Shiro实现用户认证和授权

最新推荐文章于 2024-07-08 16:55:04 发布
最新推荐文章于 2024-07-08 16:55:04 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: 【框架-Shiro】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42764468/article/details/107641719
版权

文章目录

1. Shiro认证

1. Shiro认证流程源码分析

主体(subject)需要携带身份信息和凭证信息,shiro在认证时会将这些信息打包成一个令牌,进入到安全管理器中进行认证。
在这里插入图片描述

public class TestAuthenticator {
    public static void main(String[] args) {

        //1.创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        //2.给安全管理器设置realm
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));

        //3.SecurityUtils 给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        //4.关键对象 subject 主体
        Subject subject = SecurityUtils.getSubject();

        //5.创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen","123");

        try{
            System.out.println("认证状态: "+ subject.isAuthenticated());
            subject.login(token);//用户认证
            System.out.println("认证状态: "+ subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("认证失败: 用户名不存在~");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("认证失败: 密码错误~");
        }
    }
}

源码分析:

在这里插入图片描述

① subject.login(token)实际上底层是由securityManager进行认证的:

public void login(AuthenticationToken token) throws AuthenticationException {
        this.clearRunAsIdentitiesInternal();
        //底层是由securityManager进行认证的,this传入的是安全管理器的实现类,token是用户信息和认证信息
        Subject subject = this.securityManager.login(this, token);
 		//......
    }
}

② DefaultSecurityManager类中在login()方法内部,会调用authticate(token)方法进行认证,认证后返回认证信息:

public Subject login(Subject subject, AuthenticationToken token)throws AuthenticationException{
    	//封装了认证信息
        AuthenticationInfo info;
        try {
            //进项认证,返回认证信息
            info = authenticate(token);
        } catch (AuthenticationException ae) {
            //.....
        }
        return loggedIn;
}

③ AuthenticatingSecurityManager类,即调用的父类的中的authenticate(token)方法:

  public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
      	//调用当前这个类中的anthenticator这个方法中的authenticate(token)方法
        return this.authenticator.authenticate(token);
    }

④ AbstractAuthenticator类,在这个类中调用方法authenticate(token)方法:

		public final AuthenticationInfo authenticate(AuthenticationToken token) throws 	AuthenticationException {
		//认证信息
        AuthenticationInfo info;
        try {
            //执行认证
            info = doAuthenticate(token);
        }
            //.....
            throw ae;
        }

⑤ 判断是否配置realm,然后继续认证:

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        //断言,是否配置realm
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            //如果只配置了一个realm,进行认证
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }

⑥ 调用realm.getAuthenticationInfo(token)

    protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        return info;
    }

⑦ getAuthenticationInfo( token)方法:先从缓存中获取认证信息,先进行用户名的认证

    public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //otherwise not cached, perform the lookup:
            info = doGetAuthenticationInfo(token);
        }
		//.....
        return info;
    }

⑧ 在SimpleAccountRealm类中的doGetAuthenticationInfo()方法:这个方法只完成了用户名的认证

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //将AuthenticationToken强转为UsernamePasswordToken 
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        //通过用户名获取用户信息
        SimpleAccount account = getUser(upToken.getUsername());
        return account;
    }

⑨ getAuthenticationInfo( token)方法:继续进行用户密码的认证

  public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //如果用户信息为null,就去认证用户名是否正确
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        }
        if (info != null) {
            //如果用户信息不为null,就去认证密码是否正确
            assertCredentialsMatch(token, info);
        } 
        return info;
    }

总结:分析到这儿就结束了,就是说如果我们想自定义Realm,就需要重写doGetAuthenticationInfo()方法换成自己去读数据库用户信息即可,密码不需要我们去校验,密码是在用户信息校验之后自己去校验的:

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //将AuthenticationToken强转为UsernamePasswordToken 
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        //通过用户名获取用户信息
        SimpleAccount account = getUser(upToken.getUsername());
        return account;
    }

真正实现认证的类就是SimpleAccountRealm,看下这个类的源码,可以得知,这个类继承自AuthorizingRealm,因此如果我们想自定义realm也需要继承这个类AuthorizingRealm

public class SimpleAccountRealm extends AuthorizingRealm {
    // .....
    
	//实现认证的方法
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());

        if (account != null) {
            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }
        }
        return account;
    }

    // 实现授权的方法
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = getUsername(principals);
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }
}

2. 自定义Realm

自定义Realm的目的是将认证/授权的数据源转为数据库:

public class CustomerRealm extends AuthorizingRealm {
    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //从token中获取用户名
        String principal = (String) token.getPrincipal();
        if("xiaochen".equals(principal)){
            //数据库中的身份信息、凭证信息、realm的名字
            return new SimpleAuthenticationInfo(principal,"123",this.getName());
        }
        return null;
    }
}

使用自定义realm进行认证:

public class TestAuthenticatorCusttomerRealm {
    public static void main(String[] args) {
        //创建securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //IniRealm realm = new IniRealm("classpath:shiro.ini");
        //设置为自定义realm获取认证数据
        defaultSecurityManager.setRealm(new CustomerRealm());
        //将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌,交给安全管理器去进行认证(查询数据库信息并比较是否相同)
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen", "123");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }
    }
}

3. md5+salt密码加盐认证

实际应用是将盐和散列后的值存在数据库中,自动realm从数据库取出盐和加密后的值由shiro完成密码校验。

public class TestShiroMD5 {
    public static void main(String[] args) {
        //使用md5
        Md5Hash md5Hash = new Md5Hash("123");

        System.out.println(md5Hash.toHex());

        //使用MD5 + salt处理
        Md5Hash md5Hash1 = new Md5Hash("123", "X0*7ps");

        System.out.println(md5Hash1.toHex());

        //使用md5 + salt + hash散列
        Md5Hash md5Hash2 = new Md5Hash("123", "X0*7ps", 1024);
        System.out.println(md5Hash2.toHex());
    }
}

使用密码加盐自定义Realm:

public class CustomerRealm extends AuthorizingRealm {
    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String) token.getPrincipal();
        if("xiaochen".equals(principal)){
            //数据库中加密加盐后使用md5算法后的密码
            String password = "3c88b338102c1a343bcb88cd3878758e";
            //盐
            String salt = "Q4F%";
            return new SimpleAuthenticationInfo(principal,password, 
                                                ByteSource.Util.bytes(salt),this.getName());
        }
        return null;
    }
}

使用密码加盐自定义Realm进行认证:

  1. 对用户输入的密码加盐后使用MD5算法加密;
  2. 将数据库中的密码和用户输入的密码进行比较:这两个密码使用的算法必须一致;
  3. 如果数据库中的密码使用的MD5算法,那么shiro就需要对用户输入的密码使用MD5算法加密;
  4. 如果数据库中的密码+盐后使用的MD5算法,那么shiro就需要对用户输入的密码+盐后使用MD5算法加密;
  5. 如果数据库中的密码使用的MD5算法进行了2次散列,shiro就需要对用户输入的密码使用MD5算法进行2次;
public class TestAuthenticatorCusttomerRealm {
    public static void main(String[] args) {
        //创建securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        //设置为自定义realm获取认证数据
        CustomerRealm customerRealm = new CustomerRealm();
        
        //设置md5加密
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("MD5");
        //如果注册时用户数据库中的密码散列了1024次,就需要告诉shiro也做相同的处理
        credentialsMatcher.setHashIterations(1024);//设置散列次数
        
        customerRealm.setCredentialsMatcher(credentialsMatcher);
        
        defaultSecurityManager.setRealm(customerRealm);
        
        //将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌,realm使用了MD5加密算法,因此会对用户输入的这个密码使用md5算法加密,然后去认证
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen", "123");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }
    }
}

2. Shiro授权

授权可简单理解为who对what(which)进行How操作:

Who,即主体(Subject)What,即资源(Resource)How,权限/许可(Permission)

在这里插入图片描述

授权:认证通过后就会进行授权,通过用户名到数据库中查询用户的角色和权限信息然后返回判断

public class CustomerRealm extends AuthorizingRealm {
    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //拿到用户名
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();
        System.out.println("primaryPrincipal = " + primaryPrincipal);
        
        //根据用户名到数据库中获取该用户具有的角色信息和权限信息,获取后返回

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        //到数据库中获取该用户对应的角色信息
        simpleAuthorizationInfo.addRole("admin");

        //到数据库中获取该用户对应的权限信息
        simpleAuthorizationInfo.addStringPermission("user:update:*");
        simpleAuthorizationInfo.addStringPermission("product:*:*");

        //返回权限和角色信息
        return simpleAuthorizationInfo;
    }

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String) token.getPrincipal();
        if("xiaochen".equals(principal)){
            String password = "3c88b338102c1a343bcb88cd3878758e";
            String salt = "Q4F%";
            return new SimpleAuthenticationInfo(principal,password, 
                                                ByteSource.Util.bytes(salt),this.getName());
        }
        return null;
    }
}

权限和角色判断:

public class TestAuthenticatorCusttomerRealm {
    public static void main(String[] args) {
        //创建securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        //设置为自定义realm获取认证数据
        CustomerRealm customerRealm = new CustomerRealm();
        
        //设置md5加密
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("MD5");
        credentialsMatcher.setHashIterations(1024);//设置散列次数
        customerRealm.setCredentialsMatcher(credentialsMatcher);
        defaultSecurityManager.setRealm(customerRealm);
        
        //将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen", "123");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }
        //认证通过
        if(subject.isAuthenticated()){
            //基于角色权限管理
            boolean admin = subject.hasRole("admin");
            System.out.println(admin);

            //是否有某个权限
            boolean permitted = subject.isPermitted("product:create:001");
            System.out.println(permitted);
            

            //基于多角色权限控制
            System.out.println(subject.hasAllRoles(Arrays.asList("admin", "super")));

            //是否具有其中一个角色
            boolean[] booleans = subject.hasRoles(Arrays.asList("admin", "super", "user"));
            for (boolean aBoolean : booleans) {
                System.out.println(aBoolean);
            }
            System.out.println("==============================================");

            //基于权限字符串的访问控制  资源标识符:操作:资源类型
            System.out.println("权限:"+subject.isPermitted("user:update:01"));
            System.out.println("权限:"+subject.isPermitted("product:create:02"));

            //分别具有那些权限
            boolean[] permitted = subject.isPermitted("user:*:01", "order:*:10");
            for (boolean b : permitted) {
                System.out.println(b);
            }

            //同时具有哪些权限
            boolean permittedAll = subject.isPermittedAll("user:*:01", "product:create:01");
            System.out.println(permittedAll);
        }
    }
}

3. SpringBoot整合shiro

3.1 UserService

@Service("userService")
@Transactional
public class UserServiceImpl implements UserService {

    @Autowired
    private UserDAO userDAO;

    @Override
    public List<Perms> findPermsByRoleId(String id) {
        return userDAO.findPermsByRoleId(id);
    }

    @Override
    public User findRolesByUserName(String username) {
        return userDAO.findRolesByUserName(username);
    }

    @Override
    public User findByUserName(String username) {
        return userDAO.findByUserName(username);
    }

    //用户注册时使用的MD5算法对密码使用密文保存
    @Override
    public void register(User user) {
        //处理业务调用dao
        //1.生成随机盐
        String salt = SaltUtils.getSalt(8);
        //2.将随机盐保存到数据
        user.setSalt(salt);
        //3.明文密码进行md5 + salt + hash散列
        Md5Hash md5Hash = new Md5Hash(user.getPassword(),salt,1024);
        user.setPassword(md5Hash.toHex());
        userDAO.save(user);
    }
}

3.2 UserController

@Controller
@RequestMapping("user")
public class UserController {

    @Autowired
    private UserService userService;

    /**
     * 用户注册
     */
    @RequestMapping("register")
    public String register(User user) {
        try {
            userService.register(user);
            return "redirect:/login.jsp";
        }catch (Exception e){
            e.printStackTrace();
            return "redirect:/register.jsp";
        }
    }

    /**
     * 用来处理身份认证:
     * 将用户输入的用户名和密码封装成UsernamePasswordToken后交给shiro的安全管理器进行认证
     */
    @RequestMapping("login")
    public String login(String username, String password,String code,HttpSession session) {
        //比较验证码
        String codes = (String) session.getAttribute("code");
        try {
            if (codes.equalsIgnoreCase(code)){
                //获取主体对象
                Subject subject = SecurityUtils.getSubject();
                //交给shiro的安全管理器进行认证
                subject.login(new UsernamePasswordToken(username, password));
                return "redirect:/index.jsp";
            }else{
                throw new RuntimeException("验证码错误!");
            }
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误!");
        }catch (Exception e){
            e.printStackTrace();
            System.out.println(e.getMessage());
        }
        return "redirect:/login.jsp";
    }

    /**
     * 退出登录
     */
    @RequestMapping("logout")
    public String logout() {
        Subject subject = SecurityUtils.getSubject();
        subject.logout();//退出用户
        return "redirect:/login.jsp";
    }
    
    /**
     * 验证码方法
     */
    @RequestMapping("getImage")
   public void getImage(HttpSession session, HttpServletResponse response) throws IOException {
        //生成验证码
        String code = VerifyCodeUtils.generateVerifyCode(4);
        //验证码放入session
        session.setAttribute("code",code);
        //验证码存入图片
        ServletOutputStream os = response.getOutputStream();
        response.setContentType("image/png");
        VerifyCodeUtils.outputImage(220,60,os,code);
    }
}

3.3 ShiroConfig

/**
 * 用来整合shiro框架相关的配置类
 */
@Configuration
public class ShiroConfig {
    //1.创建shiroFilter:负责拦截所有请求
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //给filter设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);

        Map<String,String> map = new HashMap<String,String>();
        //anon:配置的请求路径放行
        map.put("/user/login","anon");
        map.put("/user/register","anon");
        map.put("/register.jsp","anon");
        map.put("/user/getImage","anon");

        //authc:请求这个资源需要认证和授权
        map.put("/**","authc");

        //默认认证界面路径
        shiroFilterFactoryBean.setLoginUrl("/login.jsp");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        return shiroFilterFactoryBean;
    }

    //2.创建安全管理器
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(Realm realm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //给安全管理器设置realm
        defaultWebSecurityManager.setRealm(realm);
        return defaultWebSecurityManager;
    }

    //3.创建自定义realm
    @Bean
    public Realm getRealm(){
        //需要配置密码的认证方式,不然那就还是用户用户输入的明文,用户输入明文后对这个明文做处理
        //处理的方式需要和用户注册时使用的方式相同
        CustomerRealm customerRealm = new CustomerRealm();

        //修改凭证校验匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //设置加密算法为md5
        credentialsMatcher.setHashAlgorithmName("MD5");
        //设置散列次数
        credentialsMatcher.setHashIterations(1024);
        customerRealm.setCredentialsMatcher(credentialsMatcher);

        return customerRealm;
    }
}

3.4 CustomerRealm中实现认证和授权

注意:这里先不考虑授权

因为我们注册的时候用户密码使用的MD5+salt的方式,因此在认证的时候我们就需要指定用户密码的认证方式,

//自定义realm
public class CustomerRealm extends AuthorizingRealm {
    /**
     *	用户认证
    */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //从token解析出用户输入的身份信息
        String principal = (String) token.getPrincipal();
        //在工厂中获取service对象
        UserService userService = (UserService) ApplicationContextUtils.getBean("userService");
        //到数据库中查询用户user
        User user = userService.findByUserName(principal);
        //如果user不为null,就返回从数据库中查询出的用户名和密码以及盐等信息
        if(!ObjectUtils.isEmpty(user)){
            return new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(),
                    new MyByteSource(user.getSalt()),
                    this.getName());
        }
        return null;
    }
    
    /**
     *	用户授权
    */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //获取身份信息
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();
        UserService userService = (UserService) ApplicationContextUtils.getBean("userService");
        User user = userService.findRolesByUserName(primaryPrincipal);
        //授权角色信息
        if(!CollectionUtils.isEmpty(user.getRoles())){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            //根据user到数据库中查询用户的角色信息
            //遍历每个角色,获取每个角色对应的权限信息
            user.getRoles().forEach(role->{
                //将角色信息添加到simpleAuthorizationInfo中
                simpleAuthorizationInfo.addRole(role.getName());
                //根据roleId获取用户的每个角色对应的权限信息
                List<Perms> perms = userService.findPermsByRoleId(role.getId());
                //遍历权限列表
                if(!CollectionUtils.isEmpty(perms)){
                    perms.forEach(perm->{
                        //将权每个权限添加到simpleAuthorizationInfo中
                        simpleAuthorizationInfo.addStringPermission(perm.getName());
                    });
                }
            });
            //返回用户的角色和权限信息
            return simpleAuthorizationInfo;
        }
        return null;
    }
}

3.5 OrderController

@Controller
@RequestMapping("order")
public class OrderController {
    @RequiresRoles(value={"admin","user"})//用来判断角色  同时具有 admin user
    @RequiresPermissions("user:update:01") //用来判断权限字符串
    @RequestMapping("save")
    public String save(){
        System.out.println("进入方法");
        return "redirect:/index.jsp";
    }
}
我一直在流浪
关注
专栏目录
SpringBoot&Shiro实现用户认证
Willis的博客
02-29 196
SpringBoot&Shiro实现用户认证 实现思路 思路:实现认证功能主要可以归纳为3点 1.定义一个ShiroConfig配置类,配置 SecurityManager Bean , SecurityManager为Shiro的安全管理器,管理着所有Subject; 注:如果有不太清楚shiro的朋友,可以去各大学习平台上学习一下。 2.在ShiroConfig中配置 ShiroFi...
shiro认证授权案例
10-12
带有详细注解的shiro框架 完整用户登录认证和密码加密和用户授权 案例
Shiro-实现认证授权
github_37545879的博客
07-01 407
项目结构 注意事项 图片如果没有显示,注意放行静态资源,在LinkedHashMap让图片资源匿名访问 <!--放行静态资源 --> <mvc:default-servlet-handler/> map.put("/images/**", "anon"); 可以运行UserRealm里面的main方法来生成你需要的密码 public static void m...
Shiro框架2——shiro认证+shiro授权
最新发布
qq_64064246的博客
07-08 1292
通过分析源码可得:认证:1.最终执行用户名比较是 在SimpleAccountRealm类 的 doGetAuthenticationInfo 方法中完成用户名校验2.最终密码校验是在 AuthenticatingRealm类 的 assertCredentialsMatch方法 中总结:认证realm授权realm自定义Realm的作用:放弃使用.ini文件,使用数据库查询。
shiro实现用户授权
kitahiragawa的博客
02-04 305
shiro授权在自定义的realm类里面来实现 public class UserRealm extends AuthorizingRealm { @Autowired UserMapper userMapper; //授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { System.out
Shiro用户认证用户授权流程
跨语言,跨平台,跨应用
05-16 7568
有时候觉得‘如约而至’是个多么美好的词,等的很辛苦,却不辜负。——《匿名》 1、引言 传统权限管理使用基于url拦截的权限管理方式,实现起来比较简单,不依赖框架,使用web提供filter就可以实现。但是这种方式存在问题,需要将将所有的url全部配置到xml中起来,有些繁琐,不易维护,url(资源)和权限表示方式不规范。 shiro是apache的一个开源框架,是一个权限管理的框...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
springboot整合shiro实现认证授权项目源代码
07-16
本项目结合Spring Boot与Shiro,旨在提供一个实现用户认证授权的示例。 1. **Spring Boot**: - Spring Boot基于Spring框架,通过默认配置、starter依赖和自动配置简化了Spring应用的构建。 - 应用启动器...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
shiro权限认证授权
02-26
实际项目中,我们通常会结合Spring Boot使用Shiro,通过定义自定义Realm实现用户认证,使用注解或配置文件完成权限控制。例如,我们可以创建一个`MyRealm`类继承`AuthorizingRealm`,重写`doGetAuthenticationInfo`...
Shiro与SSM集成实现用户认证授权
weixin_64987028的博客
04-20 271
Shiro实现用户认证shiro 中,用户需要提供principals (身份)和credentials(凭证)给shiro,从而应用能验证用户身份。身份即帐号/凭证即密码
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求状态(0:失败;1:成功) messageCode int 详情请移步错误码page message String 提示信息 result Object 结果集 获取token POST /shiro/auth/token 输入参数 必须 类型 中文描述 applicationKey yes String 需要登录的项目key userName yes String 用户名 password yes String 密码 返回Result 类型 中文描述 token String 使用JWT生成的Token 请求示例 cu
Shiro第二章二-验证者Authenticator、验证策略AuthenticationStrategy
海恩的博客
04-30 450
Authenticator及AuthenticationStrategy Authenticator的职责是验证用户,被subject的login()调用。 public AuthenticationInfo authenticate(AuthenticationToken authenticationToken) throws AuthenticationExc...
Shiro手动完成简单用户认证
小思的博客
10-24 1318
1.新建Maven项目Shiro_01,并设置项目输出文件显示 2.访问apache官网下载地址搜索到shiro,下载shiro的core、web、整合spring的依赖并且导入到项目中的pom.xml 3.项目的板块图 4.建立认证用户的文件shiro.ini文件 #配置用户(完成shiro最基础的认证,在java中实现用户认证用户授权) [users] admin=123 sa=456 ...
在使用Shiro过滤链时,可以把/**=user放在首位吗
qq_68334807的博客
05-18 101
不能,Shrio过滤链是按照顺序进行过滤,而/**=user则将项目中的所有文件全部过滤,当你点击一个文件时会返回到user界面进行登录验证,但是/**=user是过滤所有jsp文件,当他在首位时会使前端页面一直陷入循环当中,无法找到登录验证的jsp文件。正确的操作是先将登录的jsp文件注明出来用anno进行注明,然后将其他需要的文件都一一注明,然后再将/**=user放到结尾。
Shiro 学习笔记(5)—— 自定义权限解析器和角色解析器
web17535224648的博客
08-24 164
在这个接口中实现权限匹配的方法。// 这里为了说明问题,省略了 get 和 set 方法// 同时 get 和 set 方法只会在这个类的内部使用,所以其实没有必要设置和对外开放// 调用方法也会消耗更多内存}}}}}}System.out.println("实例化 MyPermission 时 => " + this.toString());}/*** 【这是一个非常重要的方法】* 由程序员自己编写授权是否匹配的逻辑,
Shiro Authenticator认证器简介说明
qq_25073223的博客
07-27 344
Shiro Authenticator认证器简介说明
Springboot+vue+shiro前后端分离项目解决权限验证提示没有认证(Authentation)的问题
qq_43114230的博客
01-11 1785
毕设做一个系统,其中涉及管理员、教师和学生三个角色,遂决定使用Springboot+vue+shiro(这三个技术只是这个记录中涉及到的三个技术或框架)。但是使用shiro的过程中遇到了非常多的问题。最后解决的问题是一直提示当前subject没有authentication。 直接把报错信息放到网上查发现没有一个解决问题的。 先说明解决方案: (1)注解不生效,在ShiroConfig里面配置两个bean: public DefaultAdvisorAutoProxyCreator adviso
spring boot爬坑之旅途--shiro-MyShiroConfig配置(config)(8)
热门推荐
日进斗识
05-06 1万+
package com.zm.blog.config.shiro; import java.io.Serializable; import java.util.ArrayList; import java.util.Collection; import java.util.LinkedHashMap; import java.util.Map; import org.apache.shiro....
Shiro框架 Realm认证授权实现详解
Apache Shiro 是一个强大且易用的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能,简化了应用程序的安全实现。在Shiro中,Realm是一个关键组件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我一直在流浪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值