springBoot 项目集成shiro安全框架并设置shiro的过期时间以及存储当前登陆用户

最新推荐文章于 2022-08-24 19:10:23 发布
最新推荐文章于 2022-08-24 19:10:23 发布
阅读量1.3k 收藏 2
点赞数 2
文章标签: java shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41822960/article/details/119900697
版权

记录着玩。最近搭建了一套Spring boot的项目,所以想着搞一个安全框架,所以就搭建了一套shiro框架。

第一步:在pom文件中引入shiro的包

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.3.2</version>
        </dependency>

第二部:创建shiro的conf文件和customerRealm文件

第一个是shiroConf文件

package com.example.springboot.config;

import com.example.springboot.shiro.CustomRealm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    @Bean
    @ConditionalOnMissingBean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAAP = new DefaultAdvisorAutoProxyCreator();
        defaultAAP.setProxyTargetClass(true);
        return defaultAAP;
    }

    //将自己的验证方式加入容器
    @Bean(name = "CustomRealm")
    public CustomRealm myShiroRealm() {
        CustomRealm customRealm = new CustomRealm();
        return customRealm;
    }

    //权限管理,配置主要是Realm的管理认证
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new HashMap<>();
        map.put("/login","anon");
        map.put("/doc.html", "anon");
        map.put("/swagger-resources/**", "anon");
        map.put("/v2/api-docs", "anon");
        map.put("/v2/api-docs-ext", "anon");
        map.put("/webjars/**", "anon");
        map.put("/**", "authc");
//        //登录
        shiroFilterFactoryBean.setLoginUrl("/login");
//        //首页
//        shiroFilterFactoryBean.setSuccessUrl("/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }


    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

第二个是customRealm

package com.example.springboot.shiro;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.example.springboot.entity.UserEntity;
import com.example.springboot.service.UserService;
import com.example.springboot.utils.PasswordEncryption;
import lombok.SneakyThrows;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashSet;
import java.util.Set;

public class CustomRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String username = (String) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        Set<String> stringSet = new HashSet<>();
        stringSet.add("user:show");
        stringSet.add("user:admin");
        info.setStringPermissions(stringSet);
        return info;
    }

    /**
     * shiro认证账号密码
     * <p>
     * 获取即将需要认证的信息
     */
    @SneakyThrows
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("-------身份认证方法--------");
        String userName = (String) authenticationToken.getPrincipal();
        String userPwd = new String((char[]) authenticationToken.getCredentials());
        //根据用户名从数据库获取密码
        UserEntity one = userService.getOne(new LambdaQueryWrapper<UserEntity>().eq(UserEntity::getUserName, userName));
        if (null == one)
            throw new UnknownAccountException("账号不存在");
        if (one.getStatus().equals("0"))
            throw new LockedAccountException("用户被锁定");
        if (!PasswordEncryption.authenticate(userPwd, one.getPassword(), one.getMD5()))
            throw new IncorrectCredentialsException("密码错误");

        //将用户数据存储在session中
        Session session = SecurityUtils.getSubject().getSession();
        session.setAttribute("userSession", one);
        SecurityUtils.getSubject().getSession().setTimeout(1000 * 60);//设置session过期时间
        return new SimpleAuthenticationInfo(userName, userPwd, getName());
    }
}

在customRealm中要重写doGetAuthenticationInfo方法作为登陆验证SecurityUtils.getSubject().getSession().setTimeout(1000 * 60);这句可以设置session的超时时间,单位是毫秒。

//将用户数据存储在session中 Session session = SecurityUtils.getSubject().getSession(); session.setAttribute("userSession", one);

上面两句则创建一个session并且将用户实体类one存储到seeeion中。

可以将存储的用户实体写作一个公共的controller,并且每一个controller去继承。

package com.example.springboot.controller;

import com.example.springboot.entity.UserEntity;
import org.apache.shiro.SecurityUtils;

public class BaseController {
    public UserEntity getUserSession() {
        UserEntity userSession = (UserEntity) SecurityUtils.getSubject().getSession().getAttribute("userSession");
        return userSession;
    }
}

接下来贴出登陆接口。

    @ApiOperation(value = "登陆")
    @PostMapping(value = "/login")
    public Result login(@RequestBody UserEntity user) {
        if (StringUtils.isNotBlank(user.getUserName()) && StringUtils.isNotBlank(user.getPassword())) {
            try {
                Subject subject = SecurityUtils.getSubject();
                UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(user.getUserName(), user.getPassword());
                subject.login(usernamePasswordToken);
            } catch (UnknownAccountException e) {
                return Result.error(CodeMsg.USERERROR, "账号不存在");
            } catch (LockedAccountException lock) {
                return Result.error(CodeMsg.USERERROR, "用户被锁定");
            } catch (IncorrectCredentialsException exception) {
                return Result.error(CodeMsg.USERERROR, "密码错误");
            }
            return Result.success("登陆成功");
        }
        return Result.error(CodeMsg.USERERROR, "用户名密码不能为空");
    }

subject.login会调用到customRealm中重写的doGetAuthenticationInfo方法。

以上内容都是个人瞎记录,有什么问题请大佬们指出。

一个正在努力的菜鸡程序员
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架用户角色权限
07-26
springbootshiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成...
shiro如何设置登陆过期时间
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-07 1634
永不过期,在登陆最开始加上 SecurityUtils.getSubject().getSession().setTimeout(-1000L); 其他时间 单位毫秒,如下设置时间为30分钟 SecurityUtils.getSubject().getSession().setTimeout(1800000);
shiro登陆成功保存用户信息到session
m0_67400972的博客
03-28 1019
[导读]我们经常会需要把登录成功后的用户信息保存到session,但是如果我们使用shiro做权限管理,该怎么去实现呢? 我们经常会需要把登录成功后的用户信息保存到session,但是如果我们使用shiro做权限管理,该怎么去实现呢?其实很简单 第一步:写一个类CustomFormAuthenticationFilter继承FormAuthenticationFilter,并重写onLoginSuccess方法,以下是我的实现@Override protectedbooleanonLoginSucces
js-cookie设置token过期时间_SpringBoot + Shiro + JWT 权限管理,过期刷新,小程序商城...
weixin_39916479的博客
11-29 544
前后端基于json进行交互,接口通过JWT无状态token进行权限校验登录时,密码验证通过,取当前时间戳生成签名Token,放在Response Header的Authorization属性,同时在缓存记录值为当前时间戳的RefreshToken,并设置有效期客户端请求每次携带Token进行请求服务端每次校验请求的Token有效后,同时比对Token时间戳与缓存的RefreshToken...
Spring-shiro-Boot-4 存储token
良之才的专栏
03-14 1770
这节主要讲用redis存储token,跟shiro基本上没有关系。 但是与是使用shiro做无状态管理所需要的。 一、token组成: (1)在redis存储 [key] tokens:UUID-key [value] usernamePasswordToken的JSON字符串 [expire] 过期时间 (2)在java的数据模型 public class Token implements Serializable { private static final long s
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
SpringBoot集成 Shiro安全框架,适合小白刚刚接触Shiro,或者需要对Shiro进一步加深理解的同学
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
08-19
主要介绍了Springboot+Shiro记录用户登录信息,并获取当前登录用户信息,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
springbootshiro安全框架的整合
08-05
Springboot+shiro springbootshiro安全框架的整合,适合初学者。
springboot集成freemarker和shiro框架
03-14
网上找不到springboot框架集成freemarker过程集成shiro框架,所以写了一个,供大家使用。
shiro修改session认证信息过期时间
热门推荐
王大不明白总有一天会明白
03-06 1万+
shiro框架存储在session的认证信息过期时间默认为30分钟可通过修改timeout修改过期时间 SecurityUtils.getSubject().getSession().setTimeout(-1000L);当timeout设置为负数时 表示永不过期timeout时间单位为ms,但是Shiro会把这个时间转成:s,而且是会舍掉小数部分,这样我设置的是-1ms,转成s后就是0s...
springboot +vue实现token登录1之vue的token存储
weixin_42199791的博客
08-05 3359
0.写在前面 在前后端完全分离的情况下,Vue项目实现token验证大致思路如下: 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 有无 tok...
Springboot 最简单实现验证码过期的功能
mar5342的博客
02-11 1985
后台使用Captcha生成验证码 使用Redis存储sessionId绑定客户端验证码 1、生成验证码后,在redissessionId作为验证码Key @GetMapping(value = {"","/"}) public void getKaptchaImage(HttpServletRequest request, HttpServletResponse response) throws IOException { HttpSession session = requ.
Shiro的session id 变化很快,导致验证码过期,用不了
wilsonke的专栏
03-10 3371
今天,以shiro做一个项目研究,发现shiro的session id变化很快,查了很久,结果在网上发现了一个说法: &lt;bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"&gt; &lt;property name="sessionDAO" ...
SpringBoot + Shiro + Jwt 实现登录认证,代码分析
passerbyYSQ
08-25 5412
前言 花了几天了解Shiro框架(也不算太深入),根据网上资料做了一个Demo:SpringBoot 2.2.9.RELEASE+ Shiro + Jwt 实现登录认证。 1、这个Demo关注 登录授权(比较通用),基本不涉及权限控制,因为权限控制设计到具体业务。所以可以本Demo可以根据自身实际情况稍加修改,就可以作为前后端分离项目的登录模块。 2、本博客适用于对Shiro和Jwt有了解,起码对于几个关键的类的作用及方法有了解,下面我不会展开,只会对Demo的思路和代码做分析。 思路分析
token 登录途自动延迟失效时间
liuhm的博客
11-02 4727
token 登录途自动延迟失效时间 方法一 refresh token 前端 所谓多请求,就是指在短时间内同时发生多个请求,如果此时token已经过期,那么这些请求都会出现token过期请求失败的情况。 为了避免反复刷新token,需要设置一个刷新token的开关isRefresh,当一个请求出现token过期的时候,这个时候会调用token刷新函数,与此同时关闭开关将isRefresh的值设置为false,避免后续请求去调用token刷新函数。 当发现token过期时,咱们将请求延缓到token刷新
Spring 自带内存缓存配置,校验密码输入次数锁定账户5分钟及过期时间设置(二)
夕慕慕的博客
09-09 2870
 1、经过参考一些文档整合了,校验密码输入错误次数及锁定多久的时间设置。希望能帮助有需要的朋友。好用请拿走,给个好评谢谢! package com.etop.shiro; import java.sql.Date; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Map; impor...
Shiro认证登陆默认登录有效期30分钟的问题
[email protected]的博客
06-06 2141
采用shiro认证,使用session登录,默认有效期30分钟。
Shiro框架的授权实现源码分析之登录身份信息保存
smalllongonline的专栏
08-24 721
Shiro框架的授权实现源码分析之登录身份信息保存
springboot集成shiro框架
最新发布
06-28
Spring Boot 集成 Shiro 框架可以实现在应用实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值