Shiro自定义Token

已于 2022-03-11 09:56:37 修改
阅读量2.9k 收藏 16
点赞数 1
分类专栏: Shiro 文章标签: shiro java spring boot
于 2021-08-10 14:29:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40675243/article/details/119566748
版权

Shiro自定义Token

1. 序言

  • 用户登录检验需要校验多个要素,不只有用户名和密码
  • 比如需要验证公司ID,主机IP,等等

2. shiro中Token的结构

Shiro中Token的继承结构图:

Shiro中Token继承结构图

  • AuthenticationToken接口类只包含获取用户的身份信息和凭证信息两个方法。

    • Object getPrincipal();

    • Object getCredentials();

  • HostAuthenticationToken接口类继承自AuthenticationToken接口,额外添加了获取主机地址方法。

    • String getHost();

  • RememberMeAuthenticationToken接口类继承自AuthenticationToken接口,额外添加了是否记住用户的布尔方法

    • boolean isRememberMe();

!所以,若想重写Token,只需要实现AuthenticationToken接口,然后添加自己需要添加的字段就可以了。

3. 自定义Token

/**
 * @Author: Hjx
 * @Date: 2021/8/10 11:17
 */
public class JWTToken implements AuthenticationToken {
    /**
     * 公司ID
     */
    String companyId;
    /**
     * 用户名称
     */
    String userName;
    /**
     * 用户密码
     */
    String userPass;
    
    public JWTToken(String companyId, String userName, String userPass) {
        this.companyId = companyId;
        this.userName = userName;
        this.userPass = userPass;
    }

    public void setCompanyId(String companyId) {
        this.companyId = companyId;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public void setUserPass(String userPass) {
        this.userPass = userPass;
    }

    public String getCompanyId() {
        return companyId;
    }

    public String getUserName() {
        return userName;
    }

    public String getUserPass() {
        return userPass;
    }

    @Override
    public Object getPrincipal() {
        return getUserName();
    }

    @Override
    public Object getCredentials() {
        return getUserPass();
    }
}

4. 重写supports方法

因为是自己定义的Token,shiro无法识别,需要修改Realm中的supports方法,使 shiro 支持自定义token。

/**
 * 重写supports方法,使 Shiro 能够识别自定义的 Token
 * @param token
 * @return
 */
@Override
public boolean supports(AuthenticationToken token) {
    return token instanceof JWTToken;
}

5. 修改认证方法doGetAuthenticationInfo

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    // 从 token 中获取用户输入的身份凭证
    JWTToken jwtToken = (JWTToken) token;
    String userName = (String)jwtToken.getPrincipal();

    // 模拟从数据库查询出的用户名和密码
    String name = "hjx";
    String pass = "1a0f1aac48cf23ffb080673fd60b5d2d";
    // 盐值
    String credentialsSalt = "hjx";
    String companyId = "100000";

    // 对companyId进行判断
    if (!companyId.equals(jwtToken.getCompanyId())){
        try {
            throw new Exception("公司ID不符!!!");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    if (name.equals(userName)){
        /*
            SimpleAuthenticationInfo 是 AuthenticationInfo 的实现类
            参数1:用户名
            参数2:md5加密后的密码
            参数3:盐值,类型为ByteSource,需要进行格式转换
            参数4:自定义realm的名称
         */
        return new SimpleAuthenticationInfo(name, pass, ByteSource.Util.bytes(credentialsSalt), this.getName());
    }
    return null;
}

6. 修改登录验证

/**
 * @Author: Hjx
 * @Date: 2021/8/10 11:43
 */
public class TestJWTAuthenticator {
    public static void main(String[] args) {
        // 创建SecurityManager安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        // 给SecurityManager设置自定义Realm
        JWTRealm jwtRealm = new JWTRealm();

        // 设置md5 凭证适配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 设置加密方式
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 设置散列次数
        hashedCredentialsMatcher.setHashIterations(1024);
        jwtRealm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(jwtRealm);
        // 给安全工具类SecurityUtils 设置 SecurityManager
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 通过安全工具类SecurityUtils获取 主体subject
        Subject subject = SecurityUtils.getSubject();

        // 创建Token,模拟接收前端用户输入的用户名和密码
        String userName = "hjx";
        String userPass = "123";
        String companyId = "100000";
        JWTToken jwtToken = new JWTToken(companyId,userName,userPass);

        try {
            System.out.println("认证状态 : "+subject.isAuthenticated());
            subject.login(jwtToken);
            System.out.println("认证状态 : "+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }

    }
}

7. 附完整的自定义Realm

/**
 * @Author: Hjx
 * @Date: 2021/8/10 11:25
 */
public class JWTRealm extends AuthorizingRealm {

    /**
     * 重写supports方法,使 Shiro 能够识别自定义的 Token
     * @param token
     * @return
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JWTToken;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        /*
            PrincipalCollection 身份的集合
            一个主体可以有多个身份,但是只有一个主身份
         */
        // 获取主体的主身份
        String principal = (String) principals.getPrimaryPrincipal();
        System.out.println("主身份信息"+principal);

        // 模拟根据用户的身份信息 从数据库中查询其角色信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRole("admin");
        simpleAuthorizationInfo.addRole("user");

        // 模拟从数据库查询权限信息,赋值给某个对象
        simpleAuthorizationInfo.addStringPermission("user:*:01");
        simpleAuthorizationInfo.addStringPermission("product:create:01");

        return simpleAuthorizationInfo;
    }


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从 token 中获取用户输入的身份凭证
        JWTToken jwtToken = (JWTToken) token;
        String userName = (String)jwtToken.getPrincipal();

        // 模拟从数据库查询出的用户名和密码
        String name = "hjx";
        String pass = "1a0f1aac48cf23ffb080673fd60b5d2d";
        // 盐值
        String credentialsSalt = "hjx";
        String companyId = "100000";

        // 对companyId进行判断
        if (!companyId.equals(jwtToken.getCompanyId())){
            try {
                throw new Exception("公司ID不符!!!");
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        if (name.equals(userName)){
            /*
                SimpleAuthenticationInfo 是 AuthenticationInfo 的实现类
                参数1:用户名
                参数2:md5加密后的密码
                参数3:盐值,类型为ByteSource,需要进行格式转换
                参数4:自定义realm的名称
             */
            return new SimpleAuthenticationInfo(name, pass, ByteSource.Util.bytes(credentialsSalt), this.getName());
        }
        return null;
    }
}

代码及资料地址:hjx: 知道的越多,越发觉自己的无知 (gitee.com)

萝卜7
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot+OAuth2,如何自定义返回的 Token 信息,java序列化和反序列化面试_oauth 2
2401_83973893的博客
04-16 906
分布式技术专题+面试解析+相关的手写和学习的笔记pdf网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!技术提升。**
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
在使用 Spring Boot 集成 Shiro 时,需要自定义一个 JwtTokenFilter 过滤器来统一对 Token 进行过滤。期间遇到了两个问题:JwtTokenFilter 无法使用 @Autowired 和 anon 过滤器失效。 二、问题一:JwtTokenFilter ...
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 4999
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
Shiro实现Token认证
最新发布
梅子黄时雨
05-10 1301
shiro使用
token,Shiro
qq_41981122的博客
11-03 683
token 1.令牌,临时的意思,用作标记.一般作为邀请,登录系统使用. 2.token服务器端产生,客户端频繁像服务器请求数据,服务端频繁和数据库操作,做出相应的提示,在这样的背景下,引入token 3.Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 为什么要用 Token? 解决问题: Token 完全由应用管理,所以它可以避开同源策略 ...
shiro的理解
01-09
在代码中,`AuthRealm` 是自定义的 Realm 类,实现了Shiro的 `doGetAuthenticationInfo` 和 `doGetAuthorizationInfo` 方法,分别处理认证和授权逻辑。 4. **AuthenticationException**: 当登录失败时,通常会抛出...
Shiro开启CSRF表单防护
12-08
3. 在 HTTP 头中自定义属性并验证:在 HTTP 头中添加一个自定义的属性,並在服务器端验证该属性是否正确。 Shiro 开启 CSRF 表单防护解决方案: 1. 在 yml 文件中配置一个属性,内容是允许访问的 Referer domains...
shiro整合cas3.5
04-01
这个过滤器的主要职责是检查 CAS 是否已经验证了用户,如果已验证,则从 CAS 服务器获取用户名,构造 Shiro 的 `AuthenticationToken`,并继续 Shiro 的认证流程。以下是部分代码示例: ```java public class ...
Spring boot整合shiro+jwt实现前后端分离
08-25
import com.serverprovider.config.shiro.jwt.JwtToken; import com.serverprovider.service.loginService.LoginServiceImpl; import com.util.Redis.RedisUtil; import com.util.ReturnUtil.SecretKey; import ...
shiro使用token登录流程
jiey0407的博客
04-22 828
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1107
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
spring集成shiro实现登录认证自定义验证功能(认证采用国密SM4算法)
爱喝浓咖啡
12-20 1850
公司在建项目采用的开发框架为spring+springMvc+hibernate,安全框架采用的是shiro,安全认证沿用了shiro自带的HashedCredentialsMatcher,现客户(国企)要求用户密码必须采用国密SM4算法进行加密,因此需对安全认证模块进行改造。 SM4加密JAVA版可参考:http://blog.csdn.net/lemon_tree12138/...
Shiro 之 UsernamePasswordToken
m0_67392661的博客
04-22 2693
一.UsernamePasswordToken UsernamePasswordToken 是用来存储用户和密码的 private String username; //用户 private char\[\] password; //密码 private boolean rememberMe; //记住密码 private String host; //主机
java单点登录token_简单实现Shiro单点登录(自定义Token令牌)
weixin_29157493的博客
02-26 487
/***单点登录(如已经登录,则直接跳转)*@paramuserCode登录用户编码*@paramtoken登录令牌,令牌组成:sso密钥+用户名+日期,进行md5加密,举例:*StringsecretKey=Global.getConfig("shiro.sso.secretKey");*Stringtoken=Digests.md5(secre...
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
ljlj8888的博客
03-12 1万+
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权一、引言二、相关说明三、项目准备配置四、实现颁发token4.1. 配置Redis:RedisConfig4.2. 编写工具类4.3. 编写登录接口:LoginController五、实现Shiro授权5.1. 重写过滤器:J...
shiro自定义验证密码的方式
成长是一辈子的事
06-02 2406
1.更改shiro安全管理配置    <!-- 定义Shiro安全管理配置 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="systemAuthorizingRe.
Spring+Shiro+Token认证
qq_24458119的博客
12-20 1万+
首先引入Shiro的依赖包 org.apache.shiro shiro-spring 1.3.2 在我们的wed.xml中加入我们的shiro过滤器 <filter> <filter-name>shiroFilter</filter-name&a
生成一个shiro自定义Realm的代码
03-31
以下是一个简单的Shiro自定义Realm代码示例: ``` import org.apache.shiro.authc.*; import org.apache.shiro.realm.*; public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 这里实现权限和角色信息的获取和设置,可以从数据库或其他数据源获取 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRole("admin"); authorizationInfo.addStringPermission("user:create"); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 这里实现用户认证,可以从数据库或其他数据源获取用户信息进行验证 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); if (!"admin".equals(username)) { throw new UnknownAccountException(); } if (!"password".equals(password)) { throw new IncorrectCredentialsException(); } return new SimpleAuthenticationInfo(username, password, getName()); } } ``` 该自定义Realm实现了Shiro的`AuthorizingRealm`接口,实现了权限和角色信息的获取和设置,以及用户认证的方法。其中,`doGetAuthorizationInfo`方法用于获取用户的角色和权限信息,并将其封装到`AuthorizationInfo`对象中返回;`doGetAuthenticationInfo`方法用于验证用户的身份和凭证信息,并将其封装到`AuthenticationInfo`对象中返回。在这个简单的示例中,认证信息被硬编码为了"admin"和"password",实际使用时应该从数据库或其他数据源中获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值