springsecurity-shiro获取登录用户详解

最新推荐文章于 2024-01-30 13:59:43 发布
最新推荐文章于 2024-01-30 13:59:43 发布
阅读量4.8k 收藏 4
点赞数 1
分类专栏: java 文章标签: java spring springsecurity shiro 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imVainiycos/article/details/127528719
版权

解析主流的安全框架校验以及获取登录用户流程。

文章目录

SpringSecurity

SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。

spring-security获取当前登录用户信息:

(LoginUser) SecurityContextHolder.getContext().getAuthentication().getPrincipal()

解析该代码如何能够获取登录用户。

  • SecurityContextHolder

    SpringSecurity的基本组件,用来存放SecurityContext的对象。默认使用ThreadLocal实现,保证了本线程内所有的方法都可以获得SecurityContext对象。

  • Authentication

    Authentication是springsecurity中保存用户信息的对象,里面包含用户信息,权限信息,登录密码等。可以通过SecurityContextHolder来获取Authentication对象,然后再获取用户信息。

image-20221026100548663

关键请求流程如下:

image-20221026103348864

关键过滤器:

/**
 * token过滤器 验证token有效性
 * 
 * @author ruoyi
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter
{
    @Autowired
    private TokenService tokenService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
        {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        chain.doFilter(request, response);
    }
}

shiro

shiro获取当前登录用户信息:

(LoginUser) SecurityUtils.getSubject().getPrincipal();

包含三大组件:

  • Subject:当前跟软件交互的用户,第三方进程,后台账户等
  • SecurityManager:核心。进行管理内部组件实例,并通过它来提供安全管理的各种服务
  • Realms:Shiro与应用安全数据间的“桥梁”或者“连接器”,会从应用配置的Realm中查找用户及其权限信息。

image-20221026105716318

校验思路与springsecurity类似,同样也是使用过滤器进行用户校验从而获取实际请求的用户信息。

@Slf4j
public class MyShiroRealm extends AuthorizingRealm {
    
    /**
     * 授权
     *
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            log.error("MyShiroRealm[] doGetAuthorizationInfo[] principals should not be null");
            throw new AuthorizationException("principals should not be null");
        }
        // ...
    }
    
    /**
     * 认证
     *
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取用户的输入的账号.
        String userAccount = (String) token.getPrincipal();
        LoginUser user = userService.queryUserInformation(userAccount);
        if (user == null) {
            throw new UnknownAccountException();
        }
        // ...
    }
    
}

总结

SpringSecurity与Shiro实现原理类似。Shiro更轻量,SpringSecurity与Spring结合度更高也更复杂。

参考资料:

Vainycos
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring SecurityShiro的相同点与不同点整理
08-25
在本篇文章里小编给大家整理的是关于Spring SecurityShiro的相同不同点整理,需要的朋友们可以参考下。
Shiro获取当前登陆用户
bhegi_seg的博客
04-22 2044
获取 Object principal = SecurityUtils.getSubject().getPrincipal(); 前提 在进行认证时候 放入的就是User对象 Gitee详细代码
详解Spring Security获取当前登录用户的详细信息的几种方法
最新发布
qq_65142821的博客
01-30 880
下面就来详细讲解一下Spring Security获取当前登录用户的详细信息的几种方法。
初级后端开发技巧
qq_46804048的博客
11-02 148
数据类型 字段名 = new 数据类型() 括号内可对该字段赋默认值,适用于各种数据类型
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 3890
springboot整合SpringSecurity实现登录和自定义权限认证
Shiro权限控制,获取当前登录用户信息
weixin_34503526的博客
01-03 2796
1.在自定义 UserRealm,doGetAuthenticationInfo 方法中 ,设置 登录用户userInfo return new SimpleAuthenticationInfo(userInfo, token, "userRealm"); protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException { // ..
项目中使用shrio,如何获取当前用户信息
蠢蠢欲动的猫
04-19 5763
33、项目中使用shrio,如何获取当前用户信息 原理:直接从当前线程里面拿到subject,前台每一次请求的话,都是要走拦截器的,根据前台传回的cookie,通过shrio的 SessionManager 去获取到对应的seesionid,然后再绑定到线程上,即每个shiro拦截到的请求之后,重新获取到seesionid, 然后根据seesionid创建Subject,清除当前线程的绑定,然后重新绑定的线程中,之后执行过滤器。所以我们再SecurityUtils.getSubject()中获取的一直是当前
Shiro登录之后获取用户信息
m0_67403272的博客
04-07 3220
问题:最近在学习Shiro,有点好奇Shiro如何获取用户信息的,正好测试登录之后,没有获取用户的信息,正好直接了解下。 解答:首先在登录时候,获取用户名,然后根据用户名查询用户数据信息,即user,然后把user传入SimpleAuthenticationInfo 2. 然后进入SimpleAuthenticationInfo构造方法查看,把user传给了principals 3. 然后自定义Shiro工具类,获取用户数据信息 这个object即是user,通过copy,可以把用户的所有数据信息
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权
m0_52479012的博客
04-13 3217
springboot项目:通过shiro实现用户的认证和授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
springboot获取shiro框架用户登录信息
qq_19891197的博客
01-31 1026
springboot获取shiro框架用户登录信息
Shiro获取登录人数据
qq_50665031的博客
08-30 858
Shiro获取登录人数据,principals/身份principals:身份,即主体的标识属性,如用户名、邮箱等,确保唯一即可。credentials/证明credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。最常见的principals和credentials组合就是用户名/密码了。...
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,...
spring-shiro-xml
09-28
shiro中的与spring结合的核心代码,可以使用缓存进行存储用户信息
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路.
05-24
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO 测试地址 admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单...
@DateTimeFormat与@JsonFormat详解
热门推荐
imVainiycos的博客
10-23 4万+
前后端进行时间类型的传值经常会遇到各种问题,并且对于java中的Date类也有util包与sql包的区别,在本文中我将会围绕实际业务进行展开解释。 一、时间传值 前端时间控件,一般情况下直接会传一个yyyy-MM-dd的日期字符串到后台。这个时候如果我们直接用java.util.Date类型就无法正确接收到。或者我们从数据库里查到DateTime类型并且用java的Date类型接收并返回给前台...
排查生产环境:MySQLTransactionRollbackException数据库死锁
imVainiycos的博客
08-02 8104
至此,本次MySQL线上死锁问题就已结束排查。由于线上问题一般都比较复杂或者比较难复现,所以排查线上问题首先需要分析日志,这个时候就要求我们程序的日志要尽可能做到完善。然后就是大胆猜测,小心验证,其中不免会经历多次推到重来的历程。此后该问题再次出现就不会再成为你的问题。记一次生产环境Java服务synchronized死锁的处理过程注意Synchronized与@Transactional不能在同一方法上使用的bug@transactional和synchronized同时使用不能同步的问题。......
IDEA中对于JSON字符串的处理(使用内置支持+插件提高效率)
imVainiycos的博客
08-21 7580
Java语言中,字符串由双引号里的内容组成,例如String name = “Vainycos”。而JSON字符串则是一种最常见的数据格式串,通常格式模板为:[{“name”:“Vainycos”}]。如果我们想要在Java中使用JSON字符串,则需要在字符串的双引号中间加许多转义符来达到效果,即最终结果应该是String jsonName = “[{/“name/”:/“Vainycos/”...
Java实现DFA算法敏感词过滤
imVainiycos的博客
03-02 5335
Java实现DFA算法敏感词过滤。 文章目录一. 应用场景二. 实现思路三. 源码实现 一. 应用场景 模拟非法词汇自动替换成*字符,且敏感词汇支持动态调整。 效果如下,若配置了敏感词:今天,则当用户在输入:今天,天气真不错。实际应该输出:** **,天气真不错 ** 二. 实现思路 使用MySQL作为敏感词库 使用DFA算法实现文字过滤 Q:什么是DFA? DFA全称为:Deterministic Finite Automaton,即确定有穷自动机。其特征为:有一个有限状态集合和一些从一个状态通向.
sa-token框架springsecurityshiro的区别
06-11
sa-token、Spring SecurityShiro 都是 Java 中常见的安全框架,它们的主要区别如下: 1. 功能特点: - sa-token:专注于会话管理,提供了轻量级的权限认证和角色认证功能,支持多种会话存储方案。 - Spring Security:提供了完整的安全框架,包含认证、授权、攻击防护等各种安全特性,但是配置相对复杂。 - Shiro:提供了完整的安全框架,包含认证、授权、攻击防护等各种安全特性,配置相对简单。 2. 应用场景: - sa-token:适用于小型项目和快速开发,具有简单易用、灵活性强等特点。 - Spring Security:适用于大型项目和对安全性要求较高的场景。 - Shiro:适用于中小型项目和对安全性要求较低的场景,具有易于扩展、简单易用等特点。 3. 社区支持: - sa-token:社区相对较小,但是作者积极维护和更新。 - Spring Security:社区非常活跃,有大量的第三方插件和扩展。 - Shiro:社区活跃度较高,有大量的第三方插件和扩展。 总的来说,三个框架各有优劣,选择哪个框架主要根据具体应用场景和需求来决定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值