springboot + shiro 实现记住我

已于 2023-10-10 09:32:56 修改
阅读量1.8k 收藏 10
点赞数 2
分类专栏: shiro 文章标签: spring boot
于 2021-05-21 11:08:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhf852963/article/details/117111978
版权

背景:

       我们平常在登录网站的时候,经常会发现网页上有个 “下次自动登录” 或者 “记住我” 的功能,我们可以使用 shiro 来实现这个简单的功能。它主要是使用 cookie 来实现的。达到的最终效果就是第一次使用账号和密码登录(登录成功),此时退出浏览器,然后重新打开网页登录界面,就会自动登录到登录成功的网页上。

配置所需Bean:

       在 shiroConfig 类中添加 SimpleCookie CookieRememberMeManager FormAuthenticationFilter ,如下所示:

    @Bean
	public SimpleCookie rememberMeCookie(){
	    // 这个参数是 cookie 的名称,叫什么都行,我这块取名 rememberMe
	    SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
	    // setcookie 的 httponly 属性如果设为 true 的话,会增加对 xss 防护的安全系数,
        // 只能通过http访问,javascript无法访问,防止xss读取cookie
	    simpleCookie.setHttpOnly(true);
	    simpleCookie.setPath("/");
	    // 记住我 cookie 生效时间30天 ,单位是秒
	    simpleCookie.setMaxAge(2592000);
	    return simpleCookie;
	}
	/**
	 * cookie管理对象;记住我功能,rememberMe管理器
	 * @return
	 */
	@Bean
	public CookieRememberMeManager rememberMeManager(){
	    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
	    cookieRememberMeManager.setCookie(rememberMeCookie());
	    //rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)
	    cookieRememberMeManager.setCipherKey(Base64.decode("4AvVhmFLUs0KTA3Kprsdag=="));
	    return cookieRememberMeManager;
	}
	
	/**
	 * FormAuthenticationFilter 过滤器 过滤记住我
	 * @return
	 */
	@Bean
	public FormAuthenticationFilter formAuthenticationFilter(){
	    FormAuthenticationFilter formAuthenticationFilter = new FormAuthenticationFilter();
	    // 对应 rememberMeCookie() 方法中的 name
	    formAuthenticationFilter.setRememberMeParam("rememberMe");
	    return formAuthenticationFilter;
	}

       同样也是在 shiroConfig 中将 CookieRememberMeManager 注入到 SecurityManager 中,如下所示:

    @Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(myShiroRealm());
		// 将 CookieRememberMeManager 注入到 SecurityManager 中,否则不会生效
		securityManager.setRememberMeManager(rememberMeManager());
		// 将 sessionManager 注入到 SecurityManager 中,否则不会生效
		securityManager.setSessionManager(sessionManager());
		return securityManager;
	}

       同样也是在 shiroConfig 中将 ShiroFilterFactoryBean 的认证属性改变,由 authc 改为 user ,如下所示:

    @Bean
	public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
		// Shiro的核心安全接口,这个属性是必须的
		shiroFilter.setSecurityManager(securityManager);		
		//不输入地址的话会调用 /login 对应的地址
		shiroFilter.setLoginUrl("/login");
		Map<String, String> map = new LinkedHashMap<>();
		map.put("/login", "anon");
		map.put("/static/**", "anon");		
        // 对所有用户认证, authc 表示需要认证才能进行访问; user 表示配置记住我或认证通过可以访问的地址
		map.put("/**", "user");//authc
		shiroFilter.setFilterChainDefinitionMap(map);
		return shiroFilter;
	}

       看下 LoginController 类是如何实现,需要注意的是 User 这个实体类必须要实现序列化接口,否则会报序列化异常,因为 Remember Me 会将用户信息加密然后以 cookie 保存。

@Controller
@Slf4j
public class LoginController {

	@Autowired
	UserService userService;
	
	@GetMapping("/login")
	public String login() {
		return "login";
	}
	
	@PostMapping("/login")
	public String login(User user) {
		if (StringUtils.isEmpty(user.getUserName()) || StringUtils.isEmpty(user.getPassword())) {
			 return "error";
		}
		//用户认证信息
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(
				user.getUserName(),
				user.getPassword()
		,user.isRememberMe());
		
		//usernamePasswordToken.setRememberMe(true);
		try {
			// 用户账号和密码进行验证
			subject.login(usernamePasswordToken);
		} catch (UnknownAccountException e) {
			log.error("用户名不存在!", e);
			 return "error";
		} catch (AuthenticationException e) {
			log.error("账号或密码错误!", e);
			 return "error";
		} catch (AuthorizationException e) {
			log.error("没有权限!", e);
			 return "error";
		}
		 return "shiro_index";
	}
	
	@GetMapping("/page_skip")
	public String page_skip() {
		return "page_skip";
	}
	
	@RequestMapping("/shiro_index")
	public ModelAndView shiro_index() {
		ModelAndView view = new ModelAndView();
		
		view.setViewName("shiro_index");
		return view;
	}  
  
}

       看下前端页面 login.jsp 是如何实现,说白了就是携带参数,将请求发送到 Controller 进行拦截,如下所示:

<%@ page language="java" contentType="text/html; charset=UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="ISO-8859-1">
<title>一路发咨询网站</title>
</head>
<body>
<script type="text/javascript" src="/static/js/jquery-3.2.1.min.js"></script>
<script type="text/javascript" src="/static/js/login.js"></script>
<link rel="stylesheet" type="text/css" href="/static/css/login.css"/>
<h1>欢迎登录一路发咨询网站</h1>

<form action="/login">
	<div id="father" style="background-image: url('/static/image/index.png');">
		<div style="width:300px;height:100px;">
			<div style="width:150px;float:left">
				<span>用户名:<span></span>
			</div>
			<div style="width:150px;float:left;">
				<input  style="height:34px" type="text" name="userName"/>
			</div>
		</div>
		<div style="width:300px;height:100px;">
			<div style="width:150px;float:left;">
				<span>密码:<span></span>
			</div>
			<div style="width:150px;float:left;">
				<input  style="height:34px" type="password" name="password"/>
			</div>
		</div>
		<div style="width:300px;height:100px;">
			<div style="width:64px;float:left;margin-left:280px">
				<input style="height:34px;width:34px;" type="checkbox" name="rememberMe" />
			</div>
			 <div style="width:150px;float:left;margin-top:-4px">
					<span>记住我<span></span>
			</div>
		</div>
		 <div style="margin-left:190px">
				<input style="height:50px;width:90px;font-size:34px;font-weight:bold" type="submit" value="提交"/>
		</div>
	</div>
</form>
</body>
</html>

测试:

       此时,启动工程,输入网址 http://localhost:8080 ,第一次登录的时候,需要用户自己输入用户名和密码,选中记住的标签。登录成功之后,此时关掉浏览器,再打开浏览器,再次输入刚才的网址,即可发现这次登录不需要再输入用户名和密码,即可直接进入验证通过的界面。

cookie查看:

       当我们第二次不输入账号和密码进入网页时,我们打开 F12 ,看下浏览器帮我们保存的 cookie 长什么样子,如下所示,其实就是将用户信息加密(包含密码)后放到前端,由于在项目中 user 对象信息过于庞大,不能全部存入 cookie ,且 cookie 对长度有一定的限制。

快乐的小三菊
关注
专栏目录
simple-cookie:您将了解的一个非常简单的超轻量级JavaScript cookie
05-12
简单的Cookie 这是一个非常简单的超轻量级JavaScript cookie类,可根据需要使用。 它有4种简单的方法... 设置Cookie Cookie . set ( 'name' , 'value' ) 您也可以使用它来设置到期时间,默认情况下它永不到期。 到期时间以分钟为单位,因此安排一年的乘法如下。 Cookie . set ( 'name' , 'value' , 60 * 24 * 365 ) 路径也可以选择如下设置。 Cookie . set ( 'name' , 'value' , 60 * 24 * 365 , document . location ) 取得Cookie Cookie . get ( 'name' ) 如果退出,则返回cookie的值;如果不存在,则返回“ undefined”。 删除Cookie Cookie . remove
Spring+Shiro权限管理 (四) 为Shiro添加RememberMe(记住我)功能
Escorts的博客
09-26 1080
废话少说,进入正题。 思路: 1、ApplicationContext.xml中,配置 CookieRememberMeManager记住我的Cookie管理器); 2、CookieRememberMeManager需要Cookie,我们配置一个ShiroCookie实现类 SimpleCookie ; 3、把CookieRememberMeManager配置进Shiro的Se...
使用shiro中的SimpleCookie存入cookie信息
qq_33321351的博客
01-25 1万+
最近在使用http cookie时发现了shiro下的cookie也可以实现相同的功能 代码如下 SimpleCookie simpleCookie = new SimpleCookie(); simpleCookie.setName("lang"); simpleCookie.setValue(lang); Cookie cookie = simpleCookie; //"lang",lang ...
Shiro CookieRememberMeManager Invalid AES key length
蕃薯耀的博客
04-16 1962
================================ ©Copyright 蕃薯耀 2022-04-16 蕃薯耀的博客_CSDN博客 一、问题描述 CookieRememberMeManager使用加密setCipherKey报错: Caused by: java.security.InvalidKeyException: Invalid AES key length: 10 bytes at com.sun.crypto.provider.AESCipher.engineG.
Shiro的rememberMe功能
weixin_65824274的博客
07-05 1707
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
SpringBoot学习:整合shiro(rememberMe记住我功能)
热门推荐
期待破茧成蝶
04-08 1万+
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public
springboot+shiro.rar
10-07
Shiro支持多种认证策略,如RememberMe(记住我)功能,允许用户在一段时间内免登录访问。授权方面,Shiro允许基于角色的访问控制(RBAC),可以通过配置或者注解来设定资源的访问权限。此外,Shiro还负责会话管理,...
springboot+shiro入门案例
12-21
4. **记住我功能**:Shiro 可以实现记住我”功能,允许用户在一段时间内免登录访问。 5. **安全管理**:Shiro 还可以用于安全管理,如CSRF防护、防止XSS攻击等。 **总结** 结合SpringBootShiro,我们可以快速...
springboot+shiro+ace admin+mybatis后台管理系统.zip
08-05
它允许开发者轻松地实现登录、权限控制、记住我等功能,并且提供了Web过滤器,可以方便地集成到SpringMVC或SpringBoot应用中。 【Ace Admin】 Ace Admin是一款流行的后台管理模板,它基于Bootstrap框架构建,提供了...
springboot+mybatis+shiro用户权限管理项目
11-27
此外,Shiro还可以处理记住我功能和会话超时等安全问题。 在项目结构中,"数据文件.sql"包含了初始化数据库的脚本,可能包括用户、角色、权限等表的创建,以及一些预设数据。这些数据为系统的测试和演示提供了基础...
spring-shiro:springboot+shiro简单整合
05-14
同时,根据项目需求,可以进一步定制Shiro的功能,例如记住我、验证码、session管理等。 总结来说,"spring-shiro:springboot+shiro简单整合"是一个Java开发中的常见任务,涉及到Spring Boot的自动配置、Shiro的...
Shiro进阶(四)Shiro之RememberMe
jwang的博客
05-13 6298
前言 本章讲解一下Shiro记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不...
Shiro实现记住我”功能
Oligizzz
09-08 402
1、在Shiro配置类中添加Cookie属性设置 /** * Cookie 属性设置 * * @return */ @Bean public SimpleCookie rememberMeCookie() { SimpleCookie cookie = new SimpleCookie("rememberMe"); cookie.setMaxAge(maxAge * 24 * 60 * 60); return cookie; } 2、在Shiro配置类中添加Remember
shiro-550反序列化漏洞
lightsec
04-24 1010
前言: shiro反序列化原因是shiro的一个机制为了让浏览器或服务器重启后不丢失用户的登陆状态,会将用户信息保存到 rememberMe字段中 然后发送到服务端,服务端再对它进行base64解密,aes解密,再进行反序列化,由于在 1.2.4 这个版本里 shiro的key是固定的,所以可以通过构造一段恶意类经过aes加密再base64加密然后放到 rememberMe 伪造cookie信息,来让服务端加载,进而触发反序列化漏洞 环境搭建: 从github下载代码到本地 下载shiro-r
shiro会话管理
zhangchang0516的博客
04-13 533
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 5781
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
使用SpringBoot+Shiro实现记住我功能
nov4th的博客
12-27 3891
一、实现记住我功能 1、在页面表单中添加 “记住我” 功能的多选框 <input type="checkbox" name="rememberMe"/>记住我 2、自定义MyShiroRealm配置类 package com.demo.ch009.config; import com.demo.ch009.entity.User; import com.demo.ch009.ser...
Springboot整合Shiro实现记住我功能
最新发布
2401_84048225的博客
04-17 929
/这个地方有点坑,不是所有的base64编码都可以用,长度过大过小都不行,没搞明白,官网给出的要么0x开头十六进制,要么base64。model.addAttribute(“msg”,“用户名和密码不能为空!}catch (LockedAccountException e){//账户锁定。model.addAttribute(“msg”, “用户名错误”);model.addAttribute(“msg”, “验证码错误”);model.addAttribute(“msg”, “密码错误”);
springboot+shiro权限管理怎么实现
05-24
Spring BootShiro 都是非常流行的Java开发框架。其中,Spring Boot是一个快速开发框架,能够快速地搭建一个Web应用程序;而Shiro是一个强大的安全框架,提供了认证、授权、加密、会话管理等安全相关的功能。 下面是实现Spring BootShiro权限管理的步骤: 1. 引入依赖 在pom.xml文件中引入Spring BootShiro的依赖。 ``` <!-- Spring Boot --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.0</version> </dependency> ``` 2. 编写Shiro配置类 编写一个Shiro配置类,用于配置Shiro的安全管理器、Realm、过滤器等。 ``` @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); // 设置过滤器链 Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); // 登录页面 shiroFilterFactoryBean.setLoginUrl("/login"); // 认证成功后跳转页面 shiroFilterFactoryBean.setSuccessUrl("/index"); // 未授权页面 shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); return shiroFilterFactoryBean; } @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm()); return securityManager; } @Bean public Realm realm() { return new MyRealm(); } } ``` 3. 编写Realm 编写一个Realm类,用于进行认证和授权。 ``` public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; // 认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); User user = userService.getUserByUsername(username); if (user == null) { throw new UnknownAccountException("用户不存在"); } return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), getName()); } // 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String username = (String) principalCollection.getPrimaryPrincipal(); User user = userService.getUserByUsername(username); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRoles(user.getRoles()); authorizationInfo.addStringPermissions(user.getPermissions()); return authorizationInfo; } } ``` 4. 编写Controller 编写一个Controller类,用于处理用户登录、登出等请求。 ``` @Controller public class LoginController { @GetMapping("/login") public String login() { return "login"; } @PostMapping("/login") public String doLogin(String username, String password, boolean rememberMe) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); token.setRememberMe(rememberMe); try { subject.login(token); return "redirect:/index"; } catch (AuthenticationException e) { return "login"; } } @GetMapping("/logout") public String logout() { Subject subject = SecurityUtils.getSubject(); subject.logout(); return "redirect:/login"; } @GetMapping("/index") public String index() { return "index"; } @GetMapping("/unauthorized") public String unauthorized() { return "unauthorized"; } } ``` 5. 编写页面 编写登录页面、首页、未授权页面等页面。 ``` <!-- 登录页面 --> <form method="post" action="/login"> <input type="text" name="username" placeholder="用户名" required> <input type="password" name="password" placeholder="密码" required> <div> <input type="checkbox" name="rememberMe" id="rememberMe"> <label for="rememberMe">记住我</label> </div> <button type="submit">登录</button> </form> <!-- 首页 --> <h1>欢迎访问首页</h1> <!-- 未授权页面 --> <h1>您没有访问该页面的权限</h1> ``` 以上就是Spring BootShiro权限管理的实现步骤。通过配置Shiro的安全管理器、Realm、过滤器等,可以实现用户认证和授权。同时,通过在Controller中处理用户登录、登出等请求,可以实现用户的登录和退出功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快乐的小三菊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值