Shiro 禁用session 自定义authc过滤器

最新推荐文章于 2022-08-24 02:00:40 发布
最新推荐文章于 2022-08-24 02:00:40 发布
阅读量775 收藏 1
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vransy/article/details/113861999
版权

做毕设的时候遇到的禁用session 各种报错 ,所以记录一下

很多篇同样的文章 都说这个一加上就报错,但是这个工厂是必须要加入的 在源码里面有说到 debug就看到了
StatelessDefaultSubjectFactory.java

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
    @Override
    public Subject createSubject(SubjectContext context) {
        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

ShiroConfig.java

securityManager.setSubjectFactory(new StatelessDefaultSubjectFactory());

无状态shiro报DisabledSessionException

ShiroConfig.java中 有一个坑
authc 必须认证 / 默认拦截器authc,源码中有去调用getSession()方法的,但这个时候我们又不创建session,这时就报错。所以要自己去定义一个Filter();

在创建初 如果用自己写的realm的话 比较的流程是 通过加密两个不同的realm 得到一个hash值,密码比较器 doCredentialsMatch… 就会去取这两个Realm 的 SimpleAuthenticationInfo() (该方法加密后得到的是Hash) 根据两个hash 进行equals比较

AuthenticatingRealm.java 主要调用

 protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = this.getCredentialsMatcher();
        if (cm != null) {
            if (!cm.doCredentialsMatch(token, info)) {
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify credentials during authentication.  If you do not wish for credentials to be examined, you can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

其中

!cm.doCredentialsMatch(token, info)

会去调用 JwtCredentialsMatcher,一定要注意 在JwtCredentialsMatcher是否返回true

最主要的密码认证器
HashedCredentialsMatcher.java

 public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenHashedCredentials = this.hashProvidedCredentials(token, info);
        Object accountCredentials = this.getCredentials(info);
        return this.equals(tokenHashedCredentials, accountCredentials);
    }

tokenHashedCredentials 来源于你输入的账号(JwtToken.getCredentials())
accountCredentials 来源于你

还有一个细节点在于

public class JwtToken implements AuthenticationToken {
...
@Override
    public Object getCredentials() {
    		// 注意 重写这个方法中 需要return 的是密码!!!!
    		// 很多博客中都是返回token  或者返回一个user对象,但实则不是
    		return JWTUtils.verify(token).getClaim("userPassword").asString().toCharArray();
    }
...
}

至于 为什么密码要toCharArray (网上给出的回答)
在这里插入图片描述

Vransy.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
tobe27的博客
08-19 2万+
本文源码:github 上一篇Shiro的demo:SpringMVC框架下使用shiro权限管理 最近一直在研究Shiro,因为项目里面要使用Shiro进行权限控制。由于项目不只是在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自...
Shiro关闭session配置
m0_67392010的博客
03-28 642
Shiro关闭session配置 前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 一、引入依赖 此处引入的为 shiro-spring ,版本为 1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <ar
Shiro自定义认证授权
weixin_44890199的博客
12-25 644
1 .Realm接口 最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权,通常自定义的realm继承AuthorizingRealm 2 .实现类 此时不需要写shiro.ini package com.hzt.realm; import com.domain.User; import com...
shiro 自定义认证filter
xiaoliuliu2050的专栏
02-08 3876
比如说我想 加一个验证码 认证,原来的userNamePasswordToken 就不够用了,我需要自定义一个新的token. public class SecurityToken extends UsernamePasswordToken { /** * 验证码 */ private String captcha; /** * 系统生
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
springmvc+shiro自定义过滤器的实现代码
08-26
SpringMVC+Shiro自定义过滤器的实现代码 itle"springmvc+shiro自定义过滤器的实现代码"所涉及的知识点如下: 1. SpringMVC拦截器 在SpringMVC中,拦截器(Interceptor)是一种特殊的Bean,它可以在请求处理之前、...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
在本篇文章中,我们将详细介绍如何在 SpringBoot 项目中配置自定义密码加密器代码实例,使用 Shiro 框架来实现身份认证和授权管理。Shiro 框架提供了一个灵活的安全管理系统,可以满足各种应用场景的需求。 Shiro ...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
spring boot整合redis实现shiro的分布式session共享的方法
08-28
Spring Boot 整合 Redis 实现 Shiro 的分布式 Session 共享 Shiro 是一个优秀的 Java 安全框架,提供了强大的身份验证、授权和会话管理功能。然而,在分布式架构中,Shiro 的会话管理机制需要进行特殊处理,以便...
自定义shiro
待定的专栏
03-07 3868
Shiro是Apache下的一个安全框架,其相比Spring Security来说,更为轻量级,而功能却不简单。相关对比目前有很多文章都提到。但尚未有真正技术性的文章——仅有的几篇也只有介绍介绍如何配置成功一个应用而已,其实这个还是看官方文档更清晰。 但官方文档并没有很明确地指出如何实现Shiro的单点登录,因此我觉得有必要在此处记录一下,方便使用shiro的朋友们。 shiro支持几乎所有的
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1764
前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
shiro 实现自定义权限规则校验
web13085338152的博客
08-24 274
显然第一种方法不适用,这些资源应该只能让我们自己的app进行访问。只需要重写 onAccessDenied方法,进行token判断!1:支持手机客户端访问的资源在权限配置中配置成anon。2:实现自定义认证拦截器,对用户请求资源进行认证。
java shiro jwt,Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
weixin_35432846的博客
03-13 846
应用场景:由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session禁用掉,同时要重新写JWT的过滤器。使用shiro+ssm+jwt的一些前期准备:禁用sessionJWT实现工...
shiro自定义AuthenticationToken适应多认证条件
浪丶荡
03-06 8736
一般的登陆只需要校验账号和密码两个要素 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getAccNum(), user.getPasswd()); ...
authc过滤器 shiro_Shiro过滤器
weixin_42208901的博客
01-14 471
Shiro内置过滤器认证相关过滤器:anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授权相关的过滤器:perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
authc过滤器 shiro_shiro原理之过滤器
weixin_39786141的博客
01-14 372
Shiro原理-过滤器前言这几天一直在研究Shiro到底是如何工作的,即一个请求过来了,它是如何做到知道这个请求应该用什么方式来鉴权的?应该调用哪个过滤器?自己定义的过滤器该如何才能生效?带着这样的疑问,我做了一些测试与研究,并记录于此文。实现原理Shiro对于请求的鉴权的实现也是通过过滤器(或者说是拦截器)来实现的,但是Spring项目中有拦截链机制,会有多个拦截器生效,包括系统内置的以及Shi...
shiro自定义filter
qq_43077857的博客
06-28 693
这里我们来做一个需求 我们在shiroconfigrution里面定义了我们的角色权限 这个意思是角色只有包含base和admin这两个角色的时候,我们才能访问/dd这个url /dd这个url只是一个简单的字符串返回 我们先在我们自定义的realm中加上这两个角色 照常理我们登陆后,访问/dd是可以得到数据得 的确成功了 然后我们在realm中去掉一个角色试试 将刚刚得去掉了 我们再登...
Shiroauthc过滤器的执行流程
web18484626332的博客
04-22 546
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问到了loginUrl,如果此时我在loginUrl中输入新的用户名密码,再提交则先执行isAccessAllowe
在 Spring Boot 中使用shiro配置自定义过滤器
最新发布
09-06
### 回答1: 在 Spring Boot 中使用 shiro 配置自定义过滤器需要以下几个步骤: 1. 引入 shiro-spring-boot-starter 依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建自定义过滤器: ``` public class CustomFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 在这里实现自定义的过滤逻辑,返回 true 表示通过过滤器,返回 false 表示未通过过滤器 return true; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果 isAccessAllowed 返回 false,则会进入到这里,可以在这里处理未通过过滤器的情况 return false; } } ``` 3. 配置 shiro 的 FilterChainDefinition: ``` @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition(); // 添加自定义过滤器,其中 key 是过滤器名称,value 是该过滤器对应的路径 chainDefinition.addPathDefinition("/custom/**", "custom"); return chainDefinition; } ``` 4. 配置自定义过滤器: ``` @Bean("custom") public CustomFilter customFilter() { return new CustomFilter(); } ``` 5. 配置 shiro 的注解支持: ``` @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } ``` 完成以上步骤后,就可以在 Spring Boot 中使用 shiro 配置自定义过滤器了。 ### 回答2: 在 Spring Boot 中使用 Shiro 配置自定义过滤器分为三个步骤。 第一步,创建自定义过滤器类。可以通过实现 Shiro 的 Filter 接口来创建自定义过滤器。在自定义过滤器中需要实现过滤规则,并对请求进行相应的处理。 第二步,配置 Shiro 过滤器链。在 Spring Boot 的配置类中,通过创建 ShiroFilterFactoryBean 对象来配置 Shiro过滤器链。可以使用 Shiro 的 FilterChainDefinitionMap 对象来配置过滤器链,然后将该对象设置给 ShiroFilterFactoryBean。 第三步,启用 Shiro 过滤器。在 Spring Boot 的配置类中,通过创建 DefaultFilterChainManager 对象,并将该对象设置给 ShiroFilterFactoryBean,启用自定义过滤器。 有了以上三步,就可以在 Spring Boot 中使用 Shiro 配置自定义过滤器了。可以通过在自定义过滤器中实现过滤规则来对请求进行拦截或处理,然后在 Shiro 过滤器链中配置该过滤器,最后启用该过滤器。这样就可以实现对请求的自定义过滤器处理。 值得注意的是,在使用 Shiro 进行自定义过滤器配置时,需要保证 Shiro 的配置文件中已经进行了相应的配置,包括认证和授权等相关配置。只有在正确配置的前提下,才能正确使用 Shiro 进行自定义过滤器的配置。 ### 回答3: 在Spring Boot中使用Shiro配置自定义过滤器通常需要以下几个步骤: 1. 引入Shiro和Spring Boot依赖。在pom.xml文件中添加Shiro和Spring Boot Starter依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 创建自定义过滤器类。可以通过实现`javax.servlet.Filter`接口或者继承`org.apache.shiro.web.servlet.OncePerRequestFilter`类来创建自定义过滤器。例如,创建一个名为`CustomFilter`的自定义过滤器类: ``` public class CustomFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 过滤器逻辑处理 // ... filterChain.doFilter(request, response); } } ``` 3. 在Shiro配置类中注册自定义过滤器。创建一个Shiro配置类,并使用`@Configuration`注解标记为配置类。通过`@Bean`注解将自定义过滤器注册到Shiro过滤器链中。例如,在配置类`ShiroConfig`中注册`CustomFilter`: ``` @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<CustomFilter> customFilterRegistrationBean() { FilterRegistrationBean<CustomFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new CustomFilter()); registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 过滤器执行顺序 registrationBean.addUrlPatterns("/*"); // 过滤器路径 return registrationBean; } } ``` 4. 配置Shiro的过滤规则。在Shiro配置文件中,可以设置自定义过滤器的拦截规则。例如,在`shiro.ini`配置文件中,设置自定义过滤器的拦截规则: ``` [urls] /** = customFilter // 对所有请求都使用自定义过滤器 ``` 通过以上步骤,在Spring Boot中使用Shiro配置自定义过滤器就可以实现对特定请求的拦截和处理。在`CustomFilter`类的`doFilterInternal`方法中编写自定义过滤器逻辑,例如鉴权、权限验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值