shiro springboot 认证 授权流程

最新推荐文章于 2023-05-07 20:33:27 发布
最新推荐文章于 2023-05-07 20:33:27 发布
阅读量247 收藏 1
点赞数
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36971758/article/details/125306388
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

—参与到一个新的项目使用的shiro框架作为安全框架,在网上参考文章得到了些启发记录一下shiro 的认证授权流程

提示:以下是本篇文章正文内容,下面案例可供参考

shiro 认证流程的实现

1.继承AuthorizingRealm 类重写doGetAuthenticationInfo()方法

代码如下(示例):

public class UserRealm extends AuthorizingRealm {

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        // 1. 把AuthenticationToken转换为CustomizedToken
        //2.CustomizedToken 继承自UsernamePasswordToken
        // (可用于存放自定义的一些用户信息)
        CustomizedToken customizedToken = (CustomizedToken) token;
                // 3. 从CustomizedToken中获取用户信息
        Long confId = customizedToken.getConferenceId();
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
		//查询数据库做用户相关判断
		.........
	
		// 认证通过,则返回认证info给shiro进一步处理:如缓存等。
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(loginUser, password, realname);
        //loginUser 为存贮的身份信息
        return info;

2.重写doGetAuthorizationInfo()

代码如下(示例):

 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    	//1.从 principals 中获取当前登录的用户信息
        LoginUser user = (LoginUser) principals.getPrimaryPrincipal();
        //2.获取用户的所有权限
        List<String> permsList = new ArrayList<>();
        
            permsList = shiroService.getAllPerms();

            permsList = shiroService.getAllPermsByUserId(user.getId());


        //3.用户权限封装为set列表
        Set<String> permsSet = new HashSet<String>();
          for (String perms : permsList) {
               if (StringUtils.isBlank(perms)) {
                   continue;
                   permsSet.addAll(Arrays.asList(perms.trim().split(",")));
               }
               
           }
         //4.权限存如缓存
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

3.配置shiro配置类


@Configuration
public class ShiroDetailConfig {
    @Bean
    public UserRealm getRealm() {
        // 1、获取配置的Realm,之所以没使用注解配置,是因为此处需要考虑到加密处理
        UserRealm realm = new UserRealm();
        realm.setName("HYH_OA_USER_REALM_NAME");
        realm.setCachingEnabled(true);
        realm.setAuthenticationCacheName("authenticationCache");
        realm.setAuthenticationCachingEnabled(true);
        realm.setAuthorizationCacheName("authorizationCache");
        realm.setAuthorizationCachingEnabled(true);
        
        realm.setCacheManager(getCacheManager());
        return realm;
    }

    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
	//代理 授权核心配置
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
        daap.setProxyTargetClass(true);
        return daap;
    }
    //配置通知//授权的核心
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(
            DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor();
        aasa.setSecurityManager(securityManager);
        return aasa;
    }


    @Bean
    public RedisCacheManager getCacheManager() {
        //缓存配置
        RedisCacheManager cacheManager = new RedisCacheManager();
        cacheManager.setRedisManager(getRedisManger());
        return cacheManager;
    }
    

    @Bean
    public RedisManager getRedisManger() {
        return new RedisManager();
    }



    @Bean("sessionManager")
    public DefaultWebSessionManager getSessionManager(SessionDAO sessionDAO) { // 6
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setGlobalSessionTimeout(3600000); //设置session过期时间为1小时(单位:毫秒),默认为30分钟
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        sessionManager.setSessionDAO(sessionDAO);

        return sessionManager;
    }

    @Bean("securityManager")
    //设置管理器
    public DefaultWebSecurityManager getSecurityManager(Realm userRealm, RedisCacheManager cacheManager,
                                                        SessionManager sessionManager, RememberMeManager rememberMeManager) {// 7
        DefaultWebSecurityManager securityManager = new StatelessSecurityManager();
        securityManager.setRealm(userRealm);
        securityManager.setCacheManager(getCacheManager());
        securityManager.setSessionManager(sessionManager);
        securityManager.setRememberMeManager(rememberMeManager);
        return securityManager;
    }



    @Bean("shiroFilter")
    //shrio过滤器
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/loginException"); // 设置登录页路径
        shiroFilterFactoryBean.setSuccessUrl("/"); // 设置跳转成功页
        shiroFilterFactoryBean.setUnauthorizedUrl("/authorizedException"); // 授权错误页

        Map<String, Filter> filters = new HashMap<String, Filter>();
        filters.put("statelessAuth", this.getOAuth2Filter());
        shiroFilterFactoryBean.setFilters(filters);

        Map<String, String> filterChainDefinitionMap = new HashMap<String, String>();
		//添加拦截资源
		//anon 不需要验证的资源
		//authc 需要认证才可访问
		//role 资源需要得到角色才可
		//perms 资源访问需要得到资源
        filterChainDefinitionMap.put("/login", "anon");
// 请求拦截路径
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
}

执行登录

@PostMapping("/login")
    public Response loginServerSystem(@NotEmpty String userName, @NotEmpty String password) throws IOException {
        Subject subject = ShiroUtil.getSubject();
        // sha256加密
        password = new Sha256Hash(password).toHex();
        // UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
        CustomizedToken token = new CustomizedToken(userName, password
                , CommonConstant.LOGIN_USER_SYSTEM, DictoryConstant.USER_BELONG_TO_HOME);
        subject.login(token);

接口权限

接口上加注解:@RequiresPermissions(“user:del”)

总结

写得潦草,欢迎各位大佬指导
参考文章:https://hardy.blog.csdn.net/article/details/110501155?spm=1001.2014.3001.5506

58戈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot继承JWT token实现权限的验证(从头开始)
aabbbccc6788123的博客
05-27 1682
在开发后端接口时,数据的直接暴露可能会导致安全问题。为了应对这种情况,我们需要在访问接口时进行拦截验证,以确保只有经过身份验证的用户才能访问数据。为实现这一目的,我们需要编写一个拦截器,用于检查每次请求中是否携带有效的token(即身份验证令牌)。只有当用户携带有效token时,才能进行数据访问操作;否则,将对请求进行拦截并禁止访问敏感数据。通过编写拦截器实现身份验证,我们能够提高系统的安全性并保护数据免受未经授权的访问。这种做法有助于规避潜在的安全风险,有效保障系统的信息安全。
springbootshiro整合
while(True): print('adorable')
10-29 236
shiro~ shiro快速入门springboot 整合shiro核心目标清爽pom用户认证授权认证,与数据库交互shiro configuration核心controller 获取shiro 中的token页面控制功能的隐藏和显示 https://github.com/sevenyoungairye/spring-boot-study/tree/main/springboot-shiro-07 shiro快速入门 什么是shiro apache shiro 是一个java的安全(权限)框架。 sh
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
fj200821的专栏
01-18 2万+
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
SpringBoot-Shiro权限控制( 3 )
志豪的博客
12-13 354
SpringBoot-Shiro权限控制(2019.12.13) 在《Spring-Boot-shiro用户认证》中,我们通过继承AuthorizingRealm抽象类实现了doGetAuthenticationInfo()方法完成了用户认证操作。接下来继续实现doGetAuthorizationInfo()方法完成Shiro的权限控制功能。 授权也称为访问控制,是管理资源访问的过程。即根据不同用...
springboot 整合shiroAuthentication
曹振浩
03-11 564
shiro目录: springboot 整合shiroshiroconfig配置文件 springboot 整合shiroAuthentication shior作为轻量级的权限管理框架,相较于SpringSecurity框架,没有其强大的功能,但在是学习和实际使用中,shiro可以满足基本的使用,包括有身份验证、授权、加密的功能 shiro的功能介绍,分为以下几块(官方介绍,看不懂 的...
shiro dogetauthenticationinfo 不执行_Shiro—强大且易用的Java安全框架
weixin_39673704的博客
12-18 624
配套视频:shiro安全框架课程教程_java进阶之Apache Shiro权限验证框架视频讲解_Shiro从入门到实践_哔哩哔哩 (゜-゜)つロ 干杯~-bilibili​www.bilibili.com百度网盘链接:https://pan.baidu.com/s/1TT6_odMoC5eAuWdmMETjVg 提取码:v4y2 本文主要内容1. Shiro简介2. Shiro架构原理3. IN...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
springboot-shiro认证系统框架--成型框架
09-17
SpringBoot-Shiro 认证系统框架是一个成熟的解决方案,它整合了SpringBoot和Apache Shiro这两个强大的工具,旨在简化Web应用的安全管理。这个成型框架提供了一个完整的认证中心服务,支持分布式环境,非常适合在生产...
shiro-springboot.zip
05-24
总之,"shiro-springboot.zip" 项目展示了如何在 Spring Boot 应用中整合 Apache Shiro,实现用户认证授权的基本功能。通过学习和实践,开发者能够更好地理解 Shiro 的工作原理,并将其应用于实际项目中,提高系统...
springboot整合shiro
11-27
以上就是SpringBoot整合Shiro的基本流程和关键点。这个过程中涉及到了SpringBoot的自动配置、Shiro的核心组件使用、权限控制策略、以及密码加密等知识点。通过这样的整合,你可以构建出一套高效且易于维护的权限管理...
shiro的全流程demo,世界shirospring认证授权流程,自定义授权类型,分布式session、授权缓存的实现
最新发布
09-11
本项目是一个基于 Spring BootShiro流程示例,涵盖了从用户登录认证到权限控制的完整流程,并实现了自定义授权类型、分布式 session 和授权缓存。 首先,我们来看 Shiro认证过程。在 Spring Boot 应用中...
Spring Boot集成Shiro 登录后访问请求不执行Realm的授权doGetAuthorizationInfo方法
zuozhiyoulaisam的专栏
05-20 3221
springboot集成shiro的时候在注解方法访问没有经过授权的校验:aop:config在shiro权限注解中发挥的作用 产生的原因是:授权的注解没有进行生效 需要改正: 1.注入通知器: com.sml.shiro.config.ShiroConfig /** * 注入AuthorizationAttributeSourceAdvisor 实现了Meth...
springboot切面实现token权限校验
m0_54250110的博客
05-07 1175
我们需要对一些控制层中特定的方法进行权限校验,并且部分方法的权限要求可能是不同的,所以需要给方法添加自定义注解,注解中包含所需的权限/*** 权限校验注解*/
解决:shiro中重写doGetAuthenticationInfo,结果先执行doGetAuthenticationInfo后执行login的问题
Liucheng417的博客
07-17 1万+
前提: Springboot整合Shiro后,启动项目,点击一次登录,却先执行MyShiroRelam类(继承AuthorizingRelam类)中的重写方法doGetAuthenticationInfo(),token为null,再执行Login调用的此方法,传过来username和password的验证。再执行doGetAuthenticationInfo()方法,token为null 原...
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo后执行login的问题
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
关于Shiro中的Realm
冲吧,不要停!
12-25 3709
前言   最近看关于Shiro的一些文章,看的有点一头雾水。看了看源码,又看了看文章,把自己的理解的记录一下。 (看的文章:跟我学Shiro目录贴 。有兴趣的可以看一下,这里的例子来自于这些文章)
springboot 加入token安全认证 手把手教程
qq_42017966的博客
08-26 4082
springboot 加入token安全认证 手把手教程
shiro springboot 源码
07-13
它负责创建Shiro的安全过滤器链,并根据配置决定哪些请求应该经过Shiro认证授权。 DefaultWebSecurityManager是Shiro的安全管理器,它负责管理和协调Shiro的各种组件,比如Realm、SessionManager等。它是Shiro...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值