shiro springboot 认证 授权流程

最新推荐文章于 2025-03-30 12:58:17 发布
最新推荐文章于 2025-03-30 12:58:17 发布
阅读量523 收藏 1
点赞数
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36971758/article/details/125306388
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

—参与到一个新的项目使用的shiro框架作为安全框架,在网上参考文章得到了些启发记录一下shiro 的认证授权流程

提示:以下是本篇文章正文内容,下面案例可供参考

shiro 认证流程的实现

1.继承AuthorizingRealm 类重写doGetAuthenticationInfo()方法

代码如下(示例):

public class UserRealm extends AuthorizingRealm {

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        // 1. 把AuthenticationToken转换为CustomizedToken
        //2.CustomizedToken 继承自UsernamePasswordToken
        // (可用于存放自定义的一些用户信息)
        CustomizedToken customizedToken = (CustomizedToken) token;
                // 3. 从CustomizedToken中获取用户信息
        Long confId = customizedToken.getConferenceId();
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
		//查询数据库做用户相关判断
		.........
	
		// 认证通过,则返回认证info给shiro进一步处理:如缓存等。
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(loginUser, password, realname);
        //loginUser 为存贮的身份信息
        return info;

2.重写doGetAuthorizationInfo()

代码如下(示例):

 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    	//1.从 principals 中获取当前登录的用户信息
        LoginUser user = (LoginUser) principals.getPrimaryPrincipal();
        //2.获取用户的所有权限
        List<String> permsList = new ArrayList<>();
        
            permsList = shiroService.getAllPerms();

            permsList = shiroService.getAllPermsByUserId(user.getId());


        //3.用户权限封装为set列表
        Set<String> permsSet = new HashSet<String>();
          for (String perms : permsList) {
               if (StringUtils.isBlank(perms)) {
                   continue;
                   permsSet.addAll(Arrays.asList(perms.trim().split(",")));
               }
               
           }
         //4.权限存如缓存
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

3.配置shiro配置类


@Configuration
public class ShiroDetailConfig {
    @Bean
    public UserRealm getRealm() {
        // 1、获取配置的Realm,之所以没使用注解配置,是因为此处需要考虑到加密处理
        UserRealm realm = new UserRealm();
        realm.setName("HYH_OA_USER_REALM_NAME");
        realm.setCachingEnabled(true);
        realm.setAuthenticationCacheName("authenticationCache");
        realm.setAuthenticationCachingEnabled(true);
        realm.setAuthorizationCacheName("authorizationCache");
        realm.setAuthorizationCachingEnabled(true);
        
        realm.setCacheManager(getCacheManager());
        return realm;
    }

    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }
	//代理 授权核心配置
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
        daap.setProxyTargetClass(true);
        return daap;
    }
    //配置通知//授权的核心
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(
            DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor();
        aasa.setSecurityManager(securityManager);
        return aasa;
    }


    @Bean
    public RedisCacheManager getCacheManager() {
        //缓存配置
        RedisCacheManager cacheManager = new RedisCacheManager();
        cacheManager.setRedisManager(getRedisManger());
        return cacheManager;
    }
    

    @Bean
    public RedisManager getRedisManger() {
        return new RedisManager();
    }



    @Bean("sessionManager")
    public DefaultWebSessionManager getSessionManager(SessionDAO sessionDAO) { // 6
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setGlobalSessionTimeout(3600000); //设置session过期时间为1小时(单位:毫秒),默认为30分钟
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        sessionManager.setSessionDAO(sessionDAO);

        return sessionManager;
    }

    @Bean("securityManager")
    //设置管理器
    public DefaultWebSecurityManager getSecurityManager(Realm userRealm, RedisCacheManager cacheManager,
                                                        SessionManager sessionManager, RememberMeManager rememberMeManager) {// 7
        DefaultWebSecurityManager securityManager = new StatelessSecurityManager();
        securityManager.setRealm(userRealm);
        securityManager.setCacheManager(getCacheManager());
        securityManager.setSessionManager(sessionManager);
        securityManager.setRememberMeManager(rememberMeManager);
        return securityManager;
    }



    @Bean("shiroFilter")
    //shrio过滤器
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/loginException"); // 设置登录页路径
        shiroFilterFactoryBean.setSuccessUrl("/"); // 设置跳转成功页
        shiroFilterFactoryBean.setUnauthorizedUrl("/authorizedException"); // 授权错误页

        Map<String, Filter> filters = new HashMap<String, Filter>();
        filters.put("statelessAuth", this.getOAuth2Filter());
        shiroFilterFactoryBean.setFilters(filters);

        Map<String, String> filterChainDefinitionMap = new HashMap<String, String>();
		//添加拦截资源
		//anon 不需要验证的资源
		//authc 需要认证才可访问
		//role 资源需要得到角色才可
		//perms 资源访问需要得到资源
        filterChainDefinitionMap.put("/login", "anon");
// 请求拦截路径
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
}

执行登录

@PostMapping("/login")
    public Response loginServerSystem(@NotEmpty String userName, @NotEmpty String password) throws IOException {
        Subject subject = ShiroUtil.getSubject();
        // sha256加密
        password = new Sha256Hash(password).toHex();
        // UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
        CustomizedToken token = new CustomizedToken(userName, password
                , CommonConstant.LOGIN_USER_SYSTEM, DictoryConstant.USER_BELONG_TO_HOME);
        subject.login(token);

接口权限

接口上加注解:@RequiresPermissions(“user:del”)

总结

写得潦草,欢迎各位大佬指导
参考文章:https://hardy.blog.youkuaiyun.com/article/details/110501155?spm=1001.2014.3001.5506

58戈
关注
Shiro认证流程授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
springboot + shiro 实现认证授权(快速上手详细教程)
Ian_1216的博客
10-15 1025
本篇主要讲述springboot搭建以及shiro实现认证。 一、springboot项目的搭建 a:file -> new -> project
极简入门,Shiro认证授权流程解析
java思维导图
05-08 512
小Hub领读:接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本...
Springboot集成JWT token实现权限验证
最新发布
liuyang___的博客
03-30 519
我又发现一个bug,因为我们每次点击前端的退出登陆的时候,这个token还是会留在浏览器的缓存里面,所以我们需要做一个退出登陆的时候,清除浏览器缓存的一个操作!设置完这个,我们发现请求头中多了一个token数据,这个token就是登录接口返回的token,在每一次的请求的时候,都会在请求头带上这个token,作为验证信息!这种后端的访问地址,他是直接可以访问我们的所有的用户数据的,这样是绝对不可以的,所以我们现在要写一个拦截器,将。我们现在设置完了会发现一个bug,因为我们的登录接口也被拦截了!
shiro认证授权步骤
Jenny_yao的博客
05-03 328
认证的步骤 访问Login的uri 获取subject判断是否认证认证进行subject.login(token) 缓存中没有的话从自定义realm Custrealm中获取数据库中的凭证和密码等信息 使用credentialMatcher比较token(前端获取的密码)和info(数据库获取的密码)是否一致 认证失败抛出异常 授权步骤 访问限定权限的uri 执行权限验证方法 subject.isPermitted(String permission )
Shiro认证授权过程
weixin_44736853的博客
07-30 2367
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
shiro认证授权,加密(ssm+shiro
qq_58003121的博客
01-26 2414
1、shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证授权,加密,会话管理。 2、Shiro四大核心功能:Authentication,Authorization,Cryptography,Session Management 3.Shiro三个核心组件:Subject, SecurityManager 和 Realms.   Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是S
基于JavaSpringBootShiro权限认证授权整合实践源码
09-28
本项目“基于JavaSpringBootShiro权限认证授权整合实践源码”,通过Java语言编写,并基于SpringBoot框架实现了与Shiro的整合。该项目不仅展示了如何将Shiro集成到SpringBoot应用中,还通过具体的代码示例,为...
SpringBoot整合Shiro认证流程浅析
weixin_40598838的博客
06-15 412
在权限控制中,通常使用的框架有ShiroSpring Security,大型项目中Shiro较常用,Spring Security通常用在中小型项目中,在权限控制中又分为认证授权两种,现在就认证流程做个浅析
VUE和springboot,shiro,redis,springboot,mybatisplus及activiti7项目整合
05-22
本项目"VUE和springboot,shiro,redis,springboot,mybatisplus及activiti7项目整合"正是这样一个实例,它展示了如何利用一系列流行的技术栈构建一个完整的业务系统。下面,我们将详细探讨这些关键技术点。 首先,Vue...
Shiro授权的基本流程,以及和SpringBoot一起实现的流程
weixin_50253745的博客
09-18 359
Shiro授权Shiro授权流程Shiro授权的多种实现方式Shiro URL 拦截中常用的过滤器SpringBoot+Shiro实现动态授权基本步骤 Shiro授权流程 用户访问系统资源时的授权流程如下: 系统调用subject主体对象相关方法将用户权限信息(例如isPermitted)递交给SecurityManager SecurityManager将权限检测操作委托给Authorizer授权管理器对象 Authorizer授权管理器将用户信息委托给realm Realm访问数据库获取用户权限
shiro-身份授权流程、案例
OneMaruko的博客
03-21 861
一、身份授权流程 首先调用Subject.isPermitted/hasRole接口,委托给SecurityManager. SecurityManager接着会委托给内部组件Authorizer. Authorizer再将其请求委托给我们的Realm去做,Realm才是真正干活的. realm将用户请求的参数封装成权限对象,再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合. Realm将用户传入的权限对象,与数据库查询出来的权限对象进行比较。如果用户掺入的权
Springboot集成Shiro完成认证授权
begefefsef的博客
04-26 452
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件:Subject, SecurityManager 和 Realms. Subject: 即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
Spring Boot 整合 Shiro 实现认证授权
qq_45716120的博客
02-03 480
导入依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> Subject:用户 SecurityManager:管理所有用户 Realm:连接数据 ...
Shiro认证流程和鉴权流程
qq_35987642的博客
09-01 742
1> 将需要登陆的账号和密码封装成UsernamePasswordToken 2> 从SecurityUtils中获取Subject对象,然后调用login方法,然后把token作为参数传入 3> 调用subject.login()之后,会交给SecurityManager进行请求的处理 4> 安全管理器SecurityManager会把请求转发给认证器Authenticator 5> 认证器 Authenticator 会调用Realm中的方法并把token...
springboot shiro jwt实现认证授权
myli92的博客
03-16 2836
springboot shiro jwt实现认证授权
安全框架Shiro——Shiro认证授权流程
Guizy
05-29 1535
一、认证流程 获取当前的Subject, 调用SecurityUtils.getSubject(); 测试当前用户是否已经被认证, 即是否已经登录, 调用Subject的isAuthentication() 若没有被认证, 则把用户名和密码封装为UsernamePasswordToken对象 创建一个表单页面 把请求提交到Controller中 获取用户名和密码 前台执行登录, 调用S...
Shiro】3. Shiro授权流程
xiaoyuan_27的博客
12-20 845
授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 授权的关键对象 授权可简单理解为Who对What / Which进行How操作。 Who:主体(Subject),主体需要访问系统中的资源。 What / Which:资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为Type01的商品为资源实例,编号为001的商品信息也属于资源实例。
SpringBoot集成Shiro认证授权实践教程
资源摘要信息: "springboot-07-...这包括Shiro的安装和配置,以及如何在Spring Boot应用中实现用户认证授权和会话管理等功能。读者还应该参考Apache ShiroSpring Boot的官方文档来获取更详细的指导和最佳实践。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值