shiro基本使用和登录源码

已于 2022-01-25 19:37:33 修改
阅读量2.4k 收藏
点赞数
文章标签: java spring 安全 shiro
于 2022-01-25 19:37:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43898754/article/details/122691045
版权

shiro的主要功能为 拦截无权限管理的页面 需要接管登录服务 登录时设置加密方式

spring整合shiro基本配置

shiro的设置类

@Bean
public CustomRealm shiroReam() {
    CustomRealm customRealm = new CustomRealm();
    customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
    return customRealm;
}
@Bean
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(shiroReam());
    return securityManager;
}
/**
 * 密码加密验证配置
 *
 * @return hash凭证匹配器
 */
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    // 使用md5 算法进行加密
    hashedCredentialsMatcher.setHashAlgorithmName("MD5");
    // 设置散列次数: 意为加密几次
    hashedCredentialsMatcher.setHashIterations(ShiroUtil.hashIterations);

    return hashedCredentialsMatcher;
}

package com.hz.treasury.componet;

import com.hz.treasury.bean.Login;
import com.hz.treasury.bean.Permissions;
import com.hz.treasury.bean.Role;
import com.hz.treasury.bean.User;
import com.hz.treasury.exception.LoginFreezeException;
import com.hz.treasury.service.LoginService;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;

/**
 * @author Hz
 */
@Slf4j
public class CustomRealm extends AuthorizingRealm {
    private LoginService loginService;


    @Autowired
    public void setLoginService(LoginService loginService) {
        this.loginService = loginService;
    }

    /**
     * 权限配置类
     *
     * @param principalCollection 收集信息
     * @return 授权信息
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String name = principalCollection.getPrimaryPrincipal().toString();
        User user = loginService.getLoginByUsername(name).getUser();
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        Role role = user.getCurrentRole();
        simpleAuthorizationInfo.addRole(role.getName());
        for (Permissions permissions : role.getPermissions()) {
            simpleAuthorizationInfo.addStringPermission(permissions.getName());
        }
        return simpleAuthorizationInfo;
    }

    /**
     * 认证配置类
     *
     * @param authenticationToken 身份验证令牌
     * @return 身份验证信息
     * @throws AuthenticationException 身份验证异常
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        if (!StringUtils.hasText((String) authenticationToken.getPrincipal())) {
            return null;
        }
        String name = authenticationToken.getPrincipal().toString();
        Login login = loginService.getLoginByUsername(name);
        if (login == null) {
            return null;
        } else if (!login.getState()) {
            throw new LoginFreezeException();
        } else {
            ByteSource salt = ByteSource.Util.bytes(login.getSalt());
            return new SimpleAuthenticationInfo(name, login.getPassword(), salt, getName());
        }
    }
}

shiro登录时验证过程源码

这时候在注册时用同样的格式存入密码

login.setPassword(ShiroUtil.salt(password, ByteSource.Util.bytes(login.getSalt())));

在登录时

subject.login(usernamePasswordToken);

即可完成登录

但是时怎么完成登录的呢,看看源码

调用了securityManager中的login方法实现类为DefaultSecurityManager

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
    AuthenticationInfo info;
    try {
        info = authenticate(token);
    } catch (AuthenticationException ae) {
        try {
            onFailedLogin(token, ae, subject);
        } catch (Exception e) {
            if (log.isInfoEnabled()) {
                log.info("onFailedLogin method threw an " +
                        "exception.  Logging and propagating original AuthenticationException.", e);
            }
        }
        throw ae; //propagate
    }

    Subject loggedIn = createSubject(token, info, subject);

    onSuccessfulLogin(token, info, loggedIn);

    return loggedIn;
}

token为我们传入的登录信息,传入的是UsernamePasswordToken类为AuthenticationToken的子类

info为正确的用户信息,如果验证不通过会抛出异常进入onFailedLogin 进入失败的Subject

如果验证通过则创建成功的Subject

authenticate方法进入了AbstractAuthenticator的authenticate方法

里面又调用了

    info = doAuthenticate(token);

实现类为ModularRealmAuthenticator

  protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }

如果我们创建设置了Realms类且只有一个时进入doSingleRealmAuthentication,调用接口

AuthenticationInfo info = realm.getAuthenticationInfo(token);

实现类为AuthenticatingRealm

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

    AuthenticationInfo info = getCachedAuthenticationInfo(token);
    if (info == null) {
        //otherwise not cached, perform the lookup:
        info = doGetAuthenticationInfo(token);
        log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
        if (token != null && info != null) {
            cacheAuthenticationInfoIfPossible(token, info);
        }
    } else {
        log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
    }

    if (info != null) {
        assertCredentialsMatch(token, info);
    } else {
        log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
    }

    return info;
}

这里的token仍然为传入的账号密码

info为通过token中的username获取数据库中的登录相关信息如果账号存在则会调用cacheAuthenticationInfoIfPossible方法将信息缓存起来用于下次登录

protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

这里有一个抽象方法,如果我们在设置创建CustomRealm时重写了这个方法,就会进入到我们重写的方法中,获取到一个AuthenticationInfo的子类进入 assertCredentialsMatch方法中对比

protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
    CredentialsMatcher cm = getCredentialsMatcher();
    if (cm != null) {
        if (!cm.doCredentialsMatch(token, info)) {
            //not successful - throw an exception to indicate this:
            String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
            throw new IncorrectCredentialsException(msg);
        }
    } else {
        throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
    }
}


/**
 * Interface implemented by classes that can determine if an AuthenticationToken's provided
 * credentials matches a corresponding account's credentials stored in the system.
 *
 * <p>Simple direct comparisons are handled well by the
 * {@link SimpleCredentialsMatcher SimpleCredentialsMatcher}.  If you
 * hash user's credentials before storing them in a realm (a common practice), look at the
 * {@link HashedCredentialsMatcher HashedCredentialsMatcher} implementations,
 * as they support this scenario.
 *
 * @see SimpleCredentialsMatcher
 * @see AllowAllCredentialsMatcher
 * @see Md5CredentialsMatcher
 * @see Sha1CredentialsMatcher
 * @since 0.1
 */
public interface CredentialsMatcher {

    /**
     * Returns {@code true} if the provided token credentials match the stored account credentials,
     * {@code false} otherwise.
     *
     * @param token   the {@code AuthenticationToken} submitted during the authentication attempt
     * @param info the {@code AuthenticationInfo} stored in the system.
     * @return {@code true} if the provided token credentials match the stored account credentials,
     *         {@code false} otherwise.
     */
    boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info);

}

从注释可以看到有四种验证器
SimpleCredentialsMatcher, AllowAllCredentialsMatcher, Md5CredentialsMatcher, Sha1CredentialsMatcher

从注释看到通常用直接比较和hash对比 我们用的是hash对比

@Override
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
    Object tokenHashedCredentials = hashProvidedCredentials(token, info);
    Object accountCredentials = getCredentials(info);
    return equals(tokenHashedCredentials, accountCredentials);
}

protected Object hashProvidedCredentials(AuthenticationToken token, AuthenticationInfo info) {
    Object salt = null;
    if (info instanceof SaltedAuthenticationInfo) {
        salt = ((SaltedAuthenticationInfo) info).getCredentialsSalt();
    } else {
        //retain 1.0 backwards compatibility:
        if (isHashSalted()) {
            salt = getSalt(token);
        }
    }
    return hashProvidedCredentials(token.getCredentials(), salt, getHashIterations());
}

从info或token中获取盐值

protected Hash hashProvidedCredentials(Object credentials, Object salt, int hashIterations) {
    String hashAlgorithmName = assertHashAlgorithmName();
    return new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
}

对输入的密码加密然后对比密码,之后就是一系列的保存信息

其实他的登录也很简单,所以说我才能很顺利的读懂源码

哦伊啊噢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
Apache Shiro 是一个开放代码的安全框架,提供了身份验证、授权、加密和会话管理等功能。Shiro 可以与各种应用程序集成,以提供安全性和身份验证功能。 Cas 简介 CAS(Central Authentication Service)是一种...
shiro后台代码登录
chengyi6484的博客
10-17 430
1、需求说明 最近项目需要做单点登录,将本地项目与第三方管理项目集成,第三方提供单点登录接口,本地系统通过httpclient请求接口,如果返回用户已经登录状态则直接获取用户名进行登录,无需再次验证密码。 2、本地系统架构说明 本地系统采用传统的SpringMVC+MyBatis+s...
Shiro 登录认证码详解
热门推荐
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从码实现的角度去介绍 Shiro登录认证(Authentication)功能。
SpringBoot + Shiro实现登陆认证(实现过程 + 码解析 + 代码展示)
m0_67402914的博客
04-25 1899
文章目录 1.概述 1.1 SpringBoot 1.2 Shiro 2.Shiro实现登录认证 导入pom依赖 配置核心方法 3.Shiro登录认证码解析 代码地址 1.概述 1.1 SpringBoot 今天要做的是使用SpringBoot配合Shiro来实现登陆的认证,所以SpringBoot是必不可少的,相信大家能用到Shiro了,SpringBoot一定不差,那就不做过多赘述,我们主要来介绍Shiro。 1.2 Shiro Shiro是java的一个安全框架,
shiro 实现多种方式登录_shiro多验证登录代码实例及问题解决
weixin_39771969的博客
12-18 803
这篇文章主要介绍了shiro多验证登录代码实例及问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下1. 首先新建一个shiroConfig shiro的配置类,代码如下:@Configuration是标识这个类是一个配置文件,在启动时会加载这个类里面的内容,这个配置文件的位置的一定一定一定不能防止启动类外面的文件夹中,否则还会在启动类上加注解...
shiro码(二)——login方法码解读
敲代码的小小酥的博客
12-31 3396
一、shiro认证流程使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
[免费]Shiro登录简单实例
08-29
本资提供的 "[免费]Shiro登录简单实例码" 是一个非常适合初学者理解Shiro核心功能的示例项目。 在Shiro中,主要涉及以下几个核心概念: 1. **Subject**:Shiro的核心概念,代表了当前操作的用户或者实体,可以...
shiro讲义 -代码和课件
最新发布
10-10
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、...通过深入学习"shiro讲义 -代码和课件"中的内容,你将能够熟练掌握Apache Shiro使用,为你的应用构建出安全的环境,保障用户数据和操作的安全性。
shiro登录拦截校验demo
07-19
在"pcMsg"这个文件中,可能包含了项目的代码、配置文件等,通过查看这些文件,我们可以深入理解Shiro如何在实际项目中被运用,包括登录验证的具体实现、权限拦截的逻辑以及如何配置和扩展Shiro。通过这个demo,...
shiro码包
01-14
总的来说,Apache Shiro是一个功能全面且易于使用的安全框架,通过深入学习其码,开发者不仅可以掌握安全编程的基本技巧,还能提升对整个应用安全体系的理解。无论是为了工作需要还是个人兴趣,研究Shiro码都是...
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
shirodemo实现web登陆
10-10
shiro在web的实现,使用jsp实现,给html实现了登陆测试。
基于shiro实现的用户登录系统
11-28
基于shiro实现的用户登录系统,运行sql文件更改数据库连接可直接运行,项目集成了mybatis-plus,shiro,springmvc,角色管理和组管理,非常简单实用,非常适合学习,不用输入验证码可以登录,admin密码123456
shiro实现单点登录
10-15
spring整合shirospring-data-redis和spring-session-data-redis通过shiro实现单点登录
shiro登录实例
11-13
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载
Shiro安全框架入门篇(登录验证实例详解与码)
weixin_30838873的博客
02-03 3987
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
Shiro-01-登录
窃-格瓦拉的博客
03-21 176
Shiro登录 以下代码是一段简单的shiro登录代码 @RequestMapping(value = "/subLogin",method = RequestMethod.POST) @ResponseBody public String subLogin(SubLoginForm subLoginForm){ Subject subject = Securi...
shiro登录认证代码流程
weixin_44545652的博客
02-25 162
Shiro认证之代码流程 在经过第一天的概念性学习,有些似懂非懂。不太理解自己实现的接口实在是么时候用到的。今天跟了下码有点豁然开朗,对今天的学习进行总结。 入口 subject.login(token); org.apache.shiro.subject.support.DelegatingSubject org.apache.shiro.mgt.DefaultSecurityManager org.apache.shiro.mgt.AuthenticatingSecurityManager o
Shiro码入门与实战剖析
通过对这些核心组件的理解,读者可以建立起对Shiro权限管理和身份验证流程的基本认识,为进一步深入阅读码打下坚实的基础。后续的码分析可能会深入探讨Shiro的拦截器(Filter Chain)、权限策略、缓存管理以及与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值