【saas-export项目】- shiro认证

最新推荐文章于 2023-05-18 21:17:46 发布
最新推荐文章于 2023-05-18 21:17:46 发布
阅读量99 收藏 1
点赞数 2
分类专栏: 学习笔记 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syy567/article/details/109750629
版权

1 Shiro过滤器&标签简介

判断sesion中是否有user判断账户密码是否正确

  • (1)分析
  • 需要过滤器控制,没有权限下访问链接
  • 需要标签控制,没有权限下,界面元素隐藏
  • anno代表不认证也可以访问,通过对静态资源惊醒放行
  • authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截
  • 如果用户没有认证,Shiro会自动跳转到login.jsp页面

2 Shiro登录认证 - 判断session中的user

  • (1)过滤器

在项目使用过程中使用认证过滤器拦截资源(该拦截的拦截,该放行的的放行)

  • (2)authc认证过滤器

必须认证才能访问,如果未认证跳登录页

  • (3)anno过滤器

放行,不需要拦截认证

  • (4)拦截路径问题
/*
/**

2.1 applicationContext-shiro.xml

 <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--注入SecurityManager-->
        <property name="securityManager" ref="securityManager"/>
        <property name="filterChainDefinitions">
            <value>
                <!-- 如果请求提静态资源 anon 不要求session中有user,直接可以访问-->
                /css/**=anon
                /img/**=anon
                /plugins/**=anon
                <!-- 如果请求login.do方法 anon-->
                /system/user/login-shiro.do=anon
                <!-- 如果除以上之后的xxx.do 要求登录 authc查询session中是否有user-->
                /**=authc
            </value>
        </property>
        <!--如果 session就是没有user,表示未登录,页面转到login-shiro.jsp -->
        <property name="loginUrl" value="/login-shiro.jsp"/>

    </bean>

在这里插入图片描述

3 Shiro登录认证 - 用户密码判断

3.1 Shrio登录认证三种结果

  • (1)正确

无异常
User user = (User)subject.getPrincipal()//获取user对象

  • (2)用户不存在

程序抛出UnknownAccountException异常

  • (3)用户密码出错

程序抛出IncorrectCredentialsException异常

3.2 Shiro登录认证login方法

  • (1)获取Subject对象

Subject subject = SecurityUtils.getSubject();

  • (2)调用Subject的认证方法:

login本质:AuthRealm的认证方法
subject.login(taken);

  • (3)登录的结果

正确
用户不存在
用户密码出错

3.2.1 UserController

userController通地subject连接到securitymanager,
再由securityManager去调用realm

 //${path}/system/user/login-shiro.do
    @RequestMapping(path = "/login-shiro", method = {RequestMethod.GET, RequestMethod.POST})
    public String loginShiro(String email,String password) {
        //根据 email查询对应的用户
        l.info("loginShiro email " + email);
        l.info("loginShiro password " + password);
        //使用shiro框架进行认证  结果也是三种可能  正确 没有异常,用户不存在 UnknownAccountException,密码出错 IncorrectCredentialsException
        //本质是需要调用realm进行查找用户
        Subject subject = SecurityUtils.getSubject();//获取连接
        //1:先获取subject 表示对securitymanager连接
        //2:调用 securitymanager
        //3:再调用realm
        //难验信息
        UsernamePasswordToken token = new UsernamePasswordToken(email, password);//身份验证
        try {
            subject.login(token);//正确  --realm
            //正确
            l.info("正确");
            //保存用户信息
            //要求访问realm返回一个user对象
            User user = (User) subject.getPrincipal();//  --realm
            session.setAttribute("loginUser",user);
            //一个 Module对象 就是左侧栏上的一个菜单项
            List<Module> menus = iModuleService.findModulesByUser(user);
            session.setAttribute("menus",menus);
            l.info("login menus "+menus);
            //跳到主页
            return "redirect:/home/toMain.do";
        } catch (UnknownAccountException e) {//用户不存在
            e.printStackTrace();
            l.info("用户不存在");
            request.setAttribute("error","用户不存在");
            return "forward:/login-shiro.jsp";
        }catch (IncorrectCredentialsException e){//密码出错
            e.printStackTrace();
            l.info("密码不对");
            request.setAttribute("error","邮箱或者密码不对");
            return "forward:/login-shiro.jsp";
        }
    }

3.2.2 AuthRealm

//认证(登录账号密码)
    //subject.login(token);
    //参1 接受 subject.login(token); 方法的值  authenticationToken

    @Autowired
    IUserService userService;
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        l.info("AuthRealm doGetAuthenticationInfo 函数执行了");
        //响应login方法和getPrincipal方法的调用
        UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) token;

        String email  = usernamePasswordToken.getUsername();
        l.info("doGetAuthenticationInfo --"+email);
        //调service读dao
        User user =  userService.findUserByEmail(email);
        l.info("doGetAuthenticationInfo --"+user);
        if (user == null) {
            //用户不存在
            return null;//-->系统会将null转成UnknownAccountException抛出
        } else {
           //用户存在的
            //AuthenticationInfo 返回给 User user = (User) subject.getPrincipal();
            /**
             * 参数一:principal,存放用户登录信息,subject.getPrincipal()获取
             * 参数二:数据库的密码
             * 参数三:realm的别名,只有在多个Realm的时候才会用,一般不用
             */
            AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), "");
            return info;
        }
    }
syy567
关注
专栏目录
Shiro登录的使用以及原理(二)----Filter过滤器原理和使用
大鹏的博客
11-27 661
在第一篇中进行的简单的介绍了Shiro的登录的实现https://blog.csdn.net/qq_38340127/article/details/109866392,因为主要为了后续的Spring结合Shiro,而Shiro通过Filer实现的,所以此篇主要讲Filter原理和使用。 一 Filter 过滤器 在web项目中Filer的主要功能就是对用户请求做预处理,接着将请求交给servlet处理并响应,然后Filter在对该相应进行后置处理。 web浏览器-------->web服务器-
Day41项目saas-export项目-shiro认证***
翁老师的教学团队
11-09 598
Shiro过滤器&标签简介 判断 sesion中是否有 user 判断账户密码是否正确 (1)分析 需要过滤器控制 没有权限下访问链接 需要标签控制 没有权限下 界面元素的隐藏 》anon代表不认证也可以访问,通常对静态资源进行放行 》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证Shiro会自动跳转到login.jsp页面 Shiro登陆认证-判断session中的user (1)过滤器 在项目中使用认证过滤器拦截资源(该
Shiro笔记五:Shiro内置Filter过滤器
公子&小白的博客
05-10 1704
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
shiro(一):springMVC与shiro整合,实现简单登录
热门推荐
coolwind的博客
11-29 1万+
&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;shiro与web的整合的起点就是在web.xml里添加一个shiro的filter,通过filter来进行安全管理。 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nb
apache shiro jar包_只需要6个步骤,springboot集成shiro,并完成登录
weixin_39644139的博客
11-22 640
小Hub领读:导入jar包,配置yml参数,编写ShiroConfig定义DefaultWebSecurityManager,重写Realm,编写controller,编写页面,一气呵成。搞定,是个高手~上面一篇文章中,我们已经知道了shiro认证与授权过程,这也是shiro里面最核心常用的基础功能。现在我们把shiro集成到我们的项目中,开始搭建一个有认证和权限体系的项目,比如用户中心需要登录...
iSunday-博客项目-ssm-dubbo-shiro的开发架构,前端使用layui-jQuery-boostrap
最新发布
09-20
iSunday-博客项目-ssm-dubbo-shiro的开发架构,前端使用layui-jQuery-boostrap,目前实现了基于shiro的登录和注册,权限控制的功能和相关界面。.zipiSunday-博客项目-ssm-dubbo-shiro的开发架构,前端使用layui-...
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
`shiro-redisson` 模块就是为了解决这个问题,将 Shiro 的缓存(Cache)和会话(Session)管理功能与 Redis 结合,实现了基于 Redis 的分布式解决方案。 1. **Redisson 库的介绍** Redisson 是一个全面的 Redis ...
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统.rar
08-12
采用redis存储token及权限信息 报表前端采用B ootstrap框架,结合Jquery Ajax,整合前端Layer.js(提供弹窗)+Bootstrap-table(数据列表展示)+ Bootstrap-Export(各种报表导出SQL,Excel,pdf等)框架,整合Echars...
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro的安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
shiro讲解,以及SpringBoot微框架集成shiro完成登录拦截器功能。
听风动的博客
04-02 1248
一:shiro是什么? 1.shiro是什么 shiro是apache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。 2.shiro与传统权限的区别 shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限...
Shiro 实现权限管理
HHM
08-05 458
本章节:结合SSM + Dubbo 和 Spring Boot + Shiro来讲,我也是参考spring Boot + Shiro + Vue 来做的一套权限管理。 最近公司项目重构,项目也是好几年前的项目,Dubbo 架构。我本身也没有做过权限。 权限说难也难。说不难也不难。主要是设计和思想很重要。具体看业务场景。 设计核心: 每个登录用户拥有各自的权限,比如:一级菜单~二级菜单 : 列表/添...
SpringBoot整合shiro-重写shiro的登录过滤器
tengfei308的博客
03-30 688
SpringBoot整合shiro-重写shiro的登录过滤器 shiro是利用过滤器进行工作,而springboot的web项目本质其实就是springmvc.所有的请求都在DispatcherServlet中进行了分发.在web项目中,Filter先于servlet执行的.shiro的登录的拦截器比springboot的controller先执行.而shiro的登录filter只支持登录失败时返回一个页面,如果使用的是ajax请求,希望没有登录时返回JSON数据,shiro本身的filter是做不到的,
(十二)整合 Shiro 框架,实现用户权限管理
爱是与世界平行
07-08 506
整合 Shiro 框架,实现用户权限管理1、Shiro简介1.1 基础概念1.2 核心角色1.3 核心理念2、SpringBoot整合Shiro2.1 核心依赖2.2 Shiro核心配置2.3 域对象配置3.4 核心工具类3.5 自定义权限异常提示3、案例演示代码3.1 测试接口3.2 测试流程 1、Shiro简介 1.1 基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅
00【笔记】 Shiro登陆过滤提示信息
杨不易呀
06-17 158
Shiro登陆过滤 提示信息 package top.yangbuyi.system.shiro; import com.alibaba.fastjson.JSONObject; import org.apache.shiro.web.filter.authc.FormAuthenticationFilter; import javax.servlet.ServletRequest;...
shiro实现登陆认证和权限管理
BushRo
07-12 1715
ApacheShiro是Java 的一个安全(权限)框架。 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 功能介绍 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的...
shiro-自定义登录过滤器控制转发路径
qq_31856061的博客
01-27 541
引文:shiro自带有多种过滤器,但是在一些场景中,需要登录页面有多种展现形式,通常需要用一些字段参数来控制,这个时候shiro的过滤不能满足需求,需要注入自定过滤器来满足需求 1.自定义过滤器,实现 public class LoginFilter extends AuthenticationFilter { /** 用户没登录时操作 */ @Override protected boolean onAccessDenied(ServletRequest servletReque
使用shiro的的表单过滤器重写shiro默认的认证规则来实现先验证验证码再验证登录所遇到的问题
XWJ
03-11 5348
我之前写过一篇用shiro实现登录认证的博文,今天就是在这基础上做出修改而成。由于对shiro认识不够深入,折腾了很久,今天主要就是对遇到的问题做出点小总结。 首先我先给出shiro的配置文件: <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001
Shiro实现登录拦截与用户认证
Healerjy的博客
05-18 481
测试结果:用户名和密码输入都正确则进入首页,并且能够具有add、update的权限,如果用户名或密码输入错误则有相应的提示。编写Shiro配置类 UserRealm类同上。新建一个login.html作为拦截后跳转的登录页面。测试结果:没有权限将会跳转到登录页面。编写controller接口。配置UserRealm类。修改登录页面部分代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值