springboot + shiro 自定义 Realm 的 doGetAuthenticationInfo() 方法的 SimpleAuthenticationInfo() 参数

最新推荐文章于 2024-07-24 17:09:17 发布
最新推荐文章于 2024-07-24 17:09:17 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhf852963/article/details/117958333
版权

背景:

       在我们实现的自定义 Realm 的 doGetAuthenticationInfo() 方法中,关于返回值 SimpleAuthenticationInfo 的第一个参数,可以传 userName ,也可以传 User 对象,到底该使用哪个呢?我们来分析一下。

扩展:

shiro:cache:authenticationCache:zhangsan

       它是身份认证的缓存,是 CustomRealm 中的 doGetAuthenticationInfo() 方法执行之后缓存的结果。如果是正常的调用登出操作,这个缓存会自动清除,如果非正常情况(刚登陆之后,手动清理浏览器缓存),这个 key 则会依然保留在 redis 中。如果 redis 中有这个缓存,当你下次登录的时候 ,将不再执行 doGetAuthenticationInfo() 方法,而是从缓存中获取该认证,然后进行密码比较。

       但是这样就会出现一个问题,假如说用户修改了密码,但是你却没有清除这个缓存,那么再次登录的时候,新密码就不能用,还需要使用之前的老密码登录,因为 redis 中缓存的是之前老密码的认证。所以,在执行修改密码,或者支付密码之类的操作,要清理掉该缓存或者干脆就不缓存

shiro:cache:authorizationCache:zhangsan

       它是权限认证的缓存,是 CustomRealm 中的 doGetAuthorizationInfo() 方法执行之后缓存的结果。它是将数据库中角色权限查出来,然后分别放到一个Set 中,然后序列化到 redis 中。

       当你访问一个 url 的时候,会调用 CustomRealm 类的父类 AuthorizingRealm  isPermitted(PrincipalCollection principals, String permission) 方法判断用户是否有这个权限。如果没有就会抛出异常。

       如果 redis 中有该用户权限的缓存,那就不会查询数据库,直接从缓存中获取进行判断。所以在给某个用户添加新的权限之后,要删除这个缓存,否则新分配的权限无法生效。

疑问:

       遇到了这么个问题,在 SimpleAuthenticationInfo 中传的是 User 实体,我们认为 shiro:cache:authenticationCache:zhangsan 缓存的就是 User 的信息,然后使用 User user = (User)SecurityUtils.getSubject().getPrincipal(); 来获取用户信息,因为我们在删除 shiro:cache:authenticationCache:zhangsan 这个 key 后,依然可以获取到 User 的信息。也并没有查询数据库,为什么会产生这种情况呢?

       其实,这个 User 在 authenticationCache 中保存了一份,在 session 中也保存了一份,你可以看下你的 session 信息,会看见里面有 User 的信息,如下所示:

       当你使用 SecurityUtils.getSubject().getPrincipal();是从 session 中获取的信息,authenticationCache 那一份其实并没有什么用,所以清理掉 authenticationCache 依然可以获取到用户的信息。

       而当用户信息进行修改后,如果你再使用 SecurityUtils.getSubject().getPrincipal();来获取缓存中的用户信息 ,就会产生脏读,数据是之前的老数据,而如果要删除的话, 你又不知道该用户的 sessionId 是多少,所以无法清理这个缓存。

选择:

       我们先来看一下 SimpleAuthenticationInfo 的第一个参数是 principal principal 是什么呢?principal 参数可以是 uuid 数据库主键LDAP UUID 或静态 DN 或者是用户唯一的用户名。 所以说这个值必须唯一,你可以选择邮箱,或者手机号身份证号等等。所以,我建议使用 userName ,而不是选择 User 实体,对于用户的信息缓存,单独在 redis 中进行缓存,不要跟 shiro 的掺和到一起。

快乐的小三菊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springbootshiro整合
while(True): print('adorable')
10-29 254
shiro~ shiro快速入门springboot 整合shiro核心目标清爽pom用户认证授权认证,与数据库交互shiro configuration核心controller 获取shiro 中的token页面控制功能的隐藏和显示 https://github.com/sevenyoungairye/spring-boot-study/tree/main/springboot-shiro-07 shiro快速入门 什么是shiro apache shiro 是一个java的安全(权限)框架。 sh
shiro dogetauthenticationinfo 不执行_Shiro—强大且易用的Java安全框架
weixin_39673704的博客
12-18 636
配套视频:shiro安全框架课程教程_java进阶之Apache Shiro权限验证框架视频讲解_Shiro从入门到实践_哔哩哔哩 (゜-゜)つロ 干杯~-bilibili​www.bilibili.com百度网盘链接:https://pan.baidu.com/s/1TT6_odMoC5eAuWdmMETjVg 提取码:v4y2 本文主要内容1. Shiro简介2. Shiro架构原理3. IN...
shiro doGetAuthenticationInfo
风华绝代的博客
08-19 5839
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) {         this.principals = new SimplePrincipalCollection(principal, realmNam
解决 Shiro 重复调用 doGetAuthenticationInfo 导致异常处理错误的问题
最新发布
ATFWUS的博客
07-24 1092
遇到一个 Shiro 中反复调用 doGetAuthenticationInfo 导致异常没有被成功处理的问题,经过一些源码调试,发现了问题的所在,只需在继承 BasicHttpAuthenticationFilter 的类中重写 onAccessDenied 方法即可。
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
shiro doGetAuthenticationInfo
weixin_30536513的博客
11-09 281
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) { this.principals = new SimplePrincipalCollection(principal, ...
一看就懂!Springboot +Shiro +VUE 前后端分离式权限管理系统
热门推荐
大誌的博客
04-15 6万+
前段日子写过一篇关于SpringBoot+Shiro的简单整合的例子,那个例子并不适用于我们目前的前后端分离开发的趋势。我之前写过一个项目也是用到了Shiro的前后端分离,某度了许久也没找到解决方案,什么去掉shiroFilter.setLoginUrl();也阻止不了讨人厌的login.jsp的出现。直到我看到了renren-fast的源码...废话不多说,让我们来看看如何实现吧 前后端分离...
springboot+Shiro快速入门:简洁版(快速搭建示例)
qq_45833160的博客
05-11 340
springboot整合shiro快速入门简洁版
SpringBoot+shiro+mybatis实现权限登录
m0_64204730的博客
11-20 340
SELECT p.* ,r.role_name FROM user u, role r, permission p WHERE username = #{username} AND u.role_id = r.id AND p.role_id = r.id; (2)DAO层: @Mapper public interface UserMapper { User queryUserByUsername(@Param(“username”) String username); ...
全程配图超清晰的Springboot权限控制后台管理项目实战第二期(Springboot+shiro+mybatis+redis)
qq_47376720的博客
09-04 391
全程配图超清晰的Springboot权限控制后台管理项目实战第二期(Springboot+shiro+mybatis+redis) 众所周知,作为一个后端新手学习者,通过项目来学习,增长项目经验,是一个非常好的学习途径,所以我就找到了一个个人博客的项目,经过自己的调试和学习,现在已经比较完全的掌握了这个项目的创作过程,和一些细节方面的东西,在这里我把项目源码和项目实例都给出来,并且在后面进行一些细节和整体思路上的详解。 Springboot加Springsceurity实现权限管理系统全程配图超清晰的Spr
springboot+swagger+shiro+jwt+redis
qq_41595149的博客
05-25 1万+
springboot+shiro+jwt+redis 要实现的功能 登陆认证 权限控制 自动延长token过期时间 实现步骤 1,准备环境 1.1,创建一个springboot项目,导入 2,整合shiro 2.1,添加shiro依赖 在pom文件添加依赖 <!--shiro--> <dependency> ...
shiro 不执行授权方法 doGetAuthorizationInfo()
05-01
NULL 博文链接:https://rd-030.iteye.com/blog/2359792
shiro讲解之 多RealmAuthentication
Dusty丶one的博客
10-28 2117
shiro讲解之 多Realm本章节将详细讲解 ShiroRealm 认证以、多 Realm 配置以及多 Realm 认证策略。实例首先我们以我们之前搭建的Spring + SpringMVC + Shiro 的基本框架为例子,然后进行多 Realm 配置。 多Realm 的实现Realms 代码 为了直观体提现多Realm 认证策略,我们再次设定 ShiroRealm 中的认证能够顺利通
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
fj200821的专栏
01-18 2万+
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
shiroRealm及相关对象AuthenticationInfo(*)
weixin_42408447的博客
11-16 318
AuthenticationInfo有两个作用: 1)如果Realm 是AuthenticatingRealm 子类(包括AuthorizingRealm,它继承AuthenticationRealm),则提供给AuthenticatingRealm 内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证); 2)提供给SecurityManager来创建Subject(提供身份信息); MergableAuthenticationInfo 用于提.
shiro自定义Realm里的两个复写方法doGetAuthenticationInfo与doGetAuthorizationInfo执行时机
weixin_43312993的博客
05-20 1129
doGetAuthenticationInfo(认证) 执行以下语句的时候: Subject subject = SecurityUtils.getSubject(); subject.login(token); doGetAuthorizationInfo(授权) 需要判断是否有访问某个资源的权限的时候: subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; @Requir.
AuthorizingRealm的doGetAuthenticationInfo和doGetAuthorizationInfo
t18092838767的博客
12-26 880
当有用户登录的时候,将该用户的账号密码,角色、权限等告诉shiro 注:要注入到框架,shiro也收不到信息 doGetAuthenticationInfo(AuthenticationToken token) 翻译:那小伙在登录,他已经给我说了他的身份证信息(参数AuthenticationToken),你把那小伙的身份证复印件给我,辨认、放行、驱赶的事交给我了 doGetAuthorizati...
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8174
公司项目中用的是shiro做安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
解决:shiro中重写doGetAuthenticationInfo,结果先执行doGetAuthenticationInfo后执行login的问题
Liucheng417的博客
07-17 1万+
前提: Springboot整合Shiro后,启动项目,点击一次登录,却先执行MyShiroRelam类(继承AuthorizingRelam类)中的重写方法doGetAuthenticationInfo(),token为null,再执行Login调用的此方法,传过来username和password的验证。再执行doGetAuthenticationInfo()方法,token为null 原...
shiro+springboot+jwt项目
05-23
Shiro是一个Java安全框架,可以提供身份验证、授权、加密和会话管理等功能,Spring Boot是一个快速开发框架,可以帮助开发人员更快地构建和部署应用程序,JWT(JSON Web Token)是一种轻量级的身份验证和授权机制。将这三个框架结合起来,可以构建一个安全的Web应用程序。 以下是一个简单的Shiro+Spring Boot+JWT项目的实现步骤: 1.创建一个Spring Boot项目,并添加Shiro和JWT依赖项: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.7</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.10.7</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.10.7</version> <scope>runtime</scope> </dependency> ``` 2.创建一个Shiro配置类,配置Shiro的安全策略和过滤器链: ``` @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); shiroFilterFactoryBean.setLoginUrl("/login"); shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/**", "jwt"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } @Bean public DefaultWebSecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); return securityManager; } @Bean public Realm realm() { return new UserRealm(); } @Bean public JwtFilter jwtFilter() { return new JwtFilter(); } } ``` 3.创建一个自定义Realm类,实现Shiro的认证和授权逻辑: ``` public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); authorizationInfo.addRole(user.getRole()); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String username = (String) token.getPrincipal(); User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException(); } return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } } ``` 4.创建一个JwtFilter类,实现JWT的认证逻辑: ``` public class JwtFilter extends AuthenticatingFilter { @Autowired private UserService userService; @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest httpServletRequest = (HttpServletRequest) request; String token = httpServletRequest.getHeader("Authorization"); if (StringUtils.isEmpty(token)) { throw new UnauthorizedException(); } JwtToken jwtToken = new JwtToken(token); try { getSubject(request, response).login(jwtToken); } catch (AuthenticationException e) { throw new UnauthorizedException(); } return true; } @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { return false; } } ``` 5.创建一个JwtToken类,实现JWT的Token逻辑: ``` public class JwtToken implements AuthenticationToken { private String token; public JwtToken(String token) { this.token = token; } @Override public Object getPrincipal() { return JwtUtils.getSubject(token); } @Override public Object getCredentials() { return token; } } ``` 6.创建一个UserController类,实现用户登录和获取用户信息的逻辑: ``` @RestController public class UserController { @Autowired private UserService userService; @PostMapping("/login") public Result login(@RequestBody User user) { String token = userService.login(user); return Result.success(token); } @GetMapping("/user") public Result getUserInfo() { User user = (User) SecurityUtils.getSubject().getPrincipal(); return Result.success(user); } } ``` 7.创建一个UserService类,实现用户登录和生成JWT Token的逻辑: ``` @Service public class UserService { @Autowired private UserMapper userMapper; public User findByUsername(String username) { return userMapper.findByUsername(username); } public String login(User user) { User realUser = findByUsername(user.getUsername()); if (realUser == null || !realUser.getPassword().equals(user.getPassword())) { throw new UnauthorizedException(); } return JwtUtils.generateToken(realUser.getId(), realUser.getUsername(), realUser.getRole()); } } ``` 8.创建一个JwtUtils类,实现JWT的Token生成和解析逻辑: ``` public class JwtUtils { private static final String SECRET = "secret"; private static final long EXPIRATION_TIME = 86400000; // 24 hours public static String generateToken(String id, String username, String role) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setId(id) .setSubject(username) .claim("role", role) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET) .compact(); } public static String getSubject(String token) { return Jwts.parser() .setSigningKey(SECRET) .parseClaimsJws(token) .getBody() .getSubject(); } } ``` 这样,就可以使用Shiro+Spring Boot+JWT构建一个安全的Web应用程序了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快乐的小三菊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值