Shiro笔记2-Springboot过滤器、用户认证登录

最新推荐文章于 2022-07-21 17:56:50 发布
最新推荐文章于 2022-07-21 17:56:50 发布
阅读量452 收藏 5
点赞数 2
分类专栏: Shiro 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45910779/article/details/115107675
版权
本文详细介绍了如何在Spring Boot项目中使用Apache Shiro框架,配置认证、授权过滤器,实现用户登录验证和资源访问权限控制。包括authc拦截器、user拦截器、anon匿名拦截器、roles角色授权和perms权限授权,以及httpBasic身份验证和SSL安全设置。
摘要由CSDN通过智能技术生成

Shiro内置过滤器

过滤器

shiro有许多过滤器,可以设置是否需要认证、是否拥有对某资源的权限,是否拥有某个角色等

参数作用
authc需要认证登录才能访问
user需要认证用户拦截器,表示必须存在用户才能访问
anon匿名拦截器,不需要登录即可访问的资源,匿名用户或游客,一般用于过滤静态资源。
roles角色授权拦截器,验证用户是或否拥有角色。参数可写多个,表示某些角色才能通过,多个参数时写 roles[“admin,user”],当有多个参数时必须每个参数都通过才算通过
perms1、权限授权拦截器,验证用户是否拥有权限 2、参数可写多个,表示需要某些权限才能通过,多个参数时写 perms[“user, admin”],当有多个参数时必须每个参数都通过才算可以
authcBasichttpBasic 身份验证拦截器
logout退出拦截器,执行后会直接跳转到shiroFilterFactoryBean.setLoginUrl(); 设置的 url
port端口拦截器, 可通过的端口
sslssl拦截器,只有请求协议是https才能通过

继续之前的代码,给add和update方法增加过滤器。
在这里插入图片描述

package com.shirotest.shiro_test.cofig;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author: 秃头不用洗发水
 * @Date: 2021-03-21
 * @Description:
 */
@Configuration
public class ShiroConfig {
    @Bean(name = "Realm")
    public ShiroRealm shiroRealm(){
        return new ShiroRealm();
    }

    @Bean(name = "SecurityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("Realm") ShiroRealm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("SecurityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        //过滤器
        Map<String,String>  filterMap = new LinkedHashMap<>();
        filterMap.put("/user/add","authc");
        bean.setFilterChainDefinitionMap(filterMap);
        
        return bean;
    }
}

add无法访问
在这里插入图片描述
delete可以正常访问
在这里插入图片描述

登录页面

写个登录页面,登录后才能访问。
login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>login</h1>
<form action="">
    <p>username:<input type="text" name="username"></p>
    <p>password:<input type="password" name="password"></p>
    <p><input type="submit"></p>
</form>
</body>
</html>

配置文件添加登录请求

package com.shirotest.shiro_test.cofig;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author: 秃头不用洗发水
 * @Date: 2021-03-21
 * @Description:
 */
@Configuration
public class ShiroConfig {
    @Bean(name = "Realm")
    public ShiroRealm shiroRealm(){
        return new ShiroRealm();
    }

    @Bean(name = "SecurityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("Realm") ShiroRealm realm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        return securityManager;
    }
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("SecurityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(securityManager);
        //过滤器
        Map<String,String>  filterMap = new LinkedHashMap<>();
        filterMap.put("/user/add","authc");
        bean.setFilterChainDefinitionMap(filterMap);
        //设置登录请求页面
        bean.setLoginUrl("/login");
        return bean;
    }
}

controller层也添加对应方法

package com.shirotest.shiro_test.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * @Author: 秃头不用洗发水
 * @Date: 2021-03-21
 * @Description:
 */
@Controller
public class MyController {
    @RequestMapping({"/","/index"})
    public String toIndex(Model model){
        model.addAttribute("msg","shiro_Test:这是index");
        return "index";
    }
    @RequestMapping("/user/add")
    public String toadd(){
        return "add";
    }

    @RequestMapping("/user/delete")
    public String todelete(){
        return "delete";
    }
	//登录
    @RequestMapping("login")
    public String tologin(){
        return "login";
    }
}

测试:

点击add会跳转到登录页面
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210323025043417.png

delete则不会

拦截url也可以使用*,例如 /user/*

用户认证

登录方法

Controller下写个登录方法log

    @RequestMapping("/log")
    public String log (String username , String password ,Model model){
        //获取当前用户subject
        Subject subject = SecurityUtils.getSubject();

        //封装用户的登录数据(username,password-->token)
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);

        //登录令牌-->判断权限、角色 , 执行登录方法 ,无异常登录成功 (捕获一下)
        try{
            subject.login(token); //执行登录方法
            return "index";
        } catch (UnknownAccountException e) { //用户名错误
            model.addAttribute("msg","用户名错误");
            return "login";
        }catch (IncorrectCredentialsException e){
            model.addAttribute("msg","密码错误");
            return "login";
        }

封装了各种判断
在这里插入图片描述

再完善登录页面

<!DOCTYPE html>
<html lang="en" xmlns:th="www.thymeleaf.com">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>login</h1>
<p th:text="${msg}" style="color: red"></p>
<form th:action="@{/log}">
    <p>username:<input type="text" name="username"></p>
    <p>password:<input type="password" name="password"></p>
    <p><input type="submit"></p>
</form>
</body>
</html>

在这里插入图片描述

每次点击登录时,就会自动请求验证方法。
在这里插入图片描述

用户验证token

可以看到输出验证,接下来在验证方法里完善验证。

先不从数据库取。

package com.shirotest.shiro_test.cofig;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;

/**
 * @Author: 秃头不用洗发水
 * @Date: 2021-03-21
 * @Description:
 */
public class ShiroRealm extends AuthorizingRealm {

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("授权:doGetAuthorizationInfo");
        return null;
        }

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("验证:doGetAuthenticationInfo");
        String username = "root";
        String password = "123456";
        //再转化为token
		UsernamePasswordToken userToken = (UsernamePasswordToken) authenticationToken;
        if (!token.getUsername().equals(username)){
                return null;
                //抛出异常,unknown
        }
        //密码验证不需要操作,shiro自动验证
        return new SimpleAuthenticationInfo("",password,"");
        }
        }

要对应
在这里插入图片描述

在这里插入图片描述
参数分别为 获取当前用户的认证 ,密码 ,认证名 。

自动比对密码,不需要get

演示效果

点击add 需要先登录
在这里插入图片描述
输入错误的试试
在这里插入图片描述
在这里插入图片描述
正确的
在这里插入图片描述
在这里插入图片描述
完成,后面将用户信息放入数据库中。

秃头不用洗发水
关注
专栏目录
微服务学习笔记1-SpringBoot
aoliaoliaoo的博客
03-30 3632
SpringBoot 1、SpringBoot简介 SpringBoot是一个javaweb的开发框架,简化开发,约定大于配置! SpringBoot的主要优点: 让Spring开发者更快的入门 开箱即用,提供各种默认配置来简化项目配置 内嵌式容器简化Web项目 没有冗余代码生成和XML配置的要求 2、微服务简介 单体架构:打包成一个独立的单元(导入一个jar包或者是一个war包)部署完成应用之后,应用通过一个进程的方式来运行,例如,MVC三层架构 微服务架构:一个大型的复杂软件应用,由一个或者多个微
Springboot整合shiro_springboot shiro,程序人生
最新发布
m0_60567881的博客
04-18 509
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统的个体,可以被授予一个或多个角色。
Java SpringBoot实现的过滤器(和拦截器)控制登录页面跳转
04-13
该压缩包实现了利用过滤器或者拦截器对登录信息进行验证跳转登陆页的功能,利用的是SpringBoot和thymeleaf,使用前请先看使用说明
springboot实现拦截器之验证登录示例
08-31
本篇文章主要介绍了springboot实现拦截器之验证登录示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot项目--实现登录(过滤器)与退出功能
m0_59480939的博客
05-21 3397
1.分析 登录与退出功能是整个项目最简单的功能,实现这两个功能,基本只要思路理好了,代码就随便写了,根据我的项目总结,登录功能的思路基本如下: ①. 将页面提交的密码password进行md5加密处理, 得到加密后的字符串 ②. 根据页面提交的用户名username查询数据库员工数据信息 ③. 如果没有查询到, 则返回登录失败结果 ④. 密码比对,如果不一致, 则返回登录失败结果 ⑥. 登录成功,将员工id存入Session, 并返回登录成功结果 2.代码实现 @PostM
Spring boot 实战:普通登录功能与过滤器
小栋哟
02-26 3113
本篇博客主要记录过滤器这个东西,以前也没怎么用过,用过也没怎么看过, 最近的一个项目有使用到,纯手工登录过滤器拦截请求的url; 所以来记录一下,方便自己也方便大家快速使用; 操作session存取信息可参考我的博客:操作的Session工具类 登录方法: @RequestMapping("login") @ResponseBody public String lo...
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
2.2 SpringBootShiro整合-权限管理实战-课堂笔记.docx
04-14
4. 创建Shiro过滤器链,定义URL拦截规则。 5. 在Controller层使用Shiro的注解(如`@RequiresPermissions`)进行权限控制。 6. 使用Thymeleaf与Shiro的标签进行页面权限显示逻辑。 通过以上步骤,我们可以构建出一个...
Shiro学习笔记-----小组开发前后端分离项目---登陆认证盐值加密
RSDYS的博客
07-21 511
基于springboot框架前后端分离项目实现的Shiro登录认证以及盐值加密功能。
SpringBoot使用shiro-ehcache缓存
、思考致富的博客
05-09 4750
由于网上教程很多,对于shiro的概念和用法已经讲解非常详细,这里直接给出介绍shiro概念的博主连接Shiro笔记(一)----Shiro安全框架简介 以及写的不错的博客:springboot(十四):springboot整合shiro-登录认证和权限管理 这里是本项目源码,已经上传github,感兴趣的小伙伴可以下载 : 去下载 话不多说,先上pom文件: <?xml version="...
过滤器实现用户自动登录案例
BullZeng的博客
05-29 1695
UserDao UserService UserLoginServlet: public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { request.setCharacter...
利用过滤器(Filter)实现自动登录功能
玲儿叮当想
03-21 1869
        思路:登录成功保存登录时Cookie以及Session,下次打开网站通过过滤器拦截查看Session是否存在用户(考虑用户没有关闭浏览器的情况),如果Session用户数据,放行,从Cookie查找用户数据如果没有数据,放行。         具体思路:                /** * 判断session是否有用户的信息: * * session如果...
shiro学习笔记 过滤器 shiro 表单 验证码 登录
永无止境
01-09 2865
自己自定义实现了一个验证码表单过滤器,基于FormAuthenticationFilter 代码如下: package cn.ddsxy.ddlx.shiro; import cn.ddsxy.ddlx.util.CaptchaUtil; import org.apache.shiro.authc.AuthenticationException; import org.apache.shir
过滤器实现自动登录的功能
爱音乐爱运动的代码狗的博客
02-13 360
过滤器实现自动登录的功能 第一次登录的时候只是把用户名和密码传递过来的,cookie里面并没有用户名和密码,所以过滤器就获取不到cookie(但是还是放行的,不拦截),也就没有自动 登录了,(直接登录访问后面的页面)。记住密码后,后端就会把收到的用户名和密码以cookie的形式返回给前端,存在客户端那边,下次访问该网站的时候 就会带着cookie来访问后端,此时过滤器就会获取到用户名和密码,放到s...
如何使用过滤器实现自动登录功能 Java
qq_40435621的博客
02-14 416
实现思路 先判断session是否有效, 如果有效,就不用取cookie了,直接放行。 如果session失效了,那么就取 cookie。 没有cookie 放行 有cookie 取出来cookie的值,然后完成登录 把这个用户的值存储到session 放行。 /** * @see Filter#doFilter(ServletRequest,...
【SaaS - Export项目】22 - shrio的过滤器和标签,apache shiro登录认证功能(拦截非登录用户访问登录模块权限)
Java小皮孩
11-10 927
文章目录1. Shiro过滤器和标签介绍1.1 shiro过滤器1.2 shiro标签2. Shiro实现登录认证(判断session有无user信息)2.1 拦截路径的三个属性`/ /* /**`区别2.2 applicationContext-shiro.xml配置登录认证拦截2.3 Shiro登录认证用户名密码验证)UserController2.4 AuthRealm配置认证Authorization(认证账号密码)2.5 效果 1. Shiro过滤器和标签介绍 作用:判断 sesion
shiro学习:shiro整合springweb项目实现用户登录和退出
刘大磊的博客
10-22 4591
一、实现原理 使用FormAuthenticationFilter过虑器实现 ,原理如下: 将用户没有认证时,请求loginurl进行认证用户身份和用户密码提交数据到loginurl FormAuthenticationFilter拦截住取出request的username和password(两个参数名称是可以配置的) FormAuthenticationFilter调用realm传入
spring boot使用过滤器(以session校验为例)
热门推荐
炫封的博客
03-12 4万+
一.新建过滤器 这里我以session登录校验为例写了一个过滤器的例子 1.先写一个通过用户名密码登录的小栗子(用户名、密码都是root) @Controller @RestController public class LoginController { @RequestMapping(&amp;quot;login&amp;quot;) public String login(String...
springboot项目使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5069
springboot前后端分离项目使用shiro 实现自定义过滤器和token的方式
SpringBootShiro:实战登录认证与授权详解
具体来说,推荐使用版本1.4.0的`shiro-spring-boot-web-starter`,这将简化与Spring Boot的集成。 接下来,文章的核心内容是创建一个自定义的`MyShiroRealm`类,继承自`AuthorizingRealm`。这个 Realm 类是Shiro...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值