Shiro配置及获取用户工具类

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量1.2k 收藏
点赞数
文章标签: java 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kother/article/details/125124075
版权

Shiro配置及获取用户工具类

本学期做了一个项目,利用了Shiro这个安全框架来做身份验证和权限管理。以本文章记录一下项目中使用的Shiro配置及获取当前用户信息的工具类和一个简单的MD5密码加密工具类。

获取用户信息的工具类主要是利用Shiro中自带的Session,在项目中都可以直接使用该工具类获取当前用户信息。

shiro配置类

ps:下面添加的userRealm,adminRealm,communityRealm都是项目中自定义的3个身份Realm,分别为用普通用户、管理员和社团用户

@Configuration
public class ShiroConfig {
    //创建Realm对象
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();//返回自己定义的类
    }

    @Bean
    public AdminRealm adminRealm(){ return new AdminRealm();}

    @Bean
    public CommunityRealm communityRealm() { return new CommunityRealm();}


    @Bean(name="securityManager")
    // 2.创建DefaultSecurityManager                       @Qualifier:指定方法名字   此时UserRealm已经被Spring托管
    public DefaultSecurityManager getDefaultSecurityManager(@Qualifier("userRealm") UserRealm userRealm, @Qualifier("adminRealm") AdminRealm adminRealm,@Qualifier("communityRealm")CommunityRealm communityRealm){
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();

        //管理Realm
        Collection<Realm> realms = new ArrayList<>();
        realms.add(userRealm);
        realms.add(adminRealm);
        realms.add(communityRealm);

        defaultSecurityManager.setRealms(realms);
        //当然也可以继续增加别的Realm....
        //defaultSecurityManager.setRealm(communityRealm);

        //ThreadContext.bind(defaultSecurityManager);

        return defaultSecurityManager;
    }



    //3.设置授权、过滤器
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultSecurityManager securityManager){
        //过滤器工厂
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();

        //设置安全管理器
        bean.setSecurityManager(securityManager);

        //来添加shiro的内置过滤器
        /*
        anon: 无需认证即可访问
        authc: 必须认证才能用x
        user: 必须拥有 “记住我” 功能才能用
        perms: 拥有对某个资源的权限才能用
        role: 拥有某个角色权限才能访问
        */
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        ShiroFilterFactoryBean filterFactory = new ShiroFilterFactoryBean();
        Map<String, Filter> filters = filterFactory.getFilters();
        filters.put("authc", new AuthenticationFilter());
        bean.setFilters(filters);
        //先设置授权
        //===================设置授权======================
        //user用户 且有add权限,才能访问
        //filterChainDefinitionMap.put("/user/add","perms[user:add]");
        //user用户 且有update权限,才能访问
        //filterChainDefinitionMap.put("/user/update","perms[user:update");

        //===================设置拦截======================

        //设置首页 : 无需认证即可访问
        //filterChainDefinitionMap.put("/login","anon");
        //设置其他页面:需要认证才能访问 (此时是user包下的所有html)
        //filterChainDefinitionMap.put("/user/*","authc");


        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);

//        //设置用户如果未登录
//        bean.setLoginUrl("/toLogin");
//
//        //设置未授权的跳转页面
//        bean.setUnauthorizedUrl("/toLogin");

        return bean;
    }


    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * @return DefaultAdvisorAutoProxyCreator
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

}

普通用户的配置:

public class UserRealm extends AuthorizingRealm {

    @Autowired
    UserServiceImpl userService;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //如果进入一些需要授权的页面,就会进入这个方法
        System.out.println("执行用户授权");

        //拿到当前登录的对象
        Subject subject = SecurityUtils.getSubject();

        Session session = subject.getSession();
        User user = (User) session.getAttribute("user");

        //如果当前用户不是普通用户,不授权
        if(user.getUserRole() != USER){
            return null;
        }

        //封装角色信息
        Set<String> roles = new HashSet<>();
        roles.add("user");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
        System.out.println("普通用户授权完成");
        //返回的是info
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行普通用户认证");
        //这是用户登录的token 将它转换为UsernamePasswordToken
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        //获取用户信息
        User user = userService.queryUserByName(userToken.getUsername());

        if(user==null){
            System.out.println("用户名不正确");
            return null;
        }
        if(user.getUserRole() != USER){
            return null;
        }
        System.out.println("普通用户认证成功");

        //如果用户认证成功,Session中保存该用户
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        session.setAttribute("user",user);

        //如果用户名正确,让shiro来执行密码认证,注意密码加密

        //1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象
        Object principal = user.getUserName();
        //2)credentials:密码
        Object credentials = ((UsernamePasswordToken) token).getPassword();
        //3)realmName:当前realm对象的name,调用父类的getName()方法即可
        String realmName = getName();
        //4)credentialsSalt盐值
        ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值

        return new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,realmName);
    }
}

UserUtils工具类

@Component
public class UserUtils {

    //直接获取当前用户
    public User getUser(){
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession();
        return (User) session.getAttribute("user");
    }

    //获取用户姓名
    public String getUserName(){
        return getUser().getUserName();
    }

    //获取用户id
    public int getUserId(){
        return getUser().getUserId();
    }

    //获取用户头像
    public String getUserAvatar(){
        return getUser().getUserAvatar();
    }

    //获取用户描述
    public String getUserDescription(){
        return getUser().getUserDescription();
    }

    //获取用户身份
    public int getUserRole(){
        return getUser().getUserRole();
    }

    //获取用户Email
    public String getUserEmail(){
        return getUser().getUserEmail();
    }

    //获取用户密码
    public String getUserx(){
        return getUser().getUserPassword();
    }


}

最后用到了一个MD5加密密码的算法,同样也封装成了工具类,可以直接使用。

@Component
public class MD5Utils {

    public String MD5EncryptPassword(String userName,String password){
        String hashAlgorithmName = "MD5";//加密方式
        ByteSource salt = ByteSource.Util.bytes(userName);//以账号作为盐值
        int hashIterations = 1024;//加密1024次
        String newPassword = String.valueOf(new SimpleHash(hashAlgorithmName, password,salt,hashIterations));
        return newPassword;
    }
}
姚同学阿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro获取session用户_shiro 获取请求头中的 sessionId
weixin_39844481的博客
12-20 1769
前言:在前后端项目中, 前端有可能会要求, 后台返回一个 sessionId给他, 然后他在请求后台接口时, 把这个sessionId带给后台, 后台拿到这个sessionId, 就能识别, 是那个用户.在shiro中, 会返回一个JSESSIONID , 其实就是sessionId.如果不想把sessionId放在参数中, 或者贴在链接后面, 暴露给用户, 那么我们还能选择把 ses...
sso与shiro整合所需工具类
11-14
- **util**:这里可能存放通用的工具类,比如加密解密工具、SSO配置工具等。 - **base**:基础类或基类,可能包含SSO认证的基础组件,如自定义Realm或Filter的基类。 整合Shiro与SSO的关键在于设计一个灵活且可扩展...
ShiroShiro简介及常用配置介绍
TZGod的博客
08-06 578
http://shiro.apache.org Shiro 认证:对用户的身份进行检查(登录验证) 授权:对用户权限进行检查(是否有对应的操作权限Shiro的核心功能 Anthentication 认证,验证用户是否有相应的身份—登录认证; Authorization 授权,即权限验证;对已经通过认证的用户检查是否具有某个权限或者角色,从而控制是否能够进行某种操作; Session Managment 会话管理,用户在认证成功之后创建会话,在没有退出之前,当前用户的所有信息都会保存在这个会话
Shiro框架验证用户拥有权限并设置对应的权限用户角色------Shiro框架
春风若有怜花意,可否许我再少年
06-13 884
Shiro框架验证用户拥有权限并设置对应的权限用户角色------Shiro框架
Shiro环境配置
酷小亚
05-04 417
Shiro 简介: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro 主要功能: 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他
shiro的主要类释义
李思苇
10-12 1130
SecurityUtils:提供给开发者使用的工具类,内部持有Subject、SecurityManager类实例对象。
SpringBoot 整合 Shiro 常见配置
qq_29799655的博客
04-27 1895
Shiro Shiro 是 apache 下的权限安全框架,通过该框架可以完成安全认证,例如登入,权限认证等,并且增加了加密认证,并发执行,缓存设计等 过滤器+AOP实现安全认证权限管理逻辑 提供用户表,存储代表当前用户的数据例如用户名,密码等 提供权限表,存储权限码 提供角色表,一个角色可以持有一个或多个不同权限 用户表添加角色字段,存储当前用户的角色 安全认证: 用户登录时将用户信息存储到S...
Shiro登录之后获取用户信息
m0_67403272的博客
04-07 3487
问题:最近在学习Shiro,有点好奇Shiro如何获取用户信息的,正好测试登录之后,没有获取用户的信息,正好直接了解下。 解答:首先在登录时候,获取用户名,然后根据用户名查询用户数据信息,即user,然后把user传入SimpleAuthenticationInfo 2. 然后进入SimpleAuthenticationInfo构造方法查看,把user传给了principals 3. 然后自定义Shiro工具类获取用户数据信息 这个object即是user,通过copy,可以把用户的所有数据信息
shiro相关配置及使用
纵横江湖二十年的博客
04-03 378
注:个人记录 一,shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。 网上找的一幅图片 通过上图可以看出shiro的四个主要功能。 1,认证:判断是否登录,shiro定义了几种状态,例如登录,记住我,未登录等几种状态。 2,授权:判断有没有权限。 3,session记录:用户登录的状态和信息。 4,shiro提供了加密的工具类。 二,s...
SpringBoot的yaml配置文件读取工具类
mr_foxsand的专栏
03-15 1733
版权声明:严禁用于任何商业用途的转发! 说明: 1.支持读取${}占位符中的内容 2.getContextPath方法为框架内部方法,不能通用,请勿照搬! package org.bluedream.core.utils; import org.yaml.snakeyaml.Yaml; import java.util.HashMap; import java.util.Linke...
Shiro配置详细
shishize55的博客
11-01 360
1、Module的CRUD 2、shiro介绍 2.1、什么是Shiro 它是一个安全框架,用于解决系统的认证和授权问题,同时提供了会话管理,数据加密机制。 3、Shiro使用步骤 3.1、导入jai包 Maven工程 &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.apache.shiro&amp;lt;/groupId&amp;gt; &amp;lt;artif
shiro反序列化工具
02-11
- **安全配置建议**:提供有关如何加固 Shiro 配置以防止反序列化攻击的指导。 使用这样的工具,开发者和安全专业人员可以更好地理解和评估 Shiro 应用程序的反序列化安全风险,并采取必要的预防措施。然而,任何...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
2. 配置序列化策略:限制允许反序列化的类,只接受可信的序列化数据,避免未经验证的数据输入。 3. 使用安全的序列化库:例如,可以考虑使用 Google 的 `Protocol Buffers` 或 `Java Object Streaming API (Java ...
shiro例子,及书籍shiro.rar
06-11
3. **加密**:Shiro提供了一些加密工具类,例如`HashService`用于密码哈希,`CipherService`用于数据加密,这些工具可以帮助你安全地存储和处理敏感信息。 4. **会话管理**:Shiro可以跨应用管理用户的会话,包括...
shiro 学习pdf及源码
03-17
3. **会话管理**:Shiro 可以帮助开发者管理用户的会话状态,包括会话的创建、读取、更新、删除以及超时处理。这在分布式应用中尤为重要,因为它提供了跨服务器的会话复制功能。 4. **加密**:Shiro 提供了多种加密...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1257
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
golang 接口
m0_70982551的博客
07-24 803
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 363
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot+shiro+jwt获取当前登录用户
09-01
在Spring Boot中使用Shiro和JWT获取当前登录用户,可以按照以下步骤进行: 1. 配置Shiro和JWT:在Spring Boot的配置文件中配置Shiro和JWT,包括配置Shiro的Realm、SessionManager和SecurityManager,以及配置JWT的密钥、过期时间等参数。 2. 创建ShiroRealm:继承Shiro的AuthorizingRealm类,重写doGetAuthenticationInfo和doGetAuthorizationInfo方法,用于验证用户身份和获取用户权限信息。 3. 创建JWT工具类:实现生成JWT、解析JWT和验证JWT的方法。 4. 创建登录接口:在登录接口中,验证用户的身份和密码是否正确,并生成JWT返回给客户端。 5. 创建获取当前登录用户接口:在需要获取当前登录用户的接口中,从请求头或请求参数中获取JWT,并解析JWT获取用户信息。 6. 配置Shiro的过滤链:在Spring Boot的配置类中配置Shiro的过滤链,将需要验证用户身份的接口配置为需要登录认证。 7. 编写前端代码:在前端页面中,发送登录请求获取JWT,并在需要获取当前登录用户的地方带上JWT发送请求。 总结:通过配置Shiro和JWT,重写ShiroRealm,创建JWT工具类,并在登录和获取用户接口中进行相关操作,可以实现在Spring Boot中使用Shiro和JWT获取当前登录用户的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值