Shiro(一)——Shrio增加token验证

最新推荐文章于 2025-02-13 14:55:05 发布
最新推荐文章于 2025-02-13 14:55:05 发布
阅读量3.3k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Super__Bill/article/details/105346041
版权

项目需求:Shrio增加token验证。
需求分析:
1.Shrio的认证方式的流程:

登录Controller中,根据输入的账号和密码创建token,然后调用subject.login(token)方法,subject会委托给securityManager,由securityManager再执行login方法。

由ModularRealmAuthenticator调用realm的doGetAuthenticationInfo进行认证。如果不正确则抛出异常执行onFailedLogin()

2.基于session的登录认证

在ShiroFilterFactoryBean中可以添加Filter来验证是否已登录。

isAccessAllowed方法通过subject.getPrincipal()是否为空来判断该subject是否已登录。
getSubject()是从当前线程得到绑定的subject

那subject是什么时候创建的呢?
ShiroFilterFactoryBean里就包含了AbStractShiroFilter,每次请求的时候都会执行doFilterInternal里的createSubject,如何跟session绑定的呢?放到sessionManage里再分析,这里简单略过。subject会根据context来生成,而context中则包含了session。

每次请求都会重新设置Session和Principals,看到这里大概就能猜到:如果是web工程,直接从web容器获取httpSession,然后再从httpSession获取Principals,本质就是从cookie获取用户信息,然后每次都设置Principal,这样就知道是哪个用户的请求,并只得到这个用户有没有人认证成功,–本质:依赖于浏览器的cookie来维护session的。
实现方法:1.创建一个自己的realm用于验证第三方的token,继承AuthorizingRealm,需要supports方法来支持自定义的token。

public class MyRealm extends AuthorizingRealm { 

    public boolean supports(AuthenticationToken token) {
   
        return token instanceof GylToken;
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
   
        return null;
    }

    //认证
    @Override
最低0.47元/天 解锁文章
Super__Bill
关注
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3533
前言 最后调用过程参考了 : https://blog.youkuaiyun.com/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证
java清除shiro里的token_shiro token 分析
weixin_29693211的博客
02-25 1182
1.ShiroConfig.java 定义匿名用户可以访问的资源filterMap.put("/webjars/**", "anon");filterMap.put("/druid/**", "anon");filterMap.put("/api/**", "anon");filterMap.put("/sys/login", "anon");filterMap.put("/**/*.css", ...
shiro - 使用 token
bhegi_seg的博客
03-28 1329
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 、session的状态保持及弊端 当用户第次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
shiro_token
weixin_48155735的博客
08-16 136
shiro_token
Shiro实现Token认证
梅子黄时雨
05-10 1590
shiro使用
Shiro+token+JWT
weixin_43913889的博客
05-10 7421
先讲下大概步骤 JWT工具类,这个在网上找的。用于生成和解析token 自定义realm,继承AuthorizingRealm,重写认证和授权两个方法 自定义filter,继承BasicHttpAuthenticationFilter 我们使用JWT,所以直接把session禁用。 重点,Redis中保存JWTToken信息(做到JWT的可控性) 用户登录后,返回jwtTokentoken中保存了过期时间,比如5分钟)给用户,同时把token保存到redis中(设置个自动删除时间,比如30分钟),
shiro使用(使用token)
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加个过滤器,对每个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 、引言 ​ ...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
结合JWT(JSON Web Token)和Shiro,我们可以构建个高效的身份验证和授权系统,同时利用Redis缓存来提高性能和用户体验。下面将详细介绍如何在Spring Boot中整合JWT、Shiro和Redis实现Token自动刷新。 JWT是种...
shiro——Shiro身份验证
m0_62019369的博客
09-09 938
shiro问题: zs/ls/ww/admin能有样的操作权限吗?5. Shiro权限认证(支持三种方式的授权)5.1 编程式:通过写if/else授权代码块完成//有权限} else {//无权限}
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
008-shiro使用token认证
这个需求,做不了
05-25 8679
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
Springboot下Shiro+Token使用redis做安全认证方案
程序员闪充宝
03-15 1万+
以前项目中权限认证没有使用安全框架,都是在自定义 filter 中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring securi...
Shiro自定义Token
萝卜_7
08-10 3137
Shiro自定义Token 1. 序言 用户登录检验需要校验多个要素,不只有用户名和密码 比如需要验证公司ID,主机IP,等等 2. shiroToken的结构 ShiroToken的继承结构图: AuthenticationToken接口类只包含获取用户的身份信息和凭证信息两个方法。 Object getPrincipal(); Object getCredentials(); HostAuthenticationToken接口类继承自AuthenticationToke
使用springboot整合shirotoken实现用户的身份验证和权限控制
sqlgao22的博客
08-11 2万+
使用springboot整合shirotoken实现用户的身份验证和权限控制 使用shiro请看:https://blog.youkuaiyun.com/sqlgao22/article/details/98506479 使用token请看:https://blog.youkuaiyun.com/sqlgao22/article/details/98532943 由于已经分别学习了shirotoken想到整合在起使...
shiro使用(增强版token,JWT和shiro结合使用)
热门推荐
特别享受思考问题的过程
05-25 3万+
既然要做,就要做的细致点,对得起自己! 上篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。 上篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。 解决思路: 将上篇文章普通我自己写的token使用JWT替换下即可,整体思路还是没变。 第步:编写个J...
初识Shiro
江南一点雨的专栏
03-19 5128
Shiro是Apache基金会下的个开源安全框架,提供了身份验证、授权、密码学和会话管理等功能,Shiro框架不仅直观易用,而且也能提供健壮的安全性,另外点值得说的是Shiro的前身是个始于2004的开源项目JSecurity,该项目于2008年加入Apache,并于2010年成为Apache的顶级项目。 OK,以上是关于Shiro点简单介绍,实际上,我在之前有篇关于权限控制的博客在
springboot使用shiro验证登录并用JWT生成token,并支持验证token刷新,token里存放用户名、部门、用户id、部门id,放在拦截器里面,封装成java工具类
最新发布
weixin_50756063的博客
02-13 476
实现 Shiro 的 AuthenticationToken 接口,用于封装 JWT Token
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值