shiro 实现多种方式登录_shiro单点登录的简单实现

最新推荐文章于 2022-08-24 03:12:52 发布
最新推荐文章于 2022-08-24 03:12:52 发布
阅读量1k 收藏
点赞数
文章标签: shiro 实现多种方式登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39589693/article/details/111482762
版权
本文介绍了使用Shiro实现单点登录的两种方法:一种是基于多次登录,另一种是自定义Token令牌。通过MVC Controller的方法详细展示了登录逻辑,并提供了重载`assertCredentialsMatch`方法来验证凭证。此外,还讨论了如何实现Shiro无状态访问,以及多点注销的处理方式。
摘要由CSDN通过智能技术生成

方式一 多次登录

MVC Controller 的 sso 方法

@RequestMapping(value = "ssoLogin.do")

public String sso(String userName, String password,HttpServletRequest request, HttpServletResponse response) {

AuthUser user = userDao.getUserByname(userName);

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

//获取当前的Subject

Subject currentUser = SecurityUtils.getSubject();

currentUser.login(token);

currentUser.getSession("true").setAttribute("userName",userName);//shrio session

currentUser.getSession().setAttribute("loginName",userName);//http session

return "xxx"; //页面

}

调用

String path = "osdp";//request.getContextPath();//项目地址

String basePath = request.getScheme() + ":" + request.getServerName() + ":" + request.getServerPort() + path;//url

String userName = UserHolder.getUserName();

String password = UserHolder.getPassword();

String data = "userName=" + userName + "&password=" + password;

return "redirect:" + basePath + "/ssoLogin" + "?" + data;

方式二 自定义Token令牌

MVC Controller 映射 sso 方法

/**

* 单点登录(如已经登录,则直接跳转)

* @param userCode 登录用户编码

* @param token 登录令牌,令牌组成:sso密钥+用户名+日期,进行md5加密,举例:

* String secretKey = Global.getConfig("shiro.sso.secretKey");

* String token = Digests.md5(secretKey + userCode + DateUtils.getDate("yyyyMMdd"));

* @param url 登录成功后跳转的url地址。

* @param relogin 是否重新登录,需要重新登录传递true

* 例如:http://localhost/project/sso/{token}?url=xxx&relogin=true

*/

@RequestMapping(value = "sso/{userCode}/{token}")

public String sso(@PathVariable String userCode, @PathVariable String token,@RequestParam(required=true) String url, String relogin, Model model) {

Principal principal = SecurityUtils.getSubject().getPrincipal();

// 如果已经登录

if(principal != null){

// 如果设置强制重新登录,则重新登录

if (BooleanUtils.toBoolean(relogin)){

SecurityUtils.getSubject().logout();

}

// 否则,直接跳转到目标页

else{

return "redirect:" + Encodes.urlDecode2(url);

}

}

// 进行单点登录

if (token != null){

UsernamePasswordToken upt = new UsernamePasswordToken();

try {

upt.setUsername(userCode); // 登录用户名

upt.setPassword(token.toCharArray()); // 密码组成:sso密钥+用户名+日期,进行md5加密,举例: Digests.md5(secretKey+username+20150101))

upt.setParams(upt.toString()); // 单点登录识别参数,see: AuthorizingRealm.assertCredentialsMatch

} catch (Exception ex){

if (!ex.getMessage().startsWith("msg:")){

ex = new AuthenticationException("msg:授权令牌错误,请联系管理员。");

}

model.addAttribute("exception", ex);

}

try {

SecurityUtils.getSubject().login(upt);

return "redirect:" + Encodes.urlDecode2(url);

} catch (AuthenticationException ae) {

if (!ae.getMessage().startsWith("msg:")){

ae = new AuthenticationException("msg:授权错误,请检查用户配置,若不能解决,请联系管理员。");

}

model.addAttribute("exception", ae);

}

}

return "error/403";

}

重载org.apache.shiro.realm.AuthorizingRealm类的assertCredentialsMatch方法

/**

* 认证密码匹配调用方法

*/

@Override

protected void assertCredentialsMatch(AuthenticationToken authcToken,

AuthenticationInfo info) throws AuthenticationException {

UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

// 若单点登录,则使用单点登录授权方法。

if (token.toString().equals(token.getParams())){

// sso密钥+用户名+日期,进行md5加密,举例: Digests.md5(secretKey+username+20150101))

String secretKey = Global.getConfig("shiro.sso.secretKey");

String password = Digests.md5(secretKey + token.getUsername() + DateUtils.getDate("yyyyMMdd"));

if (password.equals(String.valueOf(token.getPassword()))){

return;

}

}

super.assertCredentialsMatch(token, info);

}

实现Shiro无状态访问,如通过传递sessionid参数即可实现会话访问

public class SessionManager extends DefaultWebSessionManager {

public SessionManager() {

super();

}

@Override

protected Serializable getSessionId(ServletRequest request, ServletResponse response) {

// 如果参数中包含“__sid”参数,则使用此sid会话。 例如:http://localhost/project?__sid=xxx&__cookie=true

// 其实这里还可以使用如下参数:cookie中的session名称:如:JSESSIONID=xxx,路径中的 ;JESSIONID=xxx,但建议还是使用 __sid参数。

String sid = request.getParameter("__sid");

if (StringUtils.isNotBlank(sid)) {

// 是否将sid保存到cookie,浏览器模式下使用此参数。

if (WebUtils.isTrue(request, "__cookie")){

HttpServletRequest rq = (HttpServletRequest)request;

HttpServletResponse rs = (HttpServletResponse)response;

Cookie template = getSessionIdCookie();

Cookie cookie = new SimpleCookie(template);

cookie.setValue(sid); cookie.saveTo(rq, rs);

}

// 设置当前session状态

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,

ShiroHttpServletRequest.URL_SESSION_ID_SOURCE); // session来源与url

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sid);

request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);

return sid;

}else{

return super.getSessionId(request, response);

}

}

}

调用

String path = "osdp";//request.getContextPath();//项目地址

String basePath = request.getScheme() + ":" + request.getServerName() + ":" + request.getServerPort() + path;//url

String userName = UserHolder.getUserName();

String secretKey = "SSO";

String token = DigestUtils.md5Hex(secretKey + userName + CommonUtil.getToday());

String data = "userName=" + userName + "&token=" + token;

return "redirect:" + basePath + "/ssoLogin" + "?" + data;

注意:shiro配置放开单点请求:/sso** =anon

以上两种方式可以实现简单的单点登录,基本思想就是多个子系统登录一遍(自定义token登录或用户名密码登录,原理一样)。

多点注销是,也要每一个子项目注销一遍:

SecurityUtils.getSubject().logout();//注销自己

HttpUtil.get("xxx/logout");//接口:同时注销其他项目

weixin_39589693
关注
shiro实现单点登录
kris_lh123的博客
10-23 2940
需求:实现同一个账号同一个时刻只能在一个IP浏览器登录,后者把前者挤掉线。 实现:通过shiro的session管理机制进行实现。 我的理解:shrio有一套sessionmanager的管理器,用来管理登录用户的session。不同的用户每次登录都会生成一个sessionid,保存在shrio框架中。我只需要实现根据登录用户的账号,判断正在登录的用户session是否已经存在于当前活跃的sess...
第十五章 单点登录——《跟我学Shiro
每天积累一点,一年后你会发现,自己变化很大
12-26 1380
Shiro 1.2开始提供了Jasig CAS单点登录的支持,单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。此处我们使用Jasig CAS v4.0.0-RC3版本: https://github.com/Jasig/cas/tree/v4.0.0-RC3   Jasig CAS单点登录系统分为服务器端和客户端,服务
shiro多种登陆方式的设置
FeiChangWuRao的博客
11-26 3800
shiro是我目前用的项目的一个鉴权框架,也是apache基金会的,用来处理登录,鉴权这部分。下面是官网的介绍页: Shro 官网网站,不管是了解还是学习,都是第一手资料 网上一个用XML文件配置的,这里我用注解的方式来配置跟他做一个对比 一般来说对于登录,鉴权,身份验证,session管理其实不管什么项目都是一个不容忽视的部分。采用shiro就是希望有个对用的框架来直接使用,而不是自己去修改,很多时候,项目紧急容不得你“慢悠悠”的造轮子。而且shiro的使用还算方便,这里主要是讨论shiro如何去设置多种
shiro 单点登录实现
qq_43558992的博客
11-25 1458
shiro 单点登录实现 1.部署shiro cas server(实测有用博客) https://blog.csdn.net/mengmei16/article/details/52597468 2.实现登录数据可配化 参考博客 https://blog.csdn.net/c1481118216/article/details/80402622 实现shiro server 连接mysql...
shiro 实现多种方式登录_shiro实现单点登录(一个用户同一时刻只能在一个地方登录)...
weixin_39708636的博客
12-28 1045
我这里 shiro 并没有集成 springMVC,直接使用 ini 配置文件。shiro.ini[main]# Objects and their properties are defined here,# Such as the securityManager, Realms and anything# else needed to build the SecurityManagerauthc...
spring boot整合Shiro实现单点登录的示例代码
08-28
Spring Boot 整合 Shiro 实现单点登录的示例代码 本篇文章主要介绍了 Spring Boot 整合 Shiro 实现单点登录的示例代码的知识点,旨在帮助读者快速掌握该技术的实现方法。下面是相关知识点的详细介绍: 一、Shiro ...
shiro+spring+data+session+redis实现单点登录
08-03
本案例聚焦于使用Apache Shiro、Spring、Spring Data以及Redis来实现单点登录功能,下面将详细解释这些组件以及它们如何协同工作。 **Apache Shiro** Apache Shiro是一款轻量级的安全框架,提供了认证、授权、会话...
spring + shiro + cas 实现sso单点登录的示例代码
08-29
Spring + Shiro + CAS 实现 SSO 单点登录示例代码 本篇文章主要介绍了 Spring + Shiro + CAS 实现 SSO 单点登录的示例代码,具有一定的参考价值。下面将详细介绍标题、描述、标签和部分内容中所涉及到的知识点。 ...
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
主要介绍了shiro实现单点登录(一个用户同一时刻只能在一个地方登录)的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
shiro 单点登录.docx
06-13
shiro 单点登录 shiro 单点登录
cas_sso.rar_CAS_CAS SSO_cas文档_sso C_单点登录
09-24
**CAS单点登录系统详解** CAS(Central Authentication Service,中央认证服务)是一种广泛使用的开源身份验证框架,旨在提供一种安全的单点登录(Single Sign-On,SSO)解决方案。SSO允许用户通过一次登录,就能...
详解spring boot配置单点登录
08-31
4.实现单点登录逻辑:在应用程序中实现单点登录逻辑,使用 Shiro 提供的 API 实现登录认证和授权。 Shiro 是一个功能强大且灵活的安全框架,它提供了许多有用的功能,例如身份验证、授权、加密和会话管理等。Shiro ...
实现shiro方式登录系统
热门推荐
Lancelot的专栏
04-07 1万+
实现shiro方式登录系统
shiro 多种方式登录
hyhanyu的博客
04-14 2976
系统可能存在多种登录方式,微信扫码登录,电话验证码登录,用户名密密码登录等。 按照正常情况,不同的登录方式 ,调用的接口 也不一样。 @Bean public DefaultWebSecurityManager securityManager(CookieRememberMeManager rememberMeManager, SessionManager sessionManag...
shiro多系统单点登录
m0_67394006的博客
08-24 1110
最近做项目遇到了多个系统权限用的是shiro框架,需要做成单点登录,虽然shiro单点登录提供了shiro-cas的方案,但是不太符合我们现有项目的框架,现在和大家分享一下我是如何实现单点登录。浏览器执行步骤4中返回js,此时访问系统A时携带的cookie中的sessionid是在单点登录系统登录的sessionid,A系统ssoFilter发现该用户已登录允许访问本系统资源。登录服务器判断当前用户是否登录如果该用户登录则重定向到用户访问。业务系统A中的SSOFilter。用户第一次访问系统A。
shiro 实现多种方式登录_SpirngBoot + Shiro 实现多种登录方式的身份认证及授权管理...
weixin_39738273的博客
12-18 1049
一、Shiro中的类核心类ShiroFilterFactoryBean:Shiro框架中的Web过滤器SecurityManager:Shiro的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务,构建ShiroFilterFactoryBean时需要一个SecurityManager实例。Subject:“当前操作用户”。Subject代表了当...
SpringSecurity ,oAuth2.0 从入门到源码精通 之 (二)spring security 自定义登录界面、登录验证、登录成功处理、登录失败处理
llk15884975173的博客
11-04 1594
在上一篇文章中(SpringSecurity ,oAuth2.0 从入门到源码精通 之 (一)spring security 简单入门,包你学会)我们已经详细的讨论了 Spring Security 的基本使用,相信大家已经对 Spring Security 有了一个基本的了解了。本篇文章我们接着往下,来讨论一下在 Spring Security 中如何自定义我们的登录界面等。 本文使用的代码是在上一篇文章(SpringSecurity ,oAuth2.0 从入门到源码精通 之 (一)spring secu
shiro 多种登录方式
最新发布
09-22
Shiro 提供了相应的 SSO 功能支持,可以通过与其他系统集成,共享用户登录状态和认证信息,实现单点登录的效果。 5. 客户端证书登录:对于某些需要较高安全级别的系统,可以使用客户端证书登录方式。用户需要使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值