56_shiro框架_02

最新推荐文章于 2024-10-01 18:51:18 发布
最新推荐文章于 2024-10-01 18:51:18 发布
阅读量113 收藏
点赞数
分类专栏: SpringBoot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_43407221/article/details/118272273
版权
本文详细介绍了如何在SpringBoot项目中整合Shiro框架,包括Shiro的基础认识、依赖注入、配置ShiroConfig、认证流程、自定义Realm、授权管理、登录退出处理、登录跳转问题的解决、权限注解的使用、缓存管理和RememberMe功能的实现,为读者提供了全面的Shiro实战教程。
摘要由CSDN通过智能技术生成

文章目录

1 Shiro

1.1 认识 Shiro

有空再写

1.2 SpringBoot 整合 Shiro

1.2.1 注入依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.5.0</version>
</dependency>

1.2.2 编写 ShiroConfig

20201208225829918

package com.cl.config;

import com.cl.realm.CustomRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;

/**
 * @Author chenlan
 * @Date 2020/12/8 16:53
 * @Description TODO
 */

@Configuration
public class ShiroConfig {

    /**
     * 配置 ShiroFilterFactoryBean (核心过滤器工厂)
     *
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

        // 设置认证失败的跳转地址
        factoryBean.setLoginUrl("/user/loginError.action");

        // 设置认证成功的跳转地址
        factoryBean.setSuccessUrl("/index.action");

        // 设置认证成功的用户访问无权限资源时的跳转地址
//        factoryBean.setUnauthorizedUrl();

//        factoryBean.getFilters();


        // 设置安全管理器
//        factoryBean.setSecurityManager(securityManager());

        HashMap<String, String> filterChainDefinitionMap = new HashMap<>(11);
        // anon 匿名过滤器 添加到此过滤器中的请求不需要进行认证 , 直接放行
        filterChainDefinitionMap.put("/favicon.ico", "anon");
        filterChainDefinitionMap.put("/images/**", "anon");
        filterChainDefinitionMap.put("/user/loginPage.action", "anon");
        // authc 表单过滤器  org.apache.shiro.web.filter.authc.FormAuthenticationFilter 表单过滤器
        filterChainDefinitionMap.put("/**", "authc");

        // 设置核心过滤器过滤链
        factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return factoryBean;
    }
}

1.2.3 Shiro 的过滤器

过滤器使用别名过滤器类型
anonorg.apache.shiro.web.filter.authc.AnonymousFilter
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
logoutorg.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
portorg.apache.shiro.web.filter.authz.PortFilter
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter
sslorg.apache.shiro.web.filter.authz.SslFilter
userorg.apache.shiro.web.filter.authc.UserFilter

1.3 认证

认证逻辑

用户在前端请求登录,登录请求会被表单过滤器拦截,请求的参数存储在 request 域对象中,

默认参数名为 usernamepassword ,

过滤器在 request 对象中获取这两个参数值(进行了处理)

封装到 token 令牌中,调用自定义 realm 中重写的认证方法 doGetAuthenticationInfo 对 token 进行认证

认证成功,跳转到成功页面,认证失败,返回到登录页面

FormAuthenticationFilter 部分源码

	public static final String DEFAULT_USERNAME_PARAM = "username";
    public static final String DEFAULT_PASSWORD_PARAM = "password";

    private String usernameParam = DEFAULT_USERNAME_PARAM;
    private String passwordParam = DEFAULT_PASSWORD_PARAM;

    public String getUsernameParam() {
        return usernameParam;
    }

    public String getPasswordParam() {
        return passwordParam;
    }
  
    protected String getUsername(ServletRequest request) {
        return WebUtils.getCleanParam(request, getUsernameParam());
    }

    protected String getPassword(ServletRequest request) {
        return WebUtils.getCleanParam(request, getPasswordParam());
    }

    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        String username = getUsername(request);
        String password = getPassword(request);
        return createToken(username, password, =request, response);
    }

1.3.1 设置安全管理器

package com.cl.config;

import com.cl.realm.CustomRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;

/**
 * @Author chenlan
 * @Date 2020/12/8 16:53
 * @Description TODO
 */

@Configuration
public class ShiroConfig {

    /**
     * 配置 ShiroFilterFactoryBean (核心过滤器工厂)
     *
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
		....
		
        // 设置安全管理器
        factoryBean.setSecurityManager(securityManager());
        
        ....

        return factoryBean;
    }


    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 添加 自定义 realm 到 安全管理器中
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    @Bean
    public Realm customRealm() {
        // 创建自定义 realm
        CustomRealm customRealm = new CustomRealm();
        // 添加凭证匹配器到 自定义 realm 中
        customRealm.setCredentialsMatcher(credentialsMatcher());
        return customRealm;
    }

    @Bean
    public HashedCredentialsMatcher credentialsMatcher() {
        // 创建 凭证匹配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        hashedCredentialsMatcher.setHashIterations(3);
        return hashedCredentialsMatcher;
    }

}

1.3.2 编写自定义 realm 认证方法

package com.cl.realm;

import com.cl.pojo.User;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.util.Arrays;
import java.util.List;

/**
 * @Author chenlan
 * @Date 2020/12/8 17:27
 * @Description TODO
 */
public class CustomRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        return null;
    }

    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String) token.getPrincipal();
        // 模拟用户列表
        List<String> list = Arrays.asList("admin", "cl");
        if (!list.contains(principal)) {
            return null;
        }
        // 模拟查询用户结果
        User user = new User("cl","58debabe30441a9e22c11c95059ffc26","sxt");
        String hashedCredentials = user.getPassword();
        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user,hashedCredentials,credentialsSalt,this.getName());
        return authenticationInfo;
    }
}

1.3.3 设置认证失败页面

FormAutherticationFilter 部分源码:

// FormAutherticationFilter.java
// 用户登录请求通过表单过滤器时进行认证,认证失败跳转到错误页面 会共享错误信息

public static final String DEFAULT_ERROR_KEY_ATTRIBUTE_NAME = "shiroLoginFailure";

private String failureKeyAttribute = DEFAULT_ERROR_KEY_ATTRIBUTE_NAME;


public String getFailureKeyAttribute() {
      return failureKeyAttribute;
}

public void setFailureKeyAttribute(String failureKeyAttribute) {
      this.failureKeyAttribute = failureKeyAttribute;
}

protected void setFailureAttribute(ServletRequest request, AuthenticationException ae) {
      String className = ae.getClass().getName();
      request.setAttribute(getFailureKeyAttribute(), className);
}

Controller层:

// 认证失败/没有认证跳转    
    @RequestMapping("/loginError.action")
    public String loginError(HttpServletRequest request, Model model){
        String shiroLoginFailure = (String) request.getAttribute("shiroLoginFailure");
        if (shiroLoginFailure != null) {
            if(UnknownAccountException.class.getName().equals(shiroLoginFailure)){
                model.addAttribute("errorMsg", "没有此账号");
            }
            if(IncorrectCredentialsException.class.getName().equals(shiroLoginFailure)){
                model.addAttribute("errorMsg", "用户密码错误");
            }
        }
        return "login";
     }
// 认证成功跳转
    @RequestMapping("/index.action")
    public String loginSuccess(){
        return "index";
    }

1.3.4 认证成功显示认证信息

1.3.4.1 导入依赖
<!--Thymeleaf对Shiro标签支持依赖-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
1.3.4.2 在 ShiroConfig 配置文件中配置方言
/*配置Shiro方言,让Thymeleaf支持Shiro标签*/
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }
1.3.4.3 在 thymeleaf 页面中引入 shiro 标签
<html lang="en" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
1.3.4.4 使用<shiro:principal>标签
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>测试:成功登录主页</title>
</head>
<body>
<shiro:principal></shiro:principal><br>
<span>欢迎:</span>
<shiro:principal property="username"></shiro:principal><br>
<a th:href="@{/user/userPage}">用户管理</a><br>
<a th:href="@{/student/studentPage}">学生管理</a><br>
<a th:href="@{/teacher/teacherPage}">教师管理</a><br>
</body>
</html>
1.3.4.5 执行效果

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IhLaYZPg-1624769729082)(E:\Java\img\image-20201209091852605.png)]

1.3.5 退出登录

使用LogoutFilter

1.3.5.1 在配置文件 ShiroConfig 中配置 LogoutFilter
// logout 退出过滤器 org.apache.shiro.web.filter.authc.LogoutFilter
filterChainDefinitionMap.put("/logout.action", "logout");
1.3.5.2 在首页设置退出登录
<a th:href="@{/logout.action}">退出登录</a>
1.3.5.3 自定义LogoutFilter
    public LogoutFilter logoutFilter(){
        LogoutFilter logoutFilter = new LogoutFilter();
        logoutFilter.setRedirectUrl("/user/loginPage.action");
        return logoutFilter;
    }

在 ShrioFilterFactoryBean 中配置自定义的过滤器

HashMap<String, Filter> map = new HashMap<>(10);
map.put("logout",logoutFilter());
// 配置开发者自定义过滤器
factoryBean.setFilters(map);

1.4 登录跳转问题

1.4.1 产生原因

Shiro 框架表单认证过滤器,会自动记录浏览器中在当前项目中的最后一次访问的任何一个页面,并且保存到 Session中,当用户认证成功以后,shiro 自动跳转到这个页面,不管页面存在与否

1.4.2 解决方案

配置自定义表单过滤器

package com.cl.config;

import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

/**
 * @Author chenlan
 * @Date 2020/12/10 15:22
 * @Description TODO
 */
public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception {
        // 清除保存在 session 中的 SavedRequest
        WebUtils.getAndClearSavedRequest(request);
        return super.onLoginSuccess(token, subject, request, response);
    }
}

在配置文件 ShiroConfig 添加自定义的过滤器

 /**
     * 可以对 表单过滤器的参数进行自定义
     * myFormAuthenticationFilter.setUsernameParam();
     * myFormAuthenticationFilter.setPasswordParam();
     * myFormAuthenticationFilter.setRememberMeParam();
     * @return 返回自定义表单过滤器
     */
    public MyFormAuthenticationFilter getMyFormAuthenticationFilter(){
        MyFormAuthenticationFilter myFormAuthenticationFilter = new MyFormAuthenticationFilter();
        return myFormAuthenticationFilter;
    }

在 shiroFilterFactoryBean 中添加

HashMap<String, Filter> map = new HashMap<>(10);
   map.put("authc", getMyFormAuthenticationFilter());
factoryBean.setFilters(map);

1.5 授权

授权逻辑

用户进行认证之后,访问页面会发送请求,例如:/user/userPage.action

需要权限的请求会被授权过滤器拦截,授权管理器调用自定义 realm 中的 doGetAuthorizationInfo 方法进行权限查询,如果realm 的授权列表中有此权限,则授权通过,如果没有此权限,则授权不通过,跳转到一个没有权限提示信息页面

1.5.1 自定义 realm 中查询权限

/**
     * 授权方法
     * @param principal
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 模拟用户拥有的权限
        simpleAuthorizationInfo.addStringPermissions(Arrays.asList("user:list","student:list"));
        return simpleAuthorizationInfo;
    }

1.5.2 在 ShiroConfig 的设置授权过滤器

**ShrioFilterFactoryBean **

HashMap<String, String> filterChainDefinitionMap = new HashMap<>(11);
//org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
filterChainDefinitionMap.put("/user/userPage.action","perms[user:list]");
filterChainDefinitionMap.put("/student/studentPage.action","perms[student:list]");
filterChainDefinitionMap.put("/teacher/teacherPage.action","perms[teacher:list]");
// 设置核心过滤器过滤链
factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

1.5.3 设置授权失败跳转页面

// 设置认证成功的用户访问无权限资源时的跳转地址
factoryBean.setUnauthorizedUrl("/unauthorized.html");

当需要授权的页面很多时,在 ShiroConfig 中设置授权过滤器非常繁琐,可以使用注解配置

每次都从 realm 中查询数据库影响系统性能,可以使用shiro 缓存

1.5.4 使用注解配置

1.5.4.1 在 ShiroConfig 中开启注解开发
  /**
     * 设置Shiro框架对注解支持
     * @return
     */
    @Bean
    public SimpleMappingExceptionResolver simpleMappingExceptionResolver(){
        Properties properties = new Properties();

        /*此时跳转地址在对应 SpringMVC 视图解析前后缀对应位置,逻辑地址*/
        properties.put("org.apache.shiro.authz.UnauthorizedException","/unauthorized");

        SimpleMappingExceptionResolver simpleMappingExceptionResolver = new SimpleMappingExceptionResolver();

        simpleMappingExceptionResolver.setExceptionMappings(properties);

        return simpleMappingExceptionResolver;
    }

    /**
     * 设置 Shiro 框架对注解支持
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(){

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());

        return authorizationAttributeSourceAdvisor;
    }

    /**
     * 设置 Spring 框架支持集成其他框架可以使用 AOP
     * @return
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {

        DefaultAdvisorAutoProxyCreator autoProxyCreator = new DefaultAdvisorAutoProxyCreator();

        /*设置可以让 Shiro 框架使用 AOP 为表现层创建代理( Shiro 权限判断的注解全部在表现层)*/
        autoProxyCreator.setProxyTargetClass(true);

        return autoProxyCreator;
}
1.5.4.2 在 controller 层设置注解
package com.cl.controller;

import org.apache.shiro.authz.annotation.RequiresPermissions;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * @Author chenlan
 * @Date 2020/12/8 21:23
 * @Description TODO
 */

@Controller
@RequestMapping("/student")
public class StudentController {

    @RequestMapping("/studentPage.action")
    @RequiresPermissions("student:list")
    public String studentPage(){
        return "studentPage";
    }

}
1.5.4.3 使用Shiro 标签库
标签名称标签条件(均是显示标签内容)
<shiro:authenticated>登录之后
<shiro:notAuthenticated>不在登录状态时
<shiro:guest>用户在没有 RememberMe 时
<shiro:user>用户在 RememberMe 时
<shiro:hasAnyRoles name="abc,123" >在有 abc 或者 123 角色时
<shiro:hasRole name="abc">拥有角色 abc
<shiro:lacksRole name="abc">没有角色 abc
<shiro:hasPermission name="abc">拥有权限资源 abc
<shiro:lacksPermission name="abc">没有 abc 权限资源
<shiro:principal>显示用户身份名称
<shiro:principal property="username"/>显示用户身份中的属性值
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">
<head>
    <meta charset="UTF-8">
    <title>测试:成功登录主页</title>
</head>
<body>
<shiro:principal></shiro:principal><br>
<span>欢迎:</span>
<shiro:principal property="username"></shiro:principal>
<a th:href="@{/logout.action}">退出登录</a>

<shiro:hasPermission name="user:list">
<a th:href="@{/user/userPage.action}">用户管理</a><br>
</shiro:hasPermission>

<shiro:hasPermission name="student:list">
<a th:href="@{/student/studentPage.action}">学生管理</a><br>
</shiro:hasPermission>

<shiro:hasPermission name="teacher:list">
<a th:href="@{/teacher/teacherPage.action}">教师管理</a><br>
</shiro:hasPermission>

</body>
</html>

1.5.5 Shiro 缓存

1.5.5.1 添加依赖
 <!--shiro对ehcache的基础-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.5.0</version>
        </dependency>
        <!--引入ehcache给shiro使用-->
        <dependency>
            <groupId>net.sf.ehcache</groupId>
            <artifactId>ehcache-core</artifactId>
            <version>2.6.0</version>
        </dependency>
1.5.5.2 在安全管理器中设置缓存管理器
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置缓存管理器
        securityManager.setCacheManager(cacheManager());

        // 添加自定义 realm 到 安全管理器中
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    @Bean
    public CacheManager cacheManager(){
        EhCacheManager ehCacheManager = new EhCacheManager();
        return ehCacheManager;
    }

1.5.6 设置session 管理器

@Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setSessionManager(sessionManager());

        // 设置缓存管理器
        securityManager.setCacheManager(cacheManager());

        // 添加自定义 realm 到 安全管理器中
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    @Bean
    public SessionManager sessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setGlobalSessionTimeout(2000*10);
        return defaultWebSessionManager;
    }

1.6 (RememberMe)账号保存到 cookie

1.6.1 配置会话管理器

@Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        // 配置记住我管理器
        securityManager.setRememberMeManager(rememberMeManager());

        // 配置会话管理器
        securityManager.setSessionManager(sessionManager());

        // 设置缓存管理器
        securityManager.setCacheManager(cacheManager());

        // 添加自定义 realm 到 安全管理器中
        securityManager.setRealm(customRealm());
        return securityManager;
    }

    /**
     * 记住我管理器
     * @return
     */
    @Bean
    public RememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(cookie());
        return cookieRememberMeManager;
    }

    /**
     * 存储cookie
     * @return
     */
    @Bean
    public Cookie cookie(){
        Cookie cookie = new SimpleCookie("rememberMe");
        cookie.setMaxAge(3600 * 24 * 7);
        cookie.setHttpOnly(true);
        return cookie;
    }

1.6.2 登录用户实体类实现 Serializable 接口

package com.cl.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

import java.io.Serializable;

/**
 * @Author chenlan
 * @Date 2020/12/8 17:34
 * @Description TODO
 

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User implements Serializable {

    private String username;
    private String password;
    private String salt;
}

1.6.3 登录页面设置记住我 checkbox

记住我:<input type="checkbox" name="rememberMe">

1.6.4 在ShiroFilterFactoryBean 中配置 UserFilter 过滤器

// user userFilter org.apache.shiro.web.filter.authc.UserFilter
filterChainDefinitionMap.put("/index.action", "user");

1.6.5 重写表单过滤器中的 isAccessAllowed 方法

选择了记住我之后,用户在没有进行认证时,只能访问 UserFilter 中配置的请求,不能访问其他页面,要重写表单过滤器中的 isAccessAllowed 方法

@Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        // 从请求中获取 shiro 主体
        Subject subject = getSubject(request, response);
        // 在主体中获取 session
        Session session = subject.getSession();
        // 登录主体没有进行认证和设置了记住我
        if (!subject.isAuthenticated() && subject.isRemembered()) {
            User principal = (User) subject.getPrincipal();
            session.setAttribute("USER_SESSION", principal);
        }
        return subject.isAuthenticated() || subject.isRemembered();
    }
r.authc.UserFilter
filterChainDefinitionMap.put("/index.action", "user");

1.6.5 重写表单过滤器中的 isAccessAllowed 方法

选择了记住我之后,用户在没有进行认证时,只能访问 UserFilter 中配置的请求,不能访问其他页面,要重写表单过滤器中的 isAccessAllowed 方法

@Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        // 从请求中获取 shiro 主体
        Subject subject = getSubject(request, response);
        // 在主体中获取 session
        Session session = subject.getSession();
        // 登录主体没有进行认证和设置了记住我
        if (!subject.isAuthenticated() && subject.isRemembered()) {
            User principal = (User) subject.getPrincipal();
            session.setAttribute("USER_SESSION", principal);
        }
        return subject.isAuthenticated() || subject.isRemembered();
    }
Mr.chen000
关注
专栏目录
Shiro第二十二章-生成验证码
海恩的博客
04-30 274
简介 在实现登录功能时,大多数情况需要验证码支持,目的是防止机器人暴力破解密码。 目前比较简单的验证码通过一些OCR工具就可以解析出来,复杂的验证码(一般通过扭曲、加线条或噪点等干扰)能够防止OCR识别。更复杂的如填字、算数等验证码则需要人工识别。 目前比较可靠的是手机验证码,但是对于用户来说比普通验证码要麻烦得多。 验证码图片可以通过Java提供的图片API实现,也可以...
第二十二章 集成验证码——《跟我学Shiro
jinnianshilongnian的专栏
04-15 261
  目录贴: 跟我学Shiro目录贴   在做用户登录功能时,很多时候都需要验证码支持,验证码的目的是为了防止机器人模拟真实用户登录而恶意访问,如暴力破解用户密码/恶意评论等。目前也有一些验证码比较简单,通过一些OCR工具就可以解析出来;另外还有一些验证码比较复杂(一般通过如扭曲、加线条/噪点等干扰)防止OCR工具识别;但是在中国就是人多,机器干不了的可以交给人来完成,所以在中国就有很多...
shiro用户加密默认方式_shiro加密算法
weixin_39784263的博客
12-22 742
第一节的时候我介绍过,shiro有很多加密算法,如md5和sha,而且还支持加盐,使得密码的解析变得更有难度,更好的保障了数据的安全性。这里我们要介绍的是md5算法,因为比较常用。首先我们来看看md5算法的各种实现方式:packagecom.wujianwu.test;importorg.apache.shiro.crypto.hash.Md5Hash;importorg.apache.shiro...
SpringBoot整合Shiro框架
koko创作
11-07 8541
目录 1、Shiro简介 1.1、Shiro是什么? 1.2、有哪些功能? 1.3、Shiro架构(外部) 2、快速入门(QuickStartShiro) 2.1、项目结构 2.2、导入shiro依赖,这是我的pom所有依赖。(pom.xml) 2.3、相关配置文件 (1)log4j.properties——官网 (2)shiro.ini——官网 (3)启动类 Quickstart——官网 3、SpringBoot集成Shiro框架 3.1SpringBoot整合Shir...
shiro-安全框架
BUG专业户
08-04 769
shiro安全框架 自定义realm实现认证 授权
shiro框架学习
qq_63897791的博客
10-15 1745
Apache·Shiro是一个功能强大且易于使用的Java权限框架shiro可以完成认证、授权、加密、会话管理、与web集成、缓存等。shiro官网地址shiro默认的登录认证不加密,若想实现加密认证需要自定义登录认证,自定义Realm。
shiro_keys字典
qq_59468567的博客
04-23 2318
kPH+bIxk5D2deZiIxcaaaA== 2AvVhdsgUs0FSA3SDFAdag== 3AvVhmFLUs0KTA3Kprsdag== 4AvVhmFLUs0KTA3Kprsdag== 5aaC5qKm5oqA5pyvAAAAAA== 6ZmI6I2j5Y+R5aSn5ZOlAA== bWljcm9zAAAAAAAAAAAAAA== wGiHplamyXlVB11UXWol8g== Z3VucwAAAAAAAAAAAAAAAA== MTIzNDU2Nzg5MGFiY2RlZg== zSyK5K
java shiro security_安全框架Shiro和SpringSecurity的比较
weixin_39663378的博客
02-13 112
两个基本的概念安全实体:系统需要保护的具体对象数据权限:系统相关的功能操作,例如基本的CRUDShiro首先Shiro较之 Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:易于理解的 Java Security API;简单的身份认...
springboot入门_shiro
SWJTU0101的博客
07-13 118
shiro是apache的一款开元安全框架,可以进行用户身份的认证,授权,session管理,加密等。相对于springsecurity来说比较简单,容易理解和使用。下来我们实现在springboot项目中使用shiro框架。 我们使用RBAC(基于角色的访问控制)来设计角色权限关系,有3个实体:用户,角色,权限,在RBAC中用户拥有某一种角色,角色拥有一个或者多个资源,所以表结构设计...
基于SSM+Shiro框架的MVC架构思想文章管理系统设计源码
09-26
该项目是一款基于SSM+Shiro框架和MVC架构设计的文章管理系统源码,总计包含1121个文件,涵盖223个PNG图片、210个JavaScript文件、187个HTML文件、176个CSS文件、56个GIF文件、48个JPG文件、40个Java源代码文件、40个...
基于Spring Boot和Shiro框架的ETIMS实验教学信息管理系统设计源码
10-01
本项目是一款基于Spring Boot和Shiro框架构建的实验教学信息管理系统源码,包含603个文件,涉及259个Java源文件、87个HTML文件、56JavaScript文件、54个PNG图像文件、34个CSS样式文件、31个XML配置文件、21个JPG...
Shiro安全框架
m0_59598908的博客
11-25 448
前言 在没有使用安全框架之前,大家做的登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。但是使用了一些现成的安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看起来容易,我的代码你也好理解。 前言:重要单词 Authorization: Shiro中的授权 Security[安全]Manager[管理器] Authenticator: 即认证器 Authorizer: 授权器 Realm: 领域,相当于datasourc...
JavaScript ArrayBuffer的读写与类型转换
最新发布
白瑕 的博客
10-01 414
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 765
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Java开发指南」如何用MyEclipse为iPhone搭建Spring应用程序?
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
09-30 697
本教程将介绍如何用MyEclipse为iPhone搭建Spring应用程序,欢迎下载最新版IDE体验!
spring-boot 整合 mybatis
m0_72168501的博客
09-29 523
spring boot 整合 mybatis
Java内存布局
阿呆的专栏
10-01 790
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
【开源免费】基于SpringBoot+Vue.JS校园资料分享平台(JAVA毕业设计)
customer08的博客
09-30 1209
校园资料分享平台是一个B/S模式系统,采用Spring Boot框架作为开发技术,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得校园资料分享平台管理工作系统化、规范化。
Shiro框架的认证与授权详解
在软件开发中,权限管理和认证是至关重要的环节,Apache Shiro框架提供了一种简洁而强大的解决方案。本文将深入探讨Shiro框架中的核心组件以及认证过程,帮助理解如何实现用户权限的分配与授权。 首先,Shiro框架的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值