spring集成shiro实现权限认证和自动登录

最新推荐文章于 2021-01-27 01:28:00 发布
原创 最新推荐文章于 2021-01-27 01:28:00 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #自动登录

本文介绍了如何在Spring项目中集成Shiro进行用户权限认证和自动登录的实现。详细讲解了UserRealm的认证过程,ResourceCheckFilter的路径权限检查,UrlPermissionResolver的权限字符串解析,以及在spring-shiro.xml和web.xml中的配置。特别提到了SessionExpiredFilter的自定义处理,包括自动登录逻辑和登录过期请求的处理策略。

在登录入口类中先创建用户名/密码身份验证Token。

UsernamePasswordToken token = new UsernamePasswordToken(phone, password);

然后调用subject.login(token);此时SecurityManager将会委托Authenticator进行身份验证,Authenticator会将token传入Realm从Realm获取身份验证信息,如果没有返回或抛出异常表示身份验证失败。用户登录成功可以将用户身份信息放入shiroSession中,在自定义的sessionExpiredFilter类中通过判断请求的session中是否存在用户信息,处理过期的登录请求。(浏览器每次请求会将sessionId通过request传给服务端,通过sessionId获取当前用户的session信息)

  Subject subject = SecurityUtils.getSubject();
        User user = userService.getUserByPhone(phone);
        //创建用户名、密码身份验证Token
        UsernamePasswordToken token = new UsernamePasswordToken(phone, password);
        String loginToken = new Md5Hash(new Date().toString() + ShiroSession.getId()).toHex();

        try {
            subject.login(token);
            ShiroSession.set("user_info", JSON.toJSONString(user));
            //如果登录成功且设置了7天自动登录
            if (remember == true) {
                userService.updateToken(user.getPhone(), loginToken);
                //设置客户端cookie保存7天
                CookieUtil.addCookie(response, "loginToken", loginToken, 7);
            }
            return ResponseUtils.buildOKResponse(JSON.toJSONString(new User(user.getId(), user.getNickName())));

UserRealm用户权限认证:

UserRealm继承AuthorizingRealm类,实现两个方法doGetAuthenticationInfo和doGetAuthorizationInfo
在doGetAuthenticationInfo中从通过
String phone = (String) token.getPrincipal();获得角色信息
String password = new String((char[]) token.getCredentials());获得登录密码
然后与从数据库中查询出的用户密码进行匹配,进行判断逻辑处理,无误后将用户的登录信息存入SimpleAuthenticationInfo并返回:

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
phone,
password,
ByteSource.Util.bytes(phone),//设置username、pwd都没问题
getName() //realm name(唯一)
);
return info;

在doGetAuthorizationInfo类中主要实现对已认证的用户分配资源权限:
String phone = (String) principalCollection.getPrimaryPrincipal();获得认证用户,然后通过自定义的getResourcesByUserId方法获取用户资源列表,放入HashSet中,最后调用SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.setStringPermissions(new HashSet<>(permissions));将集合内容填充到认证中

ResourceCheckFilter访问路径的认证

ResourceCheckFilter继承AccessControlFilter实现两个方法isAccessAllowed和onAccessDenied,负责访问路径的认证判断:

@Override
protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o)
            throws Exception {
        Subject
最低0.47元/天 解锁文章
legolas94
关注
Springboot 整合 Shiro 实现登录认证权限校验
古小龙
07-04 1424
shiro介绍: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。 三个核心组件:Subject, SecurityManager Realms. Subject:即“当前操作用户”。但是,在Shiro中,Sub...
SpringBoot整合Shiro实现登录认证,鉴权授权
A_diligent_man的博客
08-17 1095
近期对Springboot框架的学习中,为了更好的学习理解Springsecurity中间件,先学习了一下“老派”的shiro安全框架,本文章将通过注解的方式实现基础的用户认证角色授权案例
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
主要介绍了基于springboot实现整合shiro实现登录认证以及授权过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Shiro自动登录
lmchhh的博客
02-03 475
第一步 :配置spring.xml,配置cookieRememberMeManager <!--创建SecurityManager对象--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name=...
Shiro实现用户自动登录
menghuannvxia的专栏
05-29 3451
用户的自动登录功能,顾名思义就是当用户在网站登录后,关闭了浏览器或者服务器重启了在下一次用户访问该网站时能自动将上次用户的登录信息取出来并立即登录,而不再需要用户去做登录操作。  在我做的一个视频教程网站(http://www.icoolxue.com,一个高清视频教程在线观看的网站)上加入了此功能。  Shiro是一个强大的安全框架,它提供了一个叫Remeber Me的功能来实现
spring boot 1.5.4 集成shiro+cas,实现单点登录权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架 Cas 服务器来实现单点登录权限控制的功能...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
总结来说,Spring Boot集成Shiro实现动态加载权限的关键在于创建自定义 Realm,重写授权方法,并配置Shiro的相关组件,如SecurityManager缓存管理器。通过这种方式,我们能够在用户角色权限发生变化时,实时更新...
spring boot+shiro 权限认证管理案例
12-20
通过以上步骤,我们可以构建一个集成Spring Boot Shiro权限认证管理系统,能够实现用户登录权限校验、会话管理等功能,同时利用缓存提升系统性能。在实际开发中,还可以根据需求扩展 Shiro 功能,例如...
精选资源
SpringBoot 集成 Shiro 实现动态uri权限
04-22
总的来说,SpringBoot集成Shiro实现动态URI权限涉及前后端的协同工作,通过Java后端处理权限逻辑,Vue前端展示交互,结合Shiro的强大功能,可以实现高效、灵活的权限控制系统。在实际项目中,还需要考虑安全性、...
Spring 集成 shiro 实现登录认证
不负年华
06-02 476
Spring 集成 shiro 实现登录认证 一,在Spring原基础依赖加上以下依赖 <!--shiro 依赖的 jar 包--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version&gt
Spring集成shiro做登陆认证
我爱编程持之以恒
10-16 335
一、背景 其实很早的时候,就在项目中有使用到shiro做登陆认证,直到今天才又想起来这茬,自己抽空搭了一个spring+springmvc+mybatisshiro进行集成的种子项目,当然里面还有很简单的测试。本文将讲述在maven下如何进行集成,希望对你有所帮助,喜欢请推荐。至于shiro相关的,最近也会写几篇介绍的,希望能够有一个主观的了解。 二、集成步骤 说明:关于spring+sp...
springshiro集成,以及web项目的登陆权限验证
weixin_44860790的博客
07-10 424
一 Shrio与Spring集成 Shiro的理论 shiro是一个权限框架(身份认证,授权,会话,密码学) shiro(轻量级,粗粒度,其它涉及到细粒度自己代码完成)与Spring security(重量级,细粒度,有点麻烦) 身份认证(登录)authentication,授权authorization,密码学,会话管理 Subject(当前用户)—》SecurityMananger(所有功...
基于shiro框架实现自动登录(rememberMe)
weixin_34405925的博客
01-11 952
shirorememberMe流程原理研究 输入用户密码正儿八经登录时, 如果勾选了"记住我", 则后台给shiro设置rememberme 前一次登录勾选了记住我, 则本次登录时isRemembered()==true(如果上一次设置了rememberme, 本次登录是不会触发action中的login()的方法的, 即会直接进入登...
Springboot集成Shiro实现登录权限认证
Apandam的博客
04-08 282
Shiro Shiro简介 什么是Shiro? Apache Shiro 是一个Java的安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境 Shiro可以完成认证,授权,加密,会话管理,Web集成,缓存等 代码 pom.xml <dependencies> <depend...
Shiro 自动登录,通过 Shiro Remember Me 实现自动登录
weixin_34216107的博客
10-05 203
2019独角兽企业重金招聘Python工程师标准>>> ...
Springboot整合shiro:实现用户登录权限验证
猪大肠的博客
08-25 7180
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
Spring Boot 整合 Shiro 实现登录认证权限控制
彭楷淳在 优快云
01-27 396
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。 一般来说,Spring Security Shiro 的比较如下: Spring Security 是一个重量级的安全管理框架;Shiro 则是一个轻量级的安全管理框架 Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配置简单 Spring Security 功能强大;Shiro 功能简单 … 虽然 Shiro 功能简单,但
Spring集成Shiro实现权限管理实战
结合描述中提到的“SpringSpringMVC、MyBatis”,可以明确这是一个典型的SSM(Spring + SpringMVC + MyBatis)架构基础上集成Apache Shiro权限安全管理框架的项目实例。以下将从多个维度深入剖析该知识点。 首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值