Shiro步步为营--Springboot开启身份验证

最新推荐文章于 2024-07-10 17:17:15 发布
最新推荐文章于 2024-07-10 17:17:15 发布
阅读量1.6w 收藏 4
点赞数 3
分类专栏: 安全框架 文章标签: shiro 身份验证 登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengjunlee/article/details/94546139
版权

项目的完整目录层次如下图所示。

项目地址:https://github.com/pengjunlee/shiro-authenticate.git 

添加依赖与配置

在本工程中,Shiro使用了Ehchache作缓存,因此需要在工程POM文件中引入它们的Maven依赖。

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.0.RELEASE</version>
		<relativePath />
	</parent>

	<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
	</properties>

	<dependencies>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
		</dependency>

		<!-- 配置 Shiro -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.4.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.1</version>
		</dependency>
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-log4j12</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>commons-logging</groupId>
			<artifactId>commons-logging</artifactId>
			<version>1.2</version>
		</dependency>

		<!-- 配置 Shiro-Ehchache -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<exclusions>
				<exclusion>
					<groupId>net.sf.ehcache</groupId>
					<artifactId>ehcache-core</artifactId>
				</exclusion>
			</exclusions>
			<version>1.4.0</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-cache</artifactId>
		</dependency>
		<dependency>
			<groupId>net.sf.ehcache</groupId>
			<artifactId>ehcache</artifactId>
		</dependency>
	</dependencies>

EhCacheManager使用默认的 classpath:/ehcache.xml 加载配置,文件内容如下。

<?xml version="1.0" encoding="UTF-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd"
	updateCheck="false">
	<diskStore path="java.io.tmpdir/Tmp_EhCache" />
	<defaultCache eternal="false" maxElementsInMemory="1000"
		overflowToDisk="false" diskPersistent="false" timeToIdleSeconds="0"
		timeToLiveSeconds="600" memoryStoreEvictionPolicy="LRU" />
	<cache name="user" eternal="false" maxElementsInMemory="10000"
		overflowToDisk="false" diskPersistent="false" timeToIdleSeconds="0"
		timeToLiveSeconds="0" memoryStoreEvictionPolicy="LFU" />
</ehcache>

在application.properties核心配置文件中加入Thymeleaf相关配置,方便前端页面演示:

# thymelea模板配置
spring.thymeleaf.prefix=classpath:/templates/
spring.thymeleaf.suffix=.html
spring.thymeleaf.mode=HTML5
spring.thymeleaf.encoding=UTF-8
# 热部署文件,页面不产生缓存,及时更新
spring.thymeleaf.cache=false
spring.resources.chain.strategy.content.enabled=true
spring.resources.chain.strategy.content.paths=/**

创建用户实体类


import java.io.Serializable;

public class UserEntity implements Serializable {

	private static final long serialVersionUID = 1L;

	private Long id; // 主键ID

	private String name; // 登录用户名

	private String password; // 登录密码

	private String nickName; // 昵称

	private Boolean locked; // 账户是否被锁定

	public UserEntity() {
		super();
	}

	public UserEntity(Long id, String name, String password, String nickName, Boolean locked) {
		super();
		this.id = id;
		this.name = name;
		this.password = password;
		this.nickName = nickName;
		this.locked = locked;
	}

	// 此处省略各属性的 getXXX() 和 setXXX() 方法

}

自定义Realm

如果你只是想使用Shiro 进行身份验证,而不需要它的授权功能。那么,你只需让你的Realm继承 AuthenticatingRealm 并实现其抽象方法 doGetAuthenticationInfo() 即可。

import java.util.HashMap;
import java.util.Map;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.realm.AuthenticatingRealm;

import com.pengjunlee.domain.UserEntity;

/**
 * 只开启身份验证,继承 AuthenticatingRealm 并实现 doGetAuthenticationInfo() 方法即可
 */
public class LoginRealm extends AuthenticatingRealm {

	private static Map<String, UserEntity> users = new HashMap<String, UserEntity>(16);

	static {
		UserEntity user1 = new UserEntity(1L, "graython", "123456", "灰先生", false);
		UserEntity user2 = new UserEntity(2L, "plum", "123456", "李先生", false);
		UserEntity user3 = new UserEntity(3L, "nightking", "123456", "夜王", false);
		UserEntity user4 = new UserEntity(4L, "guomeimei", "123456", "郭妹妹", true);

		users.put("graython", user1);
		users.put("plum", user2);
		users.put("nightking", user3);
		users.put("guomeimei", user4);
	}

	/**
	 * 查询数据库,将获取到的用户安全数据封装返回
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// 从 AuthenticationToken 中获取当前用户
		String username = (String) token.getPrincipal();
		// 查询数据库获取用户信息,此处使用 Map 来模拟数据库
		UserEntity user = users.get(username);

		// 用户不存在
		if (user == null) {
			throw new UnknownAccountException("用户不存在!");
		}

		// 用户被锁定
		if (user.getLocked()) {
			throw new LockedAccountException("该用户已被锁定,暂时无法登录!");
		}

		/**
		 * 将获取到的用户数据封装成 AuthenticationInfo 对象返回,此处封装为 SimpleAuthenticationInfo
		 * 对象。
		 *  参数1. 认证的实体信息,可以是从数据库中获取到的用户实体类对象或者用户名 
		 *  参数2. 查询获取到的登录密码 
		 *  参数3. 当前  Realm 对象的名称,直接调用父类的 getName() 方法即可
		 */
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), getName());
		return info;
	}

}

在自定义Realm中,我们可以对一些业务相关的用户身份验证异常进行处理。除了可以直接使用 Shiro 为我们提供好的下面这些身份验证异常类,我们也可以使用其他自定义的验证异常类。

集成Shiro

import java.util.LinkedHashMap;

import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.boot.autoconfigure.condition.ConditionalOnBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import net.sf.ehcache.CacheManager;

@Configuration
public class ShiroConfig {

	/**
	 * 交由 Spring 来自动地管理 Shiro-Bean 的生命周期
	 */
	@Bean
	public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	/**
	 * 配置访问资源需要的权限
	 */
	@Bean
	ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		shiroFilterFactoryBean.setLoginUrl("/login");
		shiroFilterFactoryBean.setSuccessUrl("/authorized");
		shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized");
		LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		filterChainDefinitionMap.put("/login", "anon"); // 可匿名访问
		filterChainDefinitionMap.put("/logout", "logout"); // 退出登录
		filterChainDefinitionMap.put("/**", "authc"); // 需登录才能访问
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		return shiroFilterFactoryBean;
	}

	/**
	 * 配置 SecurityManager,通常需要配置以下属性: 
	 * 1.CacheManager 
	 * 2.Realm 
	 * 3.SessionManager
	 */
	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		// 1.CacheManager
		securityManager.setCacheManager(ehCacheManager());
		// 2.Realm
		securityManager.setRealm(loginRealm());
		// 3.SessionManager
		securityManager.setSessionManager(sessionManager());
		return securityManager;
	}

	/**
	 * EhCacheManager缓存配置,默认使用 classpath:/ehcache.xml
	 */
	@Bean("cacheManager")
	public EhCacheManager ehCacheManager() {
		EhCacheManager em = new EhCacheManager();
		em.setCacheManager(cacheManager());
		return em;
	}

	@Bean("cacheManager2")
	CacheManager cacheManager() {
		return CacheManager.create();
	}

	/**
	 * Realm配置,需实现 Realm 接口
	 */
	@Bean
	LoginRealm loginRealm() {
		LoginRealm loginRealm = new LoginRealm();
		return loginRealm;
	}

	/**
	 * SessionManager配置
	 */
	@Bean
	public DefaultWebSessionManager sessionManager() {
		DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
		sessionManager.setGlobalSessionTimeout(1800 * 1000);
		sessionManager.setDeleteInvalidSessions(true);
		sessionManager.setSessionValidationSchedulerEnabled(true);
		return sessionManager;
	}
}

public enum DefaultFilter {

    anon(AnonymousFilter.class), // 可以匿名访问,示例:/static/**=anon
    authc(FormAuthenticationFilter.class), // 需要经过身份验证才能访问,示例:/**=authc
    logout(LogoutFilter.class), // 退出登录,示例:/logout=logout
    perms(PermissionsAuthorizationFilter.class), // 需要用户具有相应权限才能访问,示例:/user/**=perms["user:*"]
    port(PortFilter.class), // 只能通过指定端口访问,端口错误会重定向到相应端口,,示例:/test=port[80]
    rest(HttpMethodPermissionFilter.class), // rest风格拦截器,会自动根据请求方法构建权限字符串
    roles(RolesAuthorizationFilter.class), // 需要用户具有相应角色才能访问,示例:/admin/**=roles[admin]
    ssl(SslFilter.class), // 只能通过HTTPS协议访问,否则自动跳转回HTTPS端口(443),示例:/admin/**=ssl
    user(UserFilter.class); // 用户通过身份验证或者记住我登录后都能访问,示例:/admin/**=user
	
}

视图Controller

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;

import com.pengjunlee.domain.UserEntity;

@Controller
public class LoginController {

	@GetMapping("/login")
	public String login() {
		return "login";
	}

	@PostMapping(value = "/login")
	public String userLogin(@RequestParam(name = "username") String userName,
			@RequestParam(name = "password") String password, ModelMap model) {

		// 获取当前用户主体
		Subject subject = SecurityUtils.getSubject();
		String msg = null;
		// 判断是否已经验证身份,即是否已经登录
		if (!subject.isAuthenticated()) {
			// 将用户名和密码封装成 UsernamePasswordToken 对象
			UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
			try {
				subject.login(token);
				System.out.println("用户 [ " + userName + " ] 登录成功。");
				addUserInfo2Model(model);

			} catch (UnknownAccountException uae) { // 账号不存在
				msg = "用户名与密码不匹配,请检查后重新输入!";
			} catch (IncorrectCredentialsException ice) { // 账号与密码不匹配
				msg = "用户名与密码不匹配,请检查后重新输入!";
			} catch (LockedAccountException lae) { // 账号已被锁定
				msg = "该账户已被锁定,如需解锁请联系管理员!";
			} catch (AuthenticationException ae) { // 其他身份验证异常
				msg = "登录异常,请联系管理员!";
			}
		}

		if (subject.isAuthenticated()) {
			return "redirect:/authorized";
		} else {
			model.addAttribute("msg", msg);
			return "403";
		}

	}

	@GetMapping("/logout")
	public String logout() {
		return "redirect:/login";
	}

	@GetMapping("/unauthorized")
	public String unauthorized(ModelMap model) {
		return "403";
	}

	@GetMapping("/authorized")
	public String authorized(ModelMap model) {
		addUserInfo2Model(model);
		return "success";
	}

	// 将用户信息添加到 model
	private void addUserInfo2Model(ModelMap model) {
		Subject subject = SecurityUtils.getSubject();
		UserEntity currentUser = (UserEntity) subject.getPrincipal();
		model.addAttribute("user", currentUser);
	}
}

前端页面

login.html

完整代码:

<!DOCTYPE HTML>
<html>
<style type="text/css">
input {
	text-align: center;
}
</style>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
</head>
<body>
	<form action="/login" method="post">
		<p style="padding: 5px;">
			账号:<input type="text" placeholder="请输入登录账号" name="username">
		</p>
		<p style="padding: 5px;">
			密码:<input type="password" placeholder="请输入登录密码" name="password">
		</p>
		<input type="submit" value="登录">

	</form>
</body>
</html>

success.html

<!DOCTYPE HTML>
<HTML>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
</head>
<body>
	<h3>
		<span th:text="${user.nickName}"></span>,欢迎您!
	</h3>
	<p>
		<a href="/logout">退出登录</a>
	</p>
</body>
</HTML>

403.html

<!DOCTYPE HTML>
<HTML>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
</head>
<body>
	<p>
		<span style="color:red;" th:text="${msg}"></span>
	</p>
	<h3>您无权访问该页面,请先登录!</h3>
	<p>
		<a href="/login">去登录</a>
	</p>
</body>
</HTML>

登录测试

账号与密码均正确

使用 graython 账号登录,输入正确的密码,登录成功。 

账号不存在

随便输入一个不存在的账号进行登录,登录失败。

密码错误

使用 graython 账号登录,输入错误的密码,登录失败。 

账号被锁定

注意:由于启用了Shiro缓存,用户成功登录之后,在不退出登录的情况下,再次请求登录页面重新登录该用户,此时,无论密码是否输入正确都会登录成功。

pengjunlee
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于SpringBoot实现用户身份验证工具
08-27
主要介绍了基于SpringBoot实现的用户身份验证工具,非常不错,具有参考借鉴价值 ,需要的朋友可以参考下
shiro-jwt-springbootshiro合并jwt前进行分离权限认证示例
01-29
总结来说,"shiro-jwt-springboot"项目为我们提供了一个示例,演示了如何在Spring Boot应用中利用Apache Shiro进行权限认证,并结合JWT进行安全的身份验证。通过这个项目,开发者可以学习到如何分离权限认证逻辑,...
Springboot结合token进行身份认证
qq_41084438的博客
05-07 240
有道云笔记 https://note.youdao.com/ynoteshare1/index.html?id=067f0a11f7e1070c68f03599e4313200&type=note
基于 Spring Boot 的实时人脸检测和识别系统
qq_53723451的博客
06-21 193
基于 Spring Boot 的实时人脸检测和识别系统
SpringBoot 整合Shiro 实现身份权限验证
程序员超哥
11-09 281
SpringBoot 整合Shiro 实现身份权限验证 具体代码访问链接下载 从项目到部署服务器的过程,毕竟些写项目是为了发布部署服务器。 本篇主要介绍**SpringBoot 整合Shiro 实现身份权限验证** 原理: 1.没有登录情况:访问api接口--->shiro配置拦截——->跳转到shiro配置的setLoginUrl(“”)接口 2.去登陆【前提设置开放登陆接...
SpringBoot整合Shiro(仅实现了身份认证)
weixin_45616246的博客
11-09 87
第一步:自定义Realm,继承AuthorizingRealm 类 package com.demengshop.realm; import com.alibaba.dubbo.config.annotation.Reference; import com.demengshop.entity.AdminUser; import com.demengshop.service.AdminUserSe...
SpringBoot身份验证与授权
禅与计算机程序设计艺术
01-21 941
1.背景介绍 1. 背景介绍 身份验证和授权是现代应用程序中不可或缺的功能。它们确保了应用程序的安全性和可靠性,并保护了用户的数据和资源。在Spring Boot中,我们可以使用Spring Security框架来实现身份验证和授权。 在本文中,我们将深入探讨Spring Boot与身份验证与授权的相关概念、算法原理、最佳实践以及实际应用场景。我们还将讨论相关工具和资源,并为未来的发展趋势和...
shiro-freemarker-springBoot- redis-mysql
07-07
在本项目中,Shiro负责用户的身份验证登录)、权限控制(访问控制)以及会话管理,确保只有经过验证的用户才能访问特定的资源。 **FreeMarker** FreeMarker是一个用于生成动态Web内容的模板引擎。它与Spring Boot...
黑马----tryl-SpringBootShiro整合-权限管理实战视频.txt
05-21
2018年黑马的SpringBoot结合Shiro的视频教程,有需要的可以下载。我也是看的这个。
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
提供一套基于SpringBoot-shiro-vue的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 ...
springboot-shiro
10-18
Subject代表了系统中的用户,而Realm则是Shiro获取身份验证和授权信息的接口,通常需要对接数据库或其它数据源。通过自定义Realm,我们可以将用户的登录信息、角色和权限存储在数据库中。 在实现细粒度动态权限管理...
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBootShiro 密码加密,登录验证,权限控制demo
基于spring boot 2和shiro实现身份验证案例
08-19
主要介绍了基于spring boot 2和shiro实现身份验证案例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成身份证认证
xiao-啸
09-27 2500
SpringBoot集成身份证认证 1. 身份认证 此处我们升级为自动的认证过程,无需人工参与 1.1 功能展示 我们输入真实姓名和身份证号就能验证,其技术在于阿里云的身份认证接口. https://market.aliyun.com/products/57000002/cmapi022049.html?spm=5176.730005-56956004.productlist.d_cmapi022049.744d123e6WmvqO&innerSource=search#sku=yuncode16
Spring Boot Security(身份认证和请求授权)
swg321321的博客
07-30 2168
Spring Boot Security 架构,以及启动原理。包含UserDetail、UserDetailService、AuthenticationProvider、AuthenticationManger、AbstractSecurityInterceptor、AccessDecisionManager、AccessDecisionVoter、登录、退出链接、登录失败、登录成功处理。............
Springboot Springsecurity 用户身份认证、登录拦截
yh_nick的博客
12-16 8507
springboot应用中可采用spring security实现 用户身份验证登录拦截,鉴权和攻击防护 功能。
使用Java和Spring Boot实现用户身份验证
最新发布
微赚淘客开发者博客
07-10 1073
通过身份验证,我们可以识别用户的身份,并为他们提供相应的访问权限。本文将介绍如何使用Java和Spring Boot实现用户身份验证,包括配置Spring Security、创建用户实体、设置安全过滤器等。从配置Spring Security到创建自定义UserDetailsService,我们逐步实现了一个简单而完整的用户身份验证系统。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!我们需要创建一个用户实体类来表示用户信息,并与数据库表进行映射。
SpringBoot(7)在SpringBoot实现基于Token的用户身份验证
热门推荐
WilsonSong1024的博客
05-25 4万+
基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session。
SpringBoot整合Shiro实现认证和授权实例
水越帆的博客
02-27 854
权限表设计 /* Navicat MySQL Data Transfer Source Server : root Source Server Version : 50642 Source Host : localhost:3306 Source Database : study Target Server Type : MYSQL T...
springboot shiro swagger-ui.html 404
07-27
您好!... 1. 项目中没有正确配置Swagger依赖:请确保在pom.xml文件中添加了Swagger相关的依赖,并且版本号正确。例如,对于Spring Boot项目,可以添加以下依赖: ```xml <groupId>io.springfox ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值