在SSM中使用shiro实现登录验证(附密码加密)

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量2.1w 收藏 76
点赞数 12
分类专栏: shiro 文章标签: shiro SSM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangwanpeng/article/details/54793768
版权

  第一步:导入需要的jar:(maven方式)

    <properties>
        <!-- log4j日志文件管理包版本 -->
        <slf4j.version>1.7.7</slf4j.version>
        <log4j.version>1.2.17</log4j.version>
    </properties>

        <!-- log start -->
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>${log4j.version}</version>
        </dependency>


        <!-- 格式化对象,方便输出日志 -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.1.41</version>
        </dependency>


        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>${slf4j.version}</version>
        </dependency>

        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>${slf4j.version}</version>
        </dependency>
        <!-- log end -->

        <!-- shiro -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-all</artifactId>
            <version>1.3.2</version>
        </dependency>

        <!-- ehcache -->
        <dependency>
            <groupId>net.sf.ehcache</groupId>
            <artifactId>ehcache-core</artifactId>
            <version>2.6.11</version>
        </dependency>

  第二步:在web.xml中配置shiroFilter

   <!-- Shiro Filter is defined in the spring application context: -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

  第三步:新建类UserRealm

package com.ang.elearning.shiro;

import javax.annotation.Resource;


import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.User;
import com.ang.elearning.service.IUserService;

public class UserRealm extends AuthorizingRealm {

    @Resource
    IUserService userService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        User user = null;
        // 1. 把AuthenticationToken转换为UsernamePasswordToken
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        // 2. 从UsernamePasswordToken中获取email
        String email = upToken.getUsername();
        // 3. 若用户不存在,抛出UnknownAccountException异常
        user = userService.getUserByEmail(email);
        if (user == null)
            throw new UnknownAccountException("用户不存在!");
        // 4.
        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo
        // 以下信息从数据库中获取
        // (1)principal:认证的实体信息,可以是email,也可以是数据表对应的用户的实体类对象
        Object principal = email;
        // (2)credentials:密码
        Object credentials = user.getPassword();
        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可
        String realmName = getName();
        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同
        ByteSource credentialsSalt = ByteSource.Util.bytes(email);
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,
                realmName);
        return info;
    }

}

  第四步:在src目录下新建ehcache.xml

<!--
  ~ Hibernate, Relational Persistence for Idiomatic Java
  ~
  ~ License: GNU Lesser General Public License (LGPL), version 2.1 or later.
  ~ See the lgpl.txt file in the root directory or <http://www.gnu.org/licenses/lgpl-2.1.html>.
  -->
<ehcache>

    <!-- Sets the path to the directory where cache .data files are created.

         If the path is a Java System Property it is replaced by
         its value in the running VM.

         The following properties are translated:
         user.home - User's home directory
         user.dir - User's current working directory
         java.io.tmpdir - Default temp file path -->
    <diskStore path="./target/tmp"/>


    <!--Default Cache configuration. These will applied to caches programmatically created through
        the CacheManager.

        The following attributes are required for defaultCache:

        maxInMemory       - Sets the maximum number of objects that will be created in memory
        eternal           - Sets whether elements are eternal. If eternal,  timeouts are ignored and the element
                            is never expired.
        timeToIdleSeconds - Sets the time to idle for an element beforeQuery it expires. Is only used
                            if the element is not eternal. Idle time is now - last accessed time
        timeToLiveSeconds - Sets the time to live for an element beforeQuery it expires. Is only used
                            if the element is not eternal. TTL is now - creation time
        overflowToDisk    - Sets whether elements can overflow to disk when the in-memory cache
                            has reached the maxInMemory limit.

        -->
    <defaultCache
        maxElementsInMemory="10000"
        eternal="false"
        timeToIdleSeconds="120"
        timeToLiveSeconds="120"
        overflowToDisk="true"
        />

    <!--Predefined caches.  Add your cache configuration settings here.
        If you do not have a configuration for your cache a WARNING will be issued when the
        CacheManager starts

        The following attributes are required for defaultCache:

        name              - Sets the name of the cache. This is used to identify the cache. It must be unique.
        maxInMemory       - Sets the maximum number of objects that will be created in memory
        eternal           - Sets whether elements are eternal. If eternal,  timeouts are ignored and the element
                            is never expired.
        timeToIdleSeconds - Sets the time to idle for an element beforeQuery it expires. Is only used
                            if the element is not eternal. Idle time is now - last accessed time
        timeToLiveSeconds - Sets the time to live for an element beforeQuery it expires. Is only used
                            if the element is not eternal. TTL is now - creation time
        overflowToDisk    - Sets whether elements can overflow to disk when the in-memory cache
                            has reached the maxInMemory limit.

        -->

    <!-- Sample cache named sampleCache1
        This cache contains a maximum in memory of 10000 elements, and will expire
        an element if it is idle for more than 5 minutes and lives for more than
        10 minutes.

        If there are more than 10000 elements it will overflow to the
        disk cache, which in this configuration will go to wherever java.io.tmp is
        defined on your system. On a standard Linux system this will be /tmp"
        -->
    <cache name="sampleCache1"
        maxElementsInMemory="10000"
        eternal="false"
        timeToIdleSeconds="300"
        timeToLiveSeconds="600"
        overflowToDisk="true"
        />

    <!-- Sample cache named sampleCache2
        This cache contains 1000 elements. Elements will always be held in memory.
        They are not expired. -->
    <cache name="sampleCache2"
        maxElementsInMemory="1000"
        eternal="true"
        timeToIdleSeconds="0"
        timeToLiveSeconds="0"
        overflowToDisk="false"
        /> -->

    <!-- Place configuration for your caches following -->

</ehcache>

  第五步:在spring配置文件中配置shiro

    <!-- shiro start -->
    <!-- 1. 配置SecurityManager -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager" />
        <property name="authenticator" ref="authenticator"></property>
        <!-- 可以配置多个Realm,其实会把realms属性赋值给ModularRealmAuthenticator的realms属性 -->
        <property name="realms">
            <list>
                <ref bean="userRealm" />
            </list>
        </property>
    </bean>

    <!-- 2. 配置CacheManager -->
    <!-- 2.1 需要加入ehcache的jar包及配置文件 -->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml" />
    </bean>

    <!-- 3. 配置Realm -->
    <!-- 3.1 直接配置继承了org.apache.shiro.realm.AuthorizingRealm的bean -->
    <bean id="userRealm" class="com.ang.elearning.shiro.UserRealm">
        <!-- 配置密码匹配器 -->
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!-- 加密算法为MD5 -->
                <property name="hashAlgorithmName" value="MD5"></property>
                <!-- 加密次数 -->
                <property name="hashIterations" value="1024"></property>
            </bean>
        </property>
    </bean>

    <!-- 4. 配置LifecycleBeanPostProcessor,可以自定义地来调用配置在Spring IOC容器中shiro bean的生命周期方法 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

    <!-- 5. 使能够在IOC容器中使用shiro的注解,但必须在配置了LifecycleBeanPostProcessor之后才可以使用 -->
    <bean
        class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor" />
    <bean
        class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>

    <!-- 6. 配置ShiroFilter -->
    <!-- 6.1 id必须和web.xml中配置的DelegatingFilterProxy的<filter-name>一致。 如果不一致,会抛出NoSuchBeanDefinitionException异常,因为shiro会在IOC容器中查找名称和<filter-name> 
        值一致的filter bean -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/login.jsp" />
        <property name="successUrl" value="/WEB-INF/user/index.jsp" />
        <property name="unauthorizedUrl" value="/login.jsp" />
        <!-- 配置哪些页面需要受保护,以及访问这些页面需要的权限 -->
        <property name="filterChainDefinitions">
            <value>
                <!-- 第一次匹配优先的原则 -->
                /login.jsp = anon
                /user/login = anon

                /logout = logout

                /** = authc
            </value>
        </property>
    </bean>

    <!-- 7. 配置ModularRealmAuthenticator,可以实现多Realm认证 -->
    <bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
        <!-- 配置认证策略,只要有一个Realm认证成功即可,并且返回所有认证成功信息 -->
        <property name="authenticationStrategy">
            <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>
        </property>
    </bean>
    <!-- shiro end -->

  第六步:测试(Userservice,UserDAO等略)
  
  UserController:

@Controller
@RequestMapping("/user")
public class UserController {

    @Resource
    private IUserService userService;

    @RequestMapping(value = "login", method = RequestMethod.POST)
    public String login(@RequestParam("email") String email, @RequestParam("password") String password) {
        Subject currentUser = SecurityUtils.getSubject();
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken upToken = new UsernamePasswordToken(email, password);
            upToken.setRememberMe(false);
            try {
                currentUser.login(upToken);
                return "user/index";
            } catch (IncorrectCredentialsException ice) {
                System.out.println("邮箱/密码不匹配!");
            } catch (LockedAccountException lae) {
                System.out.println("账户已被冻结!");
            } catch (AuthenticationException ae) {
                System.out.println(ae.getMessage());
            }
        }
        return "redirect:/login.jsp";
    }
}

login.jsp:

<form action="${pageContext.request.contextPath }/user/login" method="POST">
        邮箱:<input type="text" name="email"> 
        <br><br>
        密码:<input type="password" name="password"> 
        <br><br>
        <input type="submit" value="登录">
    </form>

/WEB-INF/user/index.jsp

<h4>Login Successfully!</h4>
<br>
<a href="${pageContext.request.contextPath }/logout">Logout</a>

补充:
shiro中默认的过滤器:

image_1b7kkc5n5r01kj614pekgk1p8l9.png-302.2kB

整个认证流程:
(1). 在Controller中通过Security.getSubject()获取当前的Subject;
(2). 通过Subject的isAuthenticated()验证当前用户是否已经被认证;
(3). 如果没有被认证,开始认证。
(4). 将从前台传来的用户名(邮箱)和密码封装到一个UsernamePasswordToken对象upToken中;
(5). 调用当前Subject的login(upToken)方法,这会把upToken作为参数传递到自定义的Realm的doGetAuthenticationInfo(AuthenticationToken)方法中;
(6). 在doGetAuthenticationInfo(AuthenticationToken)方法中,首先将AuthenticationToken转换为UsernamePasswordToken对象upToken,然后调用Service层,根据upToken中的用户名到数据库中查询密码;
(7). 由shiro完成密码的比对。密码的比对是通过AuthenticatingRealm的credentialsMatcher属性来进行比对的。

要实现特定Realm处理特定身份验证的效果,请参见《shiro实现不同身份使用不同Realm进行验证》

Alan_Xiang
关注
专栏目录
Maven+SSM+Shiro框架整合实现某权限用户登录,记住密码等功能。
12-20
Maven+SSM+Shiro框架整合实现某权限用户登录,记住密码等功能。
Maven+SSM+Shiro框架整合完整实现实现某权限用户登录,记住密码验证码等功能。
12-22
在本项目,"Maven+SSM+Shiro框架整合完整实现"旨在提供一个完整的解决方案,包括用户登录、记住密码验证码等常见功能,并且可以方便地导入MySQL数据库进行运行。 **Maven** 是一个项目管理和综合工具,它帮助...
SSM框架下shiro验证登录
gzc_870301的博客
04-11 649
所谓的验证登录也就是 验证码正确之后利用shiro的免密登录验证码的验证:发送短信的时候,把验证码信息放到缓存里(key为sessionid),表单提交过来的时候,从缓存里拿出来比较就好。 接下来就是shiro 的免密登录: 1、思路 自定义token,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,...
Shiro详解
最新发布
weixin_57356976的博客
08-11 505
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
SSM整合Shiro框架及简单登录认证使用
热门推荐
Charge8的博客
03-01 1万+
一、Shiro 简介 1、Shiro 是什么 Shiro 是一个功能强大和易于使用的Java安全框架。 Shiro 为开发人员提供一个直观而全面的解决方案:认证、授权、加密、会话管理、Web集成、缓存等。 Apache Shiro 和 Spring Security 是同类型的框架,主要用来做安全,也就是我们俗称的权限校验(控制),Shiro 扩展更简单和灵...
SSM集成Shiro实现登录认证
XWJ
03-07 8020
折腾了好多天,遇到了好多傻逼问题。也在网上找了许多教程。对着人家源码敲都出问题,最后果断删掉之前写的代码,重新按照自己的意思来写。果然,只有自己想的才是适合自己的啊!结果就实现了认证功能。 重点:要先理解shiro的基础,我发现一个博客写的不错,可以在这看看:点击打开链接             实现环境:自己搭建的一个SSM框架下集成Shiro 流程:(当然最重要的是先要配置环境,这个自行
ssm+shiro登录认证授权访问控制实现
weixin_44142888的博客
03-03 424
我是一个小白,到处百度加上自己自学过的,简单的做了一下,当然只是最基础的,而且也不是很完善,正常来说应该是有用户表,角色表,权限表,用户与角色关系表,角色与权限关系表。 我写的可能也就我自己看懂,不喜勿喷!!! 一、准备工作 在进行ssm集成Shiro之前,需要准备相关的数据库表结构。如:用户表,角色表,权限表,用户与角色关系表,角色与权限关系表。 我呢,就没有准备这么多,设计相对简单,只准备了用户表和角色表,然后把权限作为列放在角色表里,初步试一下水。 二、表结构 用户表【注意:这里登录时用的是"user
shiro+SSM实现安全登录的项目
06-19
**SSMShiro安全登录实现详解** 在Java Web开发,安全性是至关重要的一个环节。本项目"shiro+SSM实现安全登录"旨在演示如何结合Spring、SpringMVC和MyBatis(SSM)框架与Apache Shiro库来构建一个安全的登录系统...
SSM+shiro登录控制
03-15
SSM项目Shiro可以帮助我们轻松实现用户的登录验证、权限管理以及session的统一管理。 在"shiro控制使用跳转链接前必须登录"的场景下,Shiro通常会在用户尝试访问受保护资源时进行拦截。如果用户未登录Shiro...
ssm+shiro实现简单的登陆认证功能
11-07
SSM+Shiro实现登录认证的过程,主要步骤包括: 1. **Shiro配置**:首先,在Spring的配置文件引入Shiro的相关bean,如SecurityManager、Realm(自定义的权限验证类,通常继承AuthorizingRealm)等。 2. **...
SSM整合Shiro-登录案例.zip
09-04
通过这个案例,开发者可以学习到如何在实际项目结合SSMShiro实现一个完整的用户登录功能。这不仅涉及到了前后端交互、数据库操作,还涵盖了权限管理和会话控制等核心安全概念。理解并掌握这些知识,对于提升...
Maven+SSM+Shiro框架整合完整实现实现某权限用户登录,记住密码等功能。
12-15
Maven+SSM+Shiro框架整合完整实现实现某权限用户登录,记住密码等功能。
JavaSSM+Shiro系统登录验证码的实现方法
08-31
主要介绍了 SSM+Shiro系统登录验证码的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Java基于ssm框架的shiro整合,带有md5加密
01-06
使用:1,更改数据库配置文件2,创建test表(User的数据结构)。。。工具:Java7+eclipse+maven。 基于ssm框架的shiro整合,带有md5加密,注释只针对于shiro,其有搭建过程参考的博客地址,如有不懂的请参考注释给的地址
SSM集成Shiro实现用户登录认证
TD_FAlmK的博客
12-02 358
Shiro的核心API: 整合步骤: 1、首先在pom.xml引入shiro-spring的jar包 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</ar..
shiro+ssm框架的整合(完成简单的登录操作)
weixin_41557853的博客
01-24 665
一、web.xml配置shiro过滤器: &amp;lt;!--配置 shiro 过滤器 通过代理来配置,对象有spring容器来创建的,但是交由servlet容器来管理 --&amp;gt; &amp;lt;filter&amp;gt; &amp;lt;filter-name&amp;gt;shiroFilter&amp;lt;/filter-name&amp;gt; &
SSM整合Shiro-登录案例
java小白的博客
09-04 715
SSM整合Shiro-登录案例 最近几天在学shiro,有一点小的进展,基本了解shiro的身份认证流程,写篇博客记录一下。 大体思路如下(个人总结,不足之处多多指教): login.jsp输入账号信息后跳转到需要验证的路径下,被指定拦截器拦截后,经过自定义realm验证。若验证成功,跳转到spring-shiro.xmlsuccessUrl的路径下;若验证失败,跳转到spring-shiro....
从头开始——SSM+Shiro实现登陆认证
MaNongXf的博客
11-07 2819
Shiro功能概述:  Shiro是一个功能强大且灵活的开源安全框架,可以清晰地处理身份验证,授权,企业会话管理和加密。 身份验证:有时也称为“登录”,这是证明用户是他们所说的人的行为。 授权:访问控制的过程,即确定“谁”可以访问“什么”。 会话管理:即使在非Web或EJB应用程序,也可以管理特定于用户的会话。 加密使用加密算法保持数据安全,同时仍然易于使...
ssm配置完成shiro实现登录验证的功能
Honins的博客
09-12 2256
花了一天时间,算是完成了shiro登录验证的这一基本功能。 https://www.w3cschool.cn/shiro/andc1if0.html 这个教程可以多看看,核心的基础功能很重要。 实现shiro 第一步,引入所需要的依赖 在pom.xml文件加入 &lt;properties&gt;         &lt;!-- log4j日志文件管理包版本 --&gt;    ...
Apache Shiro:简单安全框架在SSM与SpringBoot的应用
Apache Shiro 是一个轻量级的 ...Apache Shiro 是一个简洁而实用的 Java 安全框架,适用于简化日常开发工作,尤其适合在 SpringBoot 和 SSM(Spring MVC + MyBatis)架构使用,以快速实现安全控制和提升用户体验。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值