400问题)

package com.xxx.shiro;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.InvalidRequestFilter;
import org.apache.shiro.web.filter.mgt.DefaultFilter;
import org.apache.shiro.web.filter.mgt.FilterChainManager;

import javax.servlet.Filter;
import java.util.Map;

/**
 * @Author: yiwenli
 * @Description: 用于解决shiro导致中文路径400非法问题
 * @Date: 2022/10/25
 */
public class MyShiroFilterFactoryBean extends ShiroFilterFactoryBean {

    @Override
    protected FilterChainManager createFilterChainManager() {
        FilterChainManager manager = super.createFilterChainManager();

        Map<String, Filter> filterMap = manager.getFilters();
        Filter invalidRequestFilter = filterMap.get(DefaultFilter.invalidRequest.name());
        if (invalidRequestFilter instanceof InvalidRequestFilter) {
            // 此处是关键,设置false跳过URL携带中文400,servletPath中文校验
            ((InvalidRequestFilter) invalidRequestFilter).setBlockNonAscii(false);
        }
        return manager;
    }
}

2.5 自定义认证拦截器(根据需求确定重定向到页面还是直接返回数据)

package com.xxx.shiro;

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedWriter;
import java.io.IOException;
import java.io.OutputStreamWriter;
import java.io.Writer;

/**
 * @Author: yiwenli
 * @Description: 自定义Authc拦截器:用于解决未登录成功时也会将session信息存到redis中的问题,不再重定向到登录页
 * @Date: 2022/10/31
 */
public class AuthcShiroFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception{
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                return executeLogin(request, response);
            } else {
                return true;
            }
        } else {
            // option请求处理
            HttpServletRequest req = (HttpServletRequest) request;
            HttpServletResponse resp = (HttpServletResponse) response;
            if (req.getMethod().equals(RequestMethod.OPTIONS.name())) {
                resp.setStatus(HttpStatus.OK.value());
                return true;
            }

//            this.saveRequestAndRedirectToLogin(request, response);
            // 取消重定向,直接返回结果
            returnTokenInvalid((HttpServletRequest)request, (HttpServletResponse)response);
            return false;
        }
    }

    /**
     * 替代shiro重定向
     */
    private void returnTokenInvalid(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        resp.setHeader("Access-Control-Allow-Origin", req.getHeader("Origin"));
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setContentType("application/json; charset=utf-8");
        resp.setCharacterEncoding("UTF-8");
        Writer out = new BufferedWriter(new OutputStreamWriter(resp.getOutputStream()));
        out.write("无法访问");
        out.flush();
        out.close();
    }
}

2.6 配置类

package com.xxx.shiro;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.authc.LogoutFilter;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author: yiwenli
 * @Description: Shiro配置类
 * @Date: 2022/10/21
 */
@Configuration
public class ShiroConfig {

    /**
     * 引入定义好的域
     */
    @Bean(name = "shiroRealm")
    public ShiroRealm shiroRealm(){
        // realm(领域)连接数据
        return new ShiroRealm();
    }

    /**
     * 密码校验
     */
    @Bean(name = "myCredentialsMatcher")
    public MyCredentialsMatcher myCredentialsMatcher(){
        return new MyCredentialsMatcher();
    }
    
    /**
     * session配置
     */
    @Bean(name = "sessionManager")
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        // 会话过期时间
        defaultWebSessionManager.setGlobalSessionTimeout(1000 * 60 * 30);
        defaultWebSessionManager.setSessionValidationInterval(1000 * 60 * 30);
        defaultWebSessionManager.setDeleteInvalidSessions(true);
        defaultWebSessionManager.setSessionValidationSchedulerEnabled(true);
        defaultWebSessionManager.setSessionIdCookieEnabled(true);
        // tomcat的JESSIONID自动生成模块
        defaultWebSessionManager.setSessionIdUrlRewritingEnabled(false);
        return defaultWebSessionManager;
    }

    /**
     * 安全管理器配置
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager webSecurityManager(@Qualifier("shiroRealm") ShiroRealm shiroRealm,
                                                        @Qualifier("myCredentialsMatcher") MyCredentialsMatcher myCredentialsMatcher,
                                                        @Qualifier("sessionManager") DefaultWebSessionManager sessionManager){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 密码校验放入域中
        shiroRealm.setCredentialsMatcher(myCredentialsMatcher);
        // 将域添加到安全管理器中
        securityManager.setRealm(shiroRealm);
        // 设置session管理器
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){

        MyShiroFilterFactoryBean factoryBean = new MyShiroFilterFactoryBean();

        // 设置安全管理器
        factoryBean.setSecurityManager(defaultWebSecurityManager);
        // 设置未登录用户跳转页面
        factoryBean.setLoginUrl("/t/html/t-login.html");
        // 设置登录成功返回页面
//        factoryBean.setSuccessUrl("/t/html/t-tingdian-index.html");
        // 设置未授权返回页面
//        factoryBean.setUnauthorizedUrl();

        // 过滤定义
        Map<String, Filter> filtersMap = new LinkedHashMap<>();
        /*// 配置自定义登出 覆盖logout之前默认的LogoutFilter
        LogoutFilter logoutFilter = new LogoutFilter();
        logoutFilter.setRedirectUrl("/t/html/t-login.html");
        filtersMap.put("logout", logoutFilter);*/
        /*// 配置自定义认证拦截器
        filtersMap.put("authc", new AuthcShiroFilter());*/
        factoryBean.setFilters(filtersMap);

        // 过滤链定义,从上向下顺序执行,必须是链式,保证有序
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        // 设置无需认证就可以访问的页面
        filterChainDefinitionMap.put("/t/html/t-login.html", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/getPublicKeyStr", "anon");
        filterChainDefinitionMap.put("/**/*.js", "anon");
        filterChainDefinitionMap.put("/**/*.json", "anon");
        filterChainDefinitionMap.put("/**/*.css", "anon");
        filterChainDefinitionMap.put("/**/*.woff", "anon");
        filterChainDefinitionMap.put("/**/*.ttf", "anon");
        filterChainDefinitionMap.put("/**/*.png", "anon");
        filterChainDefinitionMap.put("/**/*.svg", "anon");

        // 最简单版登录页引用的静态文件
//        filterChainDefinitionMap.put("/t/pic/login-back.png", "anon");
//        filterChainDefinitionMap.put("/t/pic/browserLogo.ico", "anon");

        // 开启shiro内置退出过滤器,完成退出功能(不用自己写退出方法了)
//        filterChainDefinitionMap.put("/logout", "logout");

        // 设置必须认证才能访问的页面
        filterChainDefinitionMap.put("/**", "authc");

        // 设置shiro的内置过滤器,配置访问权限
        factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return factoryBean;
    }

}

2.7 登录相关功能控制器

package com.xxx.tingdian.controller;

import com.ieslab.common.RSAUtil;
import com.ieslab.common.Result;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @Author: yiwenli
 * @Description: 登录Controller
 * @Date: 2022/10/26
 */
@Slf4j
@RestController
public class LoginController {

    /**
     * 获取数据加密公钥
     */
    @GetMapping(value = "/getPublicKeyStr", produces = "application/json;charset=utf-8")
    public String getPublicKeyStr() {
        return Result.success(RSAUtil.getPublicKeyStr()).toJsonString();
    }

    /**
     * 用户登录
     */
    @PostMapping(value = "/login", produces = "application/json;charset=utf-8")
    public String login(String username, String password) {
        if (StringUtils.isBlank(username)) {
            return Result.error("用户名不能为空").toJsonString();
        }
        if (StringUtils.isBlank(password)) {
            return Result.error("密码不能为空").toJsonString();
        }
        Subject subject = SecurityUtils.getSubject();
        try {
            UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, RSAUtil.decrypt(password));
            subject.login(usernamePasswordToken);
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            return Result.error("用户名错误").toJsonString();
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            return Result.error("密码错误").toJsonString();
        }
        return Result.success().toJsonString();
    }

    /**
     * 用户退出登录
     */
    @GetMapping(value = "/logout", produces = "application/json;charset=utf-8")
    public String logout() {
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return Result.success().toJsonString();
    }
}
菜狗小仪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统
04-07
本系统基于springboot+mybatisplus+shiro+layui+redis整合开发的前后端分离权限管理系统,主要功能有:权限管理、日志管理、角色管理、用户管理,是一个非常不错的后台管理脚手架。项目在线预览地址:http://money.goodym.cn/layuidemo/page/login.html运行环境 jdk8+tomcat8+mysql5.7+IntelliJ IDEA+maven项目技术 核心框架:SpringBoot2.x安全框架:Apache Shiro 1.3.2缓存框架:Redis 4.0持久层框架:MyBatis 3 mybatisplus 2.1.4数据库连接池:Alibaba Druid 1.0.2日志管理:SLF4J 1.7、Log4j前端框架:layui后台模板:layuimini
springboot shiro框架整合多模式redis实现session共享以及注意事项(报错记录)
爱java的小蓝的博客
11-24 1154
session共享
SpringBoot+redis 实现shiro集群共享session。亲测可用
weixin_34357962的博客
01-16 423
为什么80%的码农都做不了架构师?>>> ...
springboot+shiro+redis实现session共享和cache共享
ldcaws的专栏
06-26 2344
在分布式应用中,若是使用了负载均衡,用户第一次访问,连接的A服务器,进行了登录操作进入了系统,当用户再次操作时,请求被转发到了B服务器,用户并没有在B进行登录,此时用户又来到了登录页面,这是难以理解和接受的,这就引出了session共享。对于shiro安全框架如何实现session共享shiro共享分为两方面,一个是session共享,一个是cache共享。下面聊聊在springboot工程中整合shiro框架,并通过redis实现session共享和cache共享
Shiro实战系列--整合shiro-redis
IT利刃出鞘的博客
10-18 1万+
本文用实例介绍shiro通过引入shiro-redis来缓存权限。使用SpringBoot整合Shiro
springboot整合shiroredis(超详细案例演示)
m0_57232638的博客
07-08 2575
Spring BootRedisShiro整合在一起具有多个优势。首先,通过与Spring Boot的集成,可以简化开发过程,利用其自动配置和约定优于配置的原则。其次,Redis作为高性能的缓存和存储系统,可以提供快速的数据访问和响应时间,通过与Spring BootShiro整合,可以实现更高效的会话管理和身份验证。此外,通过将Shiro的会话存储在Redis中,可以实现分布式会话管理和高可用性,并支持共享会话和无状态应用程序架构。
shiro框架---多项目登录访问共享session实现
热门推荐
凌大大的博客
08-04 1万+
shiro框架—多项目登录访问共享session实现 公司需要这样的需求:   有两个项目master 主项目、suiteone 项目,两个项目各自由shiro 安全框架管理,当不能登录时,都无法访问,但当登录了其中一个,再访问另一个的时候不再需要登录即可访问。   如果想看为什么需要共享session ,可以去看我这篇文章。 关于实现多项目共享session的逻辑介绍   其...
springboot +shiro+redis实现session共享(方案二)1
08-08
springboot +shiro+redis实现session共享(方案二)1
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot整合Shiro实现登录认证的方法
08-27
主要介绍了SpringBoot整合Shiro实现登录认证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot整合redis实现shiro的分布式session共享的方法
08-28
本篇文章主要介绍了spring boot整合redis实现shiro的分布式session共享的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot+shiro,两个项目完全不同,达成session共享
神转子的博客
07-01 1205
先准备一个 shiroConfig package com.med.common.config; import java.util.LinkedHashMap; import java.util.Map; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; import org.apache.shiro.mgt....
Shiro 整合 Redis
web18484626332的博客
08-24 3660
Shiro apache 出品的权限管理框架、Redis 基于内存的 NoSQL(非关系型数据库)非常适合作为 缓存使用。
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 4999
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
spring boot + shiro + redis 整合(完整)
m0_54849806的博客
03-28 2896
spring boot + shiro + redis 整合(完整) 什么是shiro? 1.数据库设计 2.创建springboot项目并在pom加入依赖 3. 编辑application.yml 4.建包搭架子(先把包建完) 4.1创建实体类 4.2springboot启动类 4.3启动springboot自动跳转到登陆页面 4.4全局异常类 5.后台代码 5.1 Mapper.xml 5.2 Mapper接口 5.3 server接口 6.创建ShiroConfig类 7.Rea
六。shiro集群,将session保存到数据库和redis,使用户保持登录状态
u014203449的博客
07-08 8673
1.目标 1.web端,用户第一次登陆之后,以后不需要再输入用户密码,就可以直接访问。使用cookie 2.shiro集群使用,需要共享session,把session放到数据库或redis实现了这个目的 2.原理 会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除、失效、验证等工作。是Shiro 的核心组件,顶层组件 SecurityManager 直接继承了 Ses...
spring应用中使用shiro框架关于session解析
m0_67392182的博客
04-28 1100
先看shiro过滤器的UML 已经有cookie保存sessionId的请求场景: 1.请求第一次通过shiro的过滤器 OncePerRequestFilter 时,会把request,response包装成ShiroHttpServletRequest和ShiroHttpServletResponse,并且在请求中设置一个属性标识,作用就是当这个请求再次经过过滤器 OncePerRequestFilter 时,不会再包装请求和响应了. 2.请求第一次通过 OncePerRequestFilter 时,
实现spring boot 应用开机自启动之systemd service
最新发布
04-23 406
centos下实现java 应用为systemd service运行,主要目的是显现开机自启动,并可以支持stop、restart功能。
springboot整合shiro实现登录
09-26
实现springboot整合shiro实现登录,你需要按照以下步骤进行操作: 1. 引入相关依赖:在项目的pom.xml文件中添加spring-boot-starter-web和spring-boot-starter-thymeleaf依赖。 2. 创建ShiroConfig类:在项目的配置包中创建一个名为ShiroConfig的Java类,并在该类中进行相关的配置,包括: - 创建Realm对象并设置认证和授权方法 - 创建SecurityManager对象并设置Realm - 创建ShiroFilterFactoryBean对象并设置SecurityManager和过滤规则 - 配置Shiro登录页面和登录成功后的跳转页面等 3. 创建自定义Realm类:在项目中创建一个自定义的Realm类,并继承org.apache.shiro.realm.AuthenticatingRealm类。在该类中实现认证和授权的方法。 4. 创建登录页面和相关的Controller:创建一个登录页面,并在项目中创建一个Controller类,负责处理登录请求和跳转页面的逻辑。 5. 配置拦截规则:在ShiroConfig类中配置拦截规则,包括哪些URL需要进行拦截,哪些URL不需要拦截等。 6. 启动项目:运行SpringbootShiroApplication的main方法,启动项目。 7. 访问登录页面:在浏览器中输入项目的URL,访问登录页面。 8. 输入用户名和密码:在登录页面输入正确的用户名和密码,点击登录按钮。 9. 登录成功:如果用户名和密码匹配成功,则跳转到登录成功页面;否则,返回登录页面并显示错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值