shiro进行登录认证和授权

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量6.3k 收藏 16
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenhy95/article/details/115720661
版权

1.Shiro核心架构ababab

三个常用过滤器

anno:不需要任何权限即可访问资源
authc:需要登录的权限才可以访问资源
perms:需要指定的权限才能访问目标资源

2.shiro登录认证

使用认证过滤器
1.在shiro的xml文件中添加认证过滤器,创建shiroFilterFactoryBean,创建securityManager对象,创建自定义的realm
例:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!--该文件的作用spring整合shiro-->

    <!--1. 创建ShiroFilterFactoryBean对象-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--配置SecurityManager的属性-->
        <property name="securityManager" ref="securityManager"/>
        <!--配置shiro过滤器-->
        <property name="filterChainDefinitions">
            <value>
            <!--    /* : 匹配一级目录
                   /** :匹配多级或者一级目录

                静态资源是需要无条件放行,登陆的方法也是需要无条件放行,
                shiro默认是对登录页面无条件放行的,而且默认等于页面的名字为login.jsp/
            -->
                /css/**=anon
                /img/**=anon
                /make/**=anon
                /plugins/**=anon
                /login.do=anon
                /**=authc
            </value>
        </property>
        <!--配置默认的登录页面-->
        <property name="loginUrl" value="/login2.jsp"/>
    </bean>

    <!--2.创建securityManager对象-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!--securityManager本质上是会调用realm的方法-->
        <property name="realm" ref="realm"/>
    </bean>

    <!--3. 创建realm,需要自定义的-->
    <bean id="realm" class="cn.itcast.web.shiro.AuthRealm"/>

</beans>

控制层的登录认证
1.得到subject对象,将账号(邮箱)密码封装到token,发出登录请求登录成功得到一个登录成功对象
例:

@Controller
public class LoginController extends  BaseController {


    @Autowired
    private UserService userService;

    @Autowired
    private ModuleService moduleService;

  
     /*
        url: /login.do
        作用:校验登陆
        参数:email(邮箱) ,password(密码)
        返回值: 登陆成功 home/main(后台首页) || 登陆失败: login.jsp()
     */
    @RequestMapping("/login")
    public String login(String email,String password){
        //1. 判断用户名与密码是否为空,如果两者有一者为空都是回到登陆页面
        if(StringUtils.isEmpty(email)||StringUtils.isEmpty(password)){
            request.setAttribute("error","用户名或者密码不能为空");
            //注意: login.jsp不在pages目录中,所以不要经过视图解析器,所以前面带上forward或者redirect
            return "forward:/login.jsp";
        }
        try {
            //2. 得到subject的对象
            Subject subject = SecurityUtils.getSubject();
            //3. 把邮箱与密码封装到Token里面
            UsernamePasswordToken token = new UsernamePasswordToken(email,password);

            //4. 使用subject发出登陆的请求,携带token过去, 这里的登录方法本质上是会调用realm里面的登陆方法
            subject.login(token);

            //5. 登陆成功得到一个登陆成功的对象, shiro登陆成功之后其实shiro本质上也会在session中做很多登陆成功标记
            User loginUser = (User) subject.getPrincipal();
            //这里做的不是登录成功标记,而且我们页面上需要使用登陆者的信息,所以我们保存登陆者的信息
            session.setAttribute("loginUser",loginUser);

            //6. 查看该登陆成功的用户的权限
            List<Module> moduleList = moduleService.findModuleByUser(loginUser);
            session.setAttribute("modules",moduleList);
            //返回到后台的首页
            return "home/main";
        } catch (UnknownAccountException e) { //如果一旦出现了该异常,代表不存在用户名
           request.setAttribute("error","用户名或者密码错误");
           return "forward:/login.jsp";
        }catch (IncorrectCredentialsException e){ //密码错误的异常
            request.setAttribute("error","用户名或者密码错误");
            return "forward:/login.jsp";
        }

    }

}

编写AuthRealm,实现登录认证
根据token转为用户名、密码,根据用户名查找用户,存在用户则对比密码
例:

public class AuthRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;


    //登录认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //1. 先把token强制UsernamePasswordToken
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;

        //2. 得到邮箱与密码
        String email = usernamePasswordToken.getUsername();
       // String password = new String(usernamePasswordToken.getPassword()); //用户输入的密码

        //3. 根据邮箱去数据库查找一个用户
        User dbUser = userService.findByEmail(email);

        //4. 如果查找到的用户等于null,代表用户名不存在,直接返回null即可。当你返回null的时候,subject.login方法会接收到一个异常
        if(dbUser==null){
            return null;
        }

        //5. 如果用户存在,那么则通知shiro去对比密码
        /*
        SimpleAuthenticationInfo(Object principal, Object credentials, String realmName)
                principal: 登陆成功返回给controller登录成功对象
                credentials : 该用户在数据库中的密码
                realmName: 不需要管理
         */

        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(dbUser,dbUser.getPassword(),"");

        return simpleAuthenticationInfo;
    }
}

对密码加盐加密,编写自定义加盐加密匹配器,增加用户时进行加盐加密,注销用户需销毁session在shiro中的标记。

3.shiro授权

如何实现授权?分为以下两个步骤==

  1. 登陆认证成功后,获取用户的权限 (给该用户分配对应的权限)
  2. 访问资源时候,进行授权校验:用访问资源需要的权限去用户权限列表查找,如果存在,则有权限访问资源。(权限拦截)

shiro提供了四种方式实现权限校验:
1) 硬编码方式(拦截方法)(非Web应用,Web应用)

Subject subject = SecurityUtils.getSubject();
subject.checkPermission("部门管理");

2) 过滤器配置方式(拦截url)(Web应用)

/system/user/list.do = perms["用户管理"]

3) 注解方式(拦截方法)(Web应用)

@RequiresPermissions(“”)

4) shiro提供的标签((拦截页面元素:按钮,表格等))(Web应用)

<shiro:hasPermission name="用户管理">
    <a href="#">用户管理</a>
</shiro:hasPermission>

实现自定义realm的doGetAuthorizationInfo()方法,返回用户已经具有的权限。

例:

public class AuthRealm extends AuthorizingRealm {


    @Autowired
    private UserService userService;

    @Autowired
    private ModuleService moduleService;
//授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //1. 获取到登陆成功对象
        User loginUser = (User) principals.getPrimaryPrincipal();
        //2. 查询登陆用户拥有的权限
        List<Module> moduleList = moduleService.findModuleByUser(loginUser);

        //3.把权限添加到AuthorizationInfo对象中,这个对象拥有的权限则代表了当前用户拥有权限
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //4. 遍历用户的权限,把权限唯一标识添加到authorizationInfo对象里面
        for (Module module : moduleList) {
            authorizationInfo.addStringPermission(module.getName());//权限标记一般我们都添加
        }

        return authorizationInfo;
    }
}
沈95
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiroauthc过滤器的执行流程
likunpeng6656201的博客
07-30 3212
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题? 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问...
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 851
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set&lt;String&gt; findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
shiro 自定义认证filter
xiaoliuliu2050的专栏
02-08 3881
比如说我想 加一个验证码 认证,原来的userNamePasswordToken 就不够用了,我需要自定义一个新的token. public class SecurityToken extends UsernamePasswordToken { /** * 验证码 */ private String captcha; /** * 系统生
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 454
Shiro是Java的一个安全框架,旨在简化身份验证和授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
Shiro学习笔记(3)——授权Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
springboot整合shiro-登录认证和权限管理
kagurawill的博客
05-30 4265
这篇文章我们来学习如何使用Spring Boot集成Apache Shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,这篇文章会先介绍一下Apache Shiro,在结合Spri...
shiro中使用authc配置无反应问题
m0_67401606的博客
04-07 1218
原因:shiro配置文件中配置了authc,又在LoginController配置了登陆逻辑,shiro会根据authc配置自动尝试登录逻辑,然后后者失效。 在shiro配置文件中配置了/index路径的authc配置:代表指定url需要form表单登陆,默认会从请求中获取username,password,rememberMe等参数并尝试登陆,如果登陆不了就会跳转带loginUrl配置的路径。 可是在我的loginController中已经自定义了登陆逻辑: 二者一起配置的话就会起冲突! ...
Shiro使用笔记-权限比较
大大大大大碗面
06-13 259
anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filt...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
Shiro登录授权认证功能
09-26
在这个项目中,我们主要关注的是“Shiro登录授权认证功能”。 **身份验证(Authentication)** 身份验证是确认用户身份的过程,通常涉及用户名和密码的验证。在Shiro中,可以通过实现自定义的`Realm`类来对接自己的...
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
Shiro集成OAuth2
08-10
NULL 博文链接:https://zhaoshijie.iteye.com/blog/2204395
shiro权限认证授权
02-26
### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们声称的那个人。在Shiro中,这个过程通常涉及以下步骤: - **凭证匹配**:用户提供的登录信息(如...
Shiro安全登录认证、权限授权封装模块代码
01-23
在这个项目中,你得到了一个基于 Shiro 的安全登录认证和权限授权的封装模块代码。这个模块可能已经被集成到 SpringBoot 和 MyBatis 框架中,使得在 SpringBoot 应用中轻松实现用户的身份验证和权限控制。 1. **...
Shiro 过滤器 anno 配置未生效,请求仍被拦截
weixin_40559666的博客
06-01 1215
项目Springboot +shiro +Gateway。
理解这9大内置过滤器,才算是精通Shiro
MarkerHub的博客
05-12 315
小Hub领读:权限框架一般都是一堆过滤器、拦截器的组合运用,在shiro中,有多少个内置的过滤器你知道吗?在哪些场景用那些过滤器,这篇文章希望你能对shiro有个新的认识!别忘了,点个 ...
2021年你还不会Shiro?----2.Shiro实现登录功能(身份认证实践)
初心不忘、始终方得
03-15 856
使用shiro实现登录就是这么方便快捷
ShiroShiroFilterFactoryBean(*)
weixin_42408447的博客
11-16 2497
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { # 创建ShiroFilterFactoryBean对象 ShiroFilterFactor
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3411
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [org.apache.shiro.authc.AuthenticationException: token] with root cause org.apache.shiro.authc.AuthenticationException: token
07-20
您好!根据您提供的信息,似乎在处理名为 "dispatcherServlet" 的 Servlet 时出现了身份验证异常。具体地,抛出了一个 "org.apache.shiro.authc.AuthenticationException" 异常,异常信息为 "token"。 这个异常通常表示身份验证过程中发生了问题,可能是由于缺少令牌或令牌无效导致的。令牌是用于身份验证的凭证,可能是用户名和密码的组合、访问令牌或其他凭证。 为了更好地帮助您解决此问题,我需要更多的上下文信息。请提供更多关于您正在使用的身份验证方法、相关代码片段以及任何其他有关此问题的详细信息。这样我才能给出更准确的建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值