shiro认证流程

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量400 收藏 2
点赞数
分类专栏: Java 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43661709/article/details/116089749
版权

shiro-web认证流程

一、认证流程

  1. 访问Controller接口,获取Subject对象,实现UsernamePasswordToken,调用subject对象login方法,进入AuthenticationRealm对象中的getAuthenticationInfo方法中。
  2. 先判断缓存中是否存在认证信息,若没有跳转到自定义Realm【注册到SubjectManager中[并且在Realm中配置加密策略]】的doGetAuthenticationInfo中,通过token获取用户名调用数据库获取用户信息,封装为SimpleAuthenticationInfo对象返回即可。

二、注册自定义Realm

作用 :实现认证和授权

继承AuthorizingRealm类重载 protected AuthenticationInfo doGtAuthenticationInfo(AuthenticationToken token)

三、Code

1、配置自定义Realm

public class MyShiroRealm extends AuthorizingRealm {

    @Resource
    private AdminUserService adminUserService;

    @Resource
    private PermissionService permissionService;

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Integer id = (Integer) principalCollection.getPrimaryPrincipal();
        List<Permission> permissionList = permissionService.loadUserPermission(id);
        // 权限信息对象info,用来存放查出的用户的所有的角色(role)及权限(permission)
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        permissionList.forEach(p->info.addStringPermission(p.getPerurl()));
        return info;
    }

    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取用户的输入的账号.
        String username = (String)token.getPrincipal();
        AdminUser user = adminUserService.findByUserName(username);
        if(user==null) throw new UnknownAccountException();
        if (0==user.getEnable()) {
            throw new LockedAccountException(); // 帐号锁定
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user.getId(), //用户
                user.getPassword(), //密码
                ByteSource.Util.bytes(username),
                getName() //realm name
        );
        // 把用户信息放在session里
        Session session = SecurityUtils.getSubject().getSession();
        session.setAttribute("AdminSession", user);
        session.setAttribute("AdminSessionId", user.getId());
        return authenticationInfo;
    }
}

2、配置Realm到SecurityManager

@Configuration
public class ShiroConfig {
    @Autowired
    private PermissionService permissionService;

    @Value("${spring.redis.host}")
    private String host;

    @Value("${spring.redis.port}")
    private int port;

    @Value("${spring.redis.timeout}")
    private int timeout;

    @Value("${spring.redis.password}")
    private String password;

     /**
     * 凭证匹配器
     *
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        hashedCredentialsMatcher.setHashIterations(2);//散列的次数,相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

    //配置自定义Realm
    @Bean
    public Realm getMyShiroRealm() {
        MyShiroRealm mShiroRealm = new MyShiroRealm();
    	//配置加密凭证
        mShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return mShiroRealm;
    }

    //配置SecurityManager
    @Bean
    public SecurityManager securityManager() {
        //类似于DispatcherServlet
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //设置realm.【类似于DataSource】
        securityManager.setRealm(getMyShiroRealm());
        return securityManager;
    }
    
    /**
     * 处理拦截资源文件问题。
     *
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.html"页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/initPage");
        //未授权界面
        shiroFilterFactoryBean.setUnauthorizedUrl("/forbidden");
        //拦截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/favicon.png", "anon");//解决弹出favicon.ico下载
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/font-awesome/**", "anon");
        filterChainDefinitionMap.put("/", "anon");

        //自定义加载权限资源关系
        List<Permission> list = permissionService.findAll();
        for (Permission p : list) {
            if (!p.getPerurl().isEmpty()) {
                String permission = "perms[" + p.getPerurl() + "]";
                filterChainDefinitionMap.put(p.getPerurl(), permission);
            }
        }

        //过滤链定义,从上向下顺序执行,一般将 /**放在最为下边
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }


}

四、shiro组织架构【图片】

在这里插入图片描述

李——
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro架构&认证 -Shiro
qq_43409973的博客
03-22 780
shiro架构&认证 -Shiro
shiro的具体认证流程
拉格朗日的学习笔记
09-22 1894
以后一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现) package com.baizhi.springboot_shiro.shiro.realms; import com.baizhi.springboot_shiro.entity.Perms; import com.baizhi.springboot_shiro.entity.Role; import com.bai.
Shiro认证过程
weixin_43319635的博客
12-06 189
1.身份认证流程 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 首先调用 Subject.login(token) 进行登录,其会自动委托给Secu...
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 311
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
权限认证框架---Shiro
qq_60067835的博客
12-07 1031
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证流程
快速入门Shiro
JunDong的博客
06-01 2079
讲解结合案例,Shiro入门,看这篇就够了。
01-shiro认证流程.md
07-31
自己看的小课件顶
shiro认证及授权demo
10-28
这个"shiro认证及授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
Apache Shiro 使用手册(二) Shiro 认证
09-15
Shiro认证流程主要包括以下步骤: 1. 应用程序创建 `AuthenticationToken` 实例并调用 `Subject.login()`。 2. `Subject` 委托给 SecurityManager 进行认证,通常是 `DelegatingSubject` 类的实例。 3. ...
javaSE环境下Shiro认证过程以及部分API
11-18
Shiro认证流程大致如下: 1. 用户提交用户名和密码。 2. 创建一个AuthenticationToken实例,将用户名和密码放入其中。 3. 调用`subject.login(token)`,这会触发SecurityManager执行认证。 4. SecurityManager会...
shiro认证授权
08-03
当用户尝试登录时,Shiro 会调用 `Subject.login(token)` 方法,启动认证流程。 在 `shiro-demo` 中,你可能会看到类似以下的代码: ```java Subject subject = SecurityUtils.getSubject(); ...
Shiro 权限框架使用总结
11-24
Shiro 权限框架使用总结,shiro入门级的文档资料。
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4794
Shiro入门概述与基本使用
Shiro框架:Shiro用户登录认证流程源码解析
博客园
01-14 1333
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录认证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器上篇文章已经进行了详细解析,详见:Shiro框架:Shiro SecurityManager安全管理器解析-CSDN博客,在此基础上,本篇文章继续对Shiro关联链路处理流程之一---登录认证流程进行解析;
Shiro的主要功能?
weixin_69620017的博客
03-14 111
可以完成的功能主要有登录验证、权限验证、加密、会话管理、缓存等。
shiro的基础知识储备--认证流程
wlijun_0808的博客
08-04 182
shiro功能以及基础知识 shiro主要有两部分内容,一个是认证另一个是授权 认证:当一个用户去登录系统时,shiro会去认证这个用户是否为可登录用户。 授权:一个系统会有好几种角色的用户,如管理员或者是普通用户,那怎么去定义管理员和普通用户呢这个就需要shiro中的授权机制去赋给用户不同的角色权限 认证的基础知识与流程 1,shiro认证的关键对象 **suject:**主体,访问系统的用户,主体可以使用户,程序,进行认证的窦被称为主体。 **Principal:**身份信息,基本上指的就是用户
通俗易懂的Shiro教程(含配套资料)
07-21
本教程为授权出品教程Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。
shiro认证流程
weixin_43150427的博客
08-14 212
shiro认证流程
Shiro 登录认证源码详解
热门推荐
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro 的登录认证(Authentication)功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值