shiro使用WebService进行验证的实现

最新推荐文章于 2022-03-28 14:12:22 发布
最新推荐文章于 2022-03-28 14:12:22 发布
阅读量245 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/pengjian-one/p/7428055.html
版权

先说说项目中的实际需求。首先项目是有shiro的,也有一套完整的登录认证系统,能够实现使用缓存/dao进行登录用户名密码的校验。然后最近有一个需求,需要实现手机端的登录,登录的请求链接与web端不同,验证是由另外一台服务器进行验证的,使用webservice进行通信。

总结一下,也就是说需要实现一套使用WebService的登录接口。

我使用的解决方案是开放一个无需验证的登录接口给app端使用,在这个接口中调用登录的方法,并且使用webService去进行用户名密码的校验。

1、修改配置文件

在shiro的配置文件中,增加无需验证的登录接口

<bean name="shiroFilterChainDefinitions" class="java.lang.String">
   <constructor-arg>
      <value>
         ${adminPath}/app/user/login = anon
         ${adminPath}/app/user/notAuthorized = user
         ${adminPath}/app/user/sessionTimeout = anon

      </value>
   </constructor-arg>
</bean>

2、自定义的Token

/**
 * 自定义的移动端登录token,因为用户名和密码不需要本系统进行校验,所以只需要保存是否校验通过和校验通过后的用户id
 */
public class AppToken extends AuthenticationToken {
    private static final long serialVersionUID = 8587329689973009518L;
    private String checked = null;  //webService的校验是否通过
    private String userId = null;   //登录用户的id
    private boolean isRememberMe = false;   //是否勾选记住我

    public AppToken(String userId, String ticket) {
        this.userId = userId;
        this.checked = ticket;
    }

    /**
     * 获取当前token的身份,即用户id
     * @return
     */
    public Object getPrincipal() {
        return this.userId;
    }

    /**
     * 获取当前用户的凭证,即是否认证通过
     * @return
     */
    public Object getCredentials() {
        return this.checked;
    }

    public void setUserId(String userId) {
        this.userId = userId;
    }

    public boolean isRememberMe() {
        return this.isRememberMe;
    }

    public void setRememberMe(boolean isRememberMe) {
        this.isRememberMe = isRememberMe;
    }
}

 

 

3、自定义的Realm,并且加入到配置文件中的配置中去

/**
 * 自定义的移动端认证器,并不进行任何的认证工作,只是为当前用户处理session
 */
@Service
public class AppRealm extends AbstractCustomRealm {
    private SystemService systemService;
    private SystemAuthorizingRealm realm;
    private String name;
    private Logger logger = Logger.getLogger(getClass());


    @Override
    public String getName() {
        return this.name;
    }

    @Override
    public boolean supports(AuthenticationToken authenticationToken) {
        return authenticationToken!=null;
    }

    @Override
    public AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (! (authenticationToken instanceof AppToken)) return null;//只有通过app登录接口进来的请求才能使用该认证器
        AppToken token = (AppToken)authenticationToken;
        Object principal = token.getPrincipal();    //获取token中的身份,是用户的id
        User user = getSystemService().getUser((String) principal);//从系统缓存中获取当前用户的信息
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(new SystemAuthorizingRealm.Principal(user, false),token.getCredentials(),user.getLoginName());//创建Info对象,并不进行校验
        return authenticationInfo;
    }
 
  
  
 
  
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return getRealm().doGetAuthorizationInfo(principalCollection); } private SystemService getSystemService() { if (systemService == null){ systemService = SpringContextHolder.getBean(SystemService.class); } return systemService; } private SystemAuthorizingRealm getRealm() { if(realm == null){ realm = SpringContextHolder.getBean(SystemAuthorizingRealm.class); } return realm; }
 
 
 
 
加入配置文件
 
 
 
  
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
             <list>
                <ref bean = "appRealm"/>
                <ref bean = "systemAuthorizingRealm"/>
            </list>
        </property>
        <property name="sessionManager" ref="sessionManager" />
        <property name="cacheManager" ref="shiroCacheManager" />
        <property name="authenticator" ref="authenticator"/>
    </bean>
 
 
 
 
 
 
 
4、完成接口,在接口中对用户名和密码进行处理
 
 
 
  
@Controller
@RequestMapping(value = "${adminPath}/" + AppConst.AppUser_Action)
public class AppUserController extends BaseController {
    @Autowired
    private SystemService systemService;
private String oaWsUrl = "test"

    @ResponseBody
    @RequestMapping(value = "login")
    public String login(UserLoginVo loginVo) {
    Result res = new Result();
try {
                AppToken phoneToken = null;
                boolean app = false;
                User user = null;
                String result = UserAuthWsClient.authUserOAWS(loginVo.getUsername(), loginVo.getPassword(), oaWsUrl);
                String[] results = result.split("-");
                if (!"0".equals(results[0])){
                    if (results.length > 1) {
                        logger.error(results[1]);
                    }
                    logger.debug("移动端登录(userid: "+loginVo.getUsername()+")登录失败.");
                    res.setMessage("用户名或者密码错误,请重新输入");
                    res.setCode(ResponseVo.FAIL);
                    return res;
                }
                if ("0".equals(results[0])) {
                    String JC = loginVo.getUsername() ;
                    user = UserUtils.get(JC);
                    if (user != null) {
                        if (user.getDelFlag() == 0) {
                            app = true;
                        }
                    }
                    if(app){
                        phoneToken = new AppToken(user.getId(), "checked");
                    }
                }

                if(!app){
                    //本系统中没有该用户,判断登录失败
                    res.setMessage("登录失败, 请联系管理员");
                    res.setCode(ResponseVo.FAIL);
                }else{
                    Subject subject = SecurityUtils.getSubject();
                    try {
                        UserUtils.clearCache();
                        subject.login(phoneToken);
                        logger.debug("移动端登录(userid: "+user.getId()+") 登录成功,");
                        res.setMessage("登陆成功");
                        res.setBody(loginVo);
                        res.setCode(ResponseVo.SUCCESS);
                    } catch (AuthenticationException e) {
                        logger.debug("移动端登录(userid: "+user.getId()+")登录失败.");
                        logger.error(e.getMessage(),e);
                        res.setMessage("用户名或者密码错误,请重新输入");
                        res.setCode(ResponseVo.FAIL);
                    }
                    return res;
                }
            }
    }
  }
}
 
 
 
 
 
 
 
总结一下,因为用户名和密码的校验不在本系统内完成,所以对用户名和密码就不需要传入到shiro相关的流程中,直接使用继承自CachingRealm的自定义认证器AbstractCustomRealm ,在这里面不会对token和info的一致性进行校验,因此就不需要关心账号和密码了。
 
 
如果是自定的Realm继承自 AuthorizingRealm,那么AuthorizingRealm还会对token和info的一致性进行校验,只有当校验成功后才算是登录成功,否则抛出异常登录失败
 

 

转载于:https://www.cnblogs.com/pengjian-one/p/7428055.html

                

        

        




    




    

      

        

            

              
                
                  weixin_34381666
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
springboot+shiro集成webService

				
			

			

				

					qq_35867245的博客
				

				

					02-26
					
					934
					
				

			

		

		

			
				
接口代码如下:

@WebService
public interface SysCustomerAttachmentService {
    @WebMethod
    ESBResponseEntity insertCousterAttachment(@WebParam(name="header") ESBHeaderEntity header,@WebParam(name="list")...

			
		

	



                

              
                



	

		

			

				
					
shirowebservice cxf版权限控制解决方案

				
			

			

				

					juwei123321的博客
				

				

					03-27
					
					721
					
				

			

		

		

			
				
shirowebservice cxf版权限控制解决方案
说明:
1:webservice 是无状态的,所以每次登陆要求传入用户名和密码
2:由于涉及 每次都要登陆和验证,如果接口频繁调用就会形成数据库压力过大, 需要用到缓存
3:本教程用到springAOP需要一定基础
**
基础解决方案:(原理,不推荐使用)
**
1:在每一个接口类里面直接调用login方法,然后进行授权验证方法(如is...

			
		

	



                


  
              

                


	

		

			

				
					
springboot+memcached+mybatis+shiro+webservice聚合工程架构

				
			

			

				

					05-30
				

			

		

		

			
				
此套架构整合了springboot+memcached+mybatis+shiro+webservice的聚合式架构,内有具体代码,望大家一起学习交流,写博客因为太懒不愿意写  直接传了。请把解压后的java_memcached-release_2.6.3.jar和commons-pool-1.5.6.jar 安装到本地maven库或者直接引入项目,在阿里镜像里拉不到这两个包。

			
		

	





	

		

			

				
					
记录springboot+shiro项目集成发布webservice服务

				
			

			

				

					higeki_0325的博客
				

				

					04-21
					
					282
					
				

			

		

		

			
				
概述
因项目需要,在原有的项目框架中使用webservice对接其他系统.在此记录一下整个过程备忘,也希望能帮助到路过的朋友们.

项目依赖
		<!-- CXF -->
			<dependency>
    			 <groupId>org.apache.cxf</groupId>
 	 			 <artifactId>cxf-spring-boot-starter-jaxws</artifactId>
   				 <ve

			
		

	



		

			
		



	

		

			

				
					
ssm+easyui+websocket+shiro验证+webservice

				
			

			

				

					06-27
				

			

		

		

			
				
搭的一个ssm框架,连接的是mysql,把doc里面的sql执行后可以直接运行。项目里面配置了easyui,weiservice,websocket,shiro验证,拦截器,定时器等等(用户名:admin或1,密码:admin或1)

			
		

	





	

		

			

				
					
shiro实现授权登陆验证

				
			

			

				

					12-18
				

			

		

		

			
				
在这个项目中,我们将会深入理解如何利用Shiro实现登录验证和权限控制。  首先,我们要理解Shiro的核心组件。`Subject`是Shiro的中心概念,它代表了当前的用户或“安全主体”。`Realms`是Shiro与应用数据源交互的...

			
		

	





	

		

			

				
					
vue与shiro结合实现权限按钮

				
			

			

				

					12-15
				

			

		

		

			
				
Shiro中,主要通过Subject、Authenticator、Authorizer等核心组件来处理身份验证、授权和会话管理。授权(Authorization)是判断用户是否有执行某个操作的权限,这正是我们实现按钮权限的关键。我们可以将角色和...

			
		

	





	

		

			

				
					
基于spring boot 2和shiro实现身份验证案例

				
			

			

				

					08-19
				

			

		

		

			
				
"基于Spring Boot 2和Shiro实现身份验证案例"  基于Spring Boot 2和Shiro实现身份验证案例是当前网络安全领域中的一种常见解决方案。Shiro是一个功能强大且易于使用的Java安全框架,官网:https://shiro.apache.org/...

			
		

	





	

		

			

				
					
Apache Shiro 使用手册(四) Realm 实现

				
			

			

				

					09-15
				

			

		

		

			
				
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。...同时,`Realm`的设计使得Shiro能够与各种不同的数据源进行交互,提高了其通用性和可扩展性。

			
		

	





	

		

			

				
					
springmvc+shiro使用Perms实现细粒度验证.rar

				
			

			

				

					07-14
				

			

		

		

			
				
springmvc+shiro使用Perms实现细粒度验证,使我们的验证可以精确到每个按钮,每个请求 抱歉了各位,在下载时需要修改配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?>  ...

			
		

	





	

		

			

				
					
springboot websocket怎么通过shiro验证

				
			

			

				

					xue632777974的博客
				

				

					08-28
					
					2136
					
				

			

		

		

			
				
shiro有几种认证方式,这里只说JSESSIONID方式,正常http请求JSESSIONID是放在cookie中传过去的,但是websocket貌似不能用header和cookie传递参数,所以只能想到用url传参
试了下这种方式:
ws://localhost:8730/deploy?jsessionid=43577A8AFB2A95A59BA10AABBD0F6AEB```

非常遗憾,不行,只能看源码了,

org.apache.catalina.connector.CoyoteAdapter
确

			
		

	





	

		

			

				
					
spring boot 集成websocket与shiro的坑

				
			

			

				

					embelfe_segge的博客
				

				

					03-28
					
					1079
					
				

			

		

		

			
				
在整合websocket过程中,浏览器控制台一直报302错误,显示连接ws://localhost:80/websocket失败,猜测可能是shiro拦截了该请求,只需要在shiro配置中放行就可以了。
比如我websocket需要访问ws://localhost:80/websocket,那shiro配置中只需要加上map.put("/websocket/**", "anon");即可。
	注:配置shiro拦截器链
	anno:不需要认证
	authc:需要认证



...

			
		

	





	

		

			

				
					
配置了shiro后直接通过IP访问web项目会被拦截

				
			

			

				

					八面玲珑
				

				

					01-19
					
					4332
					
				

			

		

		

			
				
这个java的web项目的架构是spring+struts2+hibernate

设置了欢迎页index.jsp


<%@ page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML ...

			
		

	





	

		

			

				
					
权限框架中拦截webService请求的思考

				
			

			

				

					zpc15200790194的专栏
				

				

					04-08
					
					2002
					
				

			

		

		

			
				
Java中一般的权限框架都是用来拦截Http请求,而

			
		

	





	

		

			

				
					
spring+shiro + cxf + wss4j(webservice

				
			

			

				

					shareing
				

				

					11-14
					
					1017
					
				

			

		

		

			
				
1. 服务端
  
pom.xml 文件
cxf必备的 -->

dependency>
groupId>org.apache.cxfgroupId>
artifactId>cxf-rt-transports-httpartifactId>
version>3.1.12version>
dependency>
<!--不加这个包会报错Unable to locate sprin

			
		

	





	

		

			

				
					
Shiro认证流程和授权流程

					
热门推荐

				
			

			

				

					Emma_Joans的博客
				

				

					10-12
					
					1万+
					
				

			

		

		

			
				
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 
在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: 
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals

			
		

	





	

		

			

				
					
shiro怎么实现登录验证

					
最新发布

				
			

			

				

					05-02
				

			

		

		

			
				
2. 实现自定义Realm,Realm是Shiro进行身份验证和授权的核心组件。可以使用其中的几个接口来实现认证和授权逻辑。 3. 在Realm中实现认证逻辑,包括从数据库或其他数据源中获取用户信息,并将其与用户输入的用户名...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值