shiro的一次认证多次授权

最新推荐文章于 2024-07-24 17:09:17 发布
最新推荐文章于 2024-07-24 17:09:17 发布
阅读量359 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web15085599741/article/details/124345078
版权

shiro的一次认证多次授权

springboot整合shiro(使用@Bean注解的形式配置javabean)
1.先在pom文件中引入shiro的jar包;

<dependency>
		<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-all</artifactId>
			<version>1.3.2</version>
		</dependency>

2.继承extends AuthorizingRealm 实现自己的realm中有两个重要得方法
备注:doGetAuthenticationInfo方法一般只会在登录的时候 UsernamePasswordToken token = new UsernamePasswordToken(userName, userPwd);
token.setRememberMe(true);
subject.login(token);
交给subject的login方法交给SecurityManager的login方法(这个方法中需要获得 AuthenticationInfo info;的验证信息,最终会realm中的getAuthenticationInfo方法,我们自定义的realm间接实现了这个方法,实现了自己的业务逻辑我们可以从数据库获取用户的身份信息进行验证)

 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection token) {
        System.out.println("使用了自定义的realm,用户授权...");

        // 获取用户名
        // String userName = (String) principals.getPrimaryPrincipal();
        // 依据用户名在数据库中查找权限信息
        // 角色
        List<String> roles = new ArrayList<>();
        roles.add("admin");
        roles.add("user");
        // 权限
        List<String> permissions = new ArrayList<>();
        permissions.add("admin:select");
        permissions.add("admin:delete");

        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addStringPermissions(permissions);
        simpleAuthorizationInfo.addRoles(roles);
        return simpleAuthorizationInfo;

    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
        throws AuthenticationException {
        System.out.println("使用了自定义的realm,用户认证...");
        System.out.println("用户名:" + ((UsernamePasswordToken) token).getUsername());
        System.out.println("密码:" + new String(((UsernamePasswordToken) token).getPassword()));

        // 模拟账号不存在
        // if (true) {
        // throw new UnknownAccountException();
        // }

        // 获取用户名
       // String userName = (String) token.getPrincipal();
        String userName = "123";
        // 依据用户名去数据库查询
        // 模拟从数据库中查询出来的散列值密码
        String password = "123";
        // 查询到了数据,验证密码是否正确
        // 密码正确,认证通过
        // 密码错误,认证失败
        // 没有查询到数据,认证失败
        // 模拟从数据库中获取salt
        //String salt = "qwerty";
        // 与UsernamePasswordToken(userName, password)进行比较
        // 区别UsernamePasswordToken(userName, password)中的password是用户输入的密码,即没有加密过的密码
        // SimpleAuthenticationInfo(userName, password, ByteSource.Util.bytes(salt), this.getName())中的password是数据库中的密码,即加密过后的密码
        return new SimpleAuthenticationInfo(userName, password,this.getName());

    }

3.配置shiroconfig
备注:这个配置类里面我们配置了一个shiro filter里面配置了url和对应的的过滤器,当我们使用注解进行权限控制的时候,我们需要开启注解支持,然后对注解做aop操作.subject中的hasrole,交给authorizer中的hasrole,然后authorizingrealm中的getauthorizationinfo方法中获取info,info中白包含用户的角色和权限集合,然后判断集合是否注解中的元数据,getauthorizationinfo中关联了cache,先从cache中获取info,获取不到的时候,通过自己定义realm中的重写dogetauthorizationinfo来获取info放到缓存中去,因为通过cache获取,所以我们实现了cachemanager和cache两个接口,从而实现了shiro和redis的整合。

  /**
     *
     * @Title: createMyRealm
     * @Description: 自定义的realm
     * @return
     */
    @Bean
    public myrealm createMyRealm() {
        myrealm myRealm = new myrealm();
        return myRealm;
    }

    /**
     *
     * @Title: securityManager
     * @Description: 注入自定义的realm
     * @Description: 注意方法返回值SecurityManager为org.apache.shiro.mgt.SecurityManager
     *               ,不要导错包
     * @return
     */
    @Bean
    public DefaultWebSecurityManager securityManager(myrealm myRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        return securityManager;
    }

    /**
     *
     * @Title: shirFilter
     * @Description: Shiro 的Web过滤器
     * @param securityManager
     * @return
     */
    @Bean({"shiroFilter"})
    public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接,建议不配置,shiro认证成功自动到上一个请求路径
       // shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权界面,指定没有权限操作时跳转页面
       // shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        // 过滤器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 配置不会被过滤的链接 顺序判断
        // 过虑器链定义,从上向下顺序执行,一般将/**放在最下边
        // 对静态资源设置匿名访问
        // anon:所有url都都可以匿名访问
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/logins", "anon");
        // 配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout");
        // authc:所有url都必须认证通过才可以访问
        filterChainDefinitionMap.put("/**", "user");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

//为了注解生效(开启注解)
@Bean({"authorizationAttributeSourceAdvisor"})
public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}
    @Bean
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
        return new DefaultAdvisorAutoProxyCreator();
    }
web15085599741
关注
专栏目录
【网络安全】缓存配置错误导致授权绕过
等风来
08-26 153
在普通用户身份下,我能够获取到该商店的所有订单信息,包括客户详情。
shiro的权限验证方法doGetAuthorizationInfo执行两次
大海无量的博客
03-02 7292
每次调用接口时,doGetAuthorizationInfo执行两次。 // 权限配置(注解方式) /** * 下面的代码是添加注解支持 */ // @Bean // @DependsOn("lifecycleBeanPostProcessor") // public DefaultAdvisorAutoProxyCreator ...
使用Apache Shiro进行身份认证-LDAP两次绑定认证
tempsitegoogle
04-23 417
通常在根据LDAP进行身份验证时会采取以下三种方法: 1、利用一个LDAP用户的用户名和密码绑定到LDAP服务器。 2、在LDAP中检索一个用户的条目,然后将提供的密码和检索到的LDAP记录中的密码属性相比较。 3、“两次绑定”验证方法。 基于LDAP进行身份验证,最好也是最通用的方法就是 “两次绑定”。这种方法的步骤以及优点可参看我的另一篇博客:基于LDAP进行验证-方法和问题 当前S...
shiro的权限验证方法 doGetAuthorizationInfo 重复执行的解决办法
进阶的球儿
10-10 2789
很简单,注释掉ShiroConfiguration 中的DefaultAdvisorAutoProxyCreator 即可。 /** * 加入下面2个 可以在controller层使用shiro注解 * 注释掉,解决权限验证多次循环的问题 * @return */ // @Bean(name = "advisorAutoProxyCreat...
Shiro自定义过滤器会执行两次?看我怎么给你解决
Python专栏
06-07 925
其中第一次是作为shiroFilterChain中的过滤器被shiroFilter调用的,另外又在全局过滤器中注册了我们自定义的过滤器,这就导致了在shirofilter之后,该过滤器又被被执行一次!这个问题困扰了他一个下午都没有解决,最后不得不求助我来帮忙,那我们就来复现一下这个问题,并给出对应的解决方案吧。现在你会发现,Filter处理一次请求会被执行两次的情况就没有了,现在你知道如何解决这个bug了吗?从控制台的信息中我们可以看出,日志被打印了两次,那么这个问题到底是怎么产生的呢?
Springboot2.1.4整合ApacheShiro时,doGetAuthorizationInfo执行两次的解决方法
weixin_44632986的博客
05-24 2525
ShiroConfig配置类中增加如图缓存就正常了。 以下为引入的具体缓存依赖: org.apache.shiro shiro-ehcache x.x.x
shiro认证授权的过程
05-01
如果用户尝试多次登录,策略将决定何时认为他们已成功认证。 **2. 授权过程** 授权,即权限控制,是确定主体能否执行特定操作的过程。Shiro授权机制包括: 1. **角色(Roles)**:定义了一组权限,可以将角色...
CAS+Shiro实现认证授权
11-15
在IT行业中,安全是至关...Shiro处理应用内部的授权,而CAS则负责跨应用的统一认证,两者协同工作,可以构建出高效且安全的多应用环境。通过学习和实践这两种技术的结合,开发者可以提升其在Web安全领域的专业能力。
Shiro二次认证方式与多因素认证
Shiro是一个用于身份认证授权和加密的开源框架,广泛应用于Java生态系统中。它提供了一个简单而灵活的安全解决方案,可用于保护Web应用程序、REST服务、微服务、大数据应用等。 ### 1.2 Shiro认证授权功能...
shiro整合cas多次验证或者重复重定向问题
喵″的博客
11-26 1万+
很多人初学都会遇到多次验证或者重复重定向,然后拿着异常网上各种查资料,到最后会发现,是因为shiro封装了指定的返回路劲:/、/index、上次request地址 通过配置文件配置的路劲,只是一个辅助作用,在shiro找不到跳转路劲后才会跳转到配置的路劲,所以我们要做的就是:重写跳转方法
CAS+Shiro 自定义 pac4jRealm 每次判断权限都要重复执行doGetAuthorizationInfo()两次
xiyafei122的博客
03-18 1002
代码如下: public class UserRealm extends Pac4jRealm(){ @Override public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub System.out.println("Onece"); Set<String> roles=new
spring+shiro 两次登录才能成功进入问题
yjw_2019的博客
01-15 892
这个问题折腾了我一整天,一直在查shiro配置,怎么调整都无法解决 原因出在这 Login Form
解决shiro1.10.0登录过滤器执行2次的问题
demontxy的博客
11-11 1622
解决shiro升级到1.10.0自定义过滤器执行2遍的问题
自定义realm出现doGetAuthorizationInfo多次重复调用
3k油:知道的越多,不知道的越多
10-09 1665
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么会有多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro的配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复调用了。于是定位到了下边的这个方法。 a)d.
springboot shiro整合多次登录问题
huang123zxc的专栏
04-26 1958
参考网上整合springboot+shiro示例做了一个demo发现点击登录事件2次才能进入首页,跟踪发现调用shiro.logout方法跳到登录页面后,点击第一次登录直接进去了拦截顺丰一定写成,要授权的地址写在前面。如果写反了,可能遗忘了有些地址也是不需要授权的...
关于shiro登录时默认执行两次的异常见闻录
深渊码头
11-30 658
关于shiro登录时默认执行两次的异常见闻录与简单解决
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo后执行login的问题
热门推荐
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
解决 Shiro 重复调用 doGetAuthenticationInfo 导致异常处理错误的问题
最新发布
ATFWUS的博客
07-24 1180
遇到一个 Shiro 中反复调用 doGetAuthenticationInfo 导致异常没有被成功处理的问题,经过一些源码调试,发现了问题的所在,只需在继承 BasicHttpAuthenticationFilter 的类中重写 onAccessDenied 方法即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值