shiro认证及授权的执行流程分析及图解(一)

最新推荐文章于 2024-05-11 03:41:20 发布
最新推荐文章于 2024-05-11 03:41:20 发布
阅读量5.4k 收藏 20
点赞数 4
分类专栏: shiro 文章标签: shiro

一,认证

1、先建两个class文件

①、一个写 AuthRealm (授权与认证方法,并继承) extends AuthorizingRealm  获取其默认方法doGetAuthorizationInfo(授权方法) doGetAuthenticationInfo(认证方法) 

②、一个写PasswordMatcher(密码验证器,并继承) extends SimpleCredentialsMatcher获取默认方法doCredentialsMatch 

2、在Action的登录方法中

         @Action("loginAction_login")//重页面跳转过来的路径名
         public String login() throws Exception {
             //判断用户名是不是为空,如果是说明没有登录,跳转到用户登录页面
             if(UtilFuns.isEmpty(username)){
                    return "login";
             }

//1.SecurityUtils:是shiro的一个工具类。通过SecurityUtils获取getSubject 得到一个返回值

Subject subject = SecurityUtils.getSubject();

//3.根据逻辑2。new一个 UsernamePasswordToken,并传上用户名及密码。把返回值传给登入作为条件。

 UsernamePasswordToken token = new UsernamePasswordToken(username,password);
try {
//2. subject的返回值里有两个方法logout:登出 login:登入。这里我们使用登录方法,通过方法我们可以看到需要一个返回值:AuthenticationToken的类型,又因为AuthenticationToken  是一个接口,
//所以我们使用他下面的UsernamePasswordToken 的实现类来写(ps:查看方法:Ctrl+t),
subject.login(token);//当调用subject的登入方法时,会跳转到认证的方法上。。。。。。。。。。

//4.在证方法中subject已经把获取到了用户,所以我们用subject.getPrincipal 可以获取到登录的用户,Principal:他是在认证方法中的principal:主要对象(登录的用户,详情看认证方法return的哪一步注释)

User user = (User) subject.getPrincipal();

//5.把user用户数据通过Session.put放在session值栈中。SysConstant.CURRENT_USER_INFO:是一个返回的值,在jsp页面中可以接收到,也可以直接写一个字符串让页面接收,返回的数据可以在页面做回显等功能

                    session.put(SysConstant.CURRENT_USER_INFO, user);
                    return SUCCESS;//以上全部都过了后,让其访问页面数据
             } catch (Exception e) {
                    e.printStackTrace();
                    super.put("errorInfo", "您的用户名或密码错误"); //登录页面的错误信息提示
                    return "login";
             }
       }
         //退出
       @Action("loginAction_logout")
       public String logout(){
             session.remove(SysConstant.CURRENT_USER_INFO);       //删除session
             SecurityUtils.getSubject().logout();   //调用登出方法
             return "logout";
       }

3.在认证方法中的doGetAuthenticationInfo

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
             System.out.println("调用认证方法");
             //先将arg0强转为UsernamePasswordToken类型
             UsernamePasswordToken token =(UsernamePasswordToken)arg0;
             //通过token获取到用户名
             final String username = token.getUsername();
             //把username 设为查询条件,查询数据库是否有这个用户名
             Specification<User> spec = new Specification<User>() {   
             @Override
            public Predicate toPredicate(Root<User> root, CriteriaQuery<?> query, CriteriaBuilder cb) {
             return cb.equal(root.get("username").as(String.class),username);
             }
             };
             //把spec 条件放到 查询中查询数据  查询用户名
             List<User> find = userServiceimpl.find(spec); 
              //判断返回的结果不为空,及返回的数不小于0
             if(find!=null&& find.size()>0){ 
             //通过索引获取到返回值的第一个数中的数据
             User user = find.get(0); 
             //这里如果上面的都成立后会return到密码校验哪里去
              return new SimpleAuthenticationInfo(user, user.getPassword(), getName()) ;
  /*   SimpleAuthenticationInfo:是doGetAuthenticationInfo的一个实现类,因为doGetAuthenticationInfo 是一个接口不能直接new  
       把返回值添加到条件中 //principal:主要对象(登录的用户) , credentials:密码 ,realm的名字可以通过getName获取类名作为区分 */
             }
             return null;
       }

4.在密码检验中PasswordMatcher  

public class PasswordMatcher extends SimpleCredentialsMatcher {
            //先实现一个接口SimpleCredentialsMatcher  获取doCredentialsMatch的内部方法       
            @Override
            public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
                System.out.println("调用了密码对比器");
                UsernamePasswordToken utoken = (UsernamePasswordToken) token;
            /*[把AuthenticationToken 中的token 装换为AuthenticationToken 中的(ps:查看方法Ctrl+t)
            UsernamePasswordToken实现类 因为AuthenticationToken 是接口不能new数据],*/
                String pwd = new String(utoken.getPassword());
                //通过utoken 获取用户密码,并转换成String类型,注意这里的转换不能强转,要用new的方法
                // source:要加密的内容   salt:增加复杂度的内容  哈希次数:2
                Md5Hash md5Hash = new Md5Hash(pwd, utoken.getUsername(), 2);
                //调用Md5加密 为输入的数据加密
                String credentials = (String) info.getCredentials();
                //通过AuthenticationInfo 的info 查询数据库的密码 装换成String类型
                //对比用户输入的数据和数据库密码是否一致。return走,返回到Action方法中。
                return equals(md5Hash.toString(), credentials); 

       }
}

5、执行流程图解

二、授权

1.在授权方法中

	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
        System.out.println("进入授权方法");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        User user = (User) arg0.getPrimaryPrincipal();
       //获取用户的角色及角色的模块
        //通过用户查到用户角色
        Set<Role> roles = user.getRoles();  
        //遍历数据
        for (Role role : roles) {
            Set<Module> modules = role.getModules();//通过用户查到用户模块
            for (Module module : modules) {
	//通过用户模块查到模块名并添加到info中。也就是说把查到的模块显示到页面中,没有的就代表没授权
                info.addStringPermission(module.getCpermission());
            }
        }
        return info;  //返回到jsp页面中
    }

2.jsp页面

<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

 //要想使用shiro的标签就一点要导数据标签

<shiro:hasPermission name="部门管理"> //shiro:hasPermission:拥有权限的资源  name:权限访问的名字,如上:当该用户里有部门管理权限时,才会让其看到部门管理这个按钮      

<shiro:hasPermission>
      <li>
        <a href="${ctx}/sysadmin/deptAction_list" onclick="linkHighlighted(this)" 
          target="main" id="aa_1">部门管理
       </a>
    </li>
</shiro:hasPermission>

3以上方法可以使用户看不到自己没有权限的数据,但是如果用户自己写链接还是能访问到数据的,

解决方法一(推荐):过滤器链的权限配置方式:

<value>
                /index.jsp* = anon
                /home* = anon
                /sysadmin/login/login.jsp* = anon
                /sysadmin/login/loginAction_logout* = anon
                /login* = anon
                /logout* = anon
                /components/** = anon
                /css/** = anon
                /img/** = anon
                /js/** = anon
                /plugins/** = anon
                /images/** = anon
                /js/** = anon
                /make/** = anon
                /skin/** = anon
                /stat/** = anon
                /ufiles/** = anon
                /validator/** = anon
                /resource/** = anon
               //在这里进行配置,下面的以上为 /sysadmin/deptAction_*路径下的所有方法都必须要有部门管理权限才可以进入访问,(ps:在写方法时,建议写一个在这里就配置一个,避免混淆了)
                /sysadmin/deptAction_* = perms["部门管理"]
                /** = authc
                /*.* = authc
            </value>

解决方法二(推荐):注解的方式:

//这里代表的时要走这个方法模块中就得有角色管理这个模块,没有就拒绝访问

   @RequiresPermissions(value="角色管理")
    public Page<Role> findPage(Specification<Role> spec, Pageable pageable) {
        return roleDao.findAll(spec, pageable);
    }

文章转载自:https://blog.csdn.net/weixin_41716049/article/details/84336669

Koma-forever
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证授权demo
10-28
Shiro中,认证是指确认用户身份的过程,而授权则是确定用户是否有执行特定操作的权限。这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、...
退出登陆获取不到 Session
进阶的球儿
08-13 1051
这里要说的是,如果在退出登陆时,在sendRedirect 之后使用 SecurityUtils.getSubject().logout(); 会导致 session 清空,所以在返回退出成功页面时,获取不到 session 里的任何信息。 @RequestMapping(value = "/logout", method = RequestMethod.GET) @...
shiro SecurityUtils.getSubject()深度分析
qq_39575279的博客
01-30 2万+
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal&lt;Map&lt;Object, Object&gt;&gt;)变量中,也就是一个http请求一个subject,并绑定到当前线程。  问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那...
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证,原理讲解
最新发布
2401_84302583的博客
05-11 632
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
SecurityUtils.getSubject()是怎么获取到当前用户信息的?
热门推荐
narutots的博客
08-15 6万+
项目中我们习惯直接使用SecurityUtils.getSubject() 获取当前登录用户的信息 /** * 获取当前登录者对象 */ public static Principal getPrincipal(){ try{ Subject subject = SecurityUtils.getSubject(); Principal principal = (P...
使用shiro中 工具类方法SecurityUtils.getSubject()和方法subject.getPrincipal()获取当前登录用户
weixin_52654493的博客
12-17 2092
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息
qq_61592687的博客
02-09 2150
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
shiro SecurityUtils.getSubject()获取的信息由来
SeptDays的博客
11-07 3792
shiro 管理登录,获取登录信息的方式常用的是: subject sub = SecurityUtils.getSubject(); Object obj = sub.getPrincipal(); 这里的 obj 是字符串,还是某个实体,取决于 ShiroRealm 类的设置值,代码如下: @Override protected AuthenticationInfo doGetAu...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
shiro认证授权
08-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本文将深入探讨 Shiro 的核心概念,包括认证授权,并结合提供的 `shiro-demo` 代码...
Shiro登录授权认证功能
09-26
通过以上步骤,我们可以实现一个基于Shiro的Spring Boot应用,实现登录授权认证功能,确保只有经过身份验证并拥有相应权限的用户才能访问特定的资源。同时,Shiro的灵活性使得它可以轻松适应各种复杂的安全需求。
JAVA Sercurity ,Shiro源码学习(1)---------SecurityUtils.getSubject()
qq_42738957的博客
08-02 997
最近在学习shiro的源码,所以记录下来自己的心得。 学习源码查看网上教程一直都是很迷,源码这种东西需要自己不断去定位去看才能看明白。 那么我们现在开始:这次我们主要讲解SecurityUtils.getSubject()并从这个方法入手看看到底怎么获取到我们要的subject。 private static SecurityManager securityManager; ...
shiro 认证
快乐的小三菊的博客
05-12 2149
shiro 认证源码探究
异步导入中使用SecurityUtils.getSubject().getPrincipal()获取LoginUser对象导致的缓存删除失败问题
weixin_43975276的博客
12-13 2025
但当异步的时候,就没有set用户信息的过程,线程内的用户信息还是上一次进入Controller用该线程的用户的用户信息。也就存在数据对不上的情况。(其实是因为只有一个用户,用来用去都只有一个用户,各个线程里面存的都是该用户,当然获取到的是一致的)因为新实现的导入都是直接用一个key作为判断是否存在正常导入的依据,并且异步之后删除key用的也是通过传参传入的LoginUser,而校验用的是ThreaLocal,自然不会出现这种问题。再去看半个小时内是否有导入,还真有,再细看过期时间和导入时间,居然还对的上。
spring-boot整合shiro安全框架
qiumin的博客
04-01 2733
安全是很要考虑的问题,shiro安全框架可定制性高,可以更好地起到安全和拦截、授权的作用
shiro深入了解subject,认证登录后执行的授权,然后进行权限认证Vs自己定义拦截器实现权限,还有shiro自身的session管理
weixin_42765975的博客
10-27 1904
/*一定要了解这两个方法的执行顺序,这个对shiro框架的思路很重要, 思路:执行currUser.login(token)就会执行doGetAuthenticationInfo()方法,进行密码登录; 登录成功后就会通过SimpleAuthenticationInfo来存取用户的信息,通过subject.getPrincipal()方法来获取信息 登录后再进行授权执行doGetAuthoriza...
Spring Security logout注销问题
AntiO2的博客
03-16 133
在整合Spring Security 之后,访问路径/logout,会自动变成/login?结论:不要用/logout,随便换个其他的。百思不得其解之后,换了个路径试试成功了。
Apache Shiro介绍
码出个天下——程序员的自我修养
03-19 1725
shiro框架介绍 一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro
Shiro认证流程:权限分配与授权详解
Shiro是一个强大的企业级安全框架,用于实现身份认证授权管理。本文将深入解析Shiro认证实现机制,尤其是权限分配与授权的核心组件和流程。 首先,Shiro的核心组件包括SubjectSecurityManager和Realms。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值