二、Shiro使用心得(完整样例)

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量365 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: runtime java 数据库
原文链接:http://www.cnblogs.com/yangming5423/p/10411005.html
本文详细介绍了使用Shiro框架进行用户认证、权限管理和配置的方法。包括自定义Realm的实现,Shiro配置详解,以及如何使用自定义注解进行方法级权限检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、用户认证

1 Subject currentUser = SecurityUtils.getSubject();
2 UsernamePasswordToken token = new UsernamePasswordToken(username, password.toCharArray());
3 currentUser.login(token);

二、自定义Realm

/**
     * 登录认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)
            throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        User user = 查询数据库;
        ShiroUser shiroUser = 创建ShiroUser;
        String credentials = user.getPassword();
        // 密码加盐处理
        String source = user.getSalt();
        ByteSource credentialsSalt = new Md5Hash(source);
        return new SimpleAuthenticationInfo(shiroUser, credentials, credentialsSalt, realmName);
    }

    /**
     * 权限认证
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
     
        ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal();
        List<Integer> roleList = shiroUser.getRoleList();

        Set<String> permissionSet = new HashSet<>();
        Set<String> roleNameSet = new HashSet<>();

        for (Integer roleId : roleList) {
            List<String> permissions = shiroFactory.findPermissionsByRoleId(roleId);
            if (permissions != null) {
                for (String permission : permissions) {
                    if (ToolUtil.isNotEmpty(permission)) {
                        permissionSet.add(permission);
                    }
                }
            }
            String roleName = shiroFactory.findRoleNameByRoleId(roleId);
            roleNameSet.add(roleName);
        }

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addStringPermissions(permissionSet);
        info.addRoles(roleNameSet);
        return info;
    }

三、Shiro配置

@Configuration
public class ShiroConfig {

    /**
     * 安全管理器
     */
    @Bean
    public DefaultWebSecurityManager securityManager(CookieRememberMeManager rememberMeManager, CacheManager cacheShiroManager, SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(this.shiroDbRealm());
        securityManager.setCacheManager(cacheShiroManager);
        securityManager.setRememberMeManager(rememberMeManager);
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }

    /**
     * spring session管理器(多机环境)
     */
    @Bean
    @ConditionalOnProperty(prefix = "guns", name = "spring-session-open", havingValue = "true")
    public ServletContainerSessionManager servletContainerSessionManager() {
        return new ServletContainerSessionManager();
    }

    /**
     * session管理器(单机环境)
     */
    @Bean
    @ConditionalOnProperty(prefix = "guns", name = "spring-session-open", havingValue = "false")
    public DefaultWebSessionManager defaultWebSessionManager(CacheManager cacheShiroManager, GunsProperties gunsProperties) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setCacheManager(cacheShiroManager);
        sessionManager.setSessionValidationInterval(gunsProperties.getSessionValidationInterval() * 1000);
        sessionManager.setGlobalSessionTimeout(gunsProperties.getSessionInvalidateTime() * 1000);
        sessionManager.setDeleteInvalidSessions(true);
        sessionManager.setSessionValidationSchedulerEnabled(true);
        Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);
        cookie.setName("shiroCookie");
        cookie.setHttpOnly(true);
        sessionManager.setSessionIdCookie(cookie);
        return sessionManager;
    }

    /**
     * 缓存管理器 使用Ehcache实现
     */
    @Bean
    public CacheManager getCacheShiroManager(EhCacheManagerFactoryBean ehcache) {
        EhCacheManager ehCacheManager = new EhCacheManager();
        ehCacheManager.setCacheManager(ehcache.getObject());
        return ehCacheManager;
    }

    /**
     * 项目自定义的Realm
     */
    @Bean
    public ShiroDbRealm shiroDbRealm() {
        return new ShiroDbRealm();
    }

    /**
     * rememberMe管理器, cipherKey生成见{@code Base64Test.java}
     */
    @Bean
    public CookieRememberMeManager rememberMeManager(SimpleCookie rememberMeCookie) {
        CookieRememberMeManager manager = new CookieRememberMeManager();
        manager.setCipherKey(Base64.decode("Z3VucwAAAAAAAAAAAAAAAA=="));
        manager.setCookie(rememberMeCookie);
        return manager;
    }

    /**
     * 记住密码Cookie
     */
    @Bean
    public SimpleCookie rememberMeCookie() {
        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
        simpleCookie.setHttpOnly(true);
        simpleCookie.setMaxAge(7 * 24 * 60 * 60);//7天
        return simpleCookie;
    }

    /**
     * Shiro的过滤器链
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        /**
         * 默认的登陆访问url
         */
        shiroFilter.setLoginUrl("/login");
        /**
         * 登陆成功后跳转的url
         */
        shiroFilter.setSuccessUrl("/");
        /**
         * 没有权限跳转的url
         */
        shiroFilter.setUnauthorizedUrl("/global/error");

        /**
         * 覆盖默认的user拦截器(默认拦截器解决不了ajax请求 session超时的问题,若有更好的办法请及时反馈作者)
         */
        HashMap<String, Filter> myFilters = new HashMap<>();
        myFilters.put("user", new GunsUserFilter());
        shiroFilter.setFilters(myFilters);

        /**
         * 配置shiro拦截器链
         *
         * anon  不需要认证
         * authc 需要认证
         * user  验证通过或RememberMe登录的都可以
         *
         * 当应用开启了rememberMe时,用户下次访问时可以是一个user,但不会是authc,因为authc是需要重新认证的
         *
         * 顺序从上到下,优先级依次降低
         *
         * api开头的接口,走rest api鉴权,不走shiro鉴权
         *
         */
        Map<String, String> hashMap = new LinkedHashMap<>();
        hashMap.put("/static/**", "anon");
        hashMap.put("/gunsApi/**", "anon");
        hashMap.put("/login", "anon");
        hashMap.put("/global/sessionError", "anon");
        hashMap.put("/kaptcha", "anon");
        hashMap.put("/**", "user");
        shiroFilter.setFilterChainDefinitionMap(hashMap);
        return shiroFilter;
    }

    /**
     * 在方法中 注入 securityManager,进行代理控制
     */
    @Bean
    public MethodInvokingFactoryBean methodInvokingFactoryBean(DefaultWebSecurityManager securityManager) {
        MethodInvokingFactoryBean bean = new MethodInvokingFactoryBean();
        bean.setStaticMethod("org.apache.shiro.SecurityUtils.setSecurityManager");
        bean.setArguments(new Object[]{securityManager});
        return bean;
    }

    /**
     * Shiro生命周期处理器:
     * 用于在实现了Initializable接口的Shiro bean初始化时调用Initializable接口回调(例如:UserRealm)
     * 在实现了Destroyable接口的Shiro bean销毁时调用 Destroyable接口回调(例如:DefaultSecurityManager)
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 启用shrio授权注解拦截方式,AOP式方法级权限检查
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor =
                new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }

}

三、使用自定义注解的方式进行Shiro方法的拦截(此处只粘出了自定义注解的使用和AOP拦截方式,具体的权限检查没有粘出)

@Inherited
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
public @interface Permission {

    /**
     * <p>角色英文名称</p>
     * <p>使用注解时加上这个值表示限制只有某个角色的才可以访问对应的资源</p>
     * <p>常用在某些资源限制只有超级管理员角色才可访问</p>
     */
    String[] value() default {};
}





/**
 * AOP 权限自定义检查
 */
@Aspect
@Component
@Order(200)
public class PermissionAop {

    @Pointcut(value = "@annotation(com.stylefeng.guns.core.common.annotion.Permission)")
    private void cutPermission() {

    }

    @Around("cutPermission()")
    public Object doPermission(ProceedingJoinPoint point) throws Throwable {
        MethodSignature ms = (MethodSignature) point.getSignature();
        Method method = ms.getMethod();
        Permission permission = method.getAnnotation(Permission.class);
        Object[] permissions = permission.value();
        if (permissions == null || permissions.length == 0) {
            //检查全体角色
            boolean result = PermissionCheckManager.checkAll();
            if (result) {
                return point.proceed();
            } else {
                throw new NoPermissionException();
            }
        } else {
            //检查指定角色
            boolean result = PermissionCheckManager.check(permissions);
            if (result) {
                return point.proceed();
            } else {
                throw new NoPermissionException();
            }
        }

    }

}

 

转载于:https://www.cnblogs.com/yangming5423/p/10411005.html

Shiro免密登录
xxfamly的博客
06-21 1万+
目录 1.千篇一律 2.点睛之笔 所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。 在网上查阅了一些贴子,套路基本一,照搬了全部代码,发现在强转AuthenticationToken为自定义Tok...
shiro免密码登录
n009ww的博客
07-18 1443
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多,比如短信验证码,邮箱验证码等其他手段。这就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
shiro多realm配置免密码登陆
Mr_Wanter
12-06 2205
情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用免密码shiro验证,需要多加一个免密码验证的realm,并保证两个realm都可用。 Shiro.xml 1、安全管理器中添加authenticator认证策略配置 &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.Default...
Shiro 实现免密登陆
Gblfy_Blog
10-22 4180
需求:对接第三方登陆,实现绕过原有Shiro认证登陆。 文章目录一、实现思路1. 现状分析2. 用户来源3. 所属范围、实现方案2.1. 自定义登录认证规则2.2. Shiro认证枚举2.3. 密码和非密码登录2.4. 规则配置2.5. 自定义Realm2.6. 案使用 一、实现思路 1. 现状分析 系统权框架默认使用Shiro 认证授权机制 2. 用户来源 从统一认证平台登录跳转过来的用户 3. 所属范围 登录限制由统一认证平台去做,但是,跳转过来的用户仍然走您本系统的登录流程,只是走本系统的登录.
Shiro免密码登录
m0_67401153的博客
08-24 2865
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
struts2shiro2springhiberante整合代码
01-29
5. 博文中的"shiroDemo"可能是一个包含整合代码的项目,可以作为学习和参考。在该示中,开发者可能已经完成了上述四个框架的集成,并实现了用户登录、角色权限控制等基本功能。 整合Struts2、Shiro、Spring和...
Apache Shiro 使用手册(Shiro 认证
09-15
使用 `SecurityUtils.getSubject()` 获取当前的 Subject,然后调用 `Subject.login(token)` 提交认证请求: ```java Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); ``` 3. **...
shiro~六章 完整Demo
09-04
跟我学shiro~六章 完整Demoshiro~六章 完整Demoshiro~六章 完整Demoshiro~六章 完整Demoshiro~六章 完整Demo
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增MyRetryLimitCredentialsMatcher,重写HashedCredentialsMatcher,主要是判定登录是否是免密登录。 4,新增LoginType,登录类型枚举 5,修改ShiroConfig文件,即Shiro配置文件,主要关注:57,63,65-90行 原文链接:https://blog.youkuaiyun.com/zlxls/article/details/105455375
免密码登录
01-26
不需要用户名和密码就可以登录,你信么?就是这种软件,很好用的,你也试试!?枚举
4.SpringBoot+Shiro免密登录
qq_27860623的博客
06-21 2803
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统免密登录和账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
SpringBoot+Shiro实现免密登录
qq_38410795冰淇淋的博客
09-07 2188
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
Shiro 免密登录
weixin_34355881的博客
11-03 310
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题
HaHa_Sir的博客
12-09 2831
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题 一、情景描述 在做微信扫码登录时候,流程是,根据获取的 微信unionId,查找到用户,且用户状态为可用时,即可实现登录;由于使用shiro为安全控制中心,查询出来的用户密码为加密的,且不可逆;所以要做一个Shiro免密登录策略。 、代码实现 1、Shiro 登录流程 Subject su...
Shiro权限控制框架实践教程:第至六章完整
本知识点将针对标题中提到的“shiro~六章 完整Demo”进行详细解析。 ### Shiro核心组件 1. **Subject**: 表示当前操作用户的主体,通常是一个用户。Subject可以是一个人,也可以是第三方服务、守护进程账户、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值