shiro学习二

最新推荐文章于 2021-01-16 21:24:14 发布
最新推荐文章于 2021-01-16 21:24:14 发布
阅读量247 收藏
点赞数
分类专栏: javaee java 文章标签: shiro 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41921914/article/details/103398548
版权

shiro学习二

认证:

1. 认证流程:

  1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();

  2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()

  3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象

  4. 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法.

  5. 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.
    1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
    2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.

  6. 由 shiro 完成对密码的比对.

在这里插入图片描述

2.代码

login.jsp页面代码 ,用于接收用户名和密码

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>

<form action="shiro/login" method="POST">
    username: <input type="text" name="username"/>
    <br><br>

    password: <input type="password" name="password"/>
    <br><br>

    <input type="submit" value="Submit"/>
</form>
</body>
</html>

controller 代码

@Controller
@RequestMapping("/shiro")
public class shiroLogin {

    @RequestMapping("/login")
    public String login(@RequestParam("username") String username,
                        @RequestParam("password") String password){
        //获得当前用户的subject
        Subject currentUser = SecurityUtils.getSubject();
         //判断当前用户是否被授权
        if (!currentUser.isAuthenticated()) {
            // 把用户名和密码封装为 UsernamePasswordToken 对象
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
 
            try {
                // 执行登录. 将token 传到 doGetAuthenticationInfo
                currentUser.login(token);
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            // 所有认证时异常的父类.
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
                System.out.println("登录失败: " + ae.getMessage());
            }
        }
        //邓露成功后重定向到list.jsp
        return "redirect:/list.jsp";
    }
}

自定义Realm代码

上次我们自定义的realm类仅仅实现了Realm接口,如果我们要做认证,那么我们需要继承AuthenticatingRealm类,并重写doGetAuthenticationInfo方法。执行subject.login(token)方法后,就会来到 doGetAuthenticationInfo()里。

public class CustomRealm extends AuthenticatingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("进入CustomRealm");
        //1. 把 AuthenticationToken 转换为 UsernamePasswordToken
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        //如果设置里密码加密,此时前台传来的密码已经被加密了
        //2. 从 UsernamePasswordToken 中来获取 username
        String username = upToken.getUsername();
       
        //3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
        System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");

        //4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
        if ("unknown".equals(username)) {
            throw new UnknownAccountException("用户不存在!");
        }
        //5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常.
        if ("monster".equals(username)) {
            throw new LockedAccountException("用户被锁定");
        }

        //6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为:        SimpleAuthenticationInfo
       
        //1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象.
        Object principal = username;
        //2). credentials: 密码. 从数据库中获取的,先写死
        Object credentials =123 ; 
     
        //3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
        String realmName = getName();
      
         // shiro 为我们做一个密码的比对 credentials 和 upToken (中的密码)进行比对
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, realmName);
      
        return info;

    }
    
}

由于shiroFilter会拦截from表单的提交请求,所以我们要在shiroFilter对登录请求放开,让其可以匿名访问

 @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        
        ....
           Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
              filterChainDefinitionMap.put("/shiro/login", "anon");
              //用户退出
              filterChainDefinitionMap.put("/shiro/logout", "logout");
    }

list.jsp 用户登录成功后的页面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
list page
   <!--用户退出 ,用户登录后,不进行退出操作 ,回退到登录界面,这时密码不正确也会登录成功,所以当用户正常退出,需要有一个登出请求   -->
<a href="shiro/logout">logout</a>
    <!-- 登出请求被shiroFilter拦截到,然后匹配到url,过滤器名称位logout,shiro位会为我们做用户退出-->
</body>
</html>

测试:

来到login.jsp页面

用户名输入 unknown 或 monster 会被捕获异常 ,密码不是123 ,登录也会失败,重定向到login.jsp,可以查看控制台的信息。

器名称位logout,shiro位会为我们做用户退出–>

```

测试:

来到login.jsp页面

用户名输入 unknown 或 monster 会被捕获异常 ,密码不是123 ,登录也会失败,重定向到login.jsp,可以查看控制台的信息。

SpringBoot+Shiro后端无法获取到Header里面的Token问题
relosy的博客
06-02 2227
最近在做一个后台用Spring boot、Shiro、Mybatis plus 前台用React的项目.前端调完登录接口后。在调后台接口的时候需要在浏览器中的headers头中添加token的值,后台有一个过滤器,获取到headers中的token并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和值,并且前端会报跨域问题。 之前在写的时候一直用的postman测试,也没有遇到问题,其实是因为Postman本身就没有跨域问题。前后端联调时就遇到了.
SpringBoot之集成Shiro中出现的一个问题logout没有作用(实际上时authcBasic导致的问题)
编程学习者的博客
04-13 3031
1.声明 当前的内容用于本人学习和使用之用,关于本人在一次偶然的机会发现的一个bug,一个关于shiro的bug(SpringBoot中集成Shiro的时候调用logout出现的bug) 2.pom文件配置 <parent> <groupId>org.springframework.boot</groupId> <artifactId>sprin...
随记shrio
tc19910219的博客
06-27 428
随记shrio 第一记:shrio之身份认证(Authentication或Authenticator)之默认配置INITREALM 第一步:导入jar包 第步:配置SecurityManager,这个SecurityManager可以放认证所需要的认证域,不用Spring-boot,那么就需要用工厂的方式产生SecurityManager.示例: Factory<SecurityMana...
Shiro入门学习之路(一)
qq_33419463的博客
05-16 535
首先来看一个图 可以看到shiro主要分两个大块: 1.subject 主体 2.Security Manager subject可以理解为我们当前的操作用户 Security Manager是shiro的核心部分,其中包含以下几个 -Authenticator 认证器 -Authorizer 授权器 -Session Manager Session管理器...
章 身份验证 (一) 登录、退出
yifanSJ的博客
08-15 2019
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID 一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在 shiro 中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principal
Shiro实现logout操作
ZZHMMD957
01-22 1万+
这里我们通过配置Shiro的方式实现用户的登出操作! 1.继承Shiro包中的LogoutFilter类,并且重写preHandle方法 package com.shitong.service.impl; import org.apache.shiro.subject.Subject; import org.apache.shiro.web.filter.authc.LogoutFilter
shiro整合springboot,前后端分离项目踩坑记录
duagh7的博客
07-15 1094
一、重写过滤器 shiro自己帮我们封装了一系列过滤器,对于常见的一些操作,比如登陆,登出,认证不通过等,shiro会通过我们配置的url,找到相应过滤器,做完操作会跳转到我们配置的跳转url中。但是对于前后端分离项目,前端通过ajax调用接口,获取返回值展示后再跳。比如展示“暂无权限”等提示语,友好一些。所以要对shiro已有的过滤器进行继承重写。 登出过滤器: public class...
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
shiro 学习资料
12-27
学习 Apache Shiro 的过程中,你需要理解它的核心组件、配置方式以及如何与具体应用结合。Shiro 的灵活性和易用性使其成为 Java 开发者处理安全问题的首选工具之一。通过深入学习和实践,你可以更好地掌握这个框架...
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
shiro学习资料
08-29
2. **Realms**:连接Shiro和应用程序的安全数据源,如数据库或LDAP,用于获取用户身份验证和授权信息。 3. **Authentication**:用户身份验证,确认用户身份是否有效。 4. **Authorization**:权限控制,决定用户...
ShiroSubject对象详解
热门推荐
和我一起学习吧
03-29 4万+
什么是Subject对象通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。如何获得Subject对象首先创建一个初始化文件shiro.ini[users] root=123,admin,person manage=123,campaign [roles] admin=* person = xia...
shiro实现登录登出_我的shiro之旅: 十三 shiro 用户的登录与退出 | 学步园
weixin_36211941的博客
01-16 665
shiro的登录与退出非常简单,在这里简单给出代码,更详细可以参考官网。(1)用户的登录public void login(User user, HttpServletRequest request, HttpServletResponse response) {user.encodePassword();baseLogin(user, request, response);}public vo...
shiro框架下的logout说明
abou15871390117的博客
11-15 1万+
在使用shiro管理框架下,在登录拦截时我们可以注销掉如下代码: /* //用户退出 @RequestMapping("/logout") public String logout(HttpSession session)throws Exception{ //session失效 session.invalidate(); //重定向到商品查询页面 return "redirec
Apache Shiro 退出
王浩的技术博客
10-18 330
退出操作可以通过调用subject.logout()来释放你的登录信息,如: currentUser.logout(); //removes all identifying information and invalidates their session too. 当你调用logout,任何现有的Session 都将会失效,而且任何身份都将会失去关联(例如,在Web 应用程...
解决spring boot shirologout过滤器任何请求都会调用的问题
genaro26的博客
06-11 3358
最近发现了一个问题,我写了一个shiro logout过滤器,本意是在退出登录时清空一些缓存,如下: public class CustomLogoutFilter extends LogoutFilter{ private static String checkOutFlag = "checkOut"; private Cache<String, Deque<Seri...
shiro 自定义logout路径
逝者如风
06-28 3724
${adminPath}/logout = logoutshiro 登出走 LogoutFilter 过滤器,登出默认重定向到redirecUrl这个地址(/)public class LogoutFilter extends AdviceFilter { private static final Logger log = LoggerFactory.getLogger(Logo...
Shiro-Subject 分析
汪小哥
12-18 2万+
Subject反正就好像呈现的视图。所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者; 对于上面这句话的理解呢?怎么去理解这个很重要,看看别人的代码设计的流程也是比较的清楚的,Subject都绑定到了SecurityManager,因此我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值