springboot整合shiro和session的详细过程和自定义登录拦截器

最新推荐文章于 2023-03-30 20:25:12 发布
最新推荐文章于 2023-03-30 20:25:12 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: spring/springboot/springcloud 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41358574/article/details/120052477
版权

文章目录

shiro是一个安全框架,用于认证和授权,我觉得与springsecurity相比它上手更容易,同时如果是简单的登录拦截也可以用登录拦截器实现,下面先进行springboot整合 shiro的过程

1.shiro依赖

      <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.7.1</version>
        </dependency>
               <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.7.1</version>
        </dependency>

2.shiro配置

配置安全管理器:SecurityManager
Authenticator 的职责是验证用户帐号,是ShiroAPI 中身份验证核心的入口点:如果验证成功,将返回AuthenticationInfo验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException异常
•SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm 进行验证,验证规则通过AuthenticationStrategy接口指定

  /**
     * 安全管理器
     */
    @Bean
    public SecurityManager securityManager(UserRealm userRealm)
    {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(userRealm);
        // 记住我
        securityManager.setRememberMeManager(rememberMe ? rememberMeManager() : null);
        // 注入缓存管理器;
        securityManager.setCacheManager(getEhCacheManager());
        // session管理器
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

哪些url是需要拦截的,哪些是不需要拦截的,登录页面、登录成功页面的url、自定义的Realm等这些信息需要设置到Shiro中

shiro过滤器配置:

 /**
     * Shiro过滤器配置
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager)
    {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 身份认证失败,则跳转到登录页面的配置
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        // 权限认证失败,则跳转到指定页面
        shiroFilterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);
        // Shiro连接约束配置,即过滤链的定义
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 对静态资源设置匿名访问
        filterChainDefinitionMap.put("/favicon.ico**", "anon");
 //加入自己的路径和访问权限
        // 系统权限列表
        // filterChainDefinitionMap.putAll(SpringUtils.getBean(IMenuService.class).selectPermsAll());

        Map<String, Filter> filters = new LinkedHashMap<String, Filter>();
        filters.put("onlineSession", onlineSessionFilter());
        filters.put("syncOnlineSession", syncOnlineSessionFilter());
        filters.put("captchaValidate", captchaValidateFilter());
        filters.put("kickout", kickoutSessionFilter());
        // 注销成功,则跳转到指定页面
        filters.put("logout", logoutFilter());
        shiroFilterFactoryBean.setFilters(filters);

        // 所有请求需要认证
        filterChainDefinitionMap.put("/**", "user,kickout,onlineSession,syncOnlineSession");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

安全管理器关联自己的Realm

  @Bean(name="security")
    public DefaultWebSecurityManager getDefaultManager(@Qualifier("realm")UserRealm userRealm){
     DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
     //关联自己的realm
        defaultSecurityManager.setRealm(userRealm);
        return defaultSecurityManager;
    }
    @Bean(name = "realm")
    //创建realm对象
    public UserRealm userRealm(){
        return new UserRealm();
    }

关联自定义的其他管理器

    @Bean
    public SecurityManager securityManager(UserRealm userRealm)
    {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(userRealm);
        // 记住我
        securityManager.setRememberMeManager(rememberMe ? rememberMeManager() : null);
        // 注入缓存管理器;
        securityManager.setCacheManager(getEhCacheManager());
        // session管理器
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

 /**
     * 缓存管理器 使用Ehcache实现
     */
    @Bean
    public EhCacheManager getEhCacheManager()
    {
        net.sf.ehcache.CacheManager cacheManager = net.sf.ehcache.CacheManager.getCacheManager("ruoyi");
        EhCacheManager em = new EhCacheManager();
        if (StringUtils.isNull(cacheManager))
        {
            em.setCacheManager(new net.sf.ehcache.CacheManager(getCacheManagerConfigFileInputStream()));
            return em;
        }
        else
        {
            em.setCacheManager(cacheManager);
            return em;
        }
    }

缓存:Shiro内部相应的组件(DefaultSecurityManager)会自动检测相应的对象(如Realm)是否实现了CacheManagerAware并自动注入相应的CacheManager。
Shiro提供了CachingRealm,其实现了CacheManagerAware接口,提供了缓存的一些基础实现;
•AuthenticatingRealm及AuthorizingRealm也分别提供了对AuthenticationInfo和AuthorizationInfo信息的缓存。
Session 缓存
•如SecurityManager实现了SessionSecurityManager,其会判断SessionManager是否实现了CacheManagerAware接口,如果实现了会把CacheManager设置给它。
•SessionManager也会判断相应的SessionDAO(如继承自CachingSessionDAO)是否实现了CacheManagerAware,如果实现了会把CacheManager设置给它
•设置了缓存的SessionManager,查询时会先查缓存,如果找不到才查数据库。

自定义会话工厂:

//自定义sessionFactory会话
@Component
public class OnlineSessionFactory implements SessionFactory
{
    @Override
    public Session createSession(SessionContext initData)
    {
        OnlineSession session = new OnlineSession();
        if (initData != null && initData instanceof WebSessionContext)
        {
            WebSessionContext sessionContext = (WebSessionContext) initData;
            HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();
            if (request != null)
            {
                UserAgent userAgent = UserAgent.parseUserAgentString(ServletUtils.getRequest().getHeader("User-Agent"));
                // 获取客户端操作系统
                String os = userAgent.getOperatingSystem().getName();
                // 获取客户端浏览器
                String browser = userAgent.getBrowser().getName();
                session.setHost(IpUtils.getIpAddr(request));
                session.setBrowser(browser);
                session.setOs(os);
            }
        }
        return session;
    }
}

3.登陆时记录用户信息

在控制器层:

   @ApiOperation(value="登录")
@PostMapping("/login")
    public ResponseResult<User> toLogin(@ApiParam(name="用户对象",value="传入json格式",required=true)LoginForm loginForm)
{
   

    User user = userService.selectUserByLoginName(loginForm.getUserName(),loginForm.getPassword(), false);
  
    if (user != null) {
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassword(), false);
    Subject subject = SecurityUtils.getSubject();
subject.login(token);
return ResponseResult.success();}
    else return ResponseResult.error();
}

4.shiro一些工具类的学习

SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal<Map<Object, Object>>)变量中,也就是一个http请求一个subject,并绑定到当前线程。
subject.login()登陆认证成功后,下一次请求如何知道是那个用户的请求呢?
内部原理:1个请求1个Subject原理:由于ShiroFilterFactoryBean本质是个AbstractShiroFilter过滤器,所以每次请求都会执行doFilterInternal里面的createSubject方法。
源码:


public interface Subject {
    Object getPrincipal();

    PrincipalCollection getPrincipals();

    boolean isPermitted(String var1);

    boolean isPermitted(Permission var1);
    ...省略其他方法}
    

public interface SecurityManager extends Authenticator, Authorizer, SessionManager {
    Subject login(Subject var1, AuthenticationToken var2) throws AuthenticationException;

    void logout(Subject var1);

    Subject createSubject(SubjectContext var1);
}

public abstract class SecurityUtils {
    private static volatile SecurityManager securityManager;

    public SecurityUtils() {
    }

    public static Subject getSubject() {
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            subject = (new Builder()).buildSubject();
            ThreadContext.bind(subject);
        }

        return subject;
    }

    public static void setSecurityManager(SecurityManager securityManager) {
        SecurityUtils.securityManager = securityManager;
    }

    public static SecurityManager getSecurityManager() throws UnavailableSecurityManagerException {
        SecurityManager securityManager = ThreadContext.getSecurityManager();
        if (securityManager == null) {
            securityManager = SecurityUtils.securityManager;
        }

        if (securityManager == null) {
            String msg = "No SecurityManager accessible to the calling code, either bound to the " + ThreadContext.class.getName() + " or as a vm static singleton.  This is an invalid application configuration.";
            throw new UnavailableSecurityManagerException(msg);
        } else {
            return securityManager;
        }
    }
}

shiro内置的session
session.setAttribute(“username”,username)就是将username保存到session中,session的key值为username,其信息(value)为username,或者引用值。这样以后可以通过session.getAttribute(“username”)的方法来获取这个对象。通常,当用户已经登录系统后,就可以在session中存储一个用户信息对象,伺候可以随时从session中将这个对象取出来进行一些操作,比如身份验证等等。

request.getSession()可以获得HttpSession类型的对象,通常称之为session对象,session对象的作用域为一次会话,通常浏览器不关闭,保存的值就不会消失,当然也会出现session超时。服务器里面可以设置session的超时时间,web.xml中有一个session time out的地方,tomcat默认为30分钟。
session. setAttribute(“key”,value)是session设置值的方法,原理同Map集合。
getAttribute的返回值类型是Object,需要向下转型,转成你的userName类型的。比如,String session1= (String)session.getAttribute(“student”) ;

5.自定义登录拦截器

这种办法不需要引入依赖,只需要继承HandlerInterceptor 即可 实现非常简单:

@Slf4j
public class UserLoginInterceptor implements HandlerInterceptor {

	/**
	 * true 表示继续流程,false表示中断
	 * @param request
	 * @param response
	 * @param handler
	 * @return
	 * @throws Exception
	 */
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
		log.info("preHandle...");
		User user = (User) request.getSession().getAttribute(MallConst.CURRENT_USER);
		if (user == null) {
			log.info("user=null");
			throw new UserLoginException();

		}
		return true;
	}
}

然后定义一个配置类,启动时springboot便能进行自动配置

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(new UserLoginInterceptor())
				.addPathPatterns("/**")//自己添加需要拦截的路径
				.excludePathPatterns("/error", "/user/login", "/user/register", "/categories",  "/products/*");//哪些路径不需要拦截
	}
}
march of Time
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 1、开发环境 MyBatis-Plus版本: 3.1.0 SpringBoot版本:2.1.5 JDK版本:1.8 Shiro版本:1.4 Shiro-redis插件版本:3.1.0 2、数据库中测试号的密码进行了加密,密码皆为123456
springboot+shiro+springsession解决分布式session
X的博客
06-01 1195
现在一个项目后台api以集群方式部署,前端请求会经过负载均衡分散到集群上。shiro默认使用内存存储session,从而需要解决分布式session问题。 一、maven依赖 主要用到了shiro+spring-session依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter
SpringBoot整合Shiro
zhaomengxia123的博客
09-03 112
安全时互联网公司的一道生命线,几乎所有公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司选择Apache Shiro来使用。 Apache Shiro是一个功能强大、灵活的、开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。Apache Shir...
SpringBoot整合shiro自定义sessionManager
热门推荐
延陵缥缈的博客
07-23 1万+
       Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。所以很多框架都在使用shiro。而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot整合shiro完成对于用户登录的判定和权限的验证. 1.基础数据 公司...
SpringBoot+Shiro+SpringSession的简单集成配置简要步骤
yuanye348623610的专栏
07-28 1万+
1. 添加依赖的相关库 org.springframework.session spring-session 1.2.1.RELEASE org.springframework.boot spring-boot-starter-redis 1.3.3.RELEASE 2. HttpSessionConfig.java i
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 4974
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3575
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
经验之谈,不做搬运工
01-24 3081
       最近一直在研究Shiro,因为项目里面要使用Shiro进行权限控制。由于项目不只是在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session要禁用掉,同时要重新写JWT的过滤器。   说一下,使用shiro+s...
Shiro关闭session配置
m0_67392010的博客
03-28 625
Shiro关闭session配置 前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 一、引入依赖 此处引入的为 shiro-spring ,版本为 1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <ar
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot +shiro+redis实现session共享(方案二)1
08-08
springboot +shiro+redis实现session共享(方案二)1
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增...
springbootshiro整合登录认证和权限管理实例项目
04-16
亲测可用的,springbootshiro整合登录认证和权限管理实例项目,对于学习理论之后需要实战实现功能的初级程序员很有用!
用cn.hutool工具包进行图片上传下载示例
qq_41358574的博客
12-02 7193
Hutool-http针对JDK的HttpUrlConnection做一层封装,简化了HTTPS请求、文件上传、Cookie记忆等操作,使Http请求变得无比简单。 用的是smms图床。 依赖: <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <ve
shiro登录 subject.login(token)中执行逻辑和流程
qq_41358574的博客
11-02 7152
今天登录的时候一直没有记录当前用户信息下来,执行security.getsubject()时结果一直为空,遂看了下源码 使用subject.login的登录场景: (controller层) @GetMapping public Result userLogin(@ApiParam(name="userId",value="用户学号",required=true) @RequestParam(value = "userId",requir
springboot封装统一查询对象进行多条件查询案例(mybatis和mybatis-plus+反射两种版本)
qq_41358574的博客
10-27 5989
文章目录mybatis版本:通用查询接口封装辅助查询类:通用controller:自定义注解controller service mapper测试mybatis-plus实现版本entity自定义注解controllerservice 界面: mybatis版本: 通用查询接口 功能:1、单条查询 2、分页+搜索 3、查询数量 public interface ICommonQuery { /** * 根据id查询明细。 * * @param id 资源id
HttpServletRequest和@Requestparam、@RequestBody、直接实体接收请求参数的区别与示例
qq_41358574的博客
09-22 4534
文章目录概述1.HttpServletRequest2.@RequestParam3.@RequestBody4.直接实体接收HttpServletRequest请求方法详解: 概述 客户端的网络请求首先会被Http服务器接收(也叫Web服务器、web容器,其需要提供web应用运行所需的环境,接收客户端的Http请求); Web服务器根据请求的路径将请求转交给对应的Servlet容器(也称Servlet引擎,为Servlet的运行提供环境支持,可以理解为tomcat或其他服务器); Servlet容器根据对
springboot使用shiro配置多个过滤器和session同步案例
qq_41358574的博客
10-24 4386
案例代码来自ruoyi管理系统的shiro部分 知识点介绍 AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false; onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返
springboot 整合 shiro 和 jwt
最新发布
04-11
,你可以给我讲一下吗? 当然可以,SpringBoot结合Shiro和JWT可以实现安全的用户认证和授权。Shiro是一个强大的安全框架,可以提供身份验证、授权、会话管理等功能。JWT是JSON Web Token的缩写,是一种安全的身份验证方案。结合Shiro和JWT,我们可以实现更加安全、灵活的用户认证和授权机制。您可以搜索相关教程来了解具体的实现步骤。 说个笑话:如果程序员不开玩笑,他们不是一个好程序员,他们只是一个好写代码的机器人。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值