Shiro简例

已于 2022-07-04 20:36:37 修改
阅读量461 收藏
点赞数
分类专栏: spring 文章标签: spring boot shiro
于 2022-07-04 20:00:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56800327/article/details/125606655
版权

目录

UserRealm

ApplicationContextRegister

ShiroUtil

UsernamePasswordToken

SimpleAuthenticationInfo

ShiroConfig

UserRealm

包含两个方法,用户的授权和登录认证。

public class UserRealm extends AuthorizingRealm {

    //用户授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取MenuService
        MenuService menuService = ApplicationContextRegister.getBean(MenuService.class);
        //获取用户id
        Long userId = ShiroUtils.getUserId();
        //获取该对象的权限列表
        Set<String> parms = menuService.getParms(userId);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        for (String parm : parms) {
            info.addStringPermission(parm);
        }
        return info;
    }

    //登录认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //包含用户输入的信息 如用户名和密码
        UsernamePasswordToken usernamePasswordToken  = (UsernamePasswordToken) token;
        String userName = (String) usernamePasswordToken.getPrincipal();
        //从数据库中 根据用户名查询用户信息
        UserDao userDao = ApplicationContextRegister.getBean(UserDao.class);
        User u = userDao.getUserByUserName(userName);
        String password = new String(usernamePasswordToken.getPassword());
        if (u == null){
            throw new UnknownAccountException("账号或者密码不正确");
        }
        else if (!password.equals(u.getPassword())){
            throw new IncorrectCredentialsException("账号或密码不正确");
        }
        // 账号锁定
        if (u.getStatus() == 0) {
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }

        //user对象、数据库中的密码,当前类的名字
        return  new SimpleAuthenticationInfo(u, u.getPassword(), getName());
    }
}

ApplicationContextRegister

实现接口ApplicationContextAware ,获取Spring的ioc容器,方便获取java bean。

@Repository
public class ApplicationContextRegister implements ApplicationContextAware {

    private static Logger logger = LoggerFactory.getLogger(ApplicationContextAware.class);
    private static ApplicationContext APPLICATION_CONTEXT;

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        logger.info("applicationContext--->",applicationContext);
        APPLICATION_CONTEXT = applicationContext;
    }

    public static ApplicationContext getApplicationContext(){
        return APPLICATION_CONTEXT;
    }

    public static <T> T getBean(Class<T> type  ){
        return APPLICATION_CONTEXT.getBean(type);
    }
}

ShiroUtil

方便获取用户对象及信息

public class ShiroUtils {


    public static Subject getSubject(){
        Subject subject = SecurityUtils.getSubject();
        return subject;
    }

    public static User getUser(){
        User user = (User) getSubject().getPrincipal();
        return user;
    }

    public static Long getUserId(){
        return getUser().getUserId();
    }

    public static void logout(){
        getSubject().logout();
    }


}

UsernamePasswordToken

AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码):

public interface AuthenticationToken extends Serializable {
    Object getPrincipal(); //身份    用户名
    Object getCredentials(); //凭据  密码
}


扩展接口RememberMeAuthenticationToken:提供了“boolean isRememberMe()”现“记住我”的功能;

扩展接口是HostAuthenticationToken:提供了“String getHost()”方法用于获取用户“主机”的功能。

Shiro 提供了一个直接拿来用的UsernamePasswordToken,用于实现用户名/密码Token组,另外其实现了RememberMeAuthenticationToken和HostAuthenticationToken,可以实现记住我及主机验证的支持。
 

getPrincipal 与 getUserName
getCredentials 与 getPassword

 

SimpleAuthenticationInfo

密码验证,交予shiro做。将数据库中的密码和前端传回的密码进行匹配。

//user对象、数据库中的密码,当前类的名字
new SimpleAuthenticationInfo(u, u.getPassword(), getName());

ShiroConfig

shiro的配置文件,配置三个组件。

ShiroFilterFactoryBean 、SecurityManager 、UserRealm 

@Configuration
public class ShiroConfig {

    @Bean
    ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //设置登录失败,授权成功、授权失败之后的uri
        shiroFilterFactoryBean.setLoginUrl("/login");
        shiroFilterFactoryBean.setSuccessUrl("/index");
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        //设置资源权限
        /*
         anon  无拦截
         authc 认证后登录
         user 拥有记住我访问
         perms 拥有某个资源权限权限
         role 拥有某个角色权限权限
         */
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        filterChainDefinitionMap.put("/login","anon");
        filterChainDefinitionMap.put("/getVerify","anon");
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/fonts/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/docs/**", "anon");
        filterChainDefinitionMap.put("/druid/**", "anon");
        filterChainDefinitionMap.put("/upload/**", "anon");
        filterChainDefinitionMap.put("/files/**", "anon");
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/", "anon");
        filterChainDefinitionMap.put("/blog", "anon");
        filterChainDefinitionMap.put("/blog/open/**", "anon");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        return securityManager;
    }

    @Bean
    UserRealm userRealm(){
        return new UserRealm();
    }


    //    ShiroDialect  用来整合  	shiro-thymeleaf整合
    @Bean
    public ShiroDialect getShiroDialect(){
        return new ShiroDialect();
    }

}

前端接收参数

    @PostMapping("/login")
    @ResponseBody
    public ResponseInfo login(String username, String password, String verify, HttpSession session,HttpServletRequest request){
        String key = (String) session.getAttribute(RandomValidateCodeUtil.RANDOMCODEKEY);
        System.out.println(key);
        if (verify.length() != 0 && verify != ""){
            if (verify.equals(key)){
                //加密
                String encrypt = MD5Utils.encrypt(username,password);
                UsernamePasswordToken token = new UsernamePasswordToken(username, encrypt);              
                Subject subject = SecurityUtils.getSubject();
                //跳转到UserRealm中的用户登录中
                subject.login(token);
                logger.info("登录成功");
                return ResponseInfo.ok();
            }
            return ResponseInfo.error(1,"验证码错误");
        }else {
            logger.error("验证码错误");
            return ResponseInfo.error(1,"验证码不能为空!");
        }

    }

看向未来213
关注
专栏目录
Shiro之介绍及入门案例
zhouym_的博客
07-16 314
Apache Shiro(安全框架) 一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 1、Shiro三大组件 Subject 即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Acco...
shiroUtil工具类
weixin_30660027的博客
03-16 1784
package com.chabansheng.util; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apac...
Session的存储,获取,输出全部的session信息,使用ShiroUtils获取用户id
smallxiongxu的博客
04-14 2197
存: Integer UserId= 42; getRequest().getSession().setAttribute(“UserId”, UserId); 取: session = getRequest().getSession(); Integer userId = (Integer )session.getAttribute(“UserId”); System.out.println(u...
ShiroUtil工具类笔记
weixin_33877885的博客
02-18 382
packagecom.java1234.common; importorg.apache.shiro.SecurityUtils; importorg.apache.shiro.authc.AuthenticationException; importorg.apache.shiro.authc.UsernamePasswordToken; importorg.a...
shiro常用工具类--用于判断权限
jieepre的博客
07-29 1205
shiro常用工具类–用于判断权限 public class ShiroUtils { /** * 获取当前 Subject * * @return Subject */ public static Subject getSubject() { return SecurityUtils.getSubject(); } ...
shiro基本配置
m0_67393413的博客
08-24 313
”.equals(password)){if(hexpassword.equals(user.getPassword())){System.out.println(“验证成功”);
shiro(shiro1.3.2)
03-21
Apache Shiro是一个强大且易用的Java安全框架,主要用于处理认证、授权、加密以及会话管理等核心安全性问题。在给定的压缩包"shiro1.3.2"中,包含了Shiro的一个核心组件库"shiro-all-1.3.2.jar"以及两个日志管理库...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
shiro1.6版本
09-07
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证...
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
springboot_shiro_redis整合(一)-shiro-权限控制
gaogzhen的博客
02-23 944
springboot_shiro_redis整合(一)-shiro-权限控制 目录 文章目录一、前言二、shiro整合redis1、分析2、pom.xml 导入依赖2、相关具体类2.1、封装ShiroUtils 工具类2.2、UserRealm 自定义realm2.3、ShiroConfig 配置类2.4、CustomSessionManager 身份标志获取***后记*** : 内容 一、前言   目前常用的安全框架为spring security、shiro等,关于二者之间的比较,有兴趣的小伙
shiro入门
trasewell的博客
09-25 905
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro中获取当前user出错
ITbasketplayer的专栏
04-26 8260
准确场景描述应该是: 1、在应用层使用“线程池等会缓存线程的组件”,比如Executors.newFixedThreadPool(n);在线程里进行 getUser(); 2、可能A用户获取到B用户。 下面分析一下原理: 顺着shiro源码去找,获取当前用户方法SecurityUtils.getSubject();/*ThreadContext线程上下文环境,主要靠InheritableT
shiro获取当前登录用户
pyd1040201698的博客
10-24 5941
第一种 SysUser sysUser = (SysUser) SecurityUtils.getSubject().getPrincipal(); 第二种 SysUser user = ShiroUtils.getSysUser();
Shiro权限管理
ycfxhsw的博客
04-25 700
Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
SpringBoot 整合 Shiro 实现动态权限加载更新+ Session 共享 + 单点登录
weixin_44421461的博客
11-02 316
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
从token中获取用户信息
qq_32733803的博客
08-05 4950
1 在拦截器中解析token并将用户信息加入headrs中。/// 获取用户id。2 编写获取header中用户信息。3 接口获取用户信息。
Shiro 身份认证中心获取token中账号密码的两种方式
m0_67392811的博客
04-07 2550
/** * 身份认证 * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException .
Apache Shiro 安全框架教程
Apache Shiro 教程 Apache Shiro 是一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值