项目中使用shrio,如何获取当前用户信息

最新推荐文章于 2024-06-13 00:04:58 发布
最新推荐文章于 2024-06-13 00:04:58 发布
阅读量5.9k 收藏 11
点赞数 3
分类专栏: shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43987718/article/details/124280683
版权
33、项目中使用shrio,如何获取当前用户信息

原理:直接从当前线程里面拿到subject,前台每一次请求的话,都是要走拦截器的,根据前台传回的cookie,通过shrio的 SessionManager 去获取到对应的seesionid,然后再绑定到线程上,即每个shiro拦截到的请求之后,重新获取到seesionid, 然后根据seesionid创建Subject,清除当前线程的绑定,然后重新绑定的线程中,之后执行过滤器。所以我们再SecurityUtils.getSubject()中获取的一直是当前用户的信息。

使用shiro时,如果正常登陆(执行subject.login(token)成功)就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。

LoginUser userNow=(LoginUser) SecurityUtils.getSubject().getPrincipal();

返回的是Loginuser 是因为我们在登录的时候,已经设置了

/**
    * 用户信息认证是在用户进行登录的时候进行验证(不存redis)
 * 也就是说验证用户输入的账号和密码是否正确,错误抛出异常
 *
 * @param auth 用户登录的账号密码信息
 * @return 返回封装了用户信息的 AuthenticationInfo 实例
    * @throws AuthenticationException
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
   String token = (String) auth.getCredentials();
   if (token == null) {
      log.info("————————身份认证失败——————————IP地址:  "+ ObjectConvertUtils.getIpAddrByRequest(SpringContextUtils.getHttpServletRequest()));
      throw new AuthenticationException("token为空!");
   }
   // 校验token有效性
   LoginUser loginUser = this.checkUserTokenIsEffect(token);
   return new SimpleAuthenticationInfo(loginUser, token, getName());
}

/**
 * 校验token的有效性
 *
 * @param token
 */
public LoginUser checkUserTokenIsEffect(String token) throws AuthenticationException {
   // 解密获得username,用于和数据库进行对比
   String username = JwtUtil.getUsername(token);
   if (username == null) {
      throw new AuthenticationException("token非法无效!");
   }

   // 查询用户信息
   log.info("———校验token是否有效————checkUserTokenIsEffect——————— "+ token);
       LoginUser loginUser = sysBaseAPI.getUserByName(username);
   if (loginUser == null) {
      throw new AuthenticationException("用户不存在!");
   }
       // 判断用户状态
       if (loginUser.getStatus().equals(CommonConstant.USER_FREEZE.toString())) {
           throw new AuthenticationException("账号已被锁定,请联系管理员!");
       }
   // 校验token是否超时失效 & 或者账号密码是否错误
   if (!jwtTokenRefresh(token, username, loginUser.getPassword())) {
      throw new AuthenticationException("Token失效,请重新登录!");
   }

   return loginUser;
}

/**
 * JWTToken刷新生命周期 (实现: 用户在线操作不掉线功能)
 * 1、登录成功后将用户的JWT生成的Token作为k、v存储到cache缓存里面(这时候k、v值一样),缓存有效期设置为Jwt有效时间的2倍
 * 2、当该用户再次请求时,通过JWTFilter层层校验之后会进入到doGetAuthenticationInfo进行身份验证
 * 3、当该用户这次请求jwt生成的token值已经超时,但该token对应cache中的k还是存在,则表示该用户一直在操作只是JWT的token失效了,程序会给token对应的k映射的v值重新生成JWTToken并覆盖v值,该缓存生命周期重新计算
 * 4、当该用户这次请求jwt在生成的token值已经超时,并在cache中不存在对应的k,则表示该用户账户空闲超时,返回用户信息已失效,请重新登录。
 * 注意: 前端请求Header中设置Authorization保持不变,校验有效性以缓存中的token为准。
    *       用户过期时间 = Jwt有效时间 * 2。
 *
 * @param userName
 * @param passWord
 * @return
 */
public boolean jwtTokenRefresh(String token, String userName, String passWord) {
   String cacheToken = String.valueOf(redisUtil.get(CommonConstant.PREFIX_USER_TOKEN + token));
   if (ObjectConvertUtils.isNotEmpty(cacheToken)) {
      // 校验token有效性
      if (!JwtUtil.verify(cacheToken, userName, passWord)) {
         String newAuthorization = JwtUtil.sign(userName, passWord);
         // 设置超时时间
         redisUtil.set(CommonConstant.PREFIX_USER_TOKEN + token, newAuthorization);
         redisUtil.expire(CommonConstant.PREFIX_USER_TOKEN + token, JwtUtil.EXPIRE_TIME *2 / 1000);
               log.info("——————————用户在线操作,更新token保证不掉线—————————jwtTokenRefresh——————— "+ token);
      }
      return true;
   }
   return false;
}
蠢蠢欲动的猫
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro获取用户登录信息
qq_35752835的博客
12-17 1065
主要使用 SecurityUtils.getSubject(); 获取 在通过Subject 的一些方法 下面是一些主要的方法 @RequestMapping("/index") public String index(){ Subject subject = SecurityUtils.getSubject(); //再认证的时候Principal 可以是用户对象 ,不单单只是username 是用什么认证就转化为什么对象 String us
shiro框架在项目的应用
11-09
`Subject` 对象是 Shiro 的核心,它代表当前用户的安全上下文,包含用户的角色和权限信息。 3. **会话管理**:Shiro 可以接管应用的会话管理,统一处理会话创建、读取、更新、删除及超时等操作。这有助于在分布式...
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息
qq_61592687的博客
02-09 2050
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
Shiro框架验证用户拥有的权限并设置对应的权限给用户角色------Shiro框架
最新发布
春风若有怜花意,可否许我再少年
06-13 881
Shiro框架验证用户拥有的权限并设置对应的权限给用户角色------Shiro框架
Shiro 多用户登录(多线程)获取用户错误
qq_41586254的博客
07-12 620
shiro官方提供的解决方法 super.execute(currentSubject.associateWith(task));启动类增加注解@EnableAsync。实体类上增加同步注解 @Async。
使用线程池+shiro情况下,shiro获取session时数据异常问题探究
weixin_48510551的博客
10-18 714
使用线程池创建多线程时,shiro获取session异常问题探究
shiro获取当前登录用户
pyd1040201698的博客
10-24 5912
第一种 SysUser sysUser = (SysUser) SecurityUtils.getSubject().getPrincipal(); 第二种 SysUser user = ShiroUtils.getSysUser();
shiro获取当前登录用户subject.getPrincipal()报null空指针
iijik55的博客
08-24 2335
SecurityUtils.getSubject().getPrincipal()为空,网上查了一堆复制粘贴的文章都是说配置加载顺序问题,我遇到的并不是这样的问题,我是偶尔一个报空,其他的正常.既然是这个参数报空,那就找到代码的这里,发现原来代码的逻辑是从redis拿,并且把如果redis没有就去查数据库的代码给注释掉了.恢复注释即可.自定义realm–》doGetAuthenticationInfo–》
springboot与shiro整合—登录认证和权限管理实例项目
04-16
3. 验证成功后,Shiro会创建Subject并绑定当前登录用户,同时会话存储认证信息。 4. Shiro的过滤器链根据配置检查后续请求的权限。 **四、权限管理** 1. **角色和权限**:在数据库建立角色和权限表,角色和...
shiro:shiro示范项目
05-09
在Shiro,可以通过Subject对象进行认证操作,Subject代表了当前用户”或“主体”,而Realm则负责提供验证用户身份所需的数据和服务。 2. **授权(Authorization)**:授权是指确定主体是否被允许执行特定操作。...
shiro-单用户登录.zip
09-06
在"shiro-单用户登录.zip"这个压缩包,我们很显然是关注Shiro如何实现单用户的登录逻辑。Shiro 提供了丰富的API和组件,使得开发者能够快速集成到自己的应用,实现用户的身份验证和授权。 1. **Shiro基础概念**...
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
shiro-demo使用ehcache做缓存.zip
12-01
例如,我们可以在Subject的doGetAuthenticationInfo方法使用缓存来存储和检索认证信息: ```java public AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws ...
shiro获取登陆用户和修改用户信息的方法
u012954380的博客
07-04 2万+
系统使用shrio登录后获取当前登陆的用户很简单 只需要一句代码 这是在session获取当前登陆的用户信息。 Parent parent = (Parent) SecurityUtils.getSubject().getPrincipal(); 这段代码在系统任何地方都可以使用,但是由于是在session获取的,如果说用户修改了用户的个人信息,会发现明明数据库已经修改成功了,但是...
Shiro(3) controller获取当前登录用户信息
热门推荐
fengcai0123的专栏
07-17 6万+
//Shiro controller获取当前登录用户信息方式一: @RequestMapping(value = "/competitorPageList" ) public String competitorPageList(Model model, ) { Long currentUserId = (Long) SecurityUtils.getSubject().getSes
apache shiro踢出用户获取所有在线用户
mooyinn的专栏
04-26 2万+
apache shiro踢出用户: 产品要求用户只能在同一个地方登录,如果之前在其他机器或者浏览器上登录,讲之前登录帐号踢出。applicationContext-shiro.xml配置: 在默认的shiro配置上增加如下配置(本文假设你已经使用过apache shiro,并且已经使用shiro成功实现登录功能): MemorySessionDAO"/>
Shiro在请求头获取sessionId以及rememberMe信息
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie,每次请求会在cookie获取,但在前后端分离下,跨域请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header,兼容PC、App以及移动端浏览器。
shiro后台服务器如何获取sessionId
ystyaoshengting的专栏
09-13 1万+
在Web开发,我们经常接触的就是session了;这里不说session和cookie;只讲服务器怎么确定用户的session; http协议本身是无状态协议,那后台是怎么确定用户的session呢? 这里以shiro的web开发为例,因为shiro的request和session只是对标准的request和session进行了封装,在 DefaultWebSessionManager,...
springboot项目使用 shiro 实现接口授权具体实现
06-07
使用Shiro实现接口授权的具体实现步骤如下: 1. 引入Shiro和Spring-boot-starter依赖: ```xml <dependencies> <!-- Shiro依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.8.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.8.0</version> </dependency> <!-- Spring-boot-starter依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> </dependencies> ``` 2. 配置Shiro的Filter和Realm: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean(); filterFactoryBean.setSecurityManager(securityManager); filterFactoryBean.setLoginUrl("/login"); // 设置未登录时跳转的URL filterFactoryBean.setUnauthorizedUrl("/unauthorized"); // 设置未授权时跳转的URL // 配置拦截规则 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); // 登录接口放行 filterChainDefinitionMap.put("/logout", "logout"); // 注销接口放行 filterChainDefinitionMap.put("/**", "authc"); // 其他接口全部拦截,需要认证后访问 filterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return filterFactoryBean; } @Bean public DefaultWebSecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); return securityManager; } @Bean public Realm realm() { // 自定义Realm实现 return new MyRealm(); } } ``` 3. 自定义Realm实现授权逻辑: ```java public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 获取当前用户信息 String username = (String) principals.getPrimaryPrincipal(); // 查询用户角色和权限信息 Set<String> roles = new HashSet<>(); Set<String> permissions = new HashSet<>(); // TODO: 查询用户角色和权限信息 // roles.add("admin"); // permissions.add("user:list"); // 封装角色和权限信息 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setRoles(roles); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 获取用户输入的用户名和密码 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); // TODO: 验证用户名和密码是否正确 // if (!"admin".equals(username)) { // throw new UnknownAccountException("用户名不存在!"); // } // if (!"admin".equals(password)) { // throw new IncorrectCredentialsException("密码错误!"); // } // 封装用户认证信息 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName()); return authenticationInfo; } } ``` 4. 在Controller使用注解实现接口授权: ```java @RestController @RequestMapping("/user") public class UserController { @RequiresPermissions("user:list") @GetMapping("/list") public String list() { return "用户列表"; } @RequiresPermissions("user:add") @PostMapping("/add") public String add() { return "添加用户"; } } ``` 在Controller方法上使用@RequiresPermissions注解,指定需要的权限,如果当前用户没有该权限,则会抛出AuthorizationException异常,可以在异常处理器统一处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值