shrio 拦截认证全过程

最新推荐文章于 2023-07-20 11:18:26 发布
最新推荐文章于 2023-07-20 11:18:26 发布
阅读量807 收藏 1
点赞数 1
文章标签: java hashmap css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45352317/article/details/121610873
版权

1.FilterRegistrationBean过滤注册bean

@Bean
public FilterRegistrationBean shiroFilterRegistration() {
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(new DelegatingFilterProxy("shiroFilter"));
    //该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理
    registration.addInitParameter("targetFilterLifecycle", "true");
    registration.setEnabled(true);
    registration.setOrder(Integer.MAX_VALUE - 1);
    registration.addUrlPatterns("/*");
    return registration;
}

设置过滤的bean

2.shiroFilter 实际过滤配置bean

@Bean("shiroFilter")
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
    shiroFilter.setSecurityManager(securityManager);

    //oauth过滤
    Map<String, Filter> filters = new HashMap<>(10);
    filters.put("oauth2", new Oauth2Filter());
    shiroFilter.setFilters(filters);

    Map<String, String> filterMap = new LinkedHashMap<>();
    filterMap.put("/webjars/**", "anon");
    filterMap.put("/druid/**", "anon");
    filterMap.put("/login", "anon");

    filterMap.put("/**", "oauth2");
    shiroFilter.setFilterChainDefinitionMap(filterMap);

    return shiroFilter;
}

配置oauth2Filter为过滤类 过滤对象处/webjars/** /druid/** /login 外的所有

3.过滤类Oauth2Filter 继承 AuthenTicationFilter 重写以下方法

/**
 * 验证是否有效token
 * @param request re
 * @param response res
 * @return 验证token
 * @throws Exception
 */
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    //获取请求token,如果token不存在,直接返回401
    String token = getRequestToken((HttpServletRequest) request);
    if(StringUtils.isBlank(token)){
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());

        String json = new Gson().toJson(new Result().error(ErrorCode.UNAUTHORIZED));

        httpResponse.getWriter().print(json);

        return false;
    }

    return executeLogin(request, response);
}

4.调用父类 executeLogin 进行登录验证

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
    AuthenticationToken token = this.createToken(request, response);
    if (token == null) {
        String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken must be created in order to execute a login attempt.";
        throw new IllegalStateException(msg);
    } else {
        try {
            Subject subject = this.getSubject(request, response);
            subject.login(token);
            return this.onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException var5) {
            return this.onLoginFailure(token, var5, request, response);
        }
    }
}

5.subject.login(token); 进行登录

login方法被DelegatingSubject重写

public void login(AuthenticationToken token) throws AuthenticationException {
    **
    Subject subject = this.securityManager.login(this, token);
    **
}

6.securityManager.login(this, token) login被DefaultSecurityManager

接下来几步没那么重要省略部分

7.ModularRealmAuthenticator AuthenticationInfo 授权信息获取方法

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
    this.assertRealmsConfigured();
    Collection<Realm> realms = this.getRealms();
    return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken) : this.doMultiRealmAuthentication(realms, authenticationToken);
}

getRealms 获取我们自己重写的Realms类,主要用户获取用户信息

8.接下来则进入我们自己写的Realms类 我的类叫Oauth2Realm

/**
 * 认证(登录时调用)
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    String accessToken = (String) token.getPrincipal();

    //根据accessToken,查询用户信息
    SysUserTokenEntity tokenEntity = shiroService.getByToken(accessToken);
    //token失效
    if(tokenEntity == null || tokenEntity.getExpireDate().getTime() < System.currentTimeMillis()){
        throw new IncorrectCredentialsException(MessageUtils.getMessage(ErrorCode.TOKEN_INVALID));
    }

    //查询用户信息
    SysUserEntity userEntity = shiroService.getUser(tokenEntity.getUserId());

    //转换成UserDetail对象
    UserDetail userDetail = ConvertUtils.sourceToTarget(userEntity, UserDetail.class);

    //获取用户对应的部门数据权限
    List<Long> deptIdList = shiroService.getDataScopeList(userDetail.getId());
    userDetail.setDeptIdList(deptIdList);

    //账号锁定
    if(userDetail.getStatus() == 0){
        throw new LockedAccountException(MessageUtils.getMessage(ErrorCode.ACCOUNT_LOCK));
    }

    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userDetail, accessToken, getName());
    return info;
}

负责获取用户信息的方法

这并不是登录的过程,而是授权过滤的过程,通过token到数据库查询是否有这个用户,且没有过期,则证明已经登录。

IM@taoyalong
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot过滤器FilterRegistrationBean实现方式
08-25
主要介绍了spring boot过滤器FilterRegistrationBean实现方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
FilterRegistrationBean能不能排除指定url
最新发布
你就像甜甜的益达
10-15 2702
FilterRegistrationBean是Spring框架中的一个重要组件,它的作用是注册和管理过滤器。在Web应用程序中,过滤器是用于拦截HTTP请求和响应的组件。FilterRegistrationBean可以通过Java代码配置,也可以通过XML配置文件进行配置。FilterRegistrationBean的工作原理是在Spring应用程序启动时,自动扫描并注册所有配置的过滤器。这些过滤器可以拦截HTTP请求和响应,并执行一些预定义的操作。
SpringBoot——》过滤器排除指定路径
小仙~
01-22 1万+
一、定义排除指定路径 import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class TestFilterRegistrationBean{ @Be
Shiro配置错误之 “Error creating bean with name ‘filterShiroFilterRegistrationBean‘ defined in class path“
m0_57046985的博客
03-06 6642
Shiro配置错误之 “Error creating bean with name ‘filterShiroFilterRegistrationBean‘ defined in class path“
SpringBoot很实用的请求过滤器 - FilterRegistrationBean
qq_45515182的博客
10-08 1万+
在日常的开发中,我们的项目可能会被各种各样的客户端进行访问,那么,一些带有意图的朋友,就会利用自己所学的技术进行有目的的访问,那么我们的服务端就不再安全和可靠。
shiro的全流程demo,世界shiro在spring中认证、授权流程,自定义授权类型,分布式session、授权缓存的实现
09-11
本项目是一个基于 Spring Boot 的 Shiro 全流程示例,涵盖了从用户登录认证到权限控制的完整流程,并实现了自定义授权类型、分布式 session 和授权缓存。 首先,我们来看 Shiro认证过程。在 Spring Boot 应用中...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
4. **拦截器或过滤器**:在SpringBoot中,可以创建一个Shiro拦截器或过滤器,对每个请求进行检查,确保请求带有有效的JWT。如果令牌无效或过期,Shiro将阻止请求并返回相应的错误信息。 5. **授权策略**:Shiro支持...
SSM+Maven+Shiro
05-24
具体实现时,通常会在Spring配置文件中定义Shiro的安全拦截器,比如使用`FormAuthenticationFilter`进行表单登录,`RolesAuthorizationFilter`进行角色权限检查。在Shiro配置中,可以定义用户、角色和权限的关系,...
shiro学习视屏,课件,思维导图,全套资料,内有shiro整合srpingboot项目
04-23
7. **安全拦截**:利用ShiroFilter,可以在控制器层对请求进行安全拦截,实现权限控制。 8. **异常处理**:配置全局的Shiro异常处理器,捕获并处理未登录、无权限等情况,返回合适的错误提示。 这套资料中的视频...
springsecurity,shiro
05-27
Shiro则适合中小型企业应用,它的轻量级特性和易用性让开发过程更加高效。 在实际应用中,选择Spring Security还是Shiro取决于项目需求。如果需要深度定制、全面的安全管理,Spring Security是理想选择;而如果...
spring boot过滤器FilterRegistrationBean
qq_28044071的博客
12-06 1912
通过FilterRegistrationBean实例注册 为了演示优先级,这里创建2个测试过滤器类:Test1Filter、Test2Filter 通过实现javax.servlet.Filter接口,覆盖其doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)方法,决定拦截或放行 public class T...
springBoot整合shiro、jwt遇到的问题(shiro中fileter和自定义fileter的执行顺序)
风吹麦浪的专栏
07-01 3419
springboot中有一个专门注册fileter到容器的类FilterRegistrationBean,shiro中也有一个注册fileter的类ShiroFilterFactoryBean这两个类的作用都是注册bean,两个注册的fieter为平级关系,如果想让他们成为上下级关系(知道他们哪个先执行吗,一般情况下都是自己定义的fileter先执行,知道为什么吗,因为自定义的一版都会设置orde...
springboot中注入FilterRegistrationBean不生效原因
凌大大的博客
04-02 4792
springboot中注入FilterRegistrationBean不生效原因 回顾   最近自定义了两个过滤器,接口请求返回加密和sql注入处理过滤器,因为在封装一些工具包,我在单独调好之后,就打算做成一个注解,像springboot启动类上加@EnableScheduling一样,可以随意控制,当我不想让这俩过滤器生效的时候,那就不加这个注解就可以了。   当然我想到了FilterRegistrationBean的使用方法,注入这两个过滤器。   但是当我写完之后,打成包之后,发现只有sql注入过滤器
spring session共享,过滤/排除指定URL
chenjunan888的专栏
07-23 1889
spring session共享,注入Bean的方式如下,提供的方法只能指定要拦截的URL,但不能过滤指定URL。 @Bean public FilterRegistrationBean sessionRepositoryFilter(SessionRepositoryFilter<? extends ExpiringSession> sessionRepositoryFilter) { FilterRegistrationBean bean = new Filt...
shiro(二):springboot整合shiro
weixin_39724194的博客
02-01 942
/自定义realm public class CustomRealm1 extends AuthorizingRealm {//从传过来的token获取到的用户名 String principal =(String) token . getPrincipal();System . out . println("用户名" + principal);//假设是从数据库获得的 用户名,密码 String password_db = "123";} }
Spring过滤器(FilterRegistrationBean)、拦截器(Interceptors)
hello_qaz123的博客
07-20 504
【代码】Spring过滤器(FilterRegistrationBean)、拦截器(Interceptors)
[shiro]shiro自定义filter后忽略了url规则
Mo_Xie的博客
11-29 872
眼下我暂时有两种办法去解决这个问题: 修改 AccessTokenFilter,在 Filter 内部加入 path match 方法对需要验证 token 的路径进行过滤。 将咱们的自定义 Filter 注册到 Shiro,不注册到 ApplicationFilterChain。 显然方案一是不可取的,这样修改范围过大,得不偿失了。那我们怎么去实现第二个方法呢?SpringBoot 提供了 FilterRegistrationBean 方便我们对 Filter 进行管理。 @Bean public Fil
Spring Boot:注册请求过滤器FilterRegistrationBean处理特定请求
Crane的博客
05-18 9257
在SpringBoot中,FilterRegistrationBean类用来在Servlet容器执行请求过程中过滤一些特定的请求,并对请求的请求内容和响应结果做一些处理,例如权限拦截验证、访问日志、响应格式化等等。 你可以认为是在服务端接收到请求和返回请求结果到调用方这两个过程中间做一些自定义的操作。 下面的案例记录如何在原有请求中增加额外的请求参数。 1 添加请求包装类 先创建一个工具类RequestParameterWrapper继承自HttpServletRequestWrapper,并重写getPa
Springboot2(23)轻松整合shiro(带验证码)
热门推荐
cowbin2012的专栏
12-26 2万+
源码地址 springboot2教程系列 Shiro配置 1.Spring集成Shiro一般通过xml配置,SpringBoot集成Shiro一般通过java代码配合@Configuration和@Bean配置。 2.Shiro的核心通过过滤器Filter实现。Shiro中的Filter是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。 3.SpringB...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值