Spring boot 整合shiro 实现登陆验证

最新推荐文章于 2024-02-07 22:41:46 发布
最新推荐文章于 2024-02-07 22:41:46 发布
阅读量5.3k 收藏 8
点赞数
分类专栏: spring cloud应用篇 文章标签: spring 登陆验证 shiro spring-boot spring-cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m15801049086/article/details/78752485
版权

一、pom中引入shiro的依赖(省去多余代码)

<properties>        
        <shiro-version>1.2.5</shiro-version>
        <extras-shiro-version>1.2.1</extras-shiro-version>
</properties>
<dependencies>
        <!-- shiro spring -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>${shiro-version}</version>
        </dependency>
        <!-- shiro ehcache (shiro缓存)-->
        <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-ehcache -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro-version}</version>
        </dependency>
        <!-- shiro thymeleaf-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>${extras-shiro-version}</version>
        </dependency>
</dependencies>

三个依赖组件,三种用途,已在注释中标注清楚。

二、shiro 配置 ShiroConfiguration,取代以往的 xml 文件,这里使用java 配置。

@Configuration
public class ShiroConfiguration {
    //...
}

1、配置过滤器 shiroFilter

    @Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        shiroFilterFactoryBean.setLoginUrl("/login");//登录连接
        shiroFilterFactoryBean.setSuccessUrl("/index");//登录成功后跳转的连接
        shiroFilterFactoryBean.setUnauthorizedUrl("/pages/403"); //未授权跳转页面

        //定义shiro过滤链
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        //配置退出
        filterChainDefinitionMap.put("/logout", "logout"); //配置退出
        // <!-- 过滤链定义,从上向下顺序执行,/**放在最下面,过滤链的最后一关,表示除去以上各环节,剩余url的都需要验证 -->
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/js/**","anon");
        filterChainDefinitionMap.put("/css/**","anon");
        filterChainDefinitionMap.put("/register","anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

2、配置安全管理器 SecurityManager

    @Bean
    public SecurityManager securityManager(){
        //使用默认的安全管理器
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(securityRealm());  //加入自定义的安全领域
        return securityManager;
    }

    @Bean
    public SecurityRealm securityRealm(){
        SecurityRealm securityRealm = new SecurityRealm();
        securityRealm.setCredentialsMatcher(hashedCredentialsMatcher());//凭证匹配器
        securityRealm.setCachingEnabled(false);//不使用缓存
        return securityRealm;
    }

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher  hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//使用MD5散列算法
        hashedCredentialsMatcher.setHashIterations(1);//散列次数,这里等于1次MD5
        hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);  //散列后密码为16进制,要与生成密码时一致。false 表示Base64编码
        return hashedCredentialsMatcher;
    }

三、自定义安全领域 SecurityRealm ,继承shiro的抽象类 AuthorizingRealm,重写认证和授权两个方法。本节主要内容是登陆验证,我们只详细实现认证环节。

public class SecurityRealm extends AuthorizingRealm {
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String currentUserName = (String)principalCollection.getPrimaryPrincipal();
        List<String> roles = new ArrayList<String>();  //角色
        List<String> prems = new ArrayList<String>(); //权限
        roles.add("baidu");
        roles.add("google");
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addRoles(roles);
        authorizationInfo.addStringPermissions(prems);
        return authorizationInfo;
    }

    /**
     * 认证,验证当前登录的Subject
     * LoginController.login 方法中调用
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

       SecurityUtils.getSubject().getSession().getId(),AuthenticationInfo.class);
       String userName = (String)authenticationToken.getPrincipal();
       //为了测试通过,这里暂时写死, user: admin password: 123456
       // UserVo user = loginClient.selectUserByName(userName);
       UserVo user = new UserVo();
       user.setName(userName);
       user.setPassword(new Md5Hash("123456").toHex()); //与SecurityManager加密方式一致,使用一次散列,并转为16进制,验证方能通过。
       if(user == null){
           throw new UnknownAccountException();//没找到帐号
       }
       //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                "admin", //用户名
                user.getPassword(), //密码
                getName()  //realm name
        );
        return authenticationInfo;
    }
}

四、控制器Controller

    @PostMapping("/login")
    public String login(Model model, @Valid UserVo userVo, BindingResult bindingResult, RedirectAttributes redirectAttributes){
        if(bindingResult.hasErrors()){
            model.addAttribute("error",bindingResult.getFieldError().getDefaultMessage());
            return "login";
        }
        String userName = userVo.getName();
        UsernamePasswordToken token = new UsernamePasswordToken(userVo.getName(), userVo.getPassword());
        Subject currentUser = SecurityUtils.getSubject();

        try {
            currentUser.login(token);
        }catch (IncorrectCredentialsException ice){
            logger.info("对用户【" + userName +"】进行登录验证,验证未通过,错误的凭证!");
            redirectAttributes.addFlashAttribute("error","用户名或密码不正确!");
        }catch(UnknownAccountException uae){
            logger.info("对用户【" + userName +"】进行登录验证,验证未通过,未知账户!");
            redirectAttributes.addFlashAttribute("error","未知账户!");
        }catch(LockedAccountException lae){
            logger.info("对用户【" + userName +"】进行登录验证,验证未通过,账户锁定!");
            redirectAttributes.addFlashAttribute("error","账户已锁定!");
        }catch(ExcessiveAttemptsException eae){
            logger.info("对用户【" + userName +"】进行登录验证,验证未通过,错误次数太多!");
            redirectAttributes.addFlashAttribute("error","用户名或密码错误次数太多!");
        }catch(AuthenticationException ae){
            logger.info("对用户【" + userName +"】进行登录验证,验证未通过,堆栈轨迹如下:!");
            ae.printStackTrace();
            redirectAttributes.addFlashAttribute("error","用户名或密码不正确!");
        }

        if(currentUser.isAuthenticated()){
            model.addAttribute("name",userName);
            return "index";
        }else{
            token.clear();
            return "redirect:/login";
        }
    }

五、前端页面,任意写一个登陆表单即可验证我这里使用 thymeleaf

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
    <title>登录</title>
    <style>
        body{
            margin-left:auto;
            margin-right:auto;
            margin-TOP:100PX;
            width:20em;
        }
    </style>
</head>
<body>
    <form th:action="@{/login}" method="post">
        <div>
            <!--/*@thymesVar id="error" type=""*/-->
            <span id="basic-addon0">&nbsp;</span>
            <span style="font-size: 12px;color: red" th:text="${error}" aria-describedby="basic-addon0"></span>
        <br />
        </div>
        <div>
            <span id="basic-addon1">@</span>
            <input id="user_name" name="name" type="text" placeholder="用户名" aria-describedby="basic-addon1" />

        </div>
        <br />
        <div>
            <span id="basic-addon2">@</span>
            <input id="password" name="password" type="password" placeholder="密码" aria-describedby="basic-addon2" />
        </div>
        <br />
        <button type="submit" style="width:190px;">登 录</button>
    </form>
</body>
</html>

六、封装接收请求参数的UserVo 实体类。

public class UserVo {

    @NotEmpty(message="用户名不能为空!")
    private String name;
    @Size(min=6,max=10,message = "密码长度必须6到10位")
    private String password;

    //...省去getter setter 方法
}

github源码:Clone with HTTPS:https://github.com/libinbin8130/personal-websites.git

说明:本章节内容所在项目路径(pw-platform/pf-front/pf-web),由于是多模块项目,pf-web的构建依赖于跟目录pf-front的pom。

中国_李彬
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
springboot-shrio-mybatis登录验证与权限控制
liubang159的博客
09-14 3384
springboot-shrio-mybatis 一、背景 最近做的一个spingboot项目中用到权限控制,网上也看了其他springboot集成shiro进行权限控制的文档。大多文档用户与角色为多对多关系,角色与权限多对多,我的项目需求用户与角色为单对单,角色与权限多对多。所以自己重新整理了表结构完成。   二、表结构 /* Navicat MySQL Data Transfer
java 接口验证失败_java – 用户身份验证失败:null
weixin_36230541的博客
02-13 775
06001Failed for user: null.java.lang.UnsupportedOperationException: this method not yet supported on clientat com.intraspect.kmapi.client.KMDocument.getDocType(KMDocument.java:331)at com.acuitys.ws.im...
shirospringcloud中的权限路由配置
baylanthis的博客
02-07 1332
添加,如果嫌太多也可以用通配符"/**/t"表示所有末尾加"/t"的路径,然后shiroFilterFactoryBean()方法里filters.put("jwt", jwtFilter);onAccessDenied()判断逻辑:每个登录用户在请求中都会携带一个“Authorization”请求头,如果没有servletResponse.setContentType("0"),作用是约定“0”代表token为空,“1”表示已过期,“2”表示用户不存在,“3”代表没有操作权限。如果只是实现请求拦截,
PAS登录: admin登录管理控制台验证失败
py_doc的博客
07-21 141
PAS登录: admin登录管理控制台验证失败
springboot整合shiro实现登录验证
c1225992531的博客
08-02 8294
springboot整合shiro实现登录验证 今天第一次接触springboot,本来是要学习springbootshiro整合的,但是由于springboot结构还不太了解,所以先来了解一下springbootspringboot可以快速创建一个机遇spring的项目,而且让这个项目跑起来只需要很少的配置就可以了,主要有以下核心功能: 1.独立运行的spring项目:springboo...
Spring Boot Shiro 权限管理
热门推荐
小单的博客专栏
01-14 15万+
本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro权限管理,就先总结下发出来了。使用Shiro之前用在Spring MVC中,是通过XML文件进行配置。 既然现在在写Spring Boot的帖子,就将Shiro应用到Spring Boot中,我本地已经完成了SpringBoot使用Shiro的实例,将配置方法共享一下。先简单介绍一下Shiro,对于没有用过Shiro
详解Spring Boot 集成Shiro和CAS
08-30
主要介绍了详解Spring Boot 集成Shiro和CAS,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 整合 Shiro.docx
06-19
它可以干净利落地处理身份验证、授权、企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全通常很复杂,甚至让人感到很痛苦,但是 Shiro 却不是这样子的。一个好的安全框架应该屏蔽复杂性,向外...
SpringBoot整合Shiro实现登录认证的方法
08-27
主要介绍了SpringBoot整合Shiro实现登录认证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
springboot集成shiro用户登录认证
sinat_40693969的博客
06-01 317
1、创建数据库表结构 CREATE TABLE `t_user` ( `ID` int(11) NOT NULL AUTO_INCREMENT, `USERNAME` varchar(128) NOT NULL COMMENT '用户名', `PASSWD` varchar(128) NOT NULL COMMENT '密码', `CREATE_TIME` datetime DEFAULT NULL COMMENT '创建时间', `STATUS` char(1) NOT NULL ...
双from用户登录 验证非空 和 账号密码
qq_55428258的博客
03-08 768
这里我么们用工号和密码进行登录: 数据库: 验证工号和密码不为空: 实体类:这俩字段上要写注解@NotBlank 配合web层的: if (result.hasErrors()) {//校验未通过 即校验结果中有错误,就返回到登录页面 return "login"; } 生成: 登录页面: modelAttribute 绑定 对象, path 绑定对象的属性 通过controller处理后,user里的属性自动和表单标签里的"path"绑定 path就是
Spring boot +spring mvc+shiro 登录验证demo
Just Do It!
12-18 2145
1. 配置shiro依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-spring&lt;/artifactId&gt; &lt;/dependency&gt;2. 定义shrio相关bean,也可以在spring配置文件中配置,因为我用的sp...
2.vue-element-admin登陆验证
qq_39778055的博客
07-04 3368
目录 1.综述 2.登陆验证 3.代码实现 (1)数据库的结构 (2)后台接口函数 (3)前台js函数 4.Github地址 1.综述 在搭建完flask后台之后,就可以前台页面的搭建了,我选用的是vue-element-admin,直接git下来之后使用npm安装完依赖就可以直接跑起来了,不过首先需要解决的就是登陆验证的问题,我这里只是说一下我的解决方法,并且还没有考虑到权限的问题,因为权限的问题比较复杂,我的这个项目还没做到,等做到了再给大家分享我的解决方法. 2.登陆验证 vue
spring boot集成shiro
程序猿学社的博客
12-24 816
1.pom.xml &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.
shiro用ajax方式登录
白杨
05-23 1万+
用了shiro一段时间了,但是有点受不了它请求登录如果验证不通过直接跳的是loginUrl…所以我想很多人想用ajax实现shiro的登录直接在回调函数里面通过js显示出错信息吧。今天查了一天的资料,结合了别人写的文章,自己也写了这个博客。好了,直接进入主题吧~首先我们知道shiro主要是通过过滤器来实现权限的验证的,你可以继承各种各样的filter来进行扩展。这里我们实现ajax是通过继承Form
Spring Boot 整合 Shiro 进行登录认证
stackfing的博客
01-25 2079
安全无处不在,趁着放假读了一下 Shiro 文档,并记录一下 Shiro 整合 Spring Boot 在数据库中根据角色控制访问权限 简介 Apache Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。 上图是 Shiro 的基本架构 Authentication(认证) 有时被称为“登录”,用来证明用户是用户他们自己
spring boot整合shiro
最新发布
04-03
Spring Boot是一个用于快速构建Java应用程序的开发框架,而Shiro是一个强大且易于使用的Java安全框架。整合Spring BootShiro可以实现对应用程序的身份验证、授权和会话管理等安全功能。 要实现Spring Boot整合Shiro,可以按照以下步骤进行: 1. 添加依赖:在Spring Boot项目的pom.xml文件中添加Shiro和相关依赖。 2. 配置Shiro:创建一个Shiro配置类,配置Shiro的安全策略、Realm、会话管理等。 3. 创建自定义Realm:实现自己的Realm类,用于处理身份验证和授权逻辑。 4. 配置Spring BootShiro的集成:在Spring Boot的配置文件中配置Shiro的相关属性,如登录页面、登录成功页面等。 5. 编写Controller:编写Controller类,处理用户登录、注销等请求,并通过Shiro进行身份验证和授权。 6. 编写页面:创建相应的登录页面和其他需要进行权限控制的页面。 7. 测试:启动应用程序,并进行登录、访问受限资源等操作,验证整合是否成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值