【Spring Boot】014-Shiro登录拦截和用户认证

最新推荐文章于 2022-10-10 15:58:44 发布
最新推荐文章于 2022-10-10 15:58:44 发布
阅读量402 收藏 1
点赞数
分类专栏: Spring Boot 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29689343/article/details/108689022
版权

目录

一、登录拦截

1、在配置类中添加shiro的内置过滤器

概述:

2、设置认证了才能访问

代码:

测试结果(拦截成功):

3、跳转到登录页面

第一步:编写登录页面

第二步:在MyController类添加跳转方法

第三步:在配置类中设置登录页面

第四步:测试结果(点击add自动跳转到登录页面)

二、用户认证

1、执行认证

第一步:在MyController类中进行用户认证

第二步:修改登录页面

第三步:测试结果(提示错误说明执行了认证方法)

2、配置用户信息完成用户认证

第一步:修改AccountRealm类

第二步:测试结果

一、登录拦截

1、在配置类中添加shiro的内置过滤器

概述:

/*
* anon:无需认证就可以访问;
* authc:必须认证了才能访问;
* user:必须拥有记住我功能才能访问(一般不用);
* perms:拥有对某个资源的权限才能访问;
* role:拥有某个角色权限才能访问;
*/

 

2、设置认证了才能访问

代码:

package com.zibo.config;

import com.sun.org.apache.regexp.internal.RE;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfig {

    //1、创建Realm对象,需要自定义
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }

    //2、DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("accountRealm")AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //关联accountRealm
        manager.setRealm(accountRealm);
        return manager;
    }

    //3、ShiroFilterFactoryBean
    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager manager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(manager);

        //添加shiro内置过滤器
        /*
         * anon:无需认证就可以访问;
         * authc:必须认证了才能访问;
         * user:必须拥有记住我功能才能访问(一般不用);
         * perms:拥有对某个资源的权限才能访问;
         * role:拥有某个角色权限才能访问;
         */

        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();

        //设置认证了才能访问
        filterMap.put("/account/add","authc");
        filterMap.put("/account/update","authc");

        bean.setFilterChainDefinitionMap(filterMap);


        return bean;
    }



}

测试结果(拦截成功):

 

3、跳转到登录页面

第一步:编写登录页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>登录</h1>
    <form action="">
        <p>用户名:<label>
            <input type="text" name="username"/>
        </label></p>
        <p>密码:<label>
            <input type="text" name="password"/>
        </label></p>
        <input type="submit" name="登录"/>
    </form>
</body>
</html>

第二步:在MyController类添加跳转方法

package com.zibo.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class MyController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","Hello Shiro!");
        return "index";
    }

    @RequestMapping("/account/add")
    public String add(){
        return "account/add";
    }

    @RequestMapping("/account/update")
    public String update(){
        return "account/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }
}

第三步:在配置类中设置登录页面

package com.zibo.config;

import com.sun.org.apache.regexp.internal.RE;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfig {

    //1、创建Realm对象,需要自定义
    @Bean
    public AccountRealm accountRealm(){
        return new AccountRealm();
    }

    //2、DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("accountRealm")AccountRealm accountRealm){
        DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
        //关联accountRealm
        manager.setRealm(accountRealm);
        return manager;
    }

    //3、ShiroFilterFactoryBean
    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager manager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(manager);

        //添加shiro内置过滤器
        /*
         * anon:无需认证就可以访问;
         * authc:必须认证了才能访问;
         * user:必须拥有记住我功能才能访问(一般不用);
         * perms:拥有对某个资源的权限才能访问;
         * role:拥有某个角色权限才能访问;
         */

        LinkedHashMap<String, String> filterMap = new LinkedHashMap<>();

        //设置认证了才能访问
        filterMap.put("/account/add","authc");
        filterMap.put("/account/update","authc");

        bean.setFilterChainDefinitionMap(filterMap);

        //设置登录页面
        bean.setLoginUrl("/toLogin");


        return bean;
    }



}

第四步:测试结果(点击add自动跳转到登录页面)

 

二、用户认证

1、执行认证

第一步:在MyController类中进行用户认证

package com.zibo.controller;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class MyController {

    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","Hello Shiro!");
        return "index";
    }

    @RequestMapping("/account/add")
    public String add(){
        return "account/add";
    }

    @RequestMapping("/account/update")
    public String update(){
        return "account/update";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/login")
    public String login(String username,String password,Model model){
        //获取当前的Subject
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //登录
        try{
            subject.login(token);
            return "index";
        }catch (UnknownAccountException e){//用户名不存在
            model.addAttribute("msg","用户名不存在!");
            return "login";
        } catch (IncorrectCredentialsException ice) {//密码错误
            model.addAttribute("msg","密码错误!");
            return "login";
        } catch (LockedAccountException lae) {//用户被锁定
            model.addAttribute("msg","用户被锁定!");
            return "login";
        }catch (AuthenticationException ae) {//认证异常:最大的异常,兜底
            model.addAttribute("msg","认证异常!");
            return "login";
        }
    }
}

第二步:修改登录页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>登录</h1>
    <!--p用于提示错误信息-->
    <p th:text="${msg}" style="color: red;"></p>
    <form th:action="@{/login}">
        <p>用户名:<label>
            <input type="text" name="username"/>
        </label></p>
        <p>密码:<label>
            <input type="text" name="password"/>
        </label></p>
        <input type="submit" name="登录"/>
    </form>
</body>
</html>

第三步:测试结果(提示错误说明执行了认证方法)

 

2、配置用户信息完成用户认证

第一步:修改AccountRealm类

package com.zibo.config;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

//自定义的AccountRealm,需要继承AuthorizingRealm
public class AccountRealm extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行了授权方法doGetAuthorizationInfo!");
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行了认证方法doGetAuthenticationInfo!");

        //配置账户信息
        String username = "zibo";
        String password = "123456";
        UsernamePasswordToken accountToken = (UsernamePasswordToken)authenticationToken;
        //用户认证
        if(!accountToken.getUsername().equals(username)){
            return null;//抛出异常
        }
        //密码认证,shiro做
        return new SimpleAuthenticationInfo("",password,"");
    }
}

第二步:测试结果

 

 

 

 

 

 

訾博ZiBo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
spring-boot-shiro.rar
11-09
SpringBoot 整合Shiro 实现身份权限验证: 1.没有登录情况:访问api接口--->shiro拦截——->跳转到shiro置的setLoginUrl(“”)接口 2.去登陆【前提设置开放登陆接口filterChainDefinitionMap.put("/login", "anon");,不然会被拦截,走步骤1】:访问登录接口---》进入登录接口处理参数,内部调用subject.login(token)-----》进入shrio的身份验证方法doGetAuthenticationInfo-------》通过之后返回登录接口继续之后方法,返回前端 3.登录情况访问api接口:访问api接口--->shiro拦截——->跳转到shiro的权限验证方法doGetAuthorizationInfo--------》【不通过跳转到shiro置的 shiroFilterFactoryBean.setUnauthorizedUrl("/noPermission");】通过之后进入真正的api接口,返回前端
shiro置路径为anno,但请求还是拦截下来了
3k油:知道的越多,不知道的越多
10-25 3607
踩坑点: 没留意到ShiroFilterFactoryBean中置的过滤认证规则是有序的,这个有序是指Map容器中的存储顺序。 shiro进行过滤认证时是根据置的容器存储顺序进行处理的。因此容器应该使用LinkedHashMap。 一、问题描述 在shiroShiroFilterFactoryBean中置了(“/web/index",“anon”),但请求还是被拦截下来进行认证了。 二、分析流程 容器使用的是HashMap存储,对比存储不同个数的元素发现了问题所在。 图一:存储12个元素,”/
Spring boot整合 Shiro实现RBAC权限控制
06-21
本项目基于Spring,整合Apache Shiro框架,实现用户管理和权限控制,主要内容如下: 1.登录(带验证码),包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码123; 3.session管理:使用shiro默认的session管理替代Tomcat的HttpSession; 4.shiro拦截器:对静态文件(HTML/JS/CSS等)进行权限控制,无权限则请求不到; 5.后台接口权限控制:对后台接口启用权限控制,对应的接口若不满足权限或角色要求,则请求失败; 6.用户-角色-权限使用常规RBAC的模型,用户到角色,角色到权限均为多对多关系映射。 用户表 角色表 权限表 用户角色关联表 角色权限关联表
Spring-boot-shiro-spring-session-redis-example
05-16
Spring-boot-shiro-spring-session-redis-example 项目启动后输入: 该项目中, 增加了对url的拦截, 用admin/123456,拥有index权限reports未任何权限, jdonee/123456尚未分任何权限. 参考 shiro Cache交于Redis进行管理 shiro Session交于Spring Session进行管理 shiro 全面Java Config化,杜绝xml置。
shiro登录拦截校验demo
07-19
自己做的一个shiro登录校验、权限拦截的demo
使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题
古纳川海的博客
04-27 1320
使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题 前言:这个问题其实挺基础的,但自己还是费了一点时间,特此记录下,在使用Shiro后post拦截和放行都没有问题,唯独在以get方法下载图片等在不需要token验证的方式下一直被拦截 文章目录使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题错误示例正确示例(一)正确示例(二) 错误示例 Controller代码 说明:这里是用get拼接路径的方式指定参数,也就是使
shiro多realm密码登陆
Mr_Wanter
12-06 2053
情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用密码shiro验证,需要多加一个密码验证的realm,并保证两个realm都可用。 Shiro.xml 1、安全管理器中添加authenticator认证策略置 &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.Default...
关于Shiro登录后却仍旧报没有权限的异常处理
JustDoSelf的博客
04-14 2024
异常产生环境 前言,我项目的大致前后端框架是vue前端+后端SpringBoot+Shiro,本地分离测试没有发现问题,可以正常登录点击,并且到授权方法进行授权,但是部署到服务器上就出现问题了,然后一直报AuthorizationException这个异常,可是明明本地分离测试都没有问题,然后分离部署到服务器上就出现问题了。 问题分析 首先,前后端分离部署是属于跨域,再进行异步请求时会存在跨域问题...
shiro框架单点登录--初学版
我的博客
06-28 937
spring shiro 单点登录
spring-boot示例项目
03-25
本项目示例基于spring boot 最新版本(2.1.9)实现,Spring BootSpring Cloud 学习示例,将持续更新…… 在基于Spring BootSpring Cloud 分布微服务开发过程中,根据实际项目环境,需要选择、集成符合项目...
Spring boot Shiro anno不启作用问题分析
News777的博客
10-10 750
Spring boot Shiro anno不启作用问题分析
springboot-shiro静态资源文件被拦截解决方法
新涯特
02-18 9836
我的springboot版本为2.1 从源码可以看出静态资源文件夹的默认置: package org.springframework.boot.autoconfigure.web; //省略 public class ResourceProperties { private static final String[] CLASSPATH_RESOURCE_LOCATIONS ...
shiro 静态资源文件被拦截的问题原因。
web13985085406的博客
03-28 583
shiro 静态资源文件被拦截的问题原因 shiro 拦截器里置静态资源不拦截 Map<String, String> map = new LinkedHashMap<>(); // 对于静态资源不验证 map.put("/static/**","anon"); 我的static目录下有一个index.html 前提:没有用前端模板 问题:当我在浏览器里输入 localhost:8080/index.html之后,直接跳转到 localhost:8080/login 原因:是在
vue+shiro出现的跨域(登陆成功之后还是不能访问,存在拦截
wangming0123的博客
10-16 1133
参考文章:https://blog.csdn.net/weixin_45492007/article/details/105485782 1、首先vue使用的是axios进行网络请求的,他默认不会携带cookie axios.defaults.withCredentials = true// 允许当前axios携带cookie 在main.js置 2、后台存在跨域,当使用 @CrossOrigin 时,他不允许cookie,所以使用一下两种方式解决跨域 1.基于WebMvcConfigu...
Shiro过滤器置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的置和一些注意事项 /** * Shiro过滤器置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro中authc和user的权限区别
weixin_34060299的博客
03-05 1703
前者(authc)是认证过,后者(user)是登录过,如果开启了rememberMe功能的话,后者(user)也是可以通过的,而前者(authc)通过不了。故我们用authc来校验一些关键操作,比如购买,我们可以采用user校验即可。而支付的时候,我们需要认证用户,那就需要authc了。 转载于:https://www.cnblogs.com/ukzq/p/10476168.html...
shiro 置参数的含义
彻底拆分,一切可控!
12-06 2862
shiro
Shiro进行权限认证
零度的博客
09-12 1077
背景介绍 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。 知识剖析 1.常用的几个概念 Subject 主体,代表了当前“用户”,这个用户不一定是一个具体的人,与...
Spring Boot 中使用shiro置自定义过滤器
最新发布
09-06
### 回答1: ...通过以上步骤,在Spring Boot中使用Shiro置自定义过滤器就可以实现对特定请求的拦截和处理。在`CustomFilter`类的`doFilterInternal`方法中编写自定义的过滤器逻辑,例如鉴权、权限验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值