springboot+shiro+redis前后端分离实现认证(一)

最新推荐文章于 2023-07-08 10:04:08 发布
最新推荐文章于 2023-07-08 10:04:08 发布
阅读量1.3w 收藏 62
点赞数 7
分类专栏: shiro 文章标签: shiro 前后端分离 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcb520wf/article/details/84938621
版权

      springboot+shiro+redis前后端分离实现认证(一)

一、shiro架构图与基本知识

四大功能

(1)认证

(2)授权

(3)加密

(4)会话管理

1.1 Subject

Subject 即主题,外部应用与subject进行交互,subject记录了当前操作用户,将用户当前的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。

Subject在shiro中是一个接口,接口中提供了许多认证授权的相关方法,外部程序通过subject进行认证授权,而subject通过subject通过SecurityManager进行认证授权。

1.2 SecurityManager 

SecurityManager即安全管理器,对于所有的subject进行安全管理,它是shiro的核心,负责对所有的subject进行管理,通过SecurityManager可以完成Subject的认证授权等。SecurityManager通过三部分进行完成:

一、Authenticator(进行认证);二、Authorizer(进行授权);三、SessionManager进行会话管理。

1.2.1 Authenticator

Authenticator 即认证器,对用户身份进行认证。Authenticator是一个借口shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以实现大多数需求,也可以自定义拦截器。

1.2.2 Authorizer

Authorizer 即授权器。用户通过认证器认证通过,在访问功能时需要通过授权器判断用户是否有此功能的操作权限。

1.2.3 SessionManager

sessionManager 即会话管理,shiro框架定义了一套会话管理,他不依赖web容器的session,所有shiro可以适用于非web应用上,也可以将分布式应用的会话集中在一点管理,该特性可以使他实现单点登录。

1.2.4 SessionManager中的SessionDAO

essionDAO即会话dao,是对session会话操作的一套接口,比如要将session存储到数据库,可以通过jdbc将会话存储到数据库。

1.3 Realm

Realm 即领域,相当于DataSource数据源,securityManager进行安全认证需要通过Realm获取用户安全数据。比如:如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

注意:不要把realm理解成只是从数据源取数据,在realm中还有认证授权校验的相关的代码。

1.4 CacheManager

CacheManager即缓存管理,将用户权限数据存储在缓存,这样可以提高性能。

1.5 Cryptography

Cryptography 即密码管理,shiro提供了一套加密、解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

二、代码前期准备:

2.1 前期准备(点击打开页面)

(1)Linux下Redis简介、安装、设置、启动

(2)Linux系统中Mysql5.7建立远程连接

(3)Linux防火墙知识简介+命令规则

(4)解决项目中确实tools.jar的问题

(5)Linux centos 6.5 - Mysql 安装 、卸载、修改密码、忘记密码 并异常处理

2.2 建立springboot项目(没有教程网上一大堆)

2.3 application.properties配置

因为装了Mysql和Redis所以配置了两个数据源进行连接。

#-------------数据源一(画了黄线也不要紧,配置类里面配置好了就行)--Mysql-------------------
spring.datasource.primary.url=jdbc:mysql://192.168.1.234:3306/new_erp?useUnicode=true&characterEncoding=utf-8&useSSL=false
spring.datasource.primary.username=mcb
spring.datasource.primary.password=123456
spring.datasource.primary.driver-class-name=com.mysql.jdbc.Driver

#-------------数据源二--Redis---------------------------------------------------
spring.datasource.redis.host=192.168.1.234
spring.datasource.redis.port=6379
spring.datasource.redis.timeout=360000
spring.datasource.redis.password=123456

//驼峰命名法修正
mybatis.configuration.map-underscore-to-camel-case=true 

#---------------日志配置信息-------------------------------------------------------

logging.level.root=info

2.4 配置多个数据源的类

/**
 * 
 */
package com.yuyi.config;

import javax.sql.DataSource;

import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.boot.autoconfigure.jdbc.DataSourceBuilder;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.jdbc.core.JdbcTemplate;

/**
 * @author mcb 
 *
 * 2018年9月3日 下午2:08:11 
 */
@Configuration
public class DataSourceConfig {
	@Bean(name = "primaryDataSource")
	@Primary
	@Qualifier("primaryDataSource")
	@ConfigurationProperties(prefix = "spring.datasource.primary")
	public DataSource primaryDataSource() {
		return DataSourceBuilder.create().build();
	}
	
	
	@Bean(name = "secondaryDataSource")
	@Qualifier("secondaryDataSource")
	@ConfigurationProperties(prefix = "spring.datasource.redis")
	public DataSource secondaryDataSource(){
		return DataSourceBuilder.create().build();
	}
	
	@Bean(name = "primaryJdbcTemplate")
	public JdbcTemplate primaryJdbcTemplate(
			@Qualifier("primaryDataSource") DataSource dataSource) {
		return new JdbcTemplate(dataSource);
	}
 
	@Bean(name = "secondaryJdbcTemplate")
	public JdbcTemplate secondaryJdbcTemplate(
			@Qualifier("secondaryDataSource") DataSource dataSource) {
		return new JdbcTemplate(dataSource);
	}
}

2.5 pom文件配置

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>1.5.10.RELEASE</version>
		<relativePath /> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.yuyi</groupId>
	<artifactId>erp_new</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<packaging>war</packaging>
	<name>erp_new</name>
	<description>Demo project for Spring Boot</description>

	<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<!-- shiro -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>
		
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.2.3</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.2.3</version>
		</dependency>
	<!-- alibaba-fastjson-->
		<dependency>
			<groupId>com.alibaba</groupId>
			<artifactId>fastjson</artifactId>
			<version>1.2.47</version>
		</dependency>
		<!-- springboot-redis -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-redis</artifactId>
			<version>1.3.2.RELEASE</version>
		</dependency>
		<!-- shiro-redis -->
		 <dependency>
			<groupId>org.crazycake</groupId>
			<artifactId>shiro-redis</artifactId>
			<version>3.1.0</version>
		</dependency>  
		<dependency>
			<groupId>com.sun</groupId>
			<artifactId>tools</artifactId>
			<version>1.8.0</version>
		</dependency> 

		<!-- springboot必备jar包 -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-aop</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-redis</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web-services</artifactId>
		</dependency>
		<dependency>
			<groupId>org.mybatis.spring.boot</groupId>
			<artifactId>mybatis-spring-boot-starter</artifactId>
			<exclusions>
				<!-- 打war包时移除tomcat -->
				<exclusion>
					<groupId>org.springframework.boot</groupId>
					<artifactId>spring-boot-starter-tomcat</artifactId>
				</exclusion>
			</exclusions>
			<version>1.3.2</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-devtools</artifactId>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
<!-- For log4j -->
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-log4j12</artifactId>
			<version>1.7.7</version>
		</dependency>
		<dependency>
			<groupId>log4j</groupId>
			<artifactId>log4j</artifactId>
			<version>1.2.17</version>
		</dependency>

	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>

如果遇到tools.jar问题,上面有个必备知识(4)可以解决。

2.6 数据库(简洁版) 表user

2.7 model 代码

/**
 * 
 */
package com.yuyi.model;

import java.io.Serializable;

/**
 * @author mcb 
 *
 * 2018年12月10日 下午4:45:47 
 */
public class User implements Serializable {
	
	private static final long serialVersionUID = 7416373978493379166L;
	
	private int id;
	private String username;
	private String password;
	private String salt;
	
	public String getSalt() {
		return salt;
	}
	public void setSalt(String salt) {
		this.salt = salt;
	}
	public int getId() {
		return id;
	}
	public void setId(int id) {
		this.id = id;
	}
	public String getUsername() {
		return username;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	@Override
	public String toString() {
		return "User [id=" + id + ", username=" + username + ", password=" + password + ", salt=" + salt + "]";
	}


}

2.8 UserDAO

/**
 * 
 */
package com.yuyi.mcb.dao;

import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

import com.yuyi.model.User;

/**
 * @author mcb 
 *
 * 2018年12月10日 下午3:58:54 
 */
@Mapper
public interface UserDAO {
	
	@Select("select password from user where username=#{username}")
	String findPass(String username);
	
	@Select("select * from user where username=#{username}")
	User getUserByUsername(String username);
	

}

2.9 UserService

/**
 * 
 */
package com.yuyi.mcb.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.yuyi.mcb.dao.UserDAO;
import com.yuyi.model.User;

/**
 * @author mcb
 *
 *         2018年12月10日 下午4:15:20
 */
@Service("userService")
public class UserService {

	@Autowired
	private UserDAO dao;

	public String findPass(String username) {

		// 之后写业务逻辑
		return dao.findPass(username);
	}

	public User getUserByUsername(String username) {
		// 之后写业务逻辑
		return dao.getUserByUsername(username);

	}

}

2.10 拦截器类(个人补充代码,不看也罢

(1)对后台请求进行统一拦截

package com.yuyi.config;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;


/**
 * @author Administrator
 *  拦截器类
 */
public class BootInterceptor implements HandlerInterceptor {
   
	private static final Logger logger = LoggerFactory.getLogger(BootInterceptor.class);
	
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        /**
         * 对来自后台的请求统一进行日志处理
         */
        String url = request.getRequestURL().toString();
        String method = request.getMethod();
        String uri = request.getRequestURI();
//        String queryString = request.getQueryString();
        Map<String, String[]>map=request.getParameterMap();   
        System.out.println("---------------------------------------------------------------------------------------------------");
        map.forEach((k,v) ->{
        	logger.info("请求参数-- "+k+": "+v[0]);
        });
        logger.info("url--"+url);
        logger.info("method--"+method);
        logger.info("uri--"+uri);
//        logger.info("请求参数-- "+queryString);
        System.out.println("---------------------------------------------------------------------------------------------------");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
    	
    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
    
    }
}

(2)编码配置

package com.yuyi.config;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;

/**
 * 编码 过滤器
 */
@Component
public class EncodeFilter implements Filter{
    
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {}

    /**
     * 设置编码为UTF-8
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        request.setCharacterEncoding("UTF-8");
        response.setCharacterEncoding("UTF-8");
        
        System.out.println("EncodeFilter");
        
        //过滤结束,继续执行    没有这一行,程序不会继续向下执行
        chain.doFilter(req, res); 
        
    }
     
    @Override
    public void destroy() {}

}

(3)拦截配置

/**
 * 
 */
package com.yuyi.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
 * @author mcb
 * 2018年6月27日 下午4:13:08
 *         
 */
@Configuration
public class WebMvcConfigurer extends WebMvcConfigurerAdapter{
	//增加拦截器
	
	@Bean
    public WebMvcConfigurer getInterfaceAuthCheckInterceptor() {
        return new WebMvcConfigurer();
    }

	
	
	//等部署完了,将这个方法注释一下看看。
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(new BootInterceptor())    //指定拦截器类
                .addPathPatterns("/**");        //指定该类拦截的url
    }
}

三、认证流程

3.1 shiro的config信息,shiro中的session结合redis

/**
 * 
 */
package com.yuyi.config.shiro;

import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import com.yuyi.mcb.shiro.MyShiroRealmService;

/**
 * @author mcb 
 *
 * 2018年12月10日 下午5:03:49 
 */
@Configuration
public class MyShiroConfig {
	
	
	/**
	 * 一、在认证中:
	 *    1.1,将加密算法定义好后扔到 MyShiroRealm中 也就是自己定义的realm中
	 *    1.2,将MyShiroRealm定义后扔到SecurityManager中。
	 *    1.3,后期用到session什么的,都被SecurityManager管理
	 * 
	 * @return
	 */
	
	
	/**
	 * 二、配置session(用Redis存储)
	 * 	  2.1 需要配置session,就需要将sessionManager配置在SecurityManager中。
	 *    2.2 sessionManager需要交给Redis来管理,所以定义了RedisSessionDAO
	 *    2.3 RedisSessionDAO中需要配置Redis的信息,所以定义RedisManager
	 * 
	 * @return
	 */
	
	
	@Value("${spring.datasource.redis.host}")
	private String host;
	@Value("${spring.datasource.redis.port}")
	private int port;
	@Value("${spring.datasource.redis.timeout}")
	private int timeout;
	@Value("${spring.datasource.redis.password}")
	private String password;
	
	
	
	
//-------------------------认证---------------------------
	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(myShiroRealm());
		securityManager.setSessionManager(sessionManager());
//		 // 自定义缓存实现 使用redis
//        securityManager.setCacheManager(cacheManager());	
		return securityManager;
	}

	@Bean
	public MyShiroRealmService myShiroRealm() {
		MyShiroRealmService myShiroRealm = new MyShiroRealmService();
		myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
		return myShiroRealm;
	}	
	
	@Bean("hashedCredentialsMatcher")
	public HashedCredentialsMatcher hashedCredentialsMatcher() {
		HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
		// 指定加密方式为MD5
		credentialsMatcher.setHashAlgorithmName("MD5");
		// 加密次数
		credentialsMatcher.setHashIterations(2);
		credentialsMatcher.setStoredCredentialsHexEncoded(true);
		return credentialsMatcher;
	}
	
	
//-------------------------redis-session----------------------
	
	//自定义sessionManager
	 @Bean
	 public SessionManager sessionManager() {
	 MySessionManager mySessionManager = new MySessionManager();
	 mySessionManager.setSessionDAO(redisSessionDAO());
	 return mySessionManager;
	 }
	
	
	
	/**
	 * RedisSessionDAO shiro sessionDao层的实现 通过redis
	 * <p>
	 * 使用的是shiro-redis开源插件
	 */
	@Bean
	public RedisSessionDAO redisSessionDAO() {
		RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
		redisSessionDAO.setRedisManager(redisManager());
		redisSessionDAO.setExpire(1800);
		return redisSessionDAO;
	}
	
	/**
	 * 配置shiro redisManager
	 * <p>
	 * 使用的是shiro-redis开源插件
	 *
	 * @return
	 */
	public RedisManager redisManager() {
		RedisManager redisManager = new RedisManager();
		redisManager.setHost(host);
		redisManager.setPort(port);
		redisManager.setTimeout(timeout);
		redisManager.setPassword(password);
		return redisManager;
	}
	

	
}

3.2 获取sessionId 

如果请求头中有 Authorization 则其值为sessionId, 否则按默认规则从cookie取sessionId

/**
 * 
 */
package com.yuyi.config.shiro;

import java.io.Serializable;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.StringUtils;


/**
 * @author mcb
 *
 *         2018年8月30日 下午5:03:17 自定义sessionId获取
 */
public class MySessionManager extends DefaultWebSessionManager {

	
	private static final Logger log = LoggerFactory.getLogger(MySessionManager.class);

	private static final String AUTHORIZATION = "Authorization";

	private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

	public MySessionManager() {
		super();
	}

	@Override
	protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
		String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
		// 如果请求头中有 Authorization 则其值为sessionId
		if (!StringUtils.isEmpty(id)) {
			log.info("请求头中获取");
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
			return id;
		} else {
			log.info("默认方式获取sessionId");
			// 否则按默认规则从cookie取sessionId
			return super.getSessionId(request, response);
		}
	}

}

3.3 实现前后端分离

在请求没有session的时候,请求拦截,但是不跳转到login.jsp,而是自己返回Json数据,就需要重新两个类。FormAuthenticationFilter和AuthenticatingFilter

/**
 * 
 */
package com.yuyi.config.shiro;

import java.io.PrintWriter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.alibaba.fastjson.JSONObject;

/**
 * @author mcb 
 *
 * 2018年12月12日 下午5:38:41 
 */
public class FormAuthenticationFilterOverrite extends FormAuthenticationFilter{
	
	
	private static final Logger log = LoggerFactory.getLogger(FormAuthenticationFilterOverrite.class);
	

	/*
	 *  重写时注意事项:
	 *      1,没有session。调用FormAuthenticationFilter.onAccessDeny()方法。
	 *      2,没有session,但是是LoginURL。调用AuthenticatingFilter.executeLogin()
	 *                   认证成功,调用 AuthenticatingFilter中 onLoginSuccess(token, subject, request, response);
	 *                   认证失败,调用 AuthenticatingFilter中 onLoginFailure(token, e, request, response);
	 *     						  在认证之前又开始进行了Token认证,所以要重写 createToken方法。
	 *     
	 * 
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
	        if (this.isLoginRequest(request, response)) {
	        	log.info("--------------isLoginRequest--------------");
	            if (this.isLoginSubmission(request, response)) {
	            	log.info("--------------isLoginSubmission--------------");
	                if (log.isTraceEnabled()) {
	                    log.trace("Login submission detected.  Attempting to execute login.");
	                }
	                AuthenticatingFilterOverride ao = new AuthenticatingFilterOverride();                
	                return ao.executeLogin(request, response);
	            } else {
	                if (log.isTraceEnabled()) {
	                    log.trace("Login page view.");
	                }
	                return true;
	            }
	        } else {
	            if (log.isTraceEnabled()) {
	                log.trace("Attempting to access a path which requires authentication.  Forwarding to the Authentication url [" + this.getLoginUrl() + "]");
	            }
	            
	            response.setContentType("application/json");
	            response.setCharacterEncoding("UTF-8");
	            PrintWriter out = response.getWriter();    
	            JSONObject json = new JSONObject();
	            json.put("no-session", "未登录,无法访问该地址");
	            out.println(json);
	            out.flush();
	            out.close();
	            return false;
	        }
	    }
	
	
	@Override
	public AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
	        String username = getUsername(request);
	        String password = getPassword(request);
	        return createToken(username, password, request, response);
	    }

}

/**
 * 
 */
package com.yuyi.config.shiro;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.alibaba.fastjson.JSONObject;

/**
 * @author mcb 
 *
 * 2018年12月12日 下午5:17:00 
 */
public class AuthenticatingFilterOverride extends AuthenticatingFilter{


    private static final Logger log = LoggerFactory.getLogger(AuthenticatingFilterOverride.class);
 
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
    	log.info("--------executeLogin---------");
    	FormAuthenticationFilterOverrite formAuthen = new FormAuthenticationFilterOverrite();
        AuthenticationToken token = formAuthen.createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            System.out.println("*******"+msg);
            throw new IllegalStateException(msg);
        }
        try {
        	log.info("----------我进来进行核对了信息----------------");
            
        	Subject subject = getSubject(request, response);
            
        	subject.login(token);
            
            return this.onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
        	System.out.println("-----onLoginFailure;---------");
            return this.onLoginFailure(token, e, request, response);
        }
    }

	
	@Override
    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception {
		log.info("AuthenticatingFilterOverride--------onLoginSuccess------");
		response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        return true;
    }

	
    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
    	log.info("AuthenticatingFilterOverride--------onLoginFailure------");
    	response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        PrintWriter out = null;
        try {
            out = response.getWriter();
        } catch (IOException e1) {
            e1.printStackTrace();
        }
        JSONObject json = new JSONObject();       
        String exc = e.getClass().getName();          
        if(exc.equals(UnknownAccountException.class.getName())){
        	json.put("fail", "账户不存在");
        }
        if(exc.equals(IncorrectCredentialsException.class.getName())){
        	System.out.println("=========");
        	json.put("fail", "密码不正确");
        }
        out.println(json);
        out.flush();
        out.close();
        return false;
    }

	/* (非 Javadoc)
	 * @see org.apache.shiro.web.filter.authc.AuthenticatingFilter#createToken(javax.servlet.ServletRequest, javax.servlet.ServletResponse)
	 */
	@Override
	protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
		// TODO 自动生成的方法存根
		
		return null;
	}

	/* (非 Javadoc)
	 * @see org.apache.shiro.web.filter.AccessControlFilter#onAccessDenied(javax.servlet.ServletRequest, javax.servlet.ServletResponse)
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		// TODO 自动生成的方法存根
		
		return false;
	}
	

}

3.4 设置过滤器

在设置过滤器的时候需要注意,

package com.yuyi.config.shiro;

import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @author mcb 
 *
 * 2018年12月10日 下午5:39:32 
 */
@Configuration
public class MyShiroFilter{
	
	
	private static final Logger log = LoggerFactory.getLogger(MyShiroFilter.class);

	@Bean
	public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		
	    Map<String,Filter> map = new LinkedHashMap<String,Filter>();	
		map.put("authc",getFormAuthenticationFilter());
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		filterChainDefinitionMap.put("/user/**", "anon");
        //配置在最后面		
		filterChainDefinitionMap.put("/**", "authc");
		//登录的URL接口(Shiro可以进行识别)
		shiroFilterFactoryBean.setLoginUrl("/user/login");
		shiroFilterFactoryBean.setSecurityManager(securityManager);
        //这个map中包含了上面自定义的信息,配置到setFilter中
		shiroFilterFactoryBean.setFilters(map);
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		
		return shiroFilterFactoryBean;

	}
	
	/**开启shiro aop注解支持. 
     * 使用代理方式;所以需要开启代码支持;
	 * @param securityManager
	 * @return
	 */
	@Bean  
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {  
	    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();  
	    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);  
	    return authorizationAttributeSourceAdvisor;  
	}  
	
	@Bean
	FormAuthenticationFilterOverrite getFormAuthenticationFilter(){
		
		FormAuthenticationFilterOverrite authenticating = new FormAuthenticationFilterOverrite();
	
		return authenticating;
	}
}

3.5 配置自己的Realm信息(暂时没有配置授权信息)

/**
 * 
 */
package com.yuyi.mcb.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;

import com.yuyi.mcb.service.UserService;
import com.yuyi.model.User;

/**
 * @author mcb 
 *
 * 2018年12月10日 下午3:43:26 
 */

public class MyShiroRealmService extends AuthorizingRealm{

	//日志
	
	private static final Logger log = LoggerFactory.getLogger(MyShiroRealmService.class);

	
	@Autowired
	@Qualifier("userService")
	private UserService userService;
	
	//认证
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		
		// TODO 自动生成的方法存根
		String username = (String)token.getPrincipal();
		log.info("token带来的数据:  "+username);

		String passwordDataSource = userService.findPass(username);
		log.info("从数据库中查询到的数据密码:{}",passwordDataSource);
		User user = userService.getUserByUsername(username);
		log.info("user:{}",user);
		
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
				user, //用户对象--数据库
	            user.getPassword(), //密码--数据库
	            ByteSource.Util.bytes(user.getSalt()),
	            getName()  //realm name
				);
		return simpleAuthenticationInfo;	
	}
	
	
	//授权
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		// TODO 自动生成的方法存根
		//改掉null
		//查询数据库获取角色和权限信息
		//SimpleAuthorizationInfo a = new SimpleAuthorizationInfo();
//		a.setRoles(roles);
		return null;
	
	}
}

四、登录认证测试

4.1 Controller类

(1)/user/login

/**
 * 
 */
package com.yuyi.mcb.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import com.alibaba.fastjson.JSONObject;

import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisShardInfo;

/**
 * @author mcb
 *
 *         2018年12月10日 下午2:13:02
 */
@RestController
@RequestMapping("/user")
public class LoginController {

	Logger logger = LoggerFactory.getLogger(getClass());

	@PostMapping("/login")
	public JSONObject login(@RequestParam String username, @RequestParam String password) {

		Subject subject = SecurityUtils.getSubject();
		JSONObject json = new JSONObject();
		Session session = subject.getSession();
		String sessionId = (String) session.getId();
		json.put("sessionId", sessionId);

		return json;
	}

}

(2)/out/logout

/**
 * 
 */
package com.yuyi.mcb.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authz.annotation.RequiresRoles;
import org.apache.shiro.authz.annotation.RequiresUser;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisShardInfo;

/**
 * @author mcb 
 *
 * 2018年12月12日 上午11:28:36 
 */
@RestController
@RequestMapping("/out")
public class LogOutController {
	
	
	Logger logger = LoggerFactory.getLogger(getClass());

	@PostMapping("/logout")
	public void logout(){
		Subject subject = SecurityUtils.getSubject();
		Session session = subject.getSession();
		
		String sessionId = (String)session.getId();
		logger.info("sessionId{}",sessionId);
		JedisShardInfo  shardInfo = new JedisShardInfo("redis://192.168.1.234:6379");	
		shardInfo.setPassword("123456");
		Jedis jedis = new Jedis(shardInfo);
		long jedis_key = jedis.del("shiro:session:"+sessionId);	
		logger.info("jedis_key{}",jedis_key);	
		logger.info("--------数据已经删除--------"); 

	}

}

(3)自定义测试接口

/**
 * 
 */
package com.yuyi.mcb.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author mcb 
 *
 * 2018年12月12日 下午3:34:31 
 */
@RestController
public class UserController {

	@GetMapping("/userlist")
	@ResponseBody
	public String getUser(){
		
		
		return "user";
		
	}
	
}

4.2 测试结果

(1)登录测试

A。post:  http://localhost:8080/user/login?username=张三&password=123456

发送正确的登录信息,返回sessionId的Json值。

B。查看Redis数据库

C。后台打印:


 

4.2 退成登录测试

post:http://localhost:8080/out/logout

后台打印结果:

4.3 不正确密码登录

post: http://localhost:8080/user/login?username=张三&password=123455

4.4 没有登录直接请求接口,也就是没有session。

OK......完成。当然看似代码很多,其实里面重要的内容就是那些前后端分离时需要重写shiro内部的一些类,比较费劲。后期还有授权的代码。

欢迎订阅关注公众号(JAVA和人工智能)

                                                           获取更多免费书籍、资源、视频资料 

      

文章超级链接:

 1,分布式系统详解--基础知识(概论)

 2,分布式系统详解--基础知识(线程)

 3,IDEA和Eclipse的比较

 4,IntelliJ IDEA(最新)安装-破解详解--亲测可用

 5,ipconfig中都是什么意思,如何配置虚拟机,网络知识你懂多少?

 6,【由浅入深】爬虫技术,值得收藏,来了解一下~

 7,Akka 简介及简单原理

 8,Spark-集群安装、部署、启动、测试(1.6.3)稳定版

 9,Linux centos 6.5 - Mysql 安装 、卸载、修改密码、忘记密码 并异常处理

10,分布式系统详解(Apache Hive 入门-简介)

11,Linux下Redis简介、安装、设置、启动

 

JAVA和人工智能
关注
  • 7
    点赞
  • 62
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
shiro-spring-boot-starter:该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成到SpringBoot应用中
05-14
简介 该项目主要利用Spring Boot的自动化配置特性来实现快速的将Shiro集成到SpringBoot应用中 源码地址 Github: 码云: 我的博客: 自制的小工具,欢迎使用和Star,如果使用过程中遇到问题,可以提出Issue,我会尽力完善该工具 功能介绍 修改Shiro默认Authc过滤器,增加在前后台分离项目架构下,配置未登录时跳转路径功能,做未登录时的提示信息之用。 注: Shiro默认过滤器相关路径跳转都采用重定向,导致在前后台分离的项目架构下,前台不能正确获取未登录的提示验证信息,故将相关路径跳转功能修改为转发跳转。 增加默认过滤器配置功能,可通过配置文件灵活修改Shiro的11个默认过滤器及其属性。 增加11种过滤器过滤规则配置功能 默认使用开源库org.crazycake:shiro-redis:3.2.2集成redis 增加shiroredis独立配置功能,可
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统
04-07
本系统基于springboot+mybatisplus+shiro+layui+redis整合开发的前后端分离权限管理系统,主要功能有:权限管理、日志管理、角色管理、用户管理,是一个非常不错的后台管理脚手架。项目在线预览地址:http://money.goodym.cn/layuidemo/page/login.html运行环境 jdk8+tomcat8+mysql5.7+IntelliJ IDEA+maven项目技术 核心框架:SpringBoot2.x安全框架:Apache Shiro 1.3.2缓存框架:Redis 4.0持久层框架:MyBatis 3 mybatisplus 2.1.4数据库连接池:Alibaba Druid 1.0.2日志管理:SLF4J 1.7、Log4j前端框架:layui后台模板:layuimini
关于使用Shiro+SpringBoot+redis实战
qq_44318582的博客
09-15 859
1.什么是shiro Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from
spring boot + shiro + redis 整合(完整)
m0_54849806的博客
03-28 2904
spring boot + shiro + redis 整合(完整) 什么是shiro? 1.数据库设计 2.创建springboot项目并在pom加入依赖 3. 编辑application.yml 4.建包搭架子(先把包建完) 4.1创建实体类 4.2springboot启动类 4.3启动springboot自动跳转到登陆页面 4.4全局异常类 5.后台代码 5.1 Mapper.xml 5.2 Mapper接口 5.3 server接口 6.创建ShiroConfig类 7.Rea
springboot整合shiroredis(超详细案例演示)
m0_57232638的博客
07-08 2616
将Spring Boot、RedisShiro整合在一起具有多个优势。首先,通过与Spring Boot的集成,可以简化开发过程,利用其自动配置和约定优于配置的原则。其次,Redis作为高性能的缓存和存储系统,可以提供快速的数据访问和响应时间,通过与Spring Boot和Shiro的整合,可以实现更高效的会话管理和身份验证。此外,通过将Shiro的会话存储在Redis中,可以实现分布式会话管理和高可用性,并支持共享会话和无状态应用程序架构。
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
springboot+shiro+cas+redis+mybatis+thymeleaf 集成开发框架
01-30
由于项目需要从网上搜集的相关的集成框架,很多都是部分集成,一直没有找到整个流程全部集成好的,所以将集成好的框架分享出来供...主要实现SSO、后台RBAC角色认证管理。 下载后需要自行修改配置,项目包内带sql脚本
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
Shiro实战系列--整合shiro-redis
热门推荐
IT利刃出鞘的博客
10-18 1万+
本文用实例介绍shiro通过引入shiro-redis来缓存权限。使用SpringBoot整合Shiro
Shiro 入门笔记,整合SpringBootRedis
weixin_41420295的博客
12-28 2474
Shiro 入门,整合SpringBootRedis
关于使用shiro-redis-spring-boot-starter后Redis无法连接远程服务器的问题
HOTIN0001的博客
11-22 1207
关于使用shiro-redis-spring-boot-starter后Redis无法连接远程服务器的问题
springboot整合shiro+redis单点登录-登录踢人-未认证请求返回JSON数据
c_z_z的博客
05-06 934
目录核心依赖返回结果实体类用户信息实体类实现realm未认证请求返回JSON数据实现登录和踢人实现被踢shiro的配置类结尾 需要实现的功能如题,本文将分块记录每一个关键环节。 闲言少叙,直接上干货↓↓ 核心依赖 这个shiro-all看上去有点非主流,但是在maven库中确实是存在的,不想麻烦的直接依赖这个就行了 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>
shiro频繁访问redisshiro在未登录情况下访问接口接口返回很慢问题
qq_28646679的博客
12-08 566
1.自定义一个类继承FormAuthenticationFilter,指定在未登录情况下返回的json package com.vantoplife.admin.config; import cn.hutool.json.JSONUtil; import com.vantoplife.admin.enums.AdminWebResponseCodeEnum; import com.vantoplife.core.response.Response; import lombok.extern.log4j.
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2316
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
整合springboot+shiro+redis做一个简易通用的安全机制,方便以后用(待更新完善)
qq_45488981的博客
07-19 403
前言 基于最简易的RBAC安全验证机制,做一个简易通用的安全机制框架,方便以后拿来直接用,暂时很简陋,随着以后深入学习,会不断完善。勿喷,谢谢 使用架构 springboot+mysql+shiro+redis session作为会话机制(JWT以后用到会更新) 开始干活 1.拉包 2.springboot配置文件 logging: level: com: baizhi: shiro: dao: debug mybatis: map
Shiro的学习之Shiro的配置(一)
m0_54866636的博客
08-24 1050
项目已分享到GitHub上,如果需要的可以看下,。
springboot+shiro+redis实现单点登录源码
最新发布
09-17
Spring Boot是一个用于快速开发Java应用程序的开源框架,Shiro是一个强大且易于使用的Java安全框架,Redis是一个开源的内存数据库。结合使用这些技术可以实现单点登录功能。 在Spring Boot中使用Shiro来处理认证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值