Spring集成shiro框架来进行验证登录并且给用户授权

最新推荐文章于 2023-05-11 18:04:13 发布
最新推荐文章于 2023-05-11 18:04:13 发布
阅读量927 收藏 7
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kxj19980524/article/details/84898417
版权

使用shiro验证登录的流程主要就是,现在配置文件配置好那些过滤器,然后在controller验证登录的方法中获取到用户名密码,把它交给shiro提供的对象 AuthenticationToken,然后调用它的subject.login(token); 然后跳转到realm方法当中,然后在这个类当中去从数据库获取用户名密码,交给shiro进行比对,如果抛出异常就说明没有认证成功,没抛异常说明认证成功,所以在controller方法当中进行trychach来判断它是否认证成功跳转到相应的页面

引入jar包

<dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.2.2</version>
        </dependency>

在web.xml中配置spring框架提供的用于整合shiro框架的过滤器 ,切记要把shiro的过滤器放到最上面,因为谁在最上面谁就最先加载

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <display-name>bos-web</display-name>
  <welcome-file-list>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>default.html</welcome-file>
    <welcome-file>default.htm</welcome-file>
    <welcome-file>default.jsp</welcome-file>
  </welcome-file-list>
  
  <!-- 配置spring框架提供的用于整合shiro框架的过滤器 -->
  <filter>
      <filter-name>shiroFilter</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>shiroFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>

这时候启动tomcat服务器,抛出异常:spring工厂中不存在一个名称为“shiroFilter”的bean对象,所以得在spring工厂里注入一个同名的对象

在spring配置文件中配置bean,id为shiroFilter

     <!-- 配置shiro框架的过滤器工厂对象 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 注入安全管理器对象 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 注入相关页面访问URL -->
        <property name="loginUrl" value="/login.jsp"/>    //登录页面
        <property name="successUrl" value="/index.jsp"/>   //登录成功后跳的页面
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>   //权限不足跳的页面
        <!--注入URL拦截规则 -->
        <property name="filterChainDefinitions">
            <value>
                /css/** = anon                    //anno代表的是匿名过滤器,就是不登录也可以访问的页面,**代表的是通配符
                /js/** = anon
                /images/** = anon
                /validatecode.jsp* = anon
                /login.jsp = anon
                /userAction_login.action = anon              //把登录访问后台的方法也过滤掉
                /page_base_staff.action = perms["staff-list"]      //perms这个过滤器代表的是是否具有引号里的那个权限,有权限才能访问

                                                                                             //引号里面的东西是个权限名字可以随便写
                /* = authc                       //authc代表的是有没有登录,没有登录就不让访问,就会跳登录页面
            </value>
        </property>
    </bean>
    
    <!-- 注册安全管理器对象 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="bosRealm"/>
    </bean>
    
    <!-- 注册realm -->
    <bean id="bosRealm" class="com.itheima.bos.realm.BOSRealm"></bean>

后台代码,我这是用的struts的方式所有没有那些springmvc的注解,如果你们用的springmvc的话自己稍微加修改就行了,主要是看逻辑

     /**
     * 用户登录,使用shiro框架提供的方式进行认证操作
     */
    public String login(){
        //从Session中获取生成的验证码
        String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
        //校验验证码是否输入正确
        if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){
            //使用shiro框架提供的方式进行认证操作
            Subject subject = SecurityUtils.getSubject();//获得当前用户对象,状态为“未认证”
            AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//创建用户名密码令牌对象,这个方法里的俩参数就是前台传的用户名密码,用springmvc的,用你们的方式获取用户名密码就行.
            try{
                subject.login(token);       //这就是让shiro进行验证是否登录成功,它没有返回值,所以用trycatch,抛异常就登录失败,没抛异常                                                          //就登录成功,这句话会跳转到自己写的realm类当中验证是否登录成功
            }catch(Exception e){
                e.printStackTrace();
                return LOGIN;                 //没登陆成功跳转到登录页面
            }
            User user = (User) subject.getPrincipal();            //登录成功后取出user对象存入session当中.
            ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);
            return HOME;                                             //跳转到主页面
        }else{
            //输入的验证码错误,设置提示信息,跳转到登录页面
            this.addActionError("输入的验证码错误!");
            return LOGIN;
        }
    }

 realm类, 就是从登录方法的这句代码跳进来进行验证是否登录成功subject.login(token);

在这里面注入dao层接口进行判断是否与登录页面输入的账号密码一致

package com.itheima.bos.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import com.itheima.bos.dao.IUserDao;
import com.itheima.bos.domain.User;

public class BOSRealm extends AuthorizingRealm{
    @Autowired
    private IUserDao userDao;
    
    //认证方法
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("自定义的realm中认证方法执行了。。。。");
        UsernamePasswordToken passwordToken = (UsernamePasswordToken)token;//转成一个shiro提供的用户类
        //获得页面输入的用户名
        String username = passwordToken.getUsername();
        //根据用户名查询数据库中的密码
        User user = userDao.findUserByUsername(username);   //从数据库进行查询用户是否存在
        if(user == null){
            //页面输入的用户名不存在
            return null;
        }
        //简单认证信息对象
        AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        //框架负责比对数据库中的密码和页面输入的密码是否一致,由shiro进行判断密码是否一致
        return info;
    }

    //授权方法   这个方法调用的时机是在spring配置文件中,有的页面给它加了相应的权限,当你访问这个页面的时候它就会调用这个方//法来验证你当前用户是否有相应的权限
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获取当前登录用户对象
        User user = (User) SecurityUtils.getSubject().getPrincipal();    //两种获取当前用户的方法
        //User user2 = (User) principals.getPrimaryPrincipal();
        // 根据当前登录用户查询数据库,获取实际对应的权限
        List<Function> list = null;
        if(user.getUsername().equals("admin")){
 
            //超级管理员内置用户,查询所有权限数据
            list = functionDao.findByCriteria(detachedCriteria);
        }else{

             //如果不是超级管理员就查找他对应的权限
            list = functionDao.findFunctionListByUserId(user.getId());
        }
        //然后循环添加权限
        for (Function function : list) {
            info.addStringPermission(function.getCode());
        }
        return info;
    }
}

kxj19980524
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springshiro集成,以及web项目的登陆权限验证
weixin_44860790的博客
07-10 336
一 Shrio与Spring集成 Shiro的理论 shiro是一个权限框架(身份认证,授权,会话,密码学) shiro(轻量级,粗粒度,其它涉及到细粒度自己代码完成)与Spring security(重量级,细粒度,有点麻烦) 身份认证(登录)authentication,授权authorization,密码学,会话管理 Subject(当前用户)—》SecurityMananger(所有功...
Spring 集成 shiro 实现登录认证
不负年华
06-02 386
Spring 集成 shiro 实现登录认证 一,在Spring原基础依赖加上以下依赖 <!--shiro 依赖的 jar 包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version&gt
Springboot整合Shiro框架入门
web15285868498的博客
04-08 2877
Springboot整合Shiro框架入门 1、快速开始demo 2、Springboot集成Shiro 2.1、环境搭建 2.2、shiro的拦截 2.3、shiro的认证 2.4、整合mybatis 2.5、shiro进行授权 2.6、shiro整合thymeleaf 3、小结 1、快速开始demo 来到shiro的官网:shiro官方网站: 下载官方在git仓库上提供的源码,下载后解压: 官方提供了在多种场景下使用的demo,等一下会用到sample里面的东西。下面直接按官方推荐
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2581
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录验证用户是不是拥有相应的身份; Aut
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3363
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 745
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架用户角色权限
07-26
4、优点:快速上手、全面支持验证授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证用户授权用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
ims_cloud_gateway+shiro完成认证权限、日志等-Euraka版.rar
06-09
shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 方案二: zuul作为网关,具备熔断,负载,统一操作日志。整合shiro+redis为网关进行认证权限拦截,过滤器统一异常捕获 ; 两种网关底层实现...
spring shiro整合入门
08-03
NULL 博文链接:https://dreamoftch.iteye.com/blog/2002270
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
shiro集成hibernate和spring
10-12
采用的是maven管理工程 项目架构是 springmvc4.2.4.RELEASE+spring4.2.4.RELEASE+shiro1.22+hibernate5.1.0.Final 前端框架采用的是bootstrap 实现了角色+权限+用户的控制,另外为了能够更好的查看效果我加了一个实体...
Spring_shiro介绍
weixin_67695384的博客
06-23 3529
shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。应用场景:shiro 解决应用安全的四要素:Shiro的体系结构具有3个主要概念:Subject(主题)
shiro框架---shiro配置介绍(一)
热门推荐
凌大大的博客
02-18 2万+
接上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(二) shirospringboot项目中的配置步骤 1、引入依赖   首先shiro的应用,引入的依赖仅仅只有一个,即下边这个。 &amp;amp;amp;amp;lt;dependency&amp;amp;amp;amp;gt; &amp;amp;amp;amp;lt;groupId&amp;amp;amp;amp;gt;org.apache.shiro&amp;amp
Springboot集成shiro框架
Li_582258的博客
12-03 2299
shiro整合springboot项目
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3974
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
Shiro用户名密码或手机号短信登录(多realm认证)
张育嘉的博客
09-13 1万+
登录认证中,经常需要实现用户名密码和手机号验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
基于matlab实现的指纹识别.rar
最新发布
05-05
基于matlab实现的指纹识别.rar
Java spring 使用shiro框架
08-20
在Java Spring集成Shiro框架也相对简单。只需在Spring配置文件中添加相应的Shiro组件,并进行一些简单的配置,即可使Shiro生效。同时,Shiro也提供了一系列的Java注解,可以方便地在代码中标记需要进行身份验证或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值