shiro学习记录(二)

最新推荐文章于 2024-02-09 12:28:26 发布
最新推荐文章于 2024-02-09 12:28:26 发布
阅读量300 收藏
点赞数
分类专栏: 随笔记录 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_43584016/article/details/86495961
版权

1 登录的用户对象,封装成一个token对象
2 根据SecurityUtils获得一个subject对象,再调用subject的login(token)方法进行登录,如果正常登陆(执行subject.login(token)成功,就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。
3 MD5加密:

String password="123";
String MD5password = new Md5Hash(password).toString();

4 对原有密码添加盐值

//加盐值(随机数)
String salt = new SecureRandomNumberGenerator().nextBytes().toString();
//加盐值后的密码
newPassword = new SimpleHash(algorithmName, password, salt).toString();

SSM集成shiro

1 web.xml做以下几件事件事:
① 指定spring的配置文件有两个,分别是用于链接数据库的applicationContext.xml和用于配置shiro的applicationContext-shiro.xml
② 指定springmvc的配置文件:springMVC.xml
③ 使用shiro过滤器

<filter-class>org.springframework.web.filter.Delegating</filter-class>

具体代码如下:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:web="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
     
    <!-- spring的配置文件-->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            classpath:applicationContext.xml,
            classpath:applicationContext-shiro.xml
        </param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
     
    <!-- spring mvc核心:分发servlet -->
    <servlet>
        <servlet-name>mvc-dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <!-- spring mvc的配置文件 -->
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:springMVC.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>mvc-dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>
     
    <!-- Shiro配置 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
     
</web-app>

2 applicationContext.xml 配置数据库和mybatis的扫描mapper

<context:annotation-config />
    <context:component-scan base-package="com.how2java.service" />
 
    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> 
      <property name="driverClassName"> 
          <value>com.mysql.jdbc.Driver</value> 
      </property> 
      <property name="url"> 
          <value>jdbc:mysql://localhost:3306/shiro?characterEncoding=UTF-8</value> 
     
      </property> 
      <property name="username"> 
          <value>root</value> 
      </property> 
      <property name="password"> 
          <value>admin</value> 
      </property>    
    </bean>
     
    <bean id="sqlSession" class="org.mybatis.spring.SqlSessionFactoryBean">
        <property name="typeAliasesPackage" value="com.how2java.pojo" />
        <property name="dataSource" ref="dataSource"/>
        <property name="mapperLocations" value="classpath:com/how2java/mapper/*.xml"/>
    </bean>
 
    <bean class="org.mybatis.spring.mapper.MapperScannerConfigurer">
        <property name="basePackage" value="com.how2java.mapper"/>
    </bean>

3 applicationContext-shiro.xml 提供shiro的相关配置

<!-- 配置shiro的过滤器工厂类,id- shiroFilter要和我们在web.xml中配置的过滤器一致 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 调用我们配置的权限管理器 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 配置我们的登录请求地址 -->
        <property name="loginUrl" value="/login" />
        <!-- 如果您请求的资源不再您的权限范围,则跳转到/403请求地址 -->
        <property name="unauthorizedUrl" value="/unauthorized" />
        <!-- 退出 -->
        <property name="filters">
            <util:map>
                <entry key="logout" value-ref="logoutFilter" />
            </util:map>
        </property>
        <!-- 权限配置 -->
        <property name="filterChainDefinitions">
            <value>
                <!-- anon表示此地址不需要任何权限即可访问 -->
                /login=anon
                /index=anon
                /static/**=anon
                /doLogout=logout
                <!--所有的请求(除去配置的静态资源请求或请求地址为anon的请求)都要通过登录验证,如果未登录则跳到/login -->
                /** = authc
            </value>
        </property>
    </bean>
    <!-- 退出过滤器 -->
    <bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter">
        <property name="redirectUrl" value="/index" />
    </bean>
 
    <!-- 会话ID生成器 -->
    <bean id="sessionIdGenerator"
        class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator" />
    <!-- 会话Cookie模板 关闭浏览器立即失效 -->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="sid" />
        <property name="httpOnly" value="true" />
        <property name="maxAge" value="-1" />
    </bean>
    <!-- 会话DAO -->
    <bean id="sessionDAO"
        class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
        <property name="sessionIdGenerator" ref="sessionIdGenerator" />
    </bean>
    <!-- 会话验证调度器,每30分钟执行一次验证 ,设定会话超时及保存 -->
    <bean name="sessionValidationScheduler"
        class="org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler">
        <property name="interval" value="1800000" />
        <property name="sessionManager" ref="sessionManager" />
    </bean>
    <!-- 会话管理器 -->
    <bean id="sessionManager"
        class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- 全局会话超时时间(单位毫秒),默认30分钟 -->
        <property name="globalSessionTimeout" value="1800000" />
        <property name="deleteInvalidSessions" value="true" />
        <property name="sessionValidationSchedulerEnabled" value="true" />
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler" />
        <property name="sessionDAO" ref="sessionDAO" />
        <property name="sessionIdCookieEnabled" value="true" />
        <property name="sessionIdCookie" ref="sessionIdCookie" />
    </bean>
 
    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="databaseRealm" />
        <property name="sessionManager" ref="sessionManager" />
    </bean>
    <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
    <bean
        class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod"
            value="org.apache.shiro.SecurityUtils.setSecurityManager" />
        <property name="arguments" ref="securityManager" />
    </bean>
 
    <bean id="databaseRealm" class="com.how2java.realm.DatabaseRealm">
    </bean>
     
    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
</beans>

4 springMVC.xml基本配置、增加了对shiro的支持、指定了异常处理类

<!--启用shiro注解 -->
    <bean
        class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    </bean>
    <bean
        class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

5 log4j.properties 日配置文件

# Global logging configuration
log4j.rootLogger=ERROR, stdout
# MyBatis logging configuration...
log4j.logger.com.how2java=TRACE
# Console output...
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%5p [%t] - %m%n

6 登录方法

@RequestMapping(value="/login",method=RequestMethod.POST)
    public String login(Model model,String name, String password) {
        Subject subject = SecurityUtils.getSubject(); 
        UsernamePasswordToken token = new UsernamePasswordToken(name, password); 
        try { 
            subject.login(token);
            Session session=subject.getSession();
            session.setAttribute("subject", subject);
            return "redirect:index";
             
        } catch (AuthenticationException e) { 
            model.addAttribute("error", "验证失败"); 
            return "login";
        } 
    }
德鲁大叔撸代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro SecurityUtils.getSubject()深度分析
qq_39575279的博客
01-30 2万+
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal&lt;Map&lt;Object, Object&gt;&gt;)变量中,也就是一个http请求一个subject,并绑定到当前线程。  问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那...
使用shiro中 工具类方法SecurityUtils.getSubject()和方法subject.getPrincipal()获取当前登录用户
weixin_52654493的博客
12-17 2172
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息
最新发布
qq_61592687的博客
02-09 2323
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
shiro应用
小混混的专栏
11-07 448
shiro理论详解:Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。Shiro的三个核心组件:Subject, SecurityManager 和 Rea
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1130
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
Shiro权限控制获取不到当前用户问题
pmt1982的专栏
10-10 7174
1.realm中使用 new SimpleAuthenticationInfo(user.getUsername(),  user.getPassword(), getName());对登录用户进行了登记 2.使用Subject currentUser = SecurityUtils.getSubject();//获取当前用户                 String logcode=cur...
4.SpringBoot+Shiro免密登录
qq_27860623的博客
06-21 2121
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统免密登录和账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
Shiro登录的使用以及原理(一)
大鹏的博客
11-23 2991
好久没写博客了,这段时间对最近项目做个总结,先从登入下手,话不多说直奔主题,Shiro的登录使用以及原理。 一、Shiro主要作用 shiro主要的作用就是实现用户登录(认证,授权,加密等),用户登录后的用户信息存储(缓存),用户登出等。 、登录的使用 在使用登录的时候,最常见的一串代码就是获取Subject,然后对Token进行login(); // 得到subject然后对创建用户名/密码身份验证 Subject subject = SecurityUtils.ge...
最简单的Shiro免密登陆(springboot)
yuer629
04-19 2428
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
shiro,getPrincipals()为null的问题
鹏的博客
11-30 3485
记录登录日志的切面, Subject currentUser = SecurityUtils.getSubject(); ShiroUser shiroUser = null; shiroUser = (ShiroUser) currentUser.getPrincipals().getPrimaryPrincipal(); getPrincipals()这个方法怎么获取都是空, 但是token还获取成功了,也登录成功了,就是获取不到。 最后发现 token是生成了不假,但是下面的login方法当时是漏
初级后端开发技巧
qq_46804048的博客
11-02 183
数据类型 字段名 = new 数据类型() 括号内可对该字段赋默认值,适用于各种数据类型
shiro免密码登录
n009ww的博客
07-18 1309
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多样,比如短信验证码,邮箱验证码等其他手段。这样就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
springmvc+shiro用户登录后更改用户名怎么样更新subject中的principal
lixuanfeng blog
06-24 6191
springmvc+shiro用户登录后更改用户名怎么样更新subject中的principal 用户登录后,有一个功能是修改用户信息,比如用户名,当更改过用户名后,页面顶部显示的用户信息是从之前登录时在realm中生成的AuthenticationInfo, 这里面的用户名还是修改之前的,如果想在修改用户名之后更新AuthenticationInfo,要怎么办? ShiroUser user =...
Springboot学习笔记之springboot+shiro+cas
05-21
下面是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序: 1. 创建一个 Spring Boot 应用程序,并添加依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-web ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值