Shiro实现Basic认证

最新推荐文章于 2021-03-04 09:10:55 发布
最新推荐文章于 2021-03-04 09:10:55 发布
阅读量593 收藏
点赞数
原文链接:https://www.cnblogs.com/lm970585581/p/14149342.html
版权

王子已经有了一套集成好Shiro的Spring Boot框架,这套框架详细代码就不做展示了,我们只来看一下测试用例。

要测试的接口代码如下:

复制代码
/**

  • @author liumeng
    /
    @RestController
    @RequestMapping("/test")
    @CrossOrigin
    public class TestAppController extends BaseController {
    /    *
    • 数据汇总
      */
      @GetMapping("/list")
      public AjaxResult test()
      {
      return success(“测试接口!”);
      }
      }
      复制代码
      使用Shiro,一定会有Shiro的拦截器配置,这部分代码如下:

复制代码
  /**
* Shiro过滤器配置
/
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager)
{
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
// Shiro的核心安全接口,这个属性是必须的
shiroFilterFactoryBean.setSecurityManager(securityManager);
// 身份认证失败,则跳转到登录页面的配置
shiroFilterFactoryBean.setLoginUrl(loginUrl);
// 权限认证失败,则跳转到指定页面
shiroFilterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);
// Shiro连接约束配置,即过滤链的定义
LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
// 对静态资源设置匿名访问
filterChainDefinitionMap.put("/favicon.ico*", “anon”);
filterChainDefinitionMap.put("/lr.png**", “anon”);
filterChainDefinitionMap.put("/css/", “anon”);
filterChainDefinitionMap.put("/docs/", “anon”);
filterChainDefinitionMap.put("/fonts/", “anon”);
filterChainDefinitionMap.put("/img/", “anon”);
filterChainDefinitionMap.put("/ajax/", “anon”);
filterChainDefinitionMap.put("/js/", “anon”);
filterChainDefinitionMap.put("/lr/", “anon”);
filterChainDefinitionMap.put("/captcha/captchaImage", “anon”);
// 退出 logout地址,shiro去清除session
filterChainDefinitionMap.put("/logout", “logout”);
// 不需要拦截的访问
filterChainDefinitionMap.put("/login", “anon,captchaValidate”);
filterChainDefinitionMap.put("/ssoLogin", “anon”);
     // 开启Http的Basic认证
filterChainDefinitionMap.put("/test/**", “authcBasic”);
// 注册相关
filterChainDefinitionMap.put("/register", “anon,captchaValidate”);

    Map<String, Filter> filters = new LinkedHashMap<String, Filter>();
    filters.put("onlineSession", onlineSessionFilter());
    filters.put("syncOnlineSession", syncOnlineSessionFilter());
    filters.put("captchaValidate", captchaValidateFilter());
    filters.put("kickout", kickoutSessionFilter());
    // 注销成功,则跳转到指定页面
    filters.put("logout", logoutFilter());
    shiroFilterFactoryBean.setFilters(filters);

    // 所有请求需要认证authcBasic
    filterChainDefinitionMap.put("/**", "user,kickout,onlineSession,syncOnlineSession");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

    return shiroFilterFactoryBean;
}

复制代码
这里我们要关注的是代码中的

filterChainDefinitionMap.put("/test/**", “authcBasic”);
这部分代码,它指定了我们的测试接口启动了Http的Basic认证,这就是我们的第一步。

做到这里我们可以尝试的去用浏览器访问一下接口,会发现如下情况:

这就代表Basic认证已经成功开启了,这个时候我们输入系统的用户名和密码,你以为它就能成功访问了吗?

答案是否定的,我们只是开启了认证,但并没有实现认证的逻辑。

王子通过阅读部分Shiro源码,发现每次发送请求后,都会调用ModularRealmAuthenticator这个类的doAuthenticate方法,源码如下:

复制代码
protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
assertRealmsConfigured();
Collection realms = getRealms();
if (realms.size() == 1) {
return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
} else {
return doMultiRealmAuthentication(realms, authenticationToken);
}
}
复制代码
可以看出,这个方法主要就是对Realm进行了管理,因为我们的系统本身已经有两个Ream了,针对的是不同情况的权限验证,所以为了使用起来不冲突,我们可以继承这个类来实现我们自己的逻辑,在配置类中增加如下内容即可:

复制代码
@Bean
public ModularRealmAuthenticator modularRealmAuthenticator(){
//用自己重新的覆盖
UserModularRealmAuthericator modularRealmAuthericator = new UserModularRealmAuthericator();
modularRealmAuthericator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
return modularRealmAuthericator;
}
复制代码
然后在我们自己的UserModularRealmAuthericator类中重写doAuthenticate方法就可以了,这里面的具体实现逻辑就要看你们自己的使用场景了。

我们可以自己新创建一个Realm来单独校验Basic认证的情况,或者共用之前的Realm,这部分就自由发挥了。

大概内容如下:

复制代码
public class UserModularRealmAuthericator extends ModularRealmAuthenticator {
private static final Logger logger = LoggerFactory.getLogger(UserModularRealmAuthericator.class);

@Override
protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
    assertRealmsConfigured();
    //强制转换返回的token
    UsernamePasswordToken  usernamePasswordToken = (UsernamePasswordToken) authenticationToken;//所有Realm
    Collection<Realm> realms = getRealms();
    //最终选择的Realm
    Collection<Realm> typeRealms = new ArrayList<>();
    for(Realm realm:realms){
        if(...){ //这部分是自己的逻辑判断,过滤出想要使用的Realm
            typeRealms.add(realm);
        }
    }
    //判断是单Realm 还是多Realm
    if(typeRealms.size()==1){
        return doSingleRealmAuthentication(typeRealms.iterator().next(),usernamePasswordToken);
    }else{
        return doMultiRealmAuthentication(typeRealms,usernamePasswordToken);
    }
}

}
复制代码
Realm的具体实现代码这里就不做演示了,无非就是判断用户名密码是否能通过校验的逻辑。如果不清楚,可以自行了解Realm的实现方式。

Realm校验实现后,Basic认证就已经实现了。

测试部分
接下来我们再次使用浏览器对接口进行测试,输入用户名和密码,就会发现接口成功响应了。

我们来抓取一下请求情况

可以发现,Request Header中有了Basic认证的信息Authorization: Basic dGVzdDoxMjM0NTY=

这部分内容是这样的,Basic为一个固定的写法,dGVzdDoxMjM0NTY=这部分内容是userName:Password组合后的Base64编码,所以我们只要给第三方提供这个编码,他们就可以通过编码访问我们的接口了。

使用PostMan测试一下
亚马逊测评 www.yisuping.com

福伴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro实现登录认证与权限授权管理
小生的博客
02-27 2325
Apache Shiro 是一个强大而灵活的开源安全框架,从官网上,我们基本上可以了解到,她提供的服务非常明确: 1.Authentication(认证) 2.Authorization(授权) 3.Session Management(会话管理) 4.Cryptography(加密) 1.maven配置 &lt;!--处理登录相关依赖包--&gt; &lt;dep...
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 852
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set&lt;String&gt; findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
Shiro内置过滤器
xzh109的博客
02-08 734
Filter Name Class Description anon org.apache.shiro.web.filter.authc.AnonymousFilter 匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤;示例/static/**=anon authc org.apache.shiro.web.filter.authc.FormAuthenticationF...
shirobasicAuthc认证+ssl
心若在梦就在
05-18 464
适用于企业内网 data: { firstName: 'John', lastName: 'Doe' }, formulas : { // We'll explain formulas in more detail soon. name1 : function (get) { ...
Spring整合Shiro
weixin_34015336的博客
12-15 168
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro身份验证授权入门
十五楼亮哥
05-22 7996
一、 介绍:shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org
shiro基本知识
ksj_j的博客
01-20 1713
什么是shiroShiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应 用,非web应用,集群分
java basic类似的地方_java – Shiro使用HTTP Basic Auth或匿名访问相同的URI
weixin_30162121的博客
03-04 123
您可以滚动自己的自定义shiro过滤器.扩展类BasicHttpAuthenticationFilter并覆盖onPreHandle,您可以在其中检查servlet请求方法(如果它是GET或POST)并对其执行操作.所以类似于:public class MyFilter extends BasicHttpAuthenticationFilter {@Overrideprotected boolea...
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1119
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
springboot整合shiro实现认证和授权项目源代码
07-16
- 认证Shiro支持多种认证方式,如Basic Auth、Form Auth等,用于验证用户身份。 - 授权:Shiro提供角色和权限管理,控制用户访问资源的权限。 - Session管理:Shiro可以替代Spring Session,进行会话管理和会话...
shiro相关实现例子以及shiro教程文档
12-25
1. **Basic Auth Example**:基础认证示例,演示了如何实现用户名/密码登录。 2. **Role-Based Auth Example**:基于角色的权限控制,展示如何为不同角色分配不同的操作权限。 3. **Session Management Example**...
Shiro+Spring Security学习文档
07-23
3. **认证与授权**:Spring Security支持多种认证方式,如Basic Auth、Form Login、Remember Me等,并且有强大的访问决策管理器(Access Decision Manager)用于授权。 4. **支持Spring MVC和Spring Boot**:Spring...
Spring Security和Shiro的相同点与不同点整理
08-25
1. **认证功能**:Spring Security和Shiro都提供了用户身份验证的功能,包括用户名和密码的验证,以及支持多种认证机制,如Basic Auth、Form Login等。 2. **授权功能**:两者都能实现基于角色的访问控制(RBAC),...
shiro自定义filter之BasicHttpAuthenticationFilter解读
热门推荐
xuguruogu的专栏
03-31 1万+
通过creattoken,容器获取验证信息。通过onAccessDenied处理验证失败的处理方法。 遇到比较特别的移动开发需求,不得不求助于自定义filter来实现了。 更多细节参考BasicHttpAuthenticationFilter源码 https://shiro.apache.org/static/1.2.3/apidocs/org/apache/shiro/web/filter
Basic Auth
crazy_qu的博客
08-03 1044
可能网上有重复代码了,以下存粹为了记录自己的程序小人生。也希望能帮到小白,不喜勿喷。大神可以给指点一下,欢迎骚扰!!! 1.SecurityConfiguration.java代码 import com.pactera.unilever.kanban.api.web.utils.JBCryptUtils; import org.springframework.beans.factory.an...
深入浅出学Shiro(二)--授权认证
何静媛
05-05 3507
授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。     认证通过后接受 Shiro授权检查,授权验证时,需要判断当前角色是否拥有该权限。只有授权通过,才可以访问受保护 URL 对应的资源,否则跳转到“未经授权页面”。   首先来结合一个实例来说明:   上篇博客(深入
shiro配置
weixin_34313182的博客
05-11 62
2019独角兽企业重金招聘Python工程师标准>>> ...
authc过滤器 shiro_Shiro过滤器
weixin_42208901的博客
01-14 477
Shiro内置过滤器认证相关过滤器:anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授权相关的过滤器:perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
最新发布
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值