shiro登陆失败提示_shiro 无状态权限认证

最新推荐文章于 2024-06-10 17:43:14 发布
最新推荐文章于 2024-06-10 17:43:14 发布
阅读量335 收藏
点赞数
文章标签: shiro登陆失败提示
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39617669/article/details/112411502
版权

shiro 无状态权限认证

2bb702aba648e94777d0f9ae67339cbb.png
pom 
 <dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-web</artifactId>
 </dependency>
 ​
 <dependency>
     <groupId>mysql</groupId>
     <artifactId>mysql-connector-java</artifactId>
     <scope>runtime</scope>
 </dependency>
 ​
 <dependency>
     <groupId>com.baomidou</groupId>
     <artifactId>mybatis-plus-boot-starter</artifactId>
     <version>3.3.2</version>
 </dependency>
 ​
 <dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-spring</artifactId>
     <version>1.4.0</version>
 </dependency>
 ​
 <!--druid-->
 <dependency>
     <groupId>com.alibaba</groupId>
     <artifactId>druid</artifactId>
     <version>1.1.21</version>
 </dependency>
 <!--jwt-->
 <dependency>
     <groupId>javax.xml.bind</groupId>
     <artifactId>jaxb-api</artifactId>
 </dependency>
 <dependency>
     <groupId>io.jsonwebtoken</groupId>
     <artifactId>jjwt</artifactId>
     <version>0.9.0</version>
     <scope>compile</scope>
 </dependency>
 <!--json-->
 <dependency>
     <groupId>com.alibaba</groupId>
     <artifactId>fastjson</artifactId>
     <version>1.2.68</version>
 </dependency>
禁用session生成 
 /**
  * @author spp
  * @date 2020-06-13 17:35
  **/
 public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
     @Override
     public Subject createSubject(SubjectContext context) {
         //禁用生成session
         context.setSessionCreationEnabled(false);
         return super.createSubject(context);
     }
 }
shiro配置类 
 /**
  * @author spp
  * @date 2020-06-13 17:13
  **/
 @Configuration
 public class ShiroConfig {
     //ShiroFilterFactoryBean
     @Bean
     public ShiroFilterFactoryBean getFactory(@Autowired DefaultWebSecurityManager manager){
         ShiroFilterFactoryBean factory = new ShiroFilterFactoryBean();
         //设置安全管理器
 ​
         //添加shiro的内置过滤器
         /*
             anon:无需认证就可以访问
             authc:必须认证了才能访问
             user: 必须 设置 记住我才能访问
             perms: 拥有对某个资源的权限才能登陆
             role: 拥有某个角色权限才能访问
          */
         factory.setSecurityManager(manager);
         factory.getFilters().put("jwt",new JwtFilter());
         Map<String,String> filterMap = new LinkedHashMap<>();
         //filterMap.put("/login","anon");
         filterMap.put("/**","jwt");
         factory.setFilterChainDefinitionMap(filterMap);
         factory.setLoginUrl("/login");
         factory.setUnauthorizedUrl("/unauthorized");
         return factory;
     }
 ​
     @Bean
     @Autowired
     public DefaultWebSecurityManager getManager(MyRealm realm){
         DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
         
         DefaultSessionManager defaultSessionManager = new DefaultSessionManager ();
         defaultSessionManager.setSessionValidationSchedulerEnabled(false);
         //禁用session
         manager.setSubjectFactory(new StatelessDefaultSubjectFactory());
 ​
         manager.setSessionManager(defaultSessionManager);
         // 禁用Session作为存储策略的实现。
         DefaultSubjectDAO defaultSubjectDAO = (DefaultSubjectDAO) manager.getSubjectDAO();
         DefaultSessionStorageEvaluator defaultSessionStorageEvaluatord = (DefaultSessionStorageEvaluator) defaultSubjectDAO
                 .getSessionStorageEvaluator();
         defaultSessionStorageEvaluatord.setSessionStorageEnabled(false);
         manager.setRealm(realm);
         return manager;
     }
 ​
 }
自定义的jwt过滤器,继承BasicHttpAuthenticationFilter 
 /**
  * @author spp
  * @date 2020-06-13 17:31
  **/
 @Slf4j
 public class JwtFilter extends BasicHttpAuthenticationFilter {
     private static final String LOGIN = "/login";
     private static final String SECRET_KEY = "auth_sp";
     @Override
     protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
         log.info("isAccessAllowed");
         HttpServletRequest r = (HttpServletRequest) request;
         if (LOGIN.equals(r.getRequestURI())){
             return true;
         }
         String token = r.getHeader(SECRET_KEY);
         try {
             Boolean expired = JwtTokenUtil.isTokenExpired(token);
             if (!expired){
                 User u = JwtTokenUtil.getUsernameFromToken(token);
                 log.info(u.toString() + "--->进行jwt认证");
                 return true;
             }
             return false;
         } catch (Exception e) {
             request.setAttribute("error",e.getMessage());
             return false;
         }
     }
     
     //认证失败
     @Override
     protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
         response.setContentType("application/json;charset=utf8");
         Object error = request.getAttribute("error");
         if(!ObjectUtils.isEmpty(error)){
             response.getWriter().println(error);
             return false;
         }
         response.getWriter().println("error");
         return false;
     }
 }
jwt工具类 
 /**
  * JWT生成令牌、验证令牌、获取令牌
  * @author 76986
  */
 @Component
 @NoArgsConstructor
 public class JwtTokenUtil {
 ​
     /**
      * 私钥
      */
     private static final String SECRET_KEY = "auth_sp";
 ​
     /**
      * 过期时间 毫秒,设置默认两小时过期
      */
     private static final long EXPIRATION_TIME = 3600000L * 2;
 ​
     /**
      * 生成令牌
      * @param user 用户
      * @return 令牌
      */
     public static String generateToken(User user) {
         Map<String, Object> claims = new HashMap<>(2);
         claims.put(Claims.SUBJECT,user);
         claims.put(Claims.ISSUED_AT, new Date());
         return generateToken(claims);
     }
 ​
     /**
      * 从令牌中获取用户
      * @param token 令牌
      * @return 用户名
      */
     public static User getUsernameFromToken(String token) {
         User user = new User();
         try {
             Claims claims = getClaimsFromToken(token);
             String subject = claims.getSubject();
             subject = subject.replace("{","").replace("}","");
             String[] split = subject.split(",");
             user.setUsername(split[0].split("=")[1]);
             user.setPassword(split[1].split("=")[1]);
             System.out.println(user);
         } catch (Exception e) {
             System.out.println("e = " + e.getMessage());
         }
         return user;
     }
 ​
     /**
      * 判断令牌是否过期
      *
      * @param token 令牌
      * @return 是否过期
      */
     public static Boolean isTokenExpired(String token) throws  Exception{
         try {
             Claims claims = getClaimsFromToken(token);
             Date expiration = claims.getExpiration();
             return expiration.before(new Date());
         } catch (Exception e) {
            throw new Exception("签名过期或者token不正确");
         }
     }
 ​
     /**
      * 刷新令牌
      *
      * @param token 原令牌
      * @return 新令牌
      */
     public static String refreshToken(String token) {
         String refreshedToken;
         try {
             Claims claims = getClaimsFromToken(token);
             claims.put(Claims.ISSUED_AT, new Date());
             refreshedToken = generateToken(claims);
         } catch (Exception e) {
             refreshedToken = null;
         }
         return refreshedToken;
     }
 ​
 ​
     /**
      * 从数据声明生成令牌
      *
      * @param claims 数据声明
      * @return 令牌
      */
     private static String generateToken(Map<String, Object> claims) {
         Date expirationDate = new Date(System.currentTimeMillis()+ EXPIRATION_TIME);
         HashMap<String, Object> map = new HashMap<>(1);map.put("typ",Header.JWT_TYPE);
         return Jwts.builder().setHeader(map).setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, SECRET_KEY).compact();
     }
 ​
     /**
      * 从令牌中获取数据声明
      *
      * @param token 令牌
      * @return 数据声明
      */
     private static Claims getClaimsFromToken(String token) throws Exception {
         Claims claims = null;
         try {
             claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
         } catch (Exception e) {
             new Throwable(e);
         }
         return claims;
     }
 }
登陆控制器 
 /**
  * @author spp
  * @date 2020-06-13 18:23
  **/
 @RestController
 public class Index {
     private Logger logger = LoggerFactory.getLogger(Index.class);
     @GetMapping("/login")
     public R login(User user){
         UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(),user.getPassword());
         try {
             SecurityUtils.getSubject().login(token);
         }catch (IncorrectCredentialsException e){
             return new R(ApiErrorCode.FAILED).setMsg(e.getMessage());
         }
         String s = JwtTokenUtil.generateToken(user);
         logger.info(s);
         return new R(ApiErrorCode.SUCCESS).setMsg("登陆成功");
     }
 }
自定义登陆处理类 
 /**
  * @author 76986
  */
 @Component
 public class MyRealm extends AuthorizingRealm {
 ​
     /**
      * 授权
      * @param principalCollection
      * @return
      */
     @Override
     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
         return null;
     }
 ​
     /**
      * 登陆
      * @param authenticationToken
      * @return
      * @throws AuthenticationException
      */
     @Override
     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
         UsernamePasswordToken tok = (UsernamePasswordToken) authenticationToken;
         User user = new User("admin","123456");
         return new SimpleAuthenticationInfo(user, user.getPassword(),getName());
     }
 }
测试

先登陆拿token

a3a703b309fba7fc9b83b6fcadc1c20f.png

携带token访问,正常

weixin_39617669
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Session失效以及页面访问权限的处理方法
wl_ldy的专栏
07-13 6594
首先介绍一下:我的开发环境是VS20081、如何设置Sessions的失效时间在web.config中的后面添加下面的配置信息:在这里设置Sessions的失效时间是30分钟。
shiro前后端分离场景无状态登录身份验证和授权
07-05
本DEMO结合前后端分离场景,实现了用户登录后返回token无状态身份验证和授权访问资源,技术使用springboot+mybatis+shiro+jwt(auth0)+MD5,包含了数据库建表语句。
shiro + spring boot +jwt 无状态权限认证
如果有一天我能够拥有一个大果园,我愿放下所有追求做个农夫去种田
06-30 4422
最近的需求是要在项目中加入权限模块。在对接shrio中查找资料遇到了一些问题。所以记录下spring boot 对接 shiro 以及jwt 生成token 做权限校验。 Shiro框架中有三个核心概念:Subject ,SecurityManager和Realms。 Subject Subject表示 执行当前操作的用户,当然subject 不单单指的是用户,它可以是第三方进程、定时任务,等...
SpringBoot中使用Shiro和JWT做认证和鉴权
qq_43842093的博客
12-12 1806
最近新做的项目中使用了shiro和jwt来做简单的权限验证,在和springboot集成的过程中碰到了不少坑。做完之后对shiro的体系架构了解的也差不多了,现在把中间需要注意的点放出来,给大家做个参考。 相对于spring security来说,shiro出来较早,框架也相对简单。后面会另起一篇文章对这两个框架做一个简单的对比。 Shiro的关注点 首先看一下shiro中需要关注的几个概念。 SecurityManager,可以理解成控制中心,所有请求最终基本上都通过它来代理转发,一般我们程序中不需要直
Shiro框架使用使用自定义的登陆验证方法解决出现无法验证成功报错的BUG------Shiro框架
最新发布
春风若有怜花意,可否许我再少年
06-10 883
Shiro框架使用使用自定义的登陆验证方法解决出现无法验证成功报错的BUG------Shiro框架
Springboot + shiro权限管理
11-17
- **错误处理**:对于认证或授权失败的情况,应提供友好的提示信息,同时防止敏感信息泄露。 **7. 性能优化** - **缓存管理**:使用 Redis 或其他缓存服务,缓存用户的权限信息,减少数据库查询。 - **异步处理**:...
跟我学shiro综合实例(springboot新版)
06-04
- **登录功能**:用户输入用户名和密码,通过Shiro进行身份验证,成功后跳转至主页面,失败提示错误信息。 - **权限控制**:对不同角色的用户,设置不同的访问权限,如管理员可以访问所有页面,普通用户只能访问...
spring shiro项目
01-02
在处理用户登录失败权限不足等情况时,Shiro提供了丰富的异常处理机制。项目中应适当地捕获并处理这些异常,提供友好的错误提示,同时确保系统的健壮性。 10. **测试与调试** 对于Spring Shiro项目,进行单元...
shiro-单用户登录.zip
09-06
- Shiro抛出的异常如UnauthorizedException(无权访问)、AuthenticationException(认证失败)等,需要在应用中捕获并处理,给出合适的提示信息。 9. **实战应用** - 将Shiro整合到Spring Boot或Spring MVC项目...
shiro登录案例(数据库在WEB-INF目录下的sql文件夹里)
02-20
这个案例提供了一个基本的Shiro登录实践,可以帮助开发者了解如何在Spring、SpringMVC和MyBatis环境中集成Shiro实现用户认证和授权。通过学习和分析这个案例,你可以好地理解和运用这些技术,为自己的项目构建安全...
session存储、登录认证权限认证解决方案
S_duxiu的博客
08-25 1600
8-25 session存储、登录认证权限认证解决方案初步学习 本章节将围绕登录功能的实现,来搭建 sessin存储方案 登录认证方案 权限验证方案 一、整体思路分析 1.1 登录思路 登录的目的: 生成token令牌:在登录之后,当访问那些需要登录才能访问的接口时,放置令牌在请求中是证明我们登录过的手段 存储session到数据库:session是什么,为什么要存储session,后面会介绍到 整体思路分析 效验数据:验证账号密码是否正确 写session:提供我们在项目的任何地方 .
shiro session过期设置
qq_39508627的博客
02-25 977
sessionManager 中设置过期信息。time-server.globalSessionTimeout是从配置文件yml中设置的 @Bean(name = "sessionManager") public DefaultWebSessionManager sessionManager(@Value("${time-server.globalSessionTimeout:3600...
springboot整合无状态shiro基本配置
yaoct的博客
12-05 317
<!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> shiro基本配置: package com.demo1.config; impo...
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1770
前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
shiro状态学习---(1)
qq_35267557的博客
12-12 1073
shiro状态学习---(1) 第一个项目:实现禁用session 项目搭建:这里使用springboot作为基础搭建一个基础的springmvc框架 1、创建项目 这样,一个基本的spring boot就党建好了,访问 http://localhost:8080/hello?params1=你好&params2=世界,就会打印出 hello,xxx,params1=你好,
shiro mgt包下DefaultSessionStorageEvaluator类
weixin_45912825的博客
11-13 411
2021SC@SDUSC DefaultSessionStorageEvaluator类图 #mermaid-svg-hmtaxmpcLPiBPcg4 .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-hmtaxmpcLPiBPcg4 .label text{fill:#333}#mermaid-svg-hmtax
SpringBoot 使用Shiro权限框架自定义拦截器检查token失效
热门推荐
Langeldep的专栏
11-09 1万+
  创建一个类,继承自UserFilter,实现OnAccessDenied函数即可。 package io.tenglu.modules.sys.shiro; import org.apache.shiro.web.filter.authc.UserFilter; import org.apache.shiro.web.servlet.ShiroHttpServletRequest; ...
状态shiro认证组件(禁用默认session)
aipiannian6725的博客
07-24 746
准备内容 简单的shiro状态认证   无状态认证拦截器 import com.hjzgg.stateless.shiroSimpleWeb.Constants; import com.hjzgg.stateless.shiroSimpleWeb.realm.StatelessToken; import org.apache.shiro.web.filter....
java shiro jwt,Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
weixin_35432846的博客
03-13 851
应用场景:由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session要禁用掉,同时要重新写JWT的过滤器。使用shiro+ssm+jwt的一些前期准备:禁用sessionJWT实现工...
shiro认证失败返回什么
06-08
shiro认证失败时,通常会返回一个AuthenticationException异常,异常可以根据具体的认证情况而有所不同,例如如果用户名不存在,可能会返回"UnknownAccountException"异常;如果密码错误,可能会返回...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值