Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量3.2k 收藏 12
点赞数 3
分类专栏: spring boot 小白学基础 文章标签: spring boot 学习 java 后端 intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52479012/article/details/130115867
版权

前几篇文章讲解了关于信息安全的另一框架Spring security ,今天趁热打铁基础的了解以下shiro这一框架。

什么是shiro?

Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

关于shiro框架的几个关键组件

1、Subject
即“当前操作用户”。但是,在 Shiro 中,Subject 这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject 代表了当前用户的安全操作,SecurityManager 则管理所有用户的安全操作。

2、SecurityManager
它是Shiro 框架的核心,典型的 Facade 模式,Shiro 通过 SecurityManager 来管理内部组件实例,并通过它来提供安全管理的各种服务。

3、Realm
Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 中查找用户及其权限信息。从这个意义上讲,Realm 实质上是一个安全相关的 DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给 Shiro。当配置 Shiro 时,你必须至少指定一个 Realm,用于认证和(或)授权。配置多个 Realm 是可以的,但是至少需要一个。Shiro 内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库(JDBC)、类似 INI 的文本配置资源以及属性文件等。如果缺省的 Realm 不能满足需求,你还可以插入代表自定义数据源的自己的 Realm 实现。
 

一张图总结关于shiro框架的实现流程

 流程:

1:用户登录,UsernamePasswordToken 这个类会将用户登录信息封装起来,生成Token(令牌)

2:subject会把生成的令牌交给securityManager(安全管理器)

3:安全管理器会把Token交给认证器

4:认证器会将Token分解开来,分成账号和密码,并通过Relam这个桥梁向数据库进行求证

5:数据库会将用户信息封装成info对象,与认证器获取的账户和密码进行认证

6:认证通过,则允许此用户继续下一个操作,认证失败,则返回到登录界面重新进行登录。

案例:通过shiro框架实现用户的认证

一:环境搭建

创建一个新的spring boot项目,并导入下面依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.9</version>
        <relativePath/>
    </parent>
    <groupId>com.springboot_shiro</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>14</java.version>
    </properties>
<!--    web环境依赖-->
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>
<!--        thymeleaf依赖实现数据的传递-->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>
<!--        导入shiro与spring的集成-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.10.0</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

二:简单的创建静态资源文件

 内容简单,重要的学习方法

三:创建controller类:实现网页的访问

package com.springboot_shiro.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class controller1 {
    //索引网页的设置
    @RequestMapping("/")
    public String Toindex(Model model){
        return "index";
    }
    //add网页
    @RequestMapping("/add")
    public String add(){
        return "add";
    }
    //update网页
    @RequestMapping("/update")
    public String update(){
        return "update";
    }
    //登录界面
    @RequestMapping("/tologin")
    public String login(){
        return "login";
    }
    //登录界面form表格进行提交,提交到这
    @RequestMapping("/get")
    public String getword(String username,String password,Model model){
        //组件一:subject
        Subject subject = SecurityUtils.getSubject();
        //将用用户名和密码进行加密
        UsernamePasswordToken Token = new UsernamePasswordToken(username, password);
        //通过subject将Token交给securitymanager进行验证
        try {
            subject.login(Token);      //验证通过,跳转到index网页
            return "index";
        }
        catch (UnknownAccountException e){     //出现用户名错误
            model.addAttribute("msg","用户名输入错误");  //通过model类进参数的传递
            return "login";
        }
        catch (IncorrectCredentialsException e){ //出现密码错误
            model.addAttribute("msg","密码输入错误");
            return "login";
        }

    }
}

四:自定义实现认证流程

package com.springboot_shiro.Myconfig;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class config1 {
        //定义认证流程过程中需要的程序
//    shiroFilterFactoryBean组件可以实现指定网页的拦截,并为文件的访问设置权限
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager FactoryBean){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(FactoryBean);
        //拦截请求
        Map<String,String> map = new LinkedHashMap<>();
        //权限设置:当访问/add这个网页要先进行登录
        map.put("/add","authc");
        //访问/update则不需要进行任何操作,直接可以进行访问
        map.put("/update","anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        shiroFilterFactoryBean.setLoginUrl("/tologin");
        return shiroFilterFactoryBean;
    }
    //对内部的组件进行管理
    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("realm") Realm realm){
        DefaultWebSecurityManager SecurityManager = new DefaultWebSecurityManager();
        SecurityManager.setRealm(realm());
        return SecurityManager;
    }

    //用户验证的桥梁,实现用户的认证信息的确认
    @Bean
    public Realm realm(){
        return new Realm();
    }
}

五:配置Realm:自定义用户的认证和授权

package com.springboot_shiro.Myconfig;


import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class Realm extends AuthorizingRealm {

    //授权内容则是在这个接口进行配置
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权");
        return null;
    }


    //验证则是在这个接口进行配置
    //获取subject传递来的参数加密的令牌Token,进行认证
    //AuthenticationInfo是一个接口:return它的的实现类

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken Token) throws AuthenticationException {
        System.out.println("执行了验证");
        String name = "demo1";
        String password = "123";
        UsernamePasswordToken token =(UsernamePasswordToken) Token;  //转换
        if(!token.getUsername().equals(name)){      //用户名的判断
            System.out.println("kankan");
            return null;
        }
        //密码的验证,在spring boot架构中给一个类SimpleAuthenticationInfo可以自动化进行认证
        return new SimpleAuthenticationInfo("",password,"");
    }
}

如果if语句出现问题,则会报UnknownAccountException错误,那么就会执行控制类的这个语句

在Realm定义了一个用户

账户:demo1

密码:123

当用户名输入错误时:

 密码输入错误时

 运行项目

在上述的定义中,定义访问add网页时需要进行认证,update则不需任何的操作就可以进行操作

拦截权限的关键名词:

 

 项目完整实现流程:

一:索引网页

二:访问update:没有进行认证服务的配置,可以随意访问

三:访问add网页:因为进行了认证服务的设置:网页进行跳转到登录界面

 进行登录完成后:访问成功

 认证服务设置成功

不想睡醒的梦
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
08-19
主要介绍了Springboot+Shiro记录用户登录信息,并获取当前登录用户信息,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Shiro入门之实现登录登出
二木成林
02-06 2573
概述 这里使用Shiro实现用户登录和登出功能。 前提:已经会Spring集成Shiro。即使没有下面也会提供源码,下面只说明Shiro部分的核心代码,如Mapper、Service类中的代码基本上就是从数据库中读取数据,而且源码有提供,不在说明。 实现 第一步:一个用于登录的页面和一个用于退出登录的页面。 login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="U
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 445
Shiro是Java的一个安全框架,旨在简化身份验证和授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
2021年你还不会Shiro?----2.Shiro实现登录功能(身份认证实践)
初心不忘、始终方得
03-15 855
使用shiro实现登录就是这么方便快捷
权限认证框架---Shiro
qq_60067835的博客
12-07 1053
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证全流程
Shiro实现登录
king636的博客
11-15 643
1.Controller层 @RequestMapping("") public String login(Employee employee){ //1.获取subject Subject subject = SecurityUtils.getSubject(); //2.封装用户数据 UsernamePassw...
shiro用户登录实现
kwmnitw的博客
03-15 3307
1.需求:账号同一时间只能在一处登录、将之前的用户踢出: shiro实现策略:获取当前用户session列表,直接删除该用户的其他登录信息 import org.apache.shiro.session.mgt.eis.SessionDAO; @Autowired private SessionDAO sessionDAO; protected AuthenticationInf...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
SpringBoot整合Shiro实现登录认证的方法
08-27
SpringBoot作为一个流行的微服务框架,安全性是其重要组成部分,而Shiro作为一个功能强大、灵活的安全框架,经常被用于实现登录认证授权。下面是SpringBoot整合Shiro实现登录认证的方法的详细介绍。 Shiro简介 ...
基于shiro实现用户登录系统
11-28
基于shiro实现用户登录系统,运行sql文件更改数据库连接可直接运行,项目集成了mybatis-plus,shiro,springmvc,角色管理和组管理,非常简单实用,非常适合学习,不用输入验证码可以登录,admin密码123456
SpringBoot + Shiro实现登陆认证(实现过程 + 源码解析 + 代码展示)
m0_67402914的博客
04-25 1894
文章目录 1.概述 1.1 SpringBoot 1.2 Shiro 2.Shiro实现登录认证 导入pom依赖 配置核心方法 3.Shiro登录认证源码解析 代码地址 1.概述 1.1 SpringBoot 今天要做的是使用SpringBoot配合Shiro实现登陆的认证,所以SpringBoot是必不可少的,相信大家能用到Shiro了,SpringBoot一定不差,那就不做过多赘述,我们主要来介绍Shiro。 1.2 Shiro Shiro是java的一个安全框架,
Shiro(三)——三种不同的登录方式、RememberMe登录Shiro 授权、其他配置(配置注销后的跳转页面、处理 JsessionID)
qq_41824825的博客
02-12 1869
Shiro(三)—— 一、三种不同的登录方式 1、第一种登录方式 上一篇博客用的就是第一种登录方式,自己定义登录逻辑,自己定义页面,错误信息等,就是第一种登录方式了。 2、第二种登录方式——无状态登录 这是一种比较老的登录方式了。登录网站会弹框让你输入账号密码。这种一般就是属于 httpBasic 登录,然后把账号密码放在请求头信息中,传输到服务端解析。 这种登录有比较大的弊端: 一是不安全,因为信息都放在请求头中了; 二是这种登录是无状态登录,没有会话,也就没有 cookie 了,然后就是登录后账号密码
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
SpringBoot整合Shiro实现登录认证,鉴权授权
A_diligent_man的博客
08-17 459
近期对Springboot框架的学习中,为了更好的学习理解Springsecurity中间件,先学习了一下“老派”的shiro安全框架,本文章将通过注解的方式实现基础用户认证和角色授权案例
Shiro认证授权
编程小白养成手记
08-12 482
shiro实战教程 一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
使用shiro中 工具类方法SecurityUtils.getSubject()和方法subject.getPrincipal()获取当前登录用户
weixin_52654493的博客
12-17 2002
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。也就是说,当对用户执行认证登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
Shiro 登录认证源码详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro登录认证(Authentication)功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不想睡醒的梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值