SpringBoot集成Shiro(自定义过滤器、自定义Token、加盐加密、记住密码、自动登录、Session管理)...

最新推荐文章于 2022-11-21 15:46:47 发布
最新推荐文章于 2022-11-21 15:46:47 发布
阅读量929 收藏 6
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37506542/article/details/107281897
版权
导入依赖
        <!--thymeleaf集成shiro模版-->
        <dependency>
            <groupId>com.github.theborakompanioni</groupId>
            <artifactId>thymeleaf-extras-shiro</artifactId>
            <version>2.0.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.4.0</version>
        </dependency>
springboot配置类

在springboot项目中配置shiro,包括密码加盐处理、记住密码、自动登录session管理等Bean以及自定义过滤器的配置。


/**
 * Description: shiro相关配置
 *
 */
@Configuration
public class ShiroConf {

    /**
     * shiro session的管理
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        // 会话超时时间,单位:毫秒,默认30分钟(1800000)
        sessionManager.setGlobalSessionTimeout(1800000);
        // 定时清理失效会话, 清理用户直接关闭浏览器造成的孤立会话
        sessionManager.setSessionValidationInterval(1800000);
        sessionManager.setSessionValidationSchedulerEnabled(true);
        // 指定sessionid
        sessionManager.setSessionIdCookie(sessionIdCookie());
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.getSessionIdCookie().setSecure(false);
        // 去掉shiro登录时url里的JSESSIONID
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return sessionManager;
    }

    /**
     * cookie对象;
     * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。
     */
    @Bean
    public SimpleCookie rememberMeCookie(){
        //这个参数是cookie的名称,对应前端的name = rememberMe
        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
        //<!-- 记住我cookie生效时间 ,单位秒;-->
        simpleCookie.setMaxAge(Cookie.ONE_YEAR);
        return simpleCookie;
    }

    /**
     * cookie管理对象;
     * rememberMeManager()方法是生成rememberMe管理器,而且要将这个rememberMe管理器设置到securityManager中
     */
    @Bean
    public CookieRememberMeManager rememberMeManager(){
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        //rememberMe cookie加密的密钥 默认AES算法 密钥长度(128 256 512 位)
        cookieRememberMeManager.setCipherKey("x5+126q47832#4*k".getBytes());
        return cookieRememberMeManager;
    }

     /**
     * 防止放行的静态资源等请求修改存sessionid的cookie
     */
    @Bean
    public SimpleCookie sessionIdCookie() {
        SimpleCookie sessionIdCookie = new SimpleCookie("sid");
        sessionIdCookie.setHttpOnly(true);
        sessionIdCookie.setMaxAge(-1);
        return sessionIdCookie;

    }

    /**
     * shiro 加密登录 密码加盐处理
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 散列算法
        hashedCredentialsMatcher.setHashAlgorithmName(EncryptUtil.ALGORITHM_NAME);
        // 散列次数
        hashedCredentialsMatcher.setHashIterations(EncryptUtil.HASH_ITERATIONS);
        return hashedCredentialsMatcher;
    }

    /**
     * shiro realm
     *
     * @return 自定义loginRealm
     */
    @Bean
    public Realm loginRealm() {
        LoginRealm loginRealm = new LoginRealm();
        loginRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return loginRealm;
    }

    /**
     * 安全管理器
     *
     * @return DefaultWebSecurityManager
     */
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager webSecurityManager = new DefaultWebSecurityManager();
        webSecurityManager.setCacheManager(new MemoryConstrainedCacheManager());
        // 自定义session管理
        webSecurityManager.setSessionManager(sessionManager());
        //注入记住我管理器
        webSecurityManager.setRememberMeManager(rememberMeManager());
        webSecurityManager.setRealm(loginRealm());
        return webSecurityManager;
    }

    /**
     * 为了在thymeleaf里使用shiro的标签的bean
     */
    @Bean
    public ShiroDialect shiroDialect() {
        return new ShiroDialect();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
     *
     * @return DefaultAdvisorAutoProxyCreator
     */
    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    /**
     * 开启shiro注解
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * ShiroFilterFactoryBean 使用自定义过滤器并定义过滤规则和优先级顺序,loginFilter为自定义过滤器,user为shiro框架中的过滤器,当前用于记住密码自动登录功能
     *
     * @return ShiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager());
        bean.setFilterChainDefinitions(
                "/css/** = anon\n" +
                        "/images/** = anon\n" +
                        "/webjars/** = anon\n" +
                        "/img/** = anon\n" +
                        "/js/** = anon\n" +
                        "/fonts/** = anon\n" +
                        "/error = anon\n" +
                        "/** = loginFilter,user");
        bean.setSuccessUrl("/");
        bean.setLoginUrl("/login");
        HashMap<String, Filter> filters = new HashMap<>();
        filters.put("loginFilter", new LoginFilter());
        bean.setFilters(filters);
        return bean;
    }
}
自定义Realm实现认证和授权

public class LoginRealm extends AuthorizingRealm {

    @Autowired
    IUserService userServiceImpl;

    /**
     * Description: 授权
     *
     * @param principals principals
     * @return AuthorizationInfo
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        UserInfo userInfo = (UserInfo) getAvailablePrincipal(principals);
        List<PermissionInfo> perInfos = userServiceImpl.findByLoginName(userInfo.getUserName()).getRoleInfo().getPermissionList();
        SimpleAuthorizationInfo simpleAuthorInfo = new SimpleAuthorizationInfo();
        List<String> permissionName = new ArrayList<String>();
        for (PermissionInfo perInfo : perInfos) {
            permissionName.add(perInfo.getName());
        }
        // 授权用户
        simpleAuthorInfo.addRoles(permissionName);
        return simpleAuthorInfo;
    }

    /**
     * Description: 验证
     *
     * @param token AuthenticationToken
     * @return AuthenticationInfo
     * @throws AuthenticationException AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UserToken userToken = (UserToken) token;
        // 根据用户名查询用户信息
        UserInfo user = userServiceImpl.findByLoginName(userToken.getUserName());
        if (user == null) {
            return null;
        }
        return new SimpleAuthenticationInfo(user, user.getPassWord(),
                ByteSource.Util.bytes(user.getUserId()), getName());
    }


    /**
     * 此方法必须重写,只有重写了才可以使用自己的token
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UserToken;
    }

    /**
     * 如果需要用shiro缓存授权信息,每次请求都会走AuthorizingRealm中的getAuthorizationInfo方法,如果配置了使用了缓存,
     * 这两句代码(Object key = getAuthorizationCacheKey(principals); info = cache.get(key);)会首先从缓存
     * 中取授权信息,因为用了spring session,默认的取缓存的方法是得到之前登录成功的PrincipalCollection principals,
     * 但是因为每次都是从spring session表中去反序列化得到此对象,所以每次的对象都是新的,
     * 导致每次从缓存中取都取不到,现在重写此方法,将key改成每次登录后的登录名称,类型是String,这样cache.get(key)
     * 时,比较的是String的equals方法,则只要登录名称不变就能取到缓存中的值。
     *
     * @param principals 登录成功的凭证(user信息)
     * @return 从
     */
    @Override
    protected Object getAuthorizationCacheKey(PrincipalCollection principals) {
        MallUserInfo userInfo = (MallUserInfo) principals.getPrimaryPrincipal();
        return userInfo.getUserName();
    }
}

使用自定义的token必须重写supports方法,如果要实现记住我等功能,自定义的token一定要继承自UsernamePasswordToken。

自定义过滤器
public class LoginFilter extends FormAuthenticationFilter {

    /**
     * 创建token
     *
     * @param request  请求
     * @param response 返回
     * @return userToken
     */
    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        try {
            //获取用户名\密码\图片验证码
            String username = request.getParameter("username").trim();
            String password = request.getParameter("password");
            String verifyCode = request.getParameter("verifyCode").trim();
            String clientRandom = request.getParameter("clientRandom");
            String serverRandom = request.getParameter("serverRandom");
            if (password == null || password.isEmpty()) {
                LogUtil.warn("create token failed...miss password");
            } else if (username.isEmpty()) {
                LogUtil.warn("create token failed...miss username");
            } else {
                return new UserToken(username, sipDecryptor.decrypt(serverRandom, clientRandom, password), verifyCode);
            }
        } catch (DecryptionException e) {
            LogUtil.error("create token failed...decrypt password failed", e);
        }
        return null;
    }

    /**
     * 所有请求都会经过的方法。
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request,
                                     ServletResponse response) throws Exception {

        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                Session oldSession = SecurityUtils.getSubject().getSession();
                //获取用户名、图片验证码
                String username = request.getParameter("username").trim();
                String verifyCode = request.getParameter("verifyCode").trim();
                SavedRequest savedRequest = (SavedRequest) oldSession.getAttribute("shiroSavedRequest");
                String randomCode = (String) oldSession.getAttribute("randomCode");
                // 判断图形验证码是否正确
                if (randomCode == null || !randomCode.equals(verifyCode)) {
                    oldSession.setAttribute("errorMsg", "图形验证码输入有误");
                    return true;
                } else if (!checkLoginFailCount(username, host, oldSession)) {
                    // 判断在一定的时间范围内用户是否可以登录
                    return true;
                } else {
                    oldSession.stop();
                    Session session = SecurityUtils.getSubject().getSession();
                    session.setAttribute("shiroSavedRequest", savedRequest);
                    //调用认证
                    return executeLogin(request, response);
                }
            } else {
                // allow them to see the login page ;)
                return true;
            }
        } else {
            // 不是登录请求
            saveRequestAndRedirectToLogin(request, response);
            return false;
        }
    }

    /**
     * 主要是针对登入成功的处理方法。
     * 可在这定义一些登陆成功时返回的数据
     */
    @Override
    protected boolean onLoginSuccess(AuthenticationToken token,
                                     Subject subject, ServletRequest request, ServletResponse response)
            throws Exception {
        Session session = SecurityUtils.getSubject().getSession();
        UserInfo user = (UserInfo) subject.getPrincipal();
        session.setAttribute("userName", user.getUserName());
        session.setAttribute("userId", user.getUserId());
        issueSuccessRedirect(request, response);
        return false;
    }

    /**
     * 主要是处理登入失败的方法
     */
    @Override
    protected boolean onLoginFailure(AuthenticationToken token,
                                     AuthenticationException e, ServletRequest request,
                                     ServletResponse response) {
        Session session = SecurityUtils.getSubject().getSession();
        if (e instanceof IncorrectCredentialsException) {
            session.setAttribute("errorMsg", "密码输入错误");
        } else if (e instanceof UnknownAccountException) {
            session.setAttribute("errorMsg", "该用户不存在");
        } else {
            session.setAttribute("errorMsg", "系统异常,请联系管理员");
        }
        setFailureAttribute(request, e);
        return true;
    }

}

isAccessAllowed:判断是否登录。在登录的情况下会走此方法,此方法返回true直接访问控制器
onAccessDenied:是否是拒绝登录。没有登录的情况下会走此方法
如果isAccessAllowed方法返回True,则不会再调用onAccessDenied方法,如果isAccessAllowed方法返回Flase,则会继续调用onAccessDenied方法。而onAccessDenied方法里面则是具体执行登陆的地方。
onLoginSuccess:主要是针对登入成功的处理方法。可在这定义一些登陆成功时返回的数据
onLoginFailure:主要是处理登入失败的方法。可在这定义一些登陆失败时返回的数据

qq_37506542
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SMM+shiro集成jwt 生成token 实现与vue验证登录
一个抽风的女Ren的博客
01-20 1315
之前的后台由smm+shiro搭建,最近想要pc端实现前后端分离,但移动端和管理端这些公用一个,想要实现前后端分离,而且不影响管理端的操作,管理端是由session存储用户信息,之前的pc端也是,通过shiro实现登录授权认证,现在pc端实现前后分离,这样的话前后交互不安全,同时存在跨域的问题,因此,想实现pc端前后分离,不影响 管理端,所以pc端采用jwt生成token,进行每次操作的验证。 ...
SpringBoot整合shiro自定义sessionManager
热门推荐
延陵缥缈的博客
07-23 1万+
       Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。所以很多框架都在使用shiro。而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot整合shiro完成对于用户登录的判定和权限的验证. 1.基础数据 公司...
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 4974
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理
springboot+shiro+redis缓存+redis会话管理(自定义)
某某人的博客
01-07 1万+
首先要想通过Redis进行会话管理和缓存的话   就要实现这些各类 Cache、CacheManager、CachingSessionDao都是shiro里面的类。 讲一下在写代码中遇到的坑 1.序列化和反序列化的问题 序列化的问题主要是体现在对session的id进行序列化的时候会出现一个问题,可以利用Apache的common的lang3组件里面有对序列化操作的工具类。但是我在处理的过程
springboot2.X集成hibernate5(非springJPA)配置sessionFactory工厂实现数据库操作
weixin_44341110的博客
03-25 1647
一、引入相关依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/
springboot整合shirosession问题UnknownSessionException There is no session with id
web15286201346的博客
04-26 688
报错信息如下 [2018-12-19 02:25:13.852][http-nio-8077-exec-8][DEBUG][org.apache.shiro.web.servlet.SimpleCookie][389]:Found 'SHRIOSESSIONID' cookie value [2387e612-1c34-44b5-b00f-faa2937e2c7f] [2018-12-19 02:25:13.853][http-nio-8077-exec-8][DEBUG][org.apache.shiro
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot+Shiro学习之密码加密登录失败次数限制示例
08-31
本篇文章主要介绍了SpringBoot+Shiro学习之密码加密登录失败次数限制示例,可以限制登陆次数,有兴趣的同学可以了解一下。
springbootshiro密码加密,mybatis,redis的整合项目
04-02
后台在通过shiro进行授权和认证,分为普通用户和管理员两种角色,普通用户只能访问商品,管理员可以访问商品和用户界面的基础上加入了密码加密登录时利用了redis缓存。里面包含数据库文件希望能帮助到大家学习。
Springboot整合Shiro加盐MD5加密的方法
08-26
主要介绍了Springboot整合Shiro加盐MD5加密的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
springbootshiro集成
weixin_41490593的博客
05-08 962
加入依赖 <!--Shiro核心框架 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </...
springboot整合shirosession的详细过程和自定义登录拦截器
qq_41358574的博客
09-02 1326
1.依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> <dependen
Spring boot中Session Factory的使用
huoji555的博客
11-07 4907
最近在搭建Spring Boot项目的时候,因为项目较大的原因,由于直接继承spring boot自带的jpa会在Dao层写很多sql语句,且不能通用,于是抽象了一个底层方法,方便各层的继承。下面是抽象的底层类具体实现方法的部分代码。 BaseDaoImpl.java@Transactional public class BaseDaoImpl implements IBaseDao { p
springboot+shiro+jwt实现token认证登录
qq_40997700的博客
12-17 4571
准备: springboot 2.5.5 jdk 1.8 没有操作刷新token功能,也没有放redis做缓存 1.先贴代码 2.后讲一下验证逻辑 1.导入依赖 <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&gt
基于springboot自定义token实现登录功能
保护我方程序员
03-25 1295
一般的登录权限框架有spring security和shiro两种,但是如果只是单单实现一个登录功能,没有更多的权限交互,引入沉重的框架来处理反而会出现很多问题或者加重程序的处理效率,所以,用自定义token来实现登录功能在一些小开发中也可以使用到. 首先推荐大家一款非常实用的工具包—hutool,这个工具包整合了很多细节方法,平时开发中利用这个包可以实现很多之前觉得非常复杂的业务,在本案例中,我也采用了hutool中的一些方法,着实舒服!! 先介绍一下我用到的hutool中的方法吧!! 对于登录功能,
springboot项目中使用shiro 自定义过滤器token的方式
ratel的博客
01-04 4969
springboot前后端分离项目中使用shiro 实现自定义过滤器token的方式
spring shiro 通过自定义注解跳过登录验证(无token)访问接口
qq_50647760的博客
11-21 2857
spring shiro 通过自定义注解跳过登录验证(无token)访问接口
shiro - 使用 token
bhegi_seg的博客
03-28 1098
整合文章: 为什么使用tokensessiontoken的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
springboot集成shiro权限管理
最新发布
07-08
在main()方法中,可以使用org.apache.shiro.SecurityUtils类的setSecurityManager()方法来设置Shiro的安全管理器。 完成以上步骤后,Spring Boot应用程序就集成Shiro权限管理功能。可以通过编写相应的Controller...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值