Shiro用户验证模块核心API分析(一)

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量628 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43262188/article/details/89314581
版权

——.用户验证核心模块简介

Subject :项目主体(关联SecurityManager)

SecurityManager :Shiro的的安全管理器(关联Realm)

Realm: Shiro访问数据库的桥梁

一。SpingBoot整合Shiro:

首先在Pom文件里导入Shiro的包。

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>
第二步编写Shiro配置类

在配置之前我们先要编写一个自定义的Realm类。因为Realm是连接数据库的桥梁,Shiro会通过Realm来完成对用户权限和角色校验的逻辑。(这里暂时只编写用户授权逻辑)

package com.hukaihan.springbootshiro.shiro.config;


import com.hukaihan.springbootshiro.entity.User;
import com.hukaihan.springbootshiro.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

public class UserRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
//执行授权逻辑
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权逻辑");
        return null;
    }
//执行认证逻辑
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证逻辑");
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
        User byName = userService.findByName(usernamePasswordToken.getUsername());
        if(byName==null){
            //返回null会抛出一个UnknownAccountException
            return null;
        }
        //注意:不用自己判断只需返回一个AuthenticationInfo的子类,这里返回的是数据库中用户的密码
        return new SimpleAuthenticationInfo("",byName.getPassword(),"");

    }
}

上面的代码你可能不明白什么意思,但是不急,先往下看
由于Shiro框架的核心就是由过滤器Filter实现的,所以我要配置一个ShiroFilterFactoryBean(shiro内置的过滤器,实现用户权限角色拦截控制).

package com.hukaihan.springbootshiro.shiro.config;

import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.ShiroFilter;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {

    /**
     * 设置
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultSecurityManager") DefaultWebSecurityManager defaultSecurityManager){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(defaultSecurityManager);
        Map<String,String> map = new LinkedHashMap<String,String>();
        map.put("/delete","authc");
        map.put("/update","authc");
        /**
         * Shiro常用过滤器
         *  可以实现相关权限的拦截:
         *      anon:无需登陆认证
         *      authc:需要进行登陆认证才能访问的资源
         *      user:如果使用rememberMe的功能无需登录就可以直接访问
         *      perms:该资源必须得到相关权限才可以访问
         *      role:该资源必须得到角色资源才可以访问
         */

        shiroFilter.setFilterChainDefinitionMap(map);
        shiroFilter.setLoginUrl("/login");
        return shiroFilter;
    }
    /**
     * 创建defaultWebSecurityManager
     * @return
     */
    @Bean
    public DefaultWebSecurityManager defaultSecurityManager(@Qualifier("myRealm") UserRealm userRealm){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        //关联Realm对象
        defaultWebSecurityManager.setRealm(userRealm);
        return defaultWebSecurityManager;
    }
    /**
     * 将UserRealm类加入spring
     * @return
     */

    @Bean
    public UserRealm myRealm(){
        return  new UserRealm();
    }
}


显然,这个过滤器依赖于一个SecurityManager,SecurityManager又依赖我们刚才写的Realm,一一配置好就可以了。

注意:

Shiro常用过滤器
* 可以实现相关权限的拦截:
* anon:无需登陆认证
* authc:需要进行登陆认证才能访问的资源
* user:如果使用rememberMe的功能无需登录就可以直接访问
* perms:该资源必须得到相关权限才可以访问
* role:该资源必须得到角色资源才可以访问

	编写好过滤器以后,就会帮我们拦截我们配置的路径,根据上面的参数。拦截后默认会去ogin.jsp,所以我们在这里配置一下,把它配成我们需要的.login.html。

然后编写登陆方法:

@GetMapping("/dologin")
    public String dologin(String uname,String pwd){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(uname,pwd);
        try {
            subject.login(usernamePasswordToken);
            return "/index";
        }catch (UnknownAccountException ex){
            //登录失败,密码错误
            System.out.println("用户名不存在");
            return "/login";
        }
        catch (IncorrectCredentialsException ex){
            //登录失败,密码错误
            System.out.println("密码错误");
            return "/login";
        }
    }

首先使用SecurityUtils帮我们生成一个Subject对象,也就是项目本体(我是这么理解的,不知道对不对哈哈,至少翻译的没错)。
将前台传来的用户名密码放在UsernamePasswordToken(用户令牌) 中,当然你还可以加验证码,不过要集成这个类加上验证码这个属性。
调用 subject.login(usernamePasswordToken);
之后他会去Realm类中执行我们编写的认证逻辑。

注意这个方法会抛出两个异常~:

UnknownAccountException:当用户名不存在时
IncorrectCredentialsException:密码错误时
这是你就可以回看我们之前写的Realm类了。当用户不存在时,返回一个null。这时Shiro就会帮我们抛出这个异常了。

成功就会返回到主页。至此简单的用户认证就做完了~

小壶
关注
shiro验证API
xiao雷博客
11-29 2139
SecurityUtils.getSubject();shiro验证
Shiro入门(2)Shiro提供的验证模块
热门推荐
小9的专栏
08-14 2万+
Shiro为web应用提供的验证模块的使用及如何扩展验证模块
中文版参考手册Shiro_API.rar
06-11
Apache_Shiro中文参考手册,拿去用吧,学习Shiro用得着啊,不客气了!
002 shiro的三个核心API
weixin_30571465的博客
05-16 81
一 . 概述   本次简单的说明一下shiro的使用,将上一节的shiro的基本功能进行一下说明. 二 . 核心API   上一节我们说到Shiro对外部的核心对象有三个   [1]Subject : 描述用户对象   [2]SecurityManager : 安全管理器对象,封装shiro功能的对象.   [3]Realm : 安全数据的提供者. 本节的核心作用就是说明一下上...
基于JWT 和 Shiro接口权限认证
最新发布
Karka_的博客
06-20 672
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
apache shiro jar包_shiro 安全框架(1)
weixin_39953244的博客
11-27 252
一.简介Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和 会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可 以用在JavaSE环境,也可以用在JavaEE环境。二.架构图1.从外部来看Shiro,即从应用程序角度来观察如何使用Shiro完成工作。如 下图:2.2.从Shiro内部看Shiro的架构,如下图所示:三、Shiro配...
shiro官方文档(中文)
12-27
apache-shiro-1.2.x-reference(中文版) 。
shiro中文api_Shiro
qq_43842093的博客
09-22 1012
1 shiro Apache shiro 是一个 Java 安全框架。 功能:认证、授权、加密和会话管理功能 应用环境:JavaEE、JavaSE Subject 可看做成一个用户 SecurityManager 框架的核心API Reaim 域对象,用于取数据库中的数据,进行权限比对。 | 名词 | 名词中文解释 | | -------------- | ------------ | | Subject | 主体 | | Security | 安全 | | Realm | 领域、范围 | | Aut.
Shiro安全登录认证、权限授权封装模块代码
01-23
Apache Shiro 是一个强大且易用的 Java 安全框架,它执行身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能。在这个项目中,你得到了一个基于 ...
Spring整合Shiro做权限控制模块详细案例分析
12-30
Spring 整合 Apache Shiro 是一个常见的权限控制解决方案,它可以帮助开发者轻松地实现用户登录、权限验证、会话管理等功能。在这个案例中,我们将深入探讨如何将 Shiro 与 Spring 结合使用,构建一个完整的权限控制...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
shiro_1.10官方API中文翻译
04-12
shiro_version 1.1.0官方API中文翻译
Shiro-1.2.2-API.chm
03-11
apache shiro api,我也是找了很久才找到的,现在分享出来,有需要的朋友可以下载,也有在线的,地址是http://shiro.apache.org/static/1.2.3/apidocs/这个是目前最新版的,我上传的是1.2.2的,但是不影响用,因为在线的用着觉得不是很方便,下载一个没有网也能用
ruoyi-common_若依核心模块代码_
09-30
"ruoyi-common" 可能集成了权限控制框架,如 Shiro 或 JWT,用于实现用户的登录验证、权限分配和访问控制,保证系统安全。 6. **日志管理**: 通常会提供统一的日志管理接口,可能集成 Log4j、Logback 或其他日志...
基于jfinal+shiro+layui+freemarker等框架和技术结合maven多模块方式构建开发的一款通用内容发布系统
05-09
本文将深入探讨一款基于jfinal、shiro、layui、freemarker等技术框架,并结合maven多模块构建的通用内容发布系统。这个系统不仅具有高效、灵活的特点,还具备了强大的安全性和用户体验。 首先,jfinal作为一款轻量...
api Token Shiro权限控制
lvzhyt的专栏
08-01 4450
api Token Shiro权限控制 前后端分离,api通过token验证,后端用shiro权限控制。 token 采用放在header中。 首先获取token,ajax通过header回传token,保持同一会话。 pom.xml &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;project xmlns="http://maven...
springboot应用-shiro增强权限管理
技术路漫漫
07-04 481
本文实现了基于shiro、mybatis-plus、thymeleaf、vue、axios、hutools的基本权限管理demo,提供了用户登陆、注册、查看、锁定\解锁以及excel导出功能 基本功能 本文是在上一篇shiro简单权限管理的基础上,实现: 基于RBAC权限模型,建立相关数据库表,实现shiro框架与数据库的对接。 基于mybatis-plus,实现相关权限查询、用户认证、新增注册用户等功能。 基于thymleaf、vue、axios实现简单的前端页面展示、交互。 数据模型构建 首先,.
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3414
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
shiro 如何判断登录过_Shiro详解
weixin_39737636的博客
11-26 5804
【63】ShiroShiro简介SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Authentication:身份认证/登录,验证用户是不是拥有相应的身份;Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对...
Apache Shiro 框架详解及核心组件介绍
Subject代表当前操作用户,SecurityManager是框架的核心,负责管理所有用户的安防操作,而Realm是Shiro与应用安全数据之间的桥梁,用于获取用户认证和授权信息。此外,还有Authenticator用于执行用户身份验证Shiro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值