Shiro学习笔记。

最新推荐文章于 2021-06-17 16:29:56 发布
最新推荐文章于 2021-06-17 16:29:56 发布
阅读量154 收藏
点赞数
分类专栏: 框架 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43257103/article/details/102707650
版权

在这里插入图片描述

  1. 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法

  2. AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的
    doGetAuthenticationInfo, 所以认证和授权只需要继承 AuthorizingRealm 就可以了. 同时实现他的两个抽象方法.
    在这里插入图片描述

  3. 为什么使用 MD5 盐值加密:

  4. 如何做到:
    1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
    SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
    2). 使用 ByteSource.Util.bytes() 来计算盐值.
    3). 盐值需要唯一: 一般使用随机字符串或 user id
    4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

  5. 如何把一个字符串加密为 MD5

  6. 替换当前 Realm 的 credentialsMatcher 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.

密码的比对:
通过 AuthenticatingRealm 的 credentialsMatcher 属性来进行的密码的比对!

  1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();
  2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
  3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
    1). 创建一个表单页面
    2). 把请求提交到 SpringMVC 的 Handler
    3). 获取用户名和密码.
  4. 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法.
  5. 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.
    1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
    2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.
  6. 由 shiro 完成对密码的比对.

realm

public class ShiroRealm extends AuthenticatingRealm {

    @Autowired
    private UserService userService;

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken upToken= (UsernamePasswordToken) authenticationToken;
        User user=userService.findUserByName(upToken.getUsername());
        if(user==null){
            System.out.println("用户不存在");
            throw new  UnknownAccountException("用户不存在");
        }else if("master".equals(user.getName())){
            System.out.println("用户被锁定");
            throw new LockedAccountException("用户被锁定");
        }
        Object principal=user;//认证的实体信息
        Object credentials=user.getPassword();//从数据库中获取的密码
        String realmName=super.getName();//调用父类的getName()方法;
        //盐值加密
        ByteSource credentialsSalt = ByteSource.Util.bytes(upToken.getUsername());

        return new SimpleAuthenticationInfo( principal,  credentials,  credentialsSalt,  realmName);
    }
}

## controller

 
 ````/**
     * 登入
     * @param name
     * @param password
     * @return
     */
    @RequestMapping(value = "/doLogin",method = RequestMethod.POST)
    public String login(@RequestParam("name") String name,@RequestParam("password") String password){

        Subject currentUser = SecurityUtils.getSubject();
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken(name, password);
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            }
            //所有认证时候异常的父类
            catch (AuthenticationException ae) {
                System.out.println("登入失败");
                return "redirect:/login.jsp";
            }
        }
        return "success";
    }
    ````
七月的尾巴←_←
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
外部无法捕捉Realm的doGetAuthenticationInfo方法抛出的异常
Stone.鱼儿的博客
10-16 1788
shiro权限框架,用户登录方法的subject.login(token)会进入自定义的UserNamePasswordRealm类的doGetAuthenticationInfo身份验证方法,通常情况,doGetAuthenticationInfo写法如下: /** * 登录认证 subject.login()登录时调用 * @param authenticationToken * @return * @throws AuthenticationExc
shiro】初识与集成
路远不知归
08-24 427
shiro】初识与集成 个人学习笔记分享,当前能力有限,请勿贬低,菜鸟互学,大佬绕道 如有勘误,欢迎指出和讨论,本文后期也会进行修正和补充 前言 权限管理对于一个成熟的项目是极为基础且必要的部分,我们必须知道来者何人,才能判断这个人能做什么不能做什么 而shiro正是解决方案中最常见的一种 请留意,本文主要整理shiro相关思路,为方便理解,示例代码并不完整,更谈不上严谨 若需要实际使用的demo,请直接查看整理后的代码,完整demo会传到github或码云 1.介绍 shiro是Apache下的一
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
fj200821的专栏
01-18 2万+
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
shiro doGetAuthenticationInfo
风华绝代的博客
08-19 5831
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) {         this.principals = new SimplePrincipalCollection(principal, realmNam
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo后执行login的问题
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
AuthorizingRealm的doGetAuthenticationInfo和doGetAuthorizationInfo
t18092838767的博客
12-26 874
当有用户登录的时候,将该用户的账号密码,角色、权限等告诉shiro 注:要注入到框架,shiro也收不到信息 doGetAuthenticationInfo(AuthenticationToken token) 翻译:那小伙在登录,他已经给我说了他的身份证信息(参数AuthenticationToken),你把那小伙的身份证复印件给我,辨认、放行、驱赶的事交给我了 doGetAuthorizati...
Springboot整合shiro:实现用户登录和权限验证
猪大肠的博客
08-25 6569
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
3.Apache Shiro认证授权流程
相互学习 共同进步
06-17 823
Apache Shiro认证授权流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录,登录表单中,包含了两个主要参数:用户名username、密码passwo
shiro的认证过程
ITWANGBOIT的博客
10-11 2437
下图为调用subject.login()方法进行登录认证时的方法调用过程。 大致过程为: 1:当调用subject.login方法时,实际上调用的是SecurityManager的login方法。 2:SecurityManager里有个Authenticator(即认证器),SecurityManager会将认证动作交给认证器,认证器可以设置认证策略(这里不说)。 3:Securit...
shiro的一些基本使用流程
.... 永远年轻,永远热泪盈眶
04-28 9854
1. 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated(); 3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象;    1). 创建一个表单页面    2). 把请求提交到 SpringMVC 的 ...
Springboot2(23)轻松整合shiro(带验证码)
cowbin2012的专栏
12-26 2万+
源码地址 springboot2教程系列 Shiro配置 1.Spring集成Shiro一般通过xml配置,SpringBoot集成Shiro一般通过java代码配合@Configuration和@Bean配置。 2.Shiro的核心通过过滤器Filter实现。Shiro中的Filter是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。 3.SpringB...
Spring boot 整合 shiro 进行登录验证和权限控制
实习打字猿的博客
04-18 357
# 初步认识 shiro AuthorizingRealm 抽象类中有两大方法 doGetAuthenticationInfo() 和 doGetAuthorizationInfo() doGetAuthenticationInfo(),方法完成了用户认证操作 doGetAuthorizationInfo(),方法完成Shiro的权限控制功能 doGetAuthenticationInf...
Shiro笔记(四)----身份验证之Realm
fendo
07-15 4684
123
shiro中AuthorizingRealm接口的doGetAuthorizationInfo 与doGetAuthenticationInfo什么时候调用
热门推荐
sidanchen的博客
03-09 3万+
这两个方法虽然名字很像,但是意义是不一样的,doGetAuthorizationInfo方法是进行权限验证,doGetAuthenticationInfo是进行身份验证的(登录验证),相信很多初学者对于这两个方法的调用时机可能不太明白,今天楼主搞了一下午的测试大致明白这两个方法的调用时机。1.doGetAuthorizationInfo方法    该方法主要是用于当前登录用户授权(作者小白插一句:...
Apache Shiro 安全框架学习指南
Apache Shiro 安全框架详解 Apache Shiro 是一个 Java 的安全框架,提供了一种简单、灵活的安全解决方案。Shiro 框架的出现为 Java 开发者提供了一种轻便、灵活的安全解决方案,满足了大多数 Java 应用程序的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值