Spring Boot+Shiro 实现 Token 的登录和认证

最新推荐文章于 2022-08-24 17:40:36 发布
最新推荐文章于 2022-08-24 17:40:36 发布
阅读量5.4k 收藏 17
点赞数 4
分类专栏: Java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36802726/article/details/113125134
版权

因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为token。

Shiro和token的实现和概念网上有很多,这里就不做讲解了。

本文主要参考了这篇文章https://blog.csdn.net/sqlgao22/article/details/99186391/

先讲一下大体思路:

1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的时候cookie会被自动带上,前端不用做任何变动。

2、前端每次请求后端,进行验证的时候取出token进行验证。

重点就在于后端的拦截,所以主要讲拦截怎么做的。

登录

@PostMapping("login")
	@ApiOperation(value = "登录")
	public Result login(HttpServletRequest request, HttpServletResponse response,@RequestBody LoginDTO login) {

    //用户登录校验代码
    ...
    //shiro验证和授权
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken(login.getUsername(),                     login.getPassword());
    subject.login(token);
    //createToken方法:生成token,存入cookie并保存到数据库。
    String token1 = sysUserTokenService.createToken(user.getId());
    Cookie cookie = new Cookie("token", token1);
    cookie.setPath("/");
    response.addCookie(cookie);
    //登录成功
    return result;
}

自定义的过滤拦截

package io.renren.modules.security.token;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.codehaus.groovy.syntax.TokenUtil;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ClientShiroThree extends BasicHttpAuthenticationFilter {
	@Override
	protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse response1) throws Exception {
		HttpServletResponse response = (HttpServletResponse) response1;
		//验证失败直接返回登录页面
		response.sendRedirect("/tlyd/login.html");
		return false;
	}
	@Override
	protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse response, Object mappedValue) {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		String token = "";
		Cookie[] cookies = request.getCookies();
		for (Cookie cookie1 : cookies) {
			if ("token".equals(cookie1.getName())) {
				token=cookie1.getValue();
			}
		}
 		
		if (null == token||"".equals(token)) {
			System.out.println("-------token为空");
			return false;
		}
		//验证token的真实性
		try {
            //校验token并返回用户信息user对象
			User user=TokenUtil.getTokenBody(token);
            
			System.out.println("-------token正确");
            //验证通过重新进行授权
            Subject subject = SecurityUtils.getSubject();
		    UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
		    subject.login(login);
		} catch (Exception e) {
			e.printStackTrace();
			System.out.println("-------token有问题");
			return false;
		}
		return true;
	}
}

 进行shiro配置


package io.renren.modules.security.config;

import io.renren.modules.security.realm.UserRealm;
import io.renren.modules.security.token.ClientShiroThree;
import io.renren.modules.security.token.ShiroSessionManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.session.mgt.ServletContainerSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro的配置文件
 *
 * @author Mark sunlightcs@gmail.com
 */
@Configuration
public class ShiroConfig {

    /**
     * 单机环境,session交给shiro管理
     */
    @Bean
    @ConditionalOnProperty(prefix = "renren", name = "cluster", havingValue = "false")
    public DefaultWebSessionManager sessionManager(@Value("${renren.globalSessionTimeout:3600}") long globalSessionTimeout){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        sessionManager.setSessionValidationInterval(globalSessionTimeout * 1000);
        sessionManager.setGlobalSessionTimeout(globalSessionTimeout * 1000);

        return sessionManager;
    }


    /**
     * 集群环境,session交给spring-session管理
     */
    @Bean
    @ConditionalOnProperty(prefix = "renren", name = "cluster", havingValue = "true")
    public ServletContainerSessionManager servletContainerSessionManager() {
        return new ServletContainerSessionManager();
    }


    @Bean("securityManager")
        public SecurityManager securityManager(UserRealm userRealmr) {

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm);

        return securityManager;
    }

    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        shiroFilter.setLoginUrl("/login.html");
        shiroFilter.setUnauthorizedUrl("/");
        //加入刚刚写的自定义的过滤器ClientShiroThree并给了key:client
        Map<String, Filter> filters = shiroFilter.getFilters();
        filters.put("client", new ClientShiroThree());
        shiroFilter.setFilters(filters);


        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/statics/**", "anon");
        filterMap.put("/login.html", "anon");
        filterMap.put("/login", "anon");
        filterMap.put("/favicon.ico", "anon");
        filterMap.put("/captcha", "anon");
        filterMap.put("/downLoadBrower", "anon");
        filterMap.put("/getBaseOrgSource", "anon");
        filterMap.put("/common/**", "anon");
        filterMap.put("/cadastre/**", "anon");
        //注意这里把上面的client进行配置
        filterMap.put("/**", "client");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
        proxyCreator.setProxyTargetClass(true);
        return proxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}

这样就可以进行拦截了 ,可以看到下图,获取了前端传来的token

如果要在自定义的拦截器里面注入你的server,直接用@Autowired是无法注入的,可以看一下我这个文章https://blog.csdn.net/qq_36802726/article/details/82841735

 

小码蚁啊
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
解决前后端分离 Shiro 的用户 Token 认证问题
weixin_44338092的博客
04-17 709
【代码】解决前后端分离 Shiro 的用户 Token 认证问题。
Spring Boot 整合 Shiro 实现 Token登录认证
u011202388的博客
04-15 5999
Spring Boot 2.X 实战--Shiro (Token)登录和验证 主要介绍了 Spring Boot 整合 Spring Security 实现 Token登录认证,这一小节中,我们将实现 Spring Boot 整合 Shiro 实现 Token登录认证。 目录结构 1)Apache Shiro 简介 2)Shiro 项目配置 2.1)项目配置 3)开始...
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3035
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
springboot+shiro+jwt实现token认证登录
m0_67390788的博客
08-24 1430
至此所有集成代码都粘贴完毕,下面粘一下工具类。7.创建类LoginController。6.创建类ShiroConfig。4.创建ShiroRealm类。2.创建JWTUtil工具类。5.创建类JwtFilter。3.创建类JwtToken。代码粘完了,讲一下流程。
Spring Boot+Shiro+CAS实现单点登录
LJL's博客
05-12 7722
在网上其实已经有很多案例,但热门主流的案例都不够全面,用起来其实还有不少问题,我记录下我在公司是如何修复这些问题的。 首先大部分网络上配置都直接写在Java里,但不利于维护,我个人比较喜欢写在配置文件里,以application.yml为例。 Maven引入三个包 <!--Apache Shiro所需的jar包 --> <dependency> <gr...
shiro 实现多种方式登录_spring boot+shiro实现多种登录方式
weixin_39748928的博客
12-18 614
多种登录方式说白了就是账号密码登录和第三方登录(免密码)。账号密码登录的账号可能是手机号、邮箱、身份证号等等,这些到了shiro处理的时候就是username+password的处理;而第三方登录在本系统只需要校验用户是否存在。所涉及的类 开始引入shiro mavenorg.apache.shiroshiro-spring${shiro.version}配置基础的shiro@Configurat...
spring boot + shiro + vue 登录
yetaot的博客
03-25 3837
目录 参考 axios使用 axios安装 axios请求使用 axios拦截器 springboot前后端分离 vue前端 项目目录结构 修改主配置参数 添加控制页面 修改路由配置 Spring boot后端 项目目录结构 添加跨域拦截器 配置拦截 登录方法 获取用户信息 访问测试 参考 spring boot 整合shiro 登录参考:spring bo...
spring boot + shiro + redis 整合(完整)
m0_54849806的博客
03-28 3583
spring boot + shiro + redis 整合(完整) 什么是shiro? 1.数据库设计 2.创建springboot项目并在pom加入依赖 3. 编辑application.yml 4.建包搭架子(先把包建完) 4.1创建实体类 4.2springboot启动类 4.3启动springboot自动跳转到登陆页面 4.4全局异常类 5.后台代码 5.1 Mapper.xml 5.2 Mapper接口 5.3 server接口 6.创建ShiroConfig类 7.Rea
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
Spring BootShiro和MyBatis这三大框架的组合提供了一种高效且灵活的方式来实现这一目标。本项目通过集成这三个工具,能够根据用户的登录身份展示不同的权限菜单,确保了用户只能访问他们被授权的功能。 **Spring ...
spring boot+shiro
02-11
综合以上,"spring boot+shiro"的项目旨在创建一个高效、灵活的权限管理系统,利用Spring Boot的便利性和Shiro的安全性,实现用户认证、权限控制以及与Oracle数据库的集成,以满足企业的权限管理需求。
Spring boot整合shiro+jwt实现前后端分离
08-25
本文将介绍如何使用 Spring Boot 框架整合 Shiro 和 JWT 实现前后端分离。 一、Shiro 简介 Shiro 是一个开源的 Java 安全框架,由 Apache 软件基金会维护。Shiro 提供了身份验证、授权、会话管理、加密等功能,...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
这里,我们依赖于Spring Boot的AOP模块,以便使用Shiro的拦截器功能,以及Shiro的核心库和Shiro-Redis插件,以实现权限信息的缓存存储和动态更新。具体依赖配置如下: ```xml <!-- AOP依赖 --> <groupId>org....
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考...Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
SpringBoot jpa多条件查询(参数可能为空)语句
热门推荐
小码蚁
07-25 4万+
@Query(value = "select * from xxx where if(?1 !='',x1=?1,1=1) and if(?2 !='',x2=?2,1=1)" + "and if(?3 !='',x3=?3,1=1) ",nativeQuery = true) List&lt;XXX&gt; find(String X1,String X2,...
Java 列表Arraylist获取元素的下标
小码蚁
11-16 4万+
一个有序列表按成绩排序(列表排序点击)如: list = [{ "score": 100, "name": "刘能","id": 2,}, {"score": 50, "name": "赵四", "id": 3,}, {"score": 1,"name": "大脑袋","i
element-ui之upload上传与后台接收参数
小码蚁
05-05 2万+
页面: <el-form-item label="附件上传" prop="fysjtDesc"> <el-upload class="upload-demo" ref="upload" action=""//上传接口 :data="getfi...
Netty框架实现tcp通信
小码蚁
09-25 1万+
启动服务端 * 创建两个NIO线程组,一个专门用于接收来自客户端的连接,另一个则用于处理已经被接收的连接。 * 创建一个ServerBootstrap对象,配置Netty的一系列参数,例如接受传出数据的缓存大小等。 * 创建一个用于实际处理数据的类ChannelInitializer,进行初始化的准备工作,比如设置接受传出数据的字符集、格式以及实际处理数据的接口。 * 绑定端口,执行同...
Java对象为空时,不显示该对象属性,或者将null转换为""
小码蚁
03-29 1万+
第一种方法: @JsonInclude(JsonInclude.Include.NON_NULL) 将这个注解加在实体类对应的对象名上面,或者类名上面。 Include.ALWAYS 属性都序列化 Include.NON_DEFAULT 属性为默认值不序列化 Include.NON_EMPTY 属性为 空("") 或者为 NULL 都不序列化 Include.NON_NULL 属性...
写一个ssm+shiro登录认证
最新发布
06-10
好的,下面是一个简单的SSM+Shiro登录认证示例: 首先,需要在pom.xml中添加相关依赖: ```xml <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>5.2.3.RELEASE</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-jdbc</artifactId> <version>5.2.3.RELEASE</version> </dependency> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </dependency> ``` 其中,spring-webmvc和spring-jdbc是Spring的核心依赖,mybatis-spring-boot-starter是MyBatis的依赖,shiro-core和shiro-springShiro的依赖。 然后,在Spring的配置文件中配置数据源和MyBatis: ```xml <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> <property name="driverClassName" value="com.mysql.jdbc.Driver"/> <property name="url" value="jdbc:mysql://localhost:3306/test"/> <property name="username" value="root"/> <property name="password" value="root"/> </bean> <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean"> <property name="dataSource" ref="dataSource"/> <property name="typeAliasesPackage" value="com.example.demo.entity"/> <property name="mapperLocations" value="classpath:/mapper/*.xml"/> </bean> <bean id="mapperScanner" class="org.mybatis.spring.mapper.MapperScannerConfigurer"> <property name="basePackage" value="com.example.demo.mapper"/> </bean> ``` 接下来,配置Shiro: ```xml <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"/> </bean> <bean id="myRealm" class="com.example.demo.shiro.MyRealm"/> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login"/> <!-- 登录页面 --> <property name="successUrl" value="/index"/> <!-- 登录成功页面 --> <property name="filterChainDefinitions"> <value> /login = anon /logout = logout /** = authc </value> </property> </bean> ``` 其中,DefaultWebSecurityManager是Shiro的安全管理器,MyRealm是自定义的Realm类,ShiroFilterFactoryBean是Shiro的过滤器。 最后,实现登录认证: ```java @Controller public class LoginController { @Autowired private UserService userService; @RequestMapping("/login") public String login() { return "login"; } @RequestMapping("/index") public String index() { return "index"; } @RequestMapping("/loginCheck") @ResponseBody public String loginCheck(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "success"; } catch (AuthenticationException e) { return "fail"; } } } ``` 其中,UserService是自定义的用户服务类,login方法返回登录页面,index方法返回登录成功页面,loginCheck方法处理登录请求,判断用户名和密码是否正确。 以上就是一个简单的SSM+Shiro登录认证示例,希望可以帮到你。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值