安全框架Shiro框架_自定义Realm认证

已于 2022-10-12 19:41:48 修改
阅读量172 收藏
点赞数
分类专栏: 安全方面架构 文章标签: 安全 数据库 java
于 2022-10-12 19:41:17 首次发布
原文链接:https://blog.csdn.net/kentlhxy/article/details/116719968
版权

用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限);
认证授权2大主要任务,还有加密等。

认证:
shiro中的过滤器
过滤器的名称 Java 类
anon org.apache.shiro.web. lter.authc.AnonymousFilter
authc org.apache.shiro.web. lter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web. lter.authc.BasicHttpAuthenticationFilter
roles org.apache.shiro.web. lter.authz.RolesAuthorizationFilter
perms org.apache.shiro.web. lter.authz.PermissionsAuthorizationFilter
user org.apache.shiro.web. lter.authc.UserFilter
logout org.apache.shiro.web. lter.authc.LogoutFilter
port org.apache.shiro.web. lter.authz.PortFilter
rest org.apache.shiro.web. lter.authz.HttpMethodPermissionFilter
ssl org.apache.shiro.web. lter.authz.SslFilter
anon: 匿名处理过滤器,即不需要登录即可访问;一般用于静态资源过滤;/static/=anon
authc: 表示需要认证(登录)才能使用;(放最后) /=authc
logout: 注销过滤器 /logout=logout
roles: 角色授权过滤器,验证用户是否拥有资源角色; /employee/input=perms[“user:update”]

下面写一写关于自定义Realm–认证相关的东西:
1.获取用户名
token强转为UsernamePasswordToken–>getUsername()

2.2.以用户名为条件,查询mysql数据库,得到用户对象(用户名/密码)
模拟从数据库查询的对象 ------->自己new一个

3.将用户对象封装成认证info对象返回

如下代码:

  /*主要是用来进行身份认证的,也就是说验证用户输入的账号和密码是否正确。*/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {

        //获取用户的输入的账号.
        String username = (String) token.getPrincipal();
        //通过username从数据库中查找 User对象,如果找到,没找到.
        //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
        SysAdmin userInfo = sysAdminService.findByUsername(username);
        if (userInfo == null) {
            return null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                userInfo, //用户信息
                userInfo.getPassword(), //密码
                getName()  //realm name
        );
        return authenticationInfo;
    }

  @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        Long userId = ShiroUtils.getSysAdminId();
        SysMenuService sysMenuService = (SysMenuService) SpringUtils.getBean("sysMenuServiceImpl");
        Set<String> perms = sysMenuService.getPermsList(userId);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(perms);
        return info;
    }

//自定义matcher,这里就是对比用户的输入的信息封装成的token和按照用户输入的principal(一般就是用户名)从数据库中查询出的信息封装的info信息,一般就是比对他们的Credentials

public class MyCredentialsMatcher implements CredentialsMatcher {

    @Autowired
    private SysAdminService sysAdminService;

    @Override
    public boolean doCredentialsMatch(AuthenticationToken authenticationToken, AuthenticationInfo authenticationInfo) {
        UsernamePasswordToken utoken = (UsernamePasswordToken) authenticationToken;
        //获得用户输入的密码:(可以采用加盐(salt)的方式去检验)
        String inPassword = new String(utoken.getPassword());
        String username = utoken.getUsername();
        //获得数据库中的密码
        String dbPassword = (String) authenticationInfo.getCredentials();
        //进行密码的比对
        boolean flag = Objects.equals(inPassword, dbPassword);
        return flag;
    }
}


 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        Long userId = ShiroUtils.getSysAdminId();
        SysMenuService sysMenuService = (SysMenuService) SpringUtils.getBean("sysMenuServiceImpl");
        Set<String> perms = sysMenuService.getPermsList(userId);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(perms);
        return info;
    }

doGetAuthenticationInfo方法是用来按照用户输入的principal信息从数据库中查询,并将结果作为一个比对信息,比对2者的Credentials信息是否一致,比对时将调用比对器的doCredentialsMatch方法进行比对,所以我们可以在realm中配置自定义的比对器,重写此方法来达到自定义比对方法,实现特殊的比对逻辑.尤其是token中封装自定义对象时
.如果一致则登录成功.

而绿色的doGetAuthorizationInfo方法则是作为获取当前用户的角色权限相关信息的方法,此方法中要根据用户信息查询出相关的角色权限信息并封装进去.有了此信息之后就可以根据角色和权限信息进行访问权限的控制了.

参考资料和阅读:

https://blog.csdn.net/kentlhxy/article/details/116719968
https://blog.csdn.net/weixin_30519071/article/details/97817606

执于代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro自定义过滤器版)
qq_38639813的博客
07-25 1534
***token*}}/***oauth2过滤器*主要用来判断token存不存在,如果存在则赋值给OAuth2Token*//获取请求tokenStringtoken=getRequestToken((HttpServletRequest)request);
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2308
1.shiro,jwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证和授权。 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
Shiro【授权、整合Spirng、Shiro过滤器
qq_53058639的博客
01-13 325
一般地,我们的权限都是从数据库中查询的,并不是根据我们的配置文件来进行配对的。因此我们需要自定义reaml,让reaml去对比的是数据库查询出来的权限shiro-realm.ini配置文件:将自定义的reaml信息注入到安全管理器中[main]#自定义 realm#将realm设置到securityManager,相当 于spring中注入我们上次已经使用过了一个自定义reaml,当时候仅仅重写了doGetAuthenticationInfo()方法,
Shiro 权限处理(自我学习版)
m0_56532446的博客
05-06 1196
Shiro初步学习了解基础理论以及和SpringBoot整合
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5007
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
shiro权限框架自定义Realm示例
09-10
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能...通过这个“shiro权限框架自定义Realm示例”,你将能够掌握如何构建和配置自定义Realm,从而提升你在Java安全领域的专业技能。
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,我们需要添加shiro的依赖项,自定义realm域,编写自定义realm,并在application中配置shiro的配置文件。通过这些步骤,我们能够实现spring boot应用程序的安全...
安全框架shiro 中文教程
11-05
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(认证)、授权(权限管理)、加密(加密服务)以及会话管理(session管理)等核心功能。本教程将引导你深入理解Shiro,并教你如何在实际的Web...
springboot 与shiro安全框架的整合
08-05
SpringBoot和Shiro是两个在Java开发中广泛使用的框架,SpringBoot简化了Spring应用的初始搭建以及开发过程,而Shiro则是一个强大的安全管理框架,负责处理认证、授权、会话管理和安全相关的过滤器。当我们把它们整合...
shiro安全框架
01-29
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等核心安全性服务。在结合SpringMVC的情况下,Shiro能够帮助开发者构建出具有完整权限控制功能的应用程序。在这个demo中,...
【应用】SpringBoot -- Shiro 实现认证鉴权
情绪瓜皮皮丶的学习之路
09-24 1200
SpringBoot 中使用 Shiro 框架实现账号认证与权限鉴别
Shiro安全框架--自定义认证
盖世小可爱的博客
11-22 194
上一篇简单的介绍了Shiro的基础认证,这一篇就简单的举个自定义认证的例子 1.和之前一样先引入依赖: &lt;!--导入shiro-web的依赖 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactI...
遇到问题----shrio------shiro自定义filters无效
热门推荐
直到世界的尽头
03-08 1万+
shiro  自定义filters无效需要注意filterChainDefinitions中的顺序,roles等应放在authc的前面。
shiro基本概念,自定义过滤器实现前后端分离以及衍生的动态菜单的制作
weixin_42765975的博客
09-10 883
不用shiro实现用户的认证,授权,也可以用springmvc的拦截器来实现,参考下列文章的前半部分 参考文献 基本概念 1.3.1 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。Subject在shiro中是一个接口,接口中定义了很多认证授相关的方...
Shiro学习之Shiro基本使用(2)
沉淀、分享、成长,让自己和他人都能有所收获!
10-24 957
(1)授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作 等)。在授权中需了解的几个关键对象 :主体(Subject)、资源(Resource)、权限 (Permission)、角(Role)。(2)主体(Subject):访问应用的用户,在 Shiro 中使用 Subject 代表该用户。用户只有授权 后才允许访问相应的资源。(3)资源(Resource):在应用中用户可以访问的 URL,比如访问 JSP 页面、查看/编辑某些 数据、访问某个业务方法、打印文本等等都是资源。用
shiro 权限框架自定义Realm
u012014505的博客
09-10 5852
shiro 权限框架自定义Realm
spring集成shiro不进入自定义realm
hgx2014的博客
04-05 7833
前天学习shiro的时候,学着学着突然发现和spring集成的时候不能进入自定义realm了,查了两天也没找到原因,后来加了一位大神,帮我解决了这个问题,在这里非常感谢。 问题如下: 需求是:登录我写的网站的任何一个url都会默认跳到用户登录页面, 当我打开服务器,输入url,确实进入登录页面,然而当我输入正确的账号密码的时候还是依旧在登录页面。 这就奇怪了,我赶紧去看看教程的配置,没毛病
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 974
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
java安全框架shiro的优点
最新发布
04-13
可以自定义Realm、SessionDAO等组件,以满足特定的业务需求。 5. 集成性:Shiro可以与其他框架(如Spring、Spring Boot)无缝集成,使得安全功能的添加和管理更加方便。 6. 安全性:Shiro提供了多种加密算法和哈希...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值