springboot+shiro+layuimini实现后台管理系统的权限控制(二)利用shiro实现对登录用户身份的认证

已于 2022-07-27 11:06:00 修改
阅读量1.4k 收藏 4
点赞数 1
分类专栏: java笔记 文章标签: spring boot java 后端
于 2022-07-22 11:23:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superyu1992/article/details/125915866
版权

一、原理

所谓身份认证就是在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。

在 Shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:

principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名 / 密码 / 手机号。

credentials:证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。

在正式前,除了上面说到的principals和 credentials,还需要对几个概念进行说明:

Subject:主体,可以理解为用户。

UsernamePasswordToken:顾名思义,就是基于用户名和密码所生成的令牌,Realm也需要这个令牌来认证用户的信息。

Realm:Shiro通过Realm的doGetAuthenticationInfo()和doGetAuthorizationInfo()来实现对用户身份的认证和授权。在登录的这个场景下,我们需要将用户提交的身份信息与数据库中该用户的身份信息在Realm中进行对比,因此我们也可以将Realm看作是Shiro的安全数据源。

SecurityManager:安全管理器,这是整个shiro中最重要的一个组件,我们需要将刚刚提到的Realm注入到安全管理器中,才能实现认证与授权等工作。而且所有的会话、缓存也都是通过注入到安全管理器中去实现的。

ShiroFilterFactoryBean:顾名思义就是拦截器,我们可以在这里设置拦截器来拦截需要特定权限或角色的资源(url)。shiro也为我们提供了丰富的拦截器以及更细粒度的权限分级来帮助我们更好的进行权限的管理与配置。同时,SecurityManager也需要注入到其中

整个认证流程大致是这样的:

前端将用户名密码通过接口传到后端,生成一个UsernamePasswordToken,然后调用当前Subjectlogin(token)方法,将token通过SecurityManager传递给Realm的doGetAuthenticationInfo(),在这个方法中实现认证。

二、具体实现

1、配置shiro:

1.1、自定义Realm:

public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    SysUserService sysUserService;

    @Autowired
    SysResourceService sysResourceService;

    /**
     * 授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }


    /**
     *  认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String) token.getPrincipal();
        SysUser sysUser = sysUserService.findUserByName(userName);
        //用户不存在
        if (sysUser == null) {
            return null;
        }
        //验证密码,使用加盐md5进行加密
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(sysUser, sysUser.getPassword(), getName());
        authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(userName));
        return authenticationInfo;
    }
}

说明:本文暂时先只实现了登录的认证操作,因此暂时对授权这块不做处理。相关service层的代码包括数据库的表结构等之后我会打包上传,都是基础代码,也不是本文的重点,这里就不再做过多的说明了。

可以注意到,我这里SimpleAuthenticationInfo里传入的第一个参数是一个user对象,而在w3cSchool以及其他的一些例子中,传入的是userName,其实都是可以的,因为SimpleAuthenticationInfo只认证密码的有效性,用户名的有效性在之前就已经认证过了,如果用户不存在就直接返回null了。这里传入user对象,主要是方便在授权时使用,这个以后再说。

密码这块,这里做了一个以用户名作为“盐”做了一个加盐的加密处理。由于这里使用了加盐散列算法,因此我们需要对Realm(ShiroConfig.java中)设置对应规则的CredentialMatchers(用于匹配用户输入的token的凭证(未加密)与系统提供的凭证(已加密))。因此我们在“注册”的时候,也需要把加了盐的密码存到数据库中,加盐方法:

 public static String addSalt(String password, String salt){
        //散列次数
        Integer hashIterations = 2;
        //利用SimpleHash来设置md5(上面三种都可以通过这个来设置,这里举例加盐加散列次数的)
        //第一个参数是算法名称,这里指定md5,第二个是要加密的密码,第三个参数是加盐,第四个是散列次数
        SimpleHash hash = new SimpleHash("md5", password, salt, hashIterations);
        System.out.println(hash.toString());
        return hash.toString();
    }

1.2、shiro配置类

与SpringSecurity类似,如果想要让认证与授权流程生效,就需要在项目启动时,将Realm、SecurityManager、ShiroFilterFactoryBean加载到项目中,所以我们需要新建一个配置类ShiroConfig:

/**
 * shiro配置
 */
@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //设置过滤拦截器
        Map<String, String> filterMap = new LinkedHashMap<>();
        /*
            anon:  无需认证就能访问
            authc: 必须认证才能访问
            user:  必须拥有 记住我 功能才能用
            perms: 拥有对某个资源的权限才能访问;
            role:拥有某个角色权限才能访问;
        */
       //静态资源不拦截
        filterMap.put("/static/**","anon");
        filterMap.put("/css/**","anon");
        filterMap.put("/images/**","anon");
        filterMap.put("/js/**","anon");
        filterMap.put("/lib/**","anon");

        //登录相关资源不拦截
        filterMap.put("/jumpToLogin","anon");
        filterMap.put("/page/login-3","anon");
        filterMap.put("/api/login","anon");

        //其他资源需要进行认证
        filterMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        //设置登录页
        shiroFilterFactoryBean.setLoginUrl("/jumpToLogin");
        //设置未授权页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/unAuthorized");
//        shiroFilterFactoryBean.setSuccessUrl("/");
        return shiroFilterFactoryBean;
    }

    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultSecurityManager(@Qualifier("shiroRealm") ShiroRealm shiroRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm);
        return securityManager;
    }


    @Bean(name = "shiroRealm")
    public ShiroRealm shiroRealm(){
        ShiroRealm shiroRealm = new ShiroRealm();
        //设置CredentialMatchers
        shiroRealm.setCredentialsMatcher(credentialsMatcher());
        return shiroRealm;
    }

    //加密规则设置,与之前的addSalt相对应
    public HashedCredentialsMatcher credentialsMatcher() {
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //加密方式
        credentialsMatcher.setHashAlgorithmName("md5");
        //加密次数
        credentialsMatcher.setHashIterations(2);
        // true 密码加密用hex编码; false
        credentialsMatcher.setStoredCredentialsHexEncoded(true);
        return credentialsMatcher;
    }


}

2、接口获取用户名,密码生成UsernamePasswordToken并提交认证:

@Controller
@RequestMapping("/api")
public class ApiController {

    @Autowired
    SysMenuService sysMenuService;

    @RequestMapping("/login")
    @ResponseBody
    public ResponseVO login(String username, String password) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //获取当前的Subject
        Subject currentUser = SecurityUtils.getSubject();
        try {
            // 在调用了login方法后,SecurityManager会收到AuthenticationToken,并将其发送给已配置的Realm执行必须的认证检查
            // 每个Realm都能在必要时对提交的AuthenticationTokens作出反应
            // 所以这一步在调用login(token)方法时,它会走到xxRealm.doGetAuthenticationInfo()方法中,具体验证方式详见此方法
            currentUser.login(token);

            //认证通过,将菜单信息返回给前端展示
            if (currentUser.isAuthenticated()) {
                MenuSystem menuSystem = sysMenuService.findMenuTree();
                Gson gson = new Gson();
                String menuJson = gson.toJson(menuSystem, MenuSystem.class);
                return ResultUtil.success("登录成功!", menuJson);
            }
        } catch (UnknownAccountException e1) {
            e1.printStackTrace();
            return ResultUtil.error("用户名不存在!");
        } catch (IncorrectCredentialsException e2) {
            e2.printStackTrace();
            return ResultUtil.error("密码输入错误!");
        } catch (Exception e) {
            e.printStackTrace();
            return ResultUtil.error(e.getMessage());
        }
        return ResultUtil.error("登录失败!");
    }

说明:这里的菜单数据并没有使用shiro标签来实现,因为layuimini的菜单渲染是通过json数据的形式来实现的,所以这里我也是将菜单数据转换成了json给前端。

如果认证通过,那么通过subject.isAuthenticated()返回的结果就会是true,我们就可以认为登录成功了,此时,可以就可以将对应的菜单信息传回给前端渲染展示了。

superyu1992
关注
专栏目录
SpringBoot】33、SpringBoot+LayUI后台管理系统开发脚手架
Asurplus
09-05 22万+
本期给大家推荐我自己写一个开源项目:springboot-mini,本着减少大量重复开发工作的原则,使得在项目中能够实现快速开发 1、前言 本项目本着避免重复造轮子的原则,建立一套快速开发JavaWEB项目(springboot-mini),能满足大部分后台管理系统基础开发功能,使得开发人员直接可从业务模块开始,减少大量的重复开发工作。前端框架使用 layui-mini(https://gitee.com/zhongshaofa/layuimini) 2、项目地址 https://gitee.com/asu
springboot + mybatisplus + layui + shiro搭建后台权限管理系统
西里古里的博客
08-17 1226
一款 Java 语言基于SpringBoot2、Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪、富文本编辑器等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架,框架已集成了完整的RBAC权限架构
springboot+shiro+layuimini实现后台管理系统权限控制
08-02
springboot+shiro+layuimini实现后台管理系统权限控制
SpringBoot+Shiro+JPA+LayUI后台管理系统
12-27
本系统是一个用SpringBoot做后台开发框架,Shiro权限管理框架,Spring Data Jpa 做持久层框架,LayuiLayui mini做为前端框架的前后端分离的项目。 即拿即用,上手即会,可以方便你快速的开发一套属于自己的系统。
A125-springboot+layuimini 后台权限管理系统
最新发布
2401_86268542的博客
08-19 345
项目简介mini-manager项目是一套后台管理系统,基于SpringBoot2.0的后台权限管理系统界面简洁美观敏捷开发系统架构。使用SpringBoot+ security + MyBatis plus +redis+layuimini实现
SpringBoot+Layui后台管理系统
m0_67391120的博客
04-25 2061
这是一个SpringBoot+Layui后台管理系统(可前后分离,有空就写一个),使用shiro安全框架,加入访问权限,对不同角色有不同的访问权限,其他管理可以依据情况添加上去。 技术栈 后端SpringBoot 2.1.0 tk.mybatis 2.0.2 Shiro 1.3.1 Lombok 1.18.4 前端: Layui 2.4.5 JQuery 3.3.1 渲染模板 Thymeleaf Gitthub项目地址:https://github.com/Radom7/springboot
springboot+layui后台管理系统
05-07
本项目由springboot+mybatis+layui 为框架开发的javaweb 后台管理系统
SpringBoot+layui实现简单登录后端+前端联调实现
RoyRaoHR的博客
07-22 3043
通过BaseMapper能够继承mybatis-plus提供的基本的增删改查方法。大概的实现就是这样了,有其他问题可评论留言。后端基本链路实现完成。封装类Message。
SpringBoot+layui+Thymeleaf+Mybatis+Shiro后台管理系统脚手架
08-05
标题中的"SpringBoot+layui+Thymeleaf+Mybatis+Shiro后台管理系统脚手架"代表了一个基于SpringBoot框架的后台管理系统,该系统利用了一系列技术来构建高效、易用的管理界面。以下是对这些技术及其在系统中的作用的...
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统
06-19
本系统基于springboot+mybatisplus+shiro+layui+redis整合开发的前后端分离权限管理系统,主要功能有: 权限管理、日志管理、角色管理、用户管理,是一个非常不错的后台管理脚手架。 项目在线预览地址:...
Laravel企业信息化管理平台
weixin_50196917的博客
09-04 5332
一款 PHP 语言基于 Laravel5.8、Layui、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建前后端分离后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架,框架已集成了完整的RBAC权限架构和常规基础模块,同时支持多主题切换,可以根据自己喜欢的风格选择
酒店宾馆管理系统 springboot项目 mysql数据库 登陆界面 前端后台 layui
12-24
酒店宾馆管理系统 配置直接使用intellij idea的springboot打开 等待把dependence下载完毕(配置maven 修改下载源) 配置的properties中数据库需要改变不然会报错,填成自己的 然后运行项目 本地的话就127.0.0.1:8080/login 数据库中的employ中有密码,密码是加密过的,三种权限,管理者/工作人员/前台人员 管理账号:admin 密码:admin 工作人员账号:worker1 密码:worker1 前台人员:sever1 密码:server1
springboot后台模板
01-21
使用springboot框架开发,前端使用layui美化 ,数据访问工具mybatis-plus,安全框架shiro;已配置swagger2测试页面
springboot+mybatis+layui+shiro 权限注解-后台的完整的项目整合
04-23
非常适合刚学习springboot的初学者用了学习springboot+mybatis+layui+shiro 权限注解-后台的完整的项目整合 后台的账号密码 admin-111111
使用Springboot+shiro+layui打造漂亮简洁的权限控制系统
zhaoyajie1011的博客
09-04 2618
Springboot集成shiro pom.xml <!-- shiro权限 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> <!-- shiro权限支持thym
推荐开源项目:LayuiMini —— 极简优雅的后台管理界面模板
gitblog_00877的博客
08-08 1620
???? 推荐开源项目:LayuiMini —— 极简优雅的后台管理界面模板 项目地址:https://gitcode.com/gh_mirrors/la/layuimini 在这个数字化的时代里,一个简洁、高效的后台管理系统对于开发者来说无疑是开发过程中的得力助手。今天,我非常荣幸向大家推荐一款出色的开源项目——LayuiMini,它以其极致简约的设计、强大的功能性和良好的用户体验赢得了广大开发者的喜...
SpringCloud Alibaba+layui后端分离权限管理系统
六指琴魔
09-28 3337
cloud_layui 权限管理系统 项目介绍 cloud_layui是基于springcloud alibaba+layui整合开发前后端分离权限管理系统,架构思想来源于( RuoYi-Cloud)。 以Spring Framework为核心容器; Spring MVC为模型视图控制器; Mybatis Plus为数据访问层; spring security为权限授权层; Redis为分布式缓存; 注册中心、配置中心选型Nacos; 流量控制框架选型Sentinel; layui+layuimini作为
springboot layui上传回显_大家好!今天给大家分享一个基于layui + springboot +shiro+mybatisPlus仓库管理系统...
weixin_39914107的博客
01-22 112
项目描述Hello,大家好!今天给大家分享一个仓库管理系统的源码,该项目是基于layui + springboot +shiro+mybatisPlus来完成的,对于RBAC权限不熟悉的小伙伴可以用来学习一下,或者进行次开发都是很不错的!主要功能1. 数据库、创建项目、登陆功能2. 加载导航树、工作台、日志管理、公告管理3. 部门管理4. 权限管理、菜单管理5. 用户管理与...
SpringBoot+Shiro构建RBAC后台管理系统源码解析
资源摘要信息:"RBAC权限后台管理系统源码解析" 1. RBAC概念 - RBAC(Role-Based Access Control)即基于角色的访问控制,是一种在计算机系统中应用广泛的权限管理策略。 - 它通过角色关联用户权限,简化了权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值