Spring+Shiro+Token认证

最新推荐文章于 2024-04-22 09:30:00 发布
最新推荐文章于 2024-04-22 09:30:00 发布
阅读量1.8w 收藏 20
点赞数 4
文章标签: java 权限 spring token wed
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24458119/article/details/85129932
版权

首先引入Shiro的依赖包

   <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
    </dependency>

在我们的wed.xml中加入我们的shiro过滤器

		 <filter>
    	<filter-name>shiroFilter</filter-name>
    	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    
    <filter-mapping>
    	<filter-name>shiroFilter</filter-name>
    	<url-pattern>/*</url-pattern>
    </filter-mapping>

在Spring配置Shiro中的文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:aop="http://www.springframework.org/schema/aop"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
		http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.2.xsd
		http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-4.2.xsd"
		>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager"></property>
		<!-- 配置当权限不足的时候返回的路径 -->
		<property name="loginUrl" value="/login/notLoggedIn.do"></property> 
		<property name="unauthorizedUrl" value="/login/lackOfAuthority.do"></property>
	  	<property name="filterChainDefinitions">
	  	<!-- 在value中为访问的路径加入过滤器来作为权限的拦截,可以放shiro中默认的过滤器,也可以自己写过滤器放进去 -->
			<value>
			<!-- anon过滤器:无参,开放权限,可以理解为匿名用户或游客 -->
				/login/auth.do=anon
				<!-- aesToken是本人设计的一个token登陆认证的机制的过滤器,permissionOr是本人设计的一个权限过滤器,而中括号里面的就是访问需要的权限  -->
				/worker/**=aesToken,permissionOr[admin:staff_worker,admin:staff]
				/admin/**=aesToken,permissionOr[admin:staff_admin,admin:staff]
				/payConfig/**=aesToken
				/login/out.do=logout
				/**/**=aesToken,user
			</value>
		</property>
		<property name="filters">
		<!-- 把自己写的过滤器放进map中 -->
			 <map>
	             <entry key="aesToken" value-ref="aesToken"/>
	             <entry key="permissionOr" value-ref="PermissionOrFilter"/>
	             <entry key="rolesOr" value-ref="RolesOrFilter"/>
	        </map>
		</property>
	</bean>

	<!-- 自定义filter过滤器 -->
	<bean id="aesToken" class="com.southgis.iznaer.shiro.filter.AesFilter" />	
		<!-- 自定义filter过滤器 -->
	<bean id="RolesOrFilter" class="com.southgis.iznaer.shiro.filter.RolesOrFilter" />
			<!-- 自定义filter过滤器 -->
	<bean id="PermissionOrFilter" class="com.southgis.iznaer.shiro.filter.PermissionOrFilter" />
	
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="realm"></property>
		<property name="subjectDAO" ref="subjectDAO"></property>
	</bean>

	<bean id="subjectDAO" class="org.apache.shiro.mgt.DefaultSubjectDAO">
		<property name="sessionStorageEvaluator" ref="defaultSessionStorageEvaluator"></property>
	</bean>
		<bean id="defaultSessionStorageEvaluator" class="org.apache.shiro.mgt.DefaultSessionStorageEvaluator">
		<property name="sessionStorageEnabled" value="false"></property>
	</bean>
	<bean id="realm" class="com.southgis.iznaer.shiro.realm.UserRealm">
	</bean>
	
<!-- 开启AoP -->
	<aop:config proxy-target-class="true"/>
	
	<!-- 保证 Shiro内部生命周期 -->
	<bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
	
	<!-- 开启Shiro授权生效 -->
	<bean id="" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"></bean>
</beans>

自定义token类

import org.apache.shiro.authc.AuthenticationToken;
/**
 * Shiro中的Authentication,主要是检验token时使用
 */
public class AesToken implements AuthenticationToken{
	String token;
public AesToken(String token){
	this.token=token;
}
	public Object getPrincipal() {
		// TODO Auto-generated method stub
		return token;
	}

	public Object getCredentials() {
		// TODO Auto-generated method stub
		return token;
	}

}

创建自定义的shiro过滤器,当过滤器return true时返回到shiro权限认证的自定义realm中,把token放在头部,如果检查到没有token的话则视为未登录状态。有token的情况下会根据token来进行用户的权限认证。

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.json.JSONObject;
import com.southgis.iznaer.base.ResponseConstant;
import com.southgis.iznaer.base.ResponseResult;
import com.southgis.iznaer.util.AesToken;

/**
 * 通过改过滤器跳到Realm中认证用户信息和权限信息
 * @author gyc
 * @date 2018-10-18
 */
public class AesFilter extends BasicHttpAuthenticationFilter  {
	/**
	 * 过滤方法
	 */
	protected boolean isAccessAllowed(ServletRequest request,
			ServletResponse response, Object object)  throws AuthenticationException  {
		String token=((HttpServletRequest) request).getHeader("token");
		ResponseResult jsonResult = new ResponseResult();
		//判断请求的请求头是否带上 "Token"
        if (token!=null) {
            try { 
            	AesToken m=new AesToken(token);
            	getSubject(request, response).login(m);
            	 return true;
            } catch (AuthenticationException e) {
                //token 错误
          	e.printStackTrace();
			jsonResult.setCode(ResponseConstant.TOKEN_FAIL_CODE);//返回失败的code
			jsonResult.setState(ResponseConstant.FAIL_STATE);//返回失败的state
			jsonResult.setDescription("token错误,或token已过期");
			jsonResult.setResults(null);
            JSONObject jsonObject=new JSONObject(jsonResult);
            responseOutWithJson(response,jsonObject.toString());
            return false;
            }
        }
        //如果请求头不存在 Token,则可能是执行登陆操作或者是游客状态访问,无需检查 token,直接返回 true
        return true;
	}
    /** 
     * 以JSON格式输出 
     * @param response 
     */  
    protected void responseOutWithJson(ServletResponse response,  
            Object responseObject) {  
        //将实体对象转换为JSON Object转换  
     //   JSONObject responseJSONObject = JSONObject.fromObject(responseObject);  
    	 HttpServletResponse httpServletResponse = (HttpServletResponse) response;
    	 httpServletResponse.setCharacterEncoding("UTF-8");  
    	 httpServletResponse.setContentType("application/json; charset=utf-8");  
        PrintWriter out = null;  
        try {  
            out = httpServletResponse.getWriter();  
            out.append((String)responseObject);  
        } catch (IOException e) {  
            e.printStackTrace();  
        } finally {  
            if (out != null) {  
                out.close();  
            }  
        }  
    } 
    
}

以下两个也是自定的权限过滤器,功能类似shiro中的默认权限。

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

/**
 * 自定义权限过滤器,拥有多权限之一的用户可以通过
 * @author gyc
 * @date 2018-10-18
 */
public class PermissionOrFilter extends AuthorizationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest req,
			ServletResponse resp, Object object) throws Exception {
		Subject subject = getSubject(req, resp);
		String[] permissions = (String[]) object;
		if (permissions == null || permissions.length == 0) {
			return true;
		}
		for (String permission : permissions) {
			if (subject.isPermitted(permission)) {
				return true;
			}
		}
		return false;
	}

}


import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
/**
 * 自定义角色过滤器,拥有多角色之一的用户可以通过
 * @author gyc
 * @date 2018-10-18
 */
public class RolesOrFilter extends AuthorizationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest req,
			ServletResponse resp, Object object) throws Exception {
		
		Subject subject = getSubject(req, resp);
		
		String[] roles = (String[]) object;
		
		if (roles == null || roles.length == 0) {
			return true;
		}

		for (String role : roles) {
			if (subject.hasRole(role)) {
				
				return true;
			}
		}
		return false;
	}

}

自定义Reaml,在上文中我们所设置的自定义的shiro过滤器AesFilter 通过后会跳到Reaml中根据我们的token来进行权限的认证和分配。

import java.util.ArrayList;
import java.util.Date;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import javax.annotation.Resource;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class UserRealm extends AuthorizingRealm {
	User user=null;
	@Resource(name = "userServiceImpl")
	UserService userService;
	@Resource(name = "permissionServiceImpl")
	PermissionService permissionService;
	/**
	 * 必须重写此方法,不然会报错
	 */
	@Override
	public boolean supports(AuthenticationToken token) {
		return token instanceof AesToken;
	}
	/**
     * 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
     */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException{
		   System.out.println("————身份认证方法————");
	        String token = (String) authenticationToken.getCredentials();
	        user=userService.findUserByToken(token);
    		if(this.user== null){
    			throw new AuthenticationException("token认证失败!");
    		}
    		return new SimpleAuthenticationInfo(token, token, getName());
		}
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		System.out.println("————权限认证————");
               permissionService.findPermissionByUser(user);
		Set<String> permissionSet = new HashSet<String>();
		for (Permission permission : permissions) {
			permissionSet.add(permission.getName());
		}
		info.setStringPermissions(permissionSet);
		//把permissionSet放入info,info成功return后就可以成功配置和认证权限
		return info;
	}
}

到这里我们的shiro配置算是配置完毕了。
配置完以后我们可以到刚刚配置关于shiro那一段的spring xml文件配置我们访问的路径所需要的权限。如下:

	  	<property name="filterChainDefinitions">
	  	<!-- 在value中为访问的路径加入过滤器来作为权限的拦截,可以放shiro中默认的过滤器,也可以自己写过滤器放进去 -->
			<value>
			<!-- anon过滤器:无参,开放权限,可以理解为匿名用户或游客 -->
				/login/auth.do=anon
				<!-- aesToken是本人设计的一个token登陆认证的机制的过滤器,permissionOr是本人设计的一个权限过滤器,而中括号里面的就是访问需要的权限  -->
				/worker/**=aesToken,permissionOr[admin:staff_worker,admin:staff]
				/admin/**=aesToken,permissionOr[admin:staff_admin,admin:staff]
				/payConfig/**=aesToken
				/login/out.do=logout
				/**/**=aesToken,user
			</value>
		</property>

除了可以加入我们自定义的过滤器以外,我们还可以添加shiro默认的过滤器。

Filter解释
anon无参,开放权限,可以理解为匿名用户或游客
authc无参,需要认证
logout无参,注销,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url
authcBasic无参,表示 httpBasic 认证
user无参,表示必须存在用户,当登入操作时不做检查
ssl无参,表示安全的URL请求,协议为 https
perms[user]参数可写多个,表示需要某个或某些权限才能通过,多个参数时写 perms[“user, admin”],当有多个参数时必须每个参数都通过才算通过
roles[user]参数可写多个,表示是某个或某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个参数都通过才算通过
rest[user]根据请求的方法,相当于 perms[user:method],其中 method 为 post,get,delete 等
port[8081]当请求的URL端口不是8081时,跳转到schemal://serverName:8081?queryString 其中 schmal 是协议 http 或 https 等等,serverName 是你访问的 Host,8081 是 Port 端口,queryString 是你访问的 URL 里的 ? 后面的参数

配置完后当用户访问的时候,访问的流程如下:

  1. AesFilter:判断用户是否带有token,若有进入Reaml
  2. UserRealm :通过token认证获取到User用户
  3. UserRealm :通过User用户拿到权限,进行权限认证。
  4. 通过如perms[user] 、permissionOr[admin:staff_worker]等过滤器。
  5. 成功访问地址
皮狗警长
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 3785
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证Token认证(JWT是一种特殊的Token认证1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
spring+shiro 整合实例代码详解
08-26
Java Web开发中,Spring和Apache Shiro是两个常用的框架,Spring用于处理业务逻辑和依赖注入,而Shiro则专注于安全管理,如用户认证、授权等。将两者整合可以构建出安全且易于管理的Web应用。下面我们将详细介绍...
shiro使用token登录流程
qq_40690199的博客
06-03 904
Shiro(一)——Shrio增加token验证
Super__Bill的博客
04-06 3247
项目需求:Shrio增加token验证。 需求分析: 1.Shrio的认证方式的流程: 登录Controller中,根据输入的账号和密码创建token,然后调用subject.login(token)方法,subject会委托给securityManager,由securityManager再执行login方法。 由ModularRealmAuthenticator调用realm的doGetAut...
探索 Spring Token:一款强大的身份验证解决方案
最新发布
gitblog_00001的博客
04-22 330
探索 Spring Token:一款强大的身份验证解决方案 项目地址:https://gitcode.com/qiaokun-sh/spring-token 在现代Web开发中,安全性和用户认证是不可忽视的关键环节。Spring框架作为Java生态系统中的主力选手,提供了一系列工具和库来简化这些任务。而今天我们要介绍的是Spring Token,一个基于Spring Boot的轻量级身份验证系统,...
Springboot下Shiro+Token使用redis做安全认证方案
程序员闪充宝
03-15 1万+
以前项目中权限认证没有使用安全框架,都是在自定义 filter 中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring securi...
springboot 中使用shiro
lmsnice的博客
10-10 368
一、导入shiro的依赖 在pow.xml文件中添加以下依赖 可复制以下代码 <!-- 引入shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> 二、在以下
spring boot+shiro
02-11
Spring Boot简化了Spring应用程序的配置和启动过程,而Apache Shiro则是一个强大且易用的安全框架,用于处理认证、授权、会话管理和加密等安全需求。 1. **Spring Boot** - **核心特性**:Spring Boot的核心理念是...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
SSM+shiro+redis
09-11
SSM+Shiro+Redis是一个常见的企业级Java Web开发架构,结合了SpringSpringMVC、Mybatis、Apache Shiro和Redis五种技术,用于构建高效、安全且可扩展的Web应用。下面将详细介绍这些技术及其集成应用。 **Spring** ...
spring boot 整合JWT+shiro
10-09
在本文中,我们将深入探讨如何将`Spring Boot`与`JWT (JSON Web Token)`和`Shiro`框架整合,以实现安全的身份验证和授权管理。`JWT`是一种轻量级的认证机制,常用于分布式系统中,而`Shiro`是Java的一个安全框架,...
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 2988
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
使用springboot整合shirotoken实现用户的身份验证和权限控制
sqlgao22的博客
08-11 2万+
使用springboot整合shirotoken实现用户的身份验证和权限控制 使用shiro请看:https://blog.csdn.net/sqlgao22/article/details/98506479 使用token请看:https://blog.csdn.net/sqlgao22/article/details/98532943 由于已经分别学习了shirotoken想到整合在一起使...
Shiro实现Token认证
梅子黄时雨
05-10 1327
shiro使用
shiro - 使用 token
bhegi_seg的博客
03-28 1186
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
springboot集成shiro完成token认证,以及需要注意的点
qq_26112725的博客
08-24 1417
注意 :继承 UsernamePasswordToken 类后,账号跟密码使用了 UsernamePasswordToken 类的构造方法2.自定义Realm@Override//授权@Override/*常见的方法:addRole(String role):向授权信息中添加角色。addRoles(Collection roles):向授权信息中添加多个角色。
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
shirotoken无状态单点登录
weixin_45528177的博客
09-13 1039
shirotoken无状态单点登录 1.session 的运作通过一个session_id来进行。session_id通常是存放在客户端的 cookie 中,众所周知,当客户端请求成功,服务端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。session是基于
写一个ssm+shiro的登录认证
06-10
好的,下面是一个简单的SSM+Shiro的登录认证示例: 首先,需要在pom.xml中添加相关依赖: ```xml <groupId>org.springframework <artifactId>spring-webmvc <version>5.2.3.RELEASE <groupId>org.spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值