springboot项目中使用shiro 自定义过滤器和token的方式

已于 2023-04-02 18:08:59 修改
阅读量5k 收藏 18
点赞数 4
分类专栏: 实战问题 文章标签: spring boot java spring
于 2020-01-04 21:21:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weter_drop/article/details/103837671
版权

文章目录

闲话少说,直接开干,实现步骤主要是以下几步:

1. 在项目中导入maven依赖

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.4.0</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.4.0</version>
		</dependency>

2. shiro的核心配置类和代码

  1. 自定义(令牌实体)token
package com.ratel.fast.modules.sys.oauth2;
import org.apache.shiro.authc.AuthenticationToken;
/**
 * token
 */
public class OAuth2Token implements AuthenticationToken {
    private String token;

    public OAuth2Token(String token){
        this.token = token;
    }
    @Override
    public String getPrincipal() {
        return token;
    }
    @Override
    public Object getCredentials() {
        return token;
    }
}
  1. token的生成工具
package com.ratel.fast.modules.sys.oauth2;
import com.ratel.fast.common.exception.RRException;
import java.security.MessageDigest;
import java.util.UUID;
/**
 * 生成token
 */
public class TokenGenerator {
    public static String generateValue() {
        return generateValue(UUID.randomUUID().toString());
    }
    private static final char[] hexCode = "0123456789abcdef".toCharArray();

    public static String toHexString(byte[] data) {
        if(data == null) {
            return null;
        }
        StringBuilder r = new StringBuilder(data.length*2);
        for ( byte b : data) {
            r.append(hexCode[(b >> 4) & 0xF]);
            r.append(hexCode[(b & 0xF)]);
        }
        return r.toString();
    }
    public static String generateValue(String param) {
        try {
            MessageDigest algorithm = MessageDigest.getInstance("MD5");
            algorithm.reset();
            algorithm.update(param.getBytes());
            byte[] messageDigest = algorithm.digest();
            return toHexString(messageDigest);
        } catch (Exception e) {
            throw new RRException("生成Token失败", e);
        }
    }
}

3. 自定义的认证源

package com.ratel.fast.modules.sys.oauth2;
import com.ratel.fast.modules.sys.service.ShiroService;
import com.ratel.fast.modules.sys.entity.SysUserEntity;
import com.ratel.fast.modules.sys.entity.SysUserTokenEntity;
import com.ratel.fast.modules.sys.service.ShiroService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import java.util.Set;

/**
 * 认证
 *
 *
 */
@Component
public class OAuth2Realm extends AuthorizingRealm {
    @Autowired
    private ShiroService shiroService;

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof OAuth2Token;
    }

    /**
     * 授权(验证权限时调用)
     * 前端在请求带@RequiresPermissions注解 注解的方法时会调用 doGetAuthorizationInfo 这个方法
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SysUserEntity user = (SysUserEntity)principals.getPrimaryPrincipal();
        Long userId = user.getUserId();

        //用户权限列表
        Set<String> permsSet = shiroService.getUserPermissions(userId);

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

    /**
     * 认证(登录时调用)
     * 每次请求的时候都会调用这个方法验证token是否失效和用户是否被锁定
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String accessToken = (String) token.getPrincipal();

        //根据accessToken,查询用户信息
        SysUserTokenEntity tokenEntity = shiroService.queryByToken(accessToken);
        //token失效
        if(tokenEntity == null || tokenEntity.getExpireTime().getTime() < System.currentTimeMillis()){
            throw new IncorrectCredentialsException("token失效,请重新登录");
        }

        //查询用户信息
        SysUserEntity user = shiroService.queryUser(tokenEntity.getUserId());
        //账号锁定
        if(user.getStatus() == 0){
            throw new LockedAccountException("账号已被锁定,请联系管理员");
        }

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, accessToken, getName());
        return info;
    }
}

4. 自定义的过滤器



package com.ratel.fast.modules.sys.oauth2;

import com.google.gson.Gson;
import com.ratel.fast.common.utils.HttpContextUtils;
import com.ratel.fast.common.utils.R;
import org.apache.commons.lang.StringUtils;
import org.apache.http.HttpStatus;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * oauth2过滤器
 *
 *
 */
public class OAuth2Filter extends AuthenticatingFilter {

    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token
        String token = getRequestToken((HttpServletRequest) request);

        if(StringUtils.isBlank(token)){
            return null;
        }

        return new OAuth2Token(token);
    }

    /**
     * 判断用户是否已经登录,
     *      如果是options的请求则放行,否则进行调用onAccessDenied进行token认证流程
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if(((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())){
            return true;
        }

        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求token,如果token不存在,直接返回401
        String token = getRequestToken((HttpServletRequest) request);
        if(StringUtils.isBlank(token)){
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());

            String json = new Gson().toJson(R.error(HttpStatus.SC_UNAUTHORIZED, "invalid token"));

            httpResponse.getWriter().print(json);

            return false;
        }

        return executeLogin(request, response);
    }

    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setContentType("application/json;charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
        try {
            //处理登录失败的异常
            Throwable throwable = e.getCause() == null ? e : e.getCause();
            R r = R.error(HttpStatus.SC_UNAUTHORIZED, throwable.getMessage());

            String json = new Gson().toJson(r);
            httpResponse.getWriter().print(json);
        } catch (IOException e1) {

        }

        return false;
    }

    /**
     * 获取请求的token
     */
    private String getRequestToken(HttpServletRequest httpRequest){
        //从header中获取token
        String token = httpRequest.getHeader("token");

        //如果header中不存在token,则从参数中获取token
        if(StringUtils.isBlank(token)){
            token = httpRequest.getParameter("token");
        }

        return token;
    }


}

5. 核心配置类



package com.ratel.fast.config;

import com.ratel.fast.modules.sys.oauth2.OAuth2Filter;
import com.ratel.fast.modules.sys.oauth2.OAuth2Realm;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro配置
 *
 *
 */
@Configuration
public class ShiroConfig {

    @Bean("securityManager")
    public SecurityManager securityManager(OAuth2Realm oAuth2Realm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(oAuth2Realm);
        securityManager.setRememberMeManager(null);
        return securityManager;
    }

    /**
     * 这个bean的名字必须叫 shiroFilter ,否则启动的时候会报错
     *  @Bean ("shiroFilter") 之后的括号可以不用写,spring默认方法名为的bean的名字
     * @param securityManager
     * @return
     */
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //oauth过滤
        Map<String, Filter> filters = new HashMap<>();
        //添加自定义过滤器
        filters.put("oauth2", new OAuth2Filter());
        shiroFilter.setFilters(filters);

        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/druid/**", "anon");
        filterMap.put("/app/**", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/v2/api-docs", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/swagger-resources/**", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/aaa.txt", "anon");
        //使用自定义过滤器拦截除上边以外的所有请求
        filterMap.put("/**", "oauth2");
        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;
    }

    @Bean("lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}

6. 用户token类 (用于往数据库中存储的时候用)

package com.ratel.fast.modules.sys.entity;

import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
import java.io.Serializable;
import java.util.Date;

/**
 * 系统用户Token
 *
 *
 */
@Data
@TableName("sys_user_token")
public class SysUserTokenEntity implements Serializable {
	private static final long serialVersionUID = 1L;
	
	//用户ID
	@TableId(type = IdType.INPUT)
	private Long userId;
	//token
	private String token;
	//过期时间
	private Date expireTime;
	//更新时间
	private Date updateTime;

}

7. 用户登录使用的Controller



package com.ratel.fast.modules.sys.controller;

import com.ratel.fast.common.utils.R;
import com.ratel.fast.modules.sys.entity.SysUserEntity;
import com.ratel.fast.modules.sys.form.SysLoginForm;
import com.ratel.fast.modules.sys.service.SysCaptchaService;
import com.ratel.fast.modules.sys.service.SysUserService;
import com.ratel.fast.modules.sys.service.SysUserTokenService;
import org.apache.commons.io.IOUtils;
import org.apache.shiro.crypto.hash.Sha256Hash;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
import javax.imageio.ImageIO;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletResponse;
import java.awt.image.BufferedImage;
import java.io.IOException;
import java.util.Map;

/**
 * 登录相关
 *
 *
 */
@RestController
public class SysLoginController extends AbstractController {
	@Autowired
	private SysUserService sysUserService;
	@Autowired
	private SysUserTokenService sysUserTokenService;
	@Autowired
	private SysCaptchaService sysCaptchaService;

	/**
	 * 验证码
	 */
	@GetMapping("captcha.jpg")
	public void captcha(HttpServletResponse response, String uuid)throws IOException {
		response.setHeader("Cache-Control", "no-store, no-cache");
		response.setContentType("image/jpeg");

		//获取图片验证码
		BufferedImage image = sysCaptchaService.getCaptcha(uuid);

		ServletOutputStream out = response.getOutputStream();
		ImageIO.write(image, "jpg", out);
		IOUtils.closeQuietly(out);
	}

	/**
	 * 登录
	 */
	@PostMapping("/sys/login")
	public Map<String, Object> login(@RequestBody SysLoginForm form)throws IOException {
		boolean captcha = sysCaptchaService.validate(form.getUuid(), form.getCaptcha());
		if(!captcha){
			return R.error("验证码不正确");
		}

		//用户信息
		SysUserEntity user = sysUserService.queryByUserName(form.getUsername());

		//账号不存在、密码错误
		if(user == null || !user.getPassword().equals(new Sha256Hash(form.getPassword(), user.getSalt()).toHex())) {
			return R.error("账号或密码不正确");
		}

		//账号锁定
		if(user.getStatus() == 0){
			return R.error("账号已被锁定,请联系管理员");
		}

		//生成token,并保存到数据库
		R r = sysUserTokenService.createToken(user.getUserId());
		return r;
	}


	/**
	 * 退出
	 */
	@PostMapping("/sys/logout")
	public R logout() {
		sysUserTokenService.logout(getUserId());
		return R.ok();
	}
	
}

到此我们已经完成了shiro的认证过程的代码。
记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。下一篇我将介绍使用RBAC权限模型加上shiro实现一套完整的权限控制方案。

基于RBAC的权限模型+shiro+springboot实现的系统登陆权限认证模块

T-OPEN
关注
专栏目录
springboot整合shiro自定义过滤器版)
qq_38639813的博客
07-25 1579
***token*}}/***oauth2过滤器*主要用来判断token存不存在,如果存在则赋值给OAuth2Token*//获取请求tokenStringtoken=getRequestToken((HttpServletRequest)request);
SpringBoot集成Shiro自定义过滤器自定义Token、加盐加密、记住密码、自动登录、Session管理)...
海若的博客
07-10 1003
导入依赖 <!--thymeleaf集成shiro模版--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro<...
Spring-shiro-Boot-7 shiro自定义过滤器-LogoutFilter
良之才的专栏
03-17 1572
如果是使用restful的方式,还需要在登出的时候处理token,将其删除才行。 所以还需建立LogoutFilter。 shiro直接提供了LogoutFilter,我们只要继承之后实现自己的逻辑就可以。这里要说的是与上一个userFilter不同,LogoutFilter继承AdviceFilter,所以我们实现的方法也不同。 boolean preHandle(ServletRequest request, ServletResponse response) (1)如果没有获取到login
Shiro自定义过滤器
weixin_30561177的博客
04-11 117
项目需要所有首次登录的用户必须修改密码才可使用系统,项目采用的是Shiro框架。 突然想到了配置文件org.apache.shiro.spring.web.ShiroFilterFactoryBean的loginUrl,校验未登录则跳转到登录地址。索性研究了它的源码后可以继承AccessControlFilter自定义自己的过滤器自定义Shiro过滤器: package com....
简单实现Shiro单点登录(自定义Token令牌)
menghuannvxia的专栏
05-28 8438
1. MVC Controller 映射 sso 方法。 Java代码   /**   * 单点登录(如已经登录,则直接跳转)   * @param userCode 登录用户编码   * @param token 登录令牌,令牌组成:sso密钥+用户名+日期,进行md5加密,举例:    *      String secretKey = Global.getCo
Shiro自定义Token
萝卜_7
08-10 3020
Shiro自定义Token 1. 序言 用户登录检验需要校验多个要素,不只有用户名和密码 比如需要验证公司ID,主机IP,等等 2. shiroToken的结构 ShiroToken的继承结构图: AuthenticationToken接口类只包含获取用户的身份信息和凭证信息两个方法。 Object getPrincipal(); Object getCredentials(); HostAuthenticationToken接口类继承自AuthenticationToke
springboot整和jwt、shiro、redis实现token自动刷新
08-19
此外,还需要编写一个TokenFilter,这个过滤器会在每次请求时检查请求头的JWT,如果发现Token即将过期,就调用刷新接口获取新的Token。这个过程应该设计为无感知的,即用户在正常使用应用时,后台自动完成Token的...
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3381
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其代码我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
奇奇怪怪小问题-Java Shiro自定义过滤器
youthbright的博客
09-21 207
Java Shiro自定义过滤器
shiro自定义过滤器
一步一脚印的博客
12-17 637
ajax请求权限拦截 解决Ajax的跳转问题; 不再跳转页面,而是给出提示。(弹出框) 1 自定义权限过滤器 写一个类,继承 PermissionsAuthorizationFilter 重写 onAccessDenied方法 /** * 重写Shiro的权限过滤器(我们要让他支持Ajax操作) */ public class MyPermissionsAuthorizationFi...
关于Shiro自定义过滤器
weixin_44711004的博客
08-06 310
今天遇到一个小问题,自定义shiro过滤器没有执行。。最后发现是没有调用,需要在shiro的配置文件上调用才能被执行。代码如下: <bean id="chainDefinitionSectionMetaSource" class="com.zslbase.shiro.core.ChainDefinitionSectionMetaSource"> <property name...
自定义 shiro过滤器(平安pafa5框架)
rensheng的博客
05-04 1895
import java.io.IOException;import java.util.Enumeration;import java.util.HashSet;import java.util.Set;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;i...
Shiro笔记七:自定义Shiro Filter过滤器
公子&小白的博客
05-10 2442
Shiro笔记七:自定义Shiro Filter过滤器 shiro自带的Filter的问题 shiro有自带的过滤器在DefaultFilter里面,但是有个问题。 filterChainDefinitionMap.put("/admin/**",“roles[admin,root]”);//括号里面的是角色的名字 这里面的问题是:只有当用户属于admin和root角色时,才能访问这个路径,如果只有root角色或者只有admin角色,是不能访问的。相当于hasAllRole() 现在的需求是:只
shiro自定义过滤器(最大在线人数)
fangchao3652
08-16 545
package com.hope.shiro.filter; import com.hope.model.beans.SysUser; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import org.apache.shiro.session.Session; import org...
Springboot集成Shiro--自定义权限过滤器
PrimaryMe的博客
11-15 1530
使用Shiro进行权限判断的时候,某一个访问路径,可能只需要两种权限的其一个,就可以访问。但是Shiro,提供的权限过滤,必须都满足两个权限之后,才能访问,这样会造成一些权限控制的不合理人性化。因此自定义权限过滤器是非常有必要的,在日后的开发自定义权限过滤器是很频繁的操作。
springboot shiro简单使用
最新发布
09-17
使用Spring Boot集成Apache Shiro进行简单的身份验证和授权,可以按照以下步骤操作[^1]: 1. 添加依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.github.username_0</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <!-- 使用最新的版本 --> </dependency> ``` 2. 配置应用上下文: ```java @Configuration public class ShiroConfig extends SecurityManagerConfiguration { // 设置realm(安全管理器) @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现自定义认证逻辑 } // 设置授权策略 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现自定义授权逻辑 } } ``` 3. 用户登录控制器: ```java @RestController public class LoginController { @PostMapping("/login") public String login(@RequestBody User user) { // 进行用户名密码校验 // 如果验证成功,返回token或其他认证信息 } } ``` 4. 安全扫描并启用全局过滤器: ```java @EnableGlobalMethodSecurity(prePostEnabled = true) @Import(SecurityAutoConfiguration.class) public class AppConfig { // ... } ``` 5. 使用`@PreAuthorize`或`@PermitAll`注解控制访问: ```java @GetMapping("/admin") @PreAuthorize("hasRole('ADMIN')") public String adminPage() { return "Admin Page"; } ``` 记得根据实际需求调整上述代码的认证逻辑、授权策略以及数据库交互部分[^2]。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

T-OPEN

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值