shiro密码正确也会匹配错误_SpringBoot项目与Shiro整合

最新推荐文章于 2022-11-13 13:03:05 发布
最新推荐文章于 2022-11-13 13:03:05 发布
阅读量575 收藏 3
点赞数
文章标签: shiro密码正确也会匹配错误 spring 整合 shiro spring快速整合bootstraps登录

34ef98ed6c4911ef7741fa40f9b7fb48.png

今天青秧想和和大家聊聊 Spring Boot 整合 Shiro 的话题!在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,从技术角度来说,也可以使用 Shiro。

pache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

Apache Shiro 体系结构 :

Authentication 认证 ---- 用户登录

Authorization 授权 — 用户具有哪些权限

Cryptography 安全数据加密

Session Management 会话管理

Web Integration web系统集成

Interations 集成其它应用,spring、缓存框架

一、SpringBoot整合Shiro

Shiro的核心API:

  1. Subject: 用户主体(把操作交给SecurityManager)
  2. SecurityManager:安全管理器(关联Realm)
  3. Realm:Shiro连接数据的桥梁

1.导入Shiro依赖:

<!-- shiro与spring整合依赖 -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>

2.自定义Realm类:

/**
 * 自定义Realm
 * @author lenovo
 *
 */
public class UserRealm extends AuthorizingRealm{

	/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		return null;
	}

	/**
	 * 执行认证逻辑
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		System.out.println("执行认证逻辑");
		return null;
	}

}

3.编写Shiro配置类:

/**
 * Shiro的配置类
 * @author lenovo
 *
 */
@Configuration
public class ShiroConfig {

	/**
	 * 创建ShiroFilterFactoryBean
	 */
    @Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		return shiroFilterFactoryBean;
	}
	
	/**
	 * 创建DefaultWebSecurityManager
	 */
	@Bean(name="securityManager")
	public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		//关联realm
		securityManager.setRealm(userRealm);
		return securityManager;
	}
	
	/**
	 * 创建Realm
	 */
	@Bean(name="userRealm")
	public UserRealm getRealm(){
		return new UserRealm();
	}
}

4.使用Shiro内置过滤器实现页面拦截:

/**
 * Shiro的配置类
 * @author lenovo
 *
 */
@Configuration
public class ShiroConfig {

	/**
	 * 创建ShiroFilterFactoryBean
	 */
	@Bean
	public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		
		//设置安全管理器
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		
		//添加Shiro内置过滤器
		/**
		 * Shiro内置过滤器,可以实现权限相关的拦截器
		 *    常用的过滤器:
		 *       anon: 无需认证(登录)可以访问
		 *       authc: 必须认证才可以访问
		 *       user: 如果使用rememberMe的功能可以直接访问
		 *       perms: 该资源必须得到资源权限才可以访问
		 *       role: 该资源必须得到角色权限才可以访问
		 */
		Map<String,String> filterMap = new LinkedHashMap<String,String>();
		/*filterMap.put("/add", "authc");
		filterMap.put("/update", "authc");*/
		
		filterMap.put("/testThymeleaf", "anon");
		
		filterMap.put("/*", "authc");
		
		//默认的登陆访问url
		shiroFilterFactoryBean.setLoginUrl("/toLogin");
		
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
		
		return shiroFilterFactoryBean;
	}
	
	/**
	 * 创建DefaultWebSecurityManager
	 */
	@Bean(name="securityManager")
	public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		//关联realm
		securityManager.setRealm(userRealm);
		return securityManager;
	}
	
	/**
	 * 创建Realm
	 */
	@Bean(name="userRealm")
	public UserRealm getRealm(){
		return new UserRealm();
	}
}

注意:

Shiro内置过滤器,可以实现权限相关的拦截器

常用的过滤器:

anon: 无需认证(登录)可以访问。

authc: 必须认证才可以访问。

user: 如果使用rememberMe的功能可以直接访问。

perms: 该资源必须得到资源权限才可以访问。

role: 该资源必须得到角色权限才可以访问。

filterMap是一个底层以双向链表实现的LinkedHashMap,它存入是什么顺序,读取就是什么顺序,顺序从上到下,优先级依次降低。

5.实现用户认证(登录)操作:

控制器逻辑处理:

/**
	 * 登录逻辑处理
	 */
	@RequestMapping("/login")
	public String login(String name,String password,Model model){
		
		/**
		 * 使用Shiro编写认证操作
		 */
		//1.获取Subject
		Subject subject = SecurityUtils.getSubject();
		
		//2.封装用户数据
		UsernamePasswordToken token = new UsernamePasswordToken(name,password);
		
		//3.执行登录方法
		try {
			subject.login(token);
			
			//登录成功
			//跳转到test.html
			return "redirect:/testThymeleaf";
		} catch (UnknownAccountException e) {
			//e.printStackTrace();
			//登录失败:用户名不存在
			model.addAttribute("msg", "用户名不存在");
			return "login";
		}catch (IncorrectCredentialsException e) {
			//e.printStackTrace();
			//登录失败:密码错误
			model.addAttribute("msg", "密码错误");
			return "login";
		}
	}

编写Realm的判断逻辑:

/**
 * 自定义Realm
 * @author lenovo
 *
 */
public class UserRealm extends AuthorizingRealm{

	/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		return null;
	}

	/**
	 * 执行认证逻辑
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		System.out.println("执行认证逻辑");
		
		//假设数据库的用户名和密码
		String name = "eric";
		String password = "123456";
		
		//编写shiro判断逻辑,判断用户名和密码
		//1.判断用户名
		UsernamePasswordToken token = (UsernamePasswordToken)arg0;
		if(!token.getUsername().equals(name)){
			//用户名不存在
			return null;//shiro底层会抛出UnKnowAccountException
		}
		
		//2.判断密码
		return new SimpleAuthenticationInfo("",password,"");
	}

}

注意:

当前用户调用login()方法后,抛出UnknownAccountException异常,就说明用户名不存在,抛出IncorrectCredentialsException异常,就说明用户密码错误,若不出现异常,则登录验证成功。

只要调用了当前对象的login()方法,Shiro就会找到自定义的Realm,执行它的认证逻辑方法:doGetAuthenticationInfo(),所以我们可以在自定义Realm中进行一些相关的逻辑操作。

6.实现用户授权操作:

ShiroConfig配置类加上资源权限操作:

b11bc1ca0ec4f86d8a33134dc22af896.png

自定义Realm授权逻辑:

/**
 * 自定义Realm
 * @author lenovo
 *
 */
public class UserRealm extends AuthorizingRealm{

	/**
	 * 执行授权逻辑
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		System.out.println("执行授权逻辑");
		
		//给资源进行授权
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		
		//添加资源的授权字符串
		//info.addStringPermission("user:add");
		
		//到数据库查询当前登录用户的授权字符串
		//获取当前登录用户
		Subject subject = SecurityUtils.getSubject();
		User user = (User)subject.getPrincipal();
		User dbUser = userSerivce.findById(user.getId());
		
		info.addStringPermission(dbUser.getPerms());
		
		return info;
	}
	
	@Autowired
	private UserService userSerivce;

	/**
	 * 执行认证逻辑
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		System.out.println("执行认证逻辑");
		
		//编写shiro判断逻辑,判断用户名和密码
		//1.判断用户名
		UsernamePasswordToken token = (UsernamePasswordToken)arg0;
		
		User user = userSerivce.findByName(token.getUsername());
		
		if(user==null){
			//用户名不存在
			return null;//shiro底层会抛出UnKnowAccountException
		}
		
		//2.判断密码
		return new SimpleAuthenticationInfo(user,user.getPassword(),"");
	}

}

注意:

当shiro配置类中添加过滤器权限为perms时,Shiro就会找到自定义的Realm,执行它的授权逻辑方法:doGetAuthorizationInfo(),所以我们可以在自定义Realm中进行一些相关的逻辑操作。

执行授权逻辑方法之前,会先执行认证逻辑方法,先认证成功之后再判断当前用户是否有权限访问该资源。

认证逻辑方法:

b97e4ee77ee26b2c70ee4d4b3ca51cbf.png

授权逻辑方法:

86728da610f848ef008ff3acd12910af.png

7.thymeleaf和shiro标签整合使用

导入thymeleaf扩展依赖:

<!-- thymel对shiro的扩展坐标 -->
		<dependency>
			<groupId>com.github.theborakompanioni</groupId>
			<artifactId>thymeleaf-extras-shiro</artifactId>
			<version>2.0.0</version>
		</dependency>

配置ShiroDialect,在ShiroConfig类里面添加getShiroDialect方法:

/**
	 * 配置ShiroDialect,用于thymeleaf和shiro标签配合使用
	 */
	@Bean
	public ShiroDialect getShiroDialect(){
		return new ShiroDialect();
	}

在页面上使用shiro标签:

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>测试Thymeleaf的使用</title>
</head>
<body>
<h3 th:text="${name}"></h3>

<hr/>
<div shiro:hasPermission="user:add">
进入用户添加功能: <a href="add">用户添加</a><br/>
</div>
<div shiro:hasPermission="user:update">
进入用户更新功能: <a href="update">用户更新</a><br/>
</div>
<a href="toLogin">登录</a>
</body>
</html>
weixin_39605455
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot与Shiro整合-权限管理实战资料
08-07
在"SpringBoot与Shiro整合-权限管理实战资料"中,我们首先学习如何配置Spring Boot来集成Shiro。这包括在项目中引入Shiro的依赖,编写Shiro配置文件,以及设置安全拦截器。Shiro的配置通常涉及到如Realm(权限...
Shiro 多用户登录(多线程)获取用户错误
qq_41586254的博客
07-12 626
shiro官方提供的解决方法 super.execute(currentSubject.associateWith(task));启动类增加注解@EnableAsync。实体类上增加同步注解 @Async。
【SpringBoot整合Shiro】排查源码解决Shiro 无法获取角色、权限问题
Zhou_LC的博客
11-03 588
自定义 Relam 后角色权限失效。
shiro密码正确匹配错误_SpringBoot2 高级案例(11): 整合 Shiro 框架,实现用户权限管理...
weixin_39692037的博客
11-26 101
一、Shiro组件简介1、基础概念Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅可以在JavaEE下使用,还可以应用在JavaSE环境中。2、核心角色Subject:认证主体代表当前系统的使用者,就是用户,在Shiro的认证中,认证主体通常就是userName和pass...
配置ShiroFilterFactoryBean过滤器数量时太多不生效的问题
weixin_42127766的博客
06-15 1232
ShiroFilterFactoryBean、过滤器数量、失效、12
记录一次shiro验证密码时,输入正确密码仍然提示不正确的问题
大明明
12-11 3145
项目环境是springboot+shiro,具体配置不细说了。 前提:shiro加密使用md5,没有加盐。 问题场景:在测试时前端输入了密码A,数据库中存放的是A加密后的B,所以我把A进行了一下加密A+作为参数传到了图一的位置,但是经过shiro比对仍然不正确,然后开始debug源码找问题,发现shiro密码A+又进行一次加密后再与B进行比对,所以图一处的传参不需要手动加密 图一注意点:...
SpringBoot与Shiro整合-权限管理的简单权限系统.zip
08-05
项目“SpringBoot与Shiro整合-权限管理的简单权限系统”就是这样一个实例,它结合了现代Web开发框架SpringBoot和安全认证框架Apache Shiro,旨在构建一个简单的权限管理系统。这个系统能够实现用户登录、权限控制...
springboot+mybatis+shiro整合demo
06-21
这个"springboot+mybatis+shiro整合demo"项目将这三个组件融合在一起,提供了一个基础的权限管理解决方案。 1. **SpringBoot简介** SpringBoot简化了Spring应用的初始搭建以及开发过程,通过默认配置消除了大量的...
Shiro整合springboot报错代码
最新发布
06-18
整合Apache Shiro框架与Spring Boot的过程中,可能遇到各种错误,这些错误可能源自配置不当、依赖冲突或理解上的误区。本文将深入探讨Shiro与Spring Boot整合时可能出现的问题及其解决方案。 1. **Shiro的基本...
Springboot+Shiro+Redis实现RBAC用户权限管理
07-22
本文将详细探讨如何使用Springboot、Shiro和Redis来实现基于RBAC(Role-Based Access Control)的用户权限管理,并结合org.creazycake插件进行Redis整合。 **Springboot** 是一个由Pivotal团队提供的开源框架,它...
第一次使用shiro踩坑 输入正确密码登录也
qq_42084222的博客
03-10 2160
shiro输入正确密码登录失败 shiro整合springBoot后登录一直失败的原因 最后发现是存入数据库的密码密文在shiro比较之前进行一次base64的转换 上代码 shiro配置 @Configuration public class ShiroConfig { /** * 加密算法 * @return */ @Bean p...
shiro权限管理
qq_43719280的博客
03-28 124
shiro的认识 权限框架(提供易用的API,功能强大) Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 框架 shiro Spring security 易用性 √ X 粒度 粗 细 四大基石:身份验证、授...
shiro的登录 subject.login(token)中执行逻辑和流程
qq_41358574的博客
11-02 7605
今天登录的时候一直没有记录当前用户信息下来,执行security.getsubject()时结果一直为空,遂看了下源码 使用subject.login的登录场景: (controller层) @GetMapping public Result userLogin(@ApiParam(name="userId",value="用户学号",required=true) @RequestParam(value = "userId",requir
shiro--奇怪的不能登录问题
YYZhQ的专栏
11-28 2323
权限框架用的shiro,部署到contos7的tomcat77.0.54下,之前该tomcat下已经有几个项目,基本上用的是一个框架,都运行正常好好的,但新部署的项目就是登录不进,看日志,权限认证已经通过,但就是不跳转主页面,验证成功之后又跳回到了登录页面,而登录页面也不显示任何登录失败的消息,看控制台日志,一堆如下的东西: Nov 27, 2017 9:54:44 PM org.apache.
shiro登陆错误回顾
petercnmei的专栏
02-28 1615
在页面开发登陆时,在form中写好登陆的地址,这个地址需要和shiro配置的登陆地址一致。 页面开始访问时,shiro根据URL地址,判断是不是已经登陆,如果没有登陆,跳转到已经定义好的登陆URL,但是,不管是不是已经登陆过,shiro都不主动去realm验证, 根据测试结果,当url为shiro配置的登陆url时,才开始进行realm验证,要不然,是不进入到realm中的
java校园疫情管理系统-shiro登录密码错误时bug修复
sunako099的博客
11-13 484
java校园疫情管理系统,用shiro验证登录,密码错误时卡在登陆中界面的bug修复
shiro登录验证之数据库用户密码问题(踩坑记录)
qq_45130646的博客
01-18 877
springboot结合shiro如果你同时报了如下错误,看一下自己数据库中的密码是不是经过加密后的密码 Authentication failed for token submission [org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false]. Possible unexpected error? (Typical or expected login exceptions should extend from A
SpringBoot整合Shiro 之 用户名密码登录
m0_60721514的博客
03-28 1465
SpringBoot整合Shiro 之 用户名密码登录 首先 使用Shiro 我们要大致了解清楚 什么是Shiro?它能帮我们实现什么功能? 根据官方文档介绍:Shiro 是一个功能强大且易于使用的Java安全框架,可以实现 身份验证、授权、加密和话管理功能。 那么今天 我这里就主要 实现以下 身份验证功能,也就是用户登录啦。 1.数据库 这里提供一个简单 user表SQL CREATE TABLE `ums_user` ( `id` bigint(20) NOT NULL AUTO_INCREMEN
Spring Boot 整合Shiro(二)加密登录与密码加盐处理
lizhiyu000的博客
02-12 281
项目是根据上篇《Spring Boot 整合Shiro(一)登录认证和授权(附源码)》进行配置,若有不明白的请先查看上篇文章。 1.加密工具 用户注册时的密码用这个加密保存数据库 /** * 账户密码加密 * @param username * @param pwd ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值