Shiro-01-登录

最新推荐文章于 2024-04-01 13:15:04 发布
最新推荐文章于 2024-04-01 13:15:04 发布
阅读量166 收藏
点赞数
分类专栏: shiro权限框架 文章标签: shiro 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jianjiacuncao/article/details/105008527
版权

Shiro的登录

以下代码是一段简单的shiro登录代码

	@RequestMapping(value = "/subLogin",method = RequestMethod.POST)
    @ResponseBody
    public String subLogin(SubLoginForm subLoginForm){
        Subject subject = SecurityUtils.getSubject();
        if(subject.isAuthenticated()){
            System.out.println("已经登录,无需再次登录");
            return "redirect:index.html";
        }
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(subLoginForm.getUsername(),subLoginForm.getPassword());
        try{
            if(subLoginForm.getRememberMe() != null){
                usernamePasswordToken.setRememberMe(subLoginForm.getRememberMe());
            }
            subject.login(usernamePasswordToken);
        }catch (AuthenticationException e){
            e.printStackTrace();
        }
        if(subject.hasRole("admin")){
            return "有admin权限";
        }
        return "无admin权限";
    }

在这一段代码中,我要分析一下subject.login(usernamePasswordToken);这一步

以下是个人现阶段的见解,如有不正确请指出!

任意一个系统,集成shiro的时候,关于用户,角色,权限等,基本都会用自定义表结构,所以我们需要自定义realm,来和数据库交互。如图所示:

在这里插入图片描述
在realm中,从自定义的用户表中,查询出来用户信息,用来校验用户本次是否登录成功。

以下代码是一个自定义的realm

package com.imooc.shiro.realm;

import cn.hutool.core.collection.CollUtil;
import com.imooc.dao.UserDao;
import com.imooc.vo.User;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import javax.annotation.Resource;
import java.util.HashSet;
import java.util.Set;

/**
 * @author jianxinkuan
 * @date 2020/3/15 18:53
 */
public class CustomRealm extends AuthorizingRealm {

    @Resource
    private UserDao userDao;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1、获取登录用户名
        String userName = (String) principalCollection.getPrimaryPrincipal();
        //2、通过用户名获取角色
        Set<String> roleSet = getRolesByUserName(userName);
        //3、根据用户名获取权限
        Set<String> permissionSet = getPermissionsByUserName(userName);
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //设置角色
        simpleAuthorizationInfo.setRoles(roleSet);
        //设置权限
        simpleAuthorizationInfo.setStringPermissions(permissionSet);
        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1、从认证主体中获取用户名
        String userName = (String) authenticationToken.getPrincipal();
        //2、通过用户名从数据库库中检索用户
        User user = getPasswordByUserName(userName);
        if(user == null){
            return null;
        }
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, user.getPassword(), "admin");
        //可以在这里加盐值
//        simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("JXK"));
        return simpleAuthenticationInfo;
    }


    /**
     * 根据用户名获取权限
     * @param userName
     */
    private Set<String> getPermissionsByUserName(String userName) {
        System.out.println("从数据库获取权限信息");
        userDao.queryRolesByUserName(userName);
        Set<String> permissionSet = new HashSet<>();
        permissionSet.add("user:add");
        permissionSet.add("user:delete");
        permissionSet.add("user:update");
        permissionSet.add("user:list");
        return permissionSet;
    }

    /**
     * 根据用户名获取角色
     * @param userName
     * @return
     */
    private Set<String> getRolesByUserName(String userName) {
        System.out.println("从数据库获取角色信息");
        return CollUtil.newHashSet(userDao.queryRolesByUserName(userName));
    }


    /**
     * 数据库中检索用户信息
     * @param userName
     * @return
     */
    private User getPasswordByUserName(String userName) {
        return userDao.getUserByUserName(userName);
    }
}

如代码所示,自定义realm,我们需要继承AuthorizingRealm 类,重新两个方法

  1. doGetAuthorizationInfo
    此方法内实现授权逻辑,我们要从我们自己的角色表,权限表中获取数据,组装起来,这样当前的subject就有了这些角色、权限信息
  2. doGetAuthenticationInfo
    此方内实现认证逻辑,根据用户名从自定义用户表中检索出来用户,然后把用户名和密码返回,这里我们不用自己去对比密码是否一致,而判断用户是否登录成功,shiro框架会自行判断,这里我们还可以设置加密规则的盐值信息
窃-格瓦拉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 登录认证源码详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro 的登录认证(Authentication)功能。
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe cookie作为填充Oracle Attack的前缀。 加密ysoserial的序列化有效负载,以通过填充Oracle Attack制作精心制作的RememberMe。 请求带...
[免费]Shiro登录简单实例源码
08-29
http://blog.csdn.net/m0_37116405/article/details/77149896
Hutool实现用户密码加盐(Salt)工具类
最新发布
Demon_Hao的博客
04-01 652
但是加盐后,即使相同的密码,由于盐的不同而得到的哈希值也是不同的,这样一来,攻击者需要为每一个不同的盐重新计算对应的哈希值,大大增加了破解密码的成本和难度。总的来说,密码加盐是一种增强密码安全性的重要手段,通过引入随机生成的盐值,可以有效防止彩虹表攻击和碰撞攻击,提高密码的复杂度和难度,增加破解密码的成本和时间,从而保护用户的密码安全。提高密码的复杂度:盐是一个随机生成的字符串,它会增加密码的长度和复杂度,使得即使用户使用简单密码,也会因为盐的存在而变得复杂起来,增加破解密码的难度。2、密码加点盐工具类。
shiro后台代码登录
chengyi6484的博客
10-17 428
1、需求说明 最近项目需要做单点登录,将本地项目与第三方管理项目集成,第三方提供单点登录接口,本地系统通过httpclient请求接口,如果返回用户已经登录状态则直接获取用户名进行登录,无需再次验证密码。 2、本地系统架构说明 本地系统采用传统的SpringMVC+MyBatis+s...
shiro登陆流程源码详解
weixin_34405557的博客
06-03 391
前言 抽取了shiro最基本的登陆流程(web登陆是基于这层开发的)。 详解源码 创建一个AuthenticationToken进行登录。 SecurityUtils.getSecurityManager().login(null,authenticationToken); 复制代码登陆主流程 public Subject login(Subject subject, Authenticatio...
shiro登录源码分析
qq_1240545777的博客
05-02 151
关于 shiro登录,大多数人应该知道是通过securitymanager调用reaml来实现的。那到底是怎么具体来进行的呢?通过源码来看一哈,这里我是结合spring来做的登录shiro-1.2.3:1.登录代码 Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token);第一句代码是得到当前subj...
springboot-demo:springboot学习
05-09
Springboot--Studyspringboot-jpa-thymeleaf实现增删改查功能加入redis缓存(简单)2017-12-15 :整合Shiro2018-07-01 :Builder模式构造类2018-07-01 :要优先使用基本类型而不是装箱基本类型,要担心无意识的自动...
shiro学习笔记(四次课,从入门到案例)
06-15
Shiro01-概念、入门、认证的基本使用; Shiro02-认证加密,授权; Shiro03-SpringBoot集成、注册、登录; Shiro04-SpringBoot授权,Shiro注解、Shiro标签
学生作业管理系统:使用SSM + Shiro开发的学生作业管理系统。支持批量打包下载,QQ登陆等功能生产版:
02-03
学生作业管理系统弃用:新版本位置停止维护:新项目地址原本功能管理员在后台数据库中准备好学生学号(10位)后,学生可以用学号登录系统,首次登录需要自行设置密码(大于8位)学生可以上传文件到系统中,上传功能...
Shiro最新全套在线教程(1.74G)
04-11
04.shiro登录登出流程分析.avi 05.自定义realm登录登出.avi 06.加密realm登录登出.avi 07.RBAC权限模型理解.avi 08.ini方式检查用户拥有角色.avi 09.ini方式检查用户拥有权限.avi 10.自定义realm检查用户拥有权限....
shirodemo实现web登陆
10-10
shiro在web的实现,使用jsp实现,给html实现了登陆测试。
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
基于shiro实现的用户登录系统
11-28
基于shiro实现的用户登录系统,运行sql文件更改数据库连接可直接运行,项目集成了mybatis-plus,shiro,springmvc,角色管理和组管理,非常简单实用,非常适合学习,不用输入验证码可以登录,admin密码123456
shiro之登录认证代码流程
weixin_44545652的博客
02-25 160
Shiro认证之代码流程 在经过第一天的概念性学习,有些似懂非懂。不太理解自己实现的接口实在是么时候用到的。今天跟了下源码有点豁然开朗,对今天的学习进行总结。 入口 subject.login(token); org.apache.shiro.subject.support.DelegatingSubject org.apache.shiro.mgt.DefaultSecurityManager org.apache.shiro.mgt.AuthenticatingSecurityManager o
Shiro 登录认证过程源码详解
小牛肉的博客
09-30 498
???? 本文收录于 Gitee 仓库,Gitee 推荐项目,欢迎前来 star 呀~ https://gitee.com/veal98/CS-Wiki ???? Shiro 登录认证过程源码详解 1. Shiro 获取前端传值 先给出登录的代码: @RestController public class LoginController { @CrossOrigin @PostMapping(value = "api/login") public String logi
shiro基本使用和登录源码
weixin_43898754的博客
01-25 2485
shiro基本使用和登录源码 shiro的主要功能为 拦截无权限管理的页面 需要接管登录服务 登录时设置加密方式 spring整合shiro基本配置 shiro的设置类 @Bean public CustomRealm shiroReam() { CustomRealm customRealm = new CustomRealm(); customRealm.setCredentialsMatcher(hashedCredentialsMatcher()); return cust
Shiro用起来太痛苦?这个轻量级权限框架一行代码搞定登录
写点有用的
12-27 254
SaToken是一个轻量级的Java权限认证框架,目标是让鉴权变得简单、优雅。其主要解决了登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权等一系列权限相关问题。目前在Gitee上已经有了8.9K的star,足以可见大家对其的认可。使用了SaToken以后,登录有多简单呢?没错,一行代码就可以搞定登录了。
shiro实现登录登出_shiro入门代码
weixin_29997523的博客
01-03 551
简介Shiro是apache的一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。和另一个安全框架Spring-Security相比,shiro更加简单灵活,可以脱离spring框架,但是粒度相对而言较粗。相比较而言我更喜欢shiro,看中的是简单灵活,扩展性强。粒度粗细这个体现的并不明显,而且spring的官网...
shiro-550和shiro-721漏洞的异同点
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值