jfinal使用shiro实现登录功能,及Realm的使用

Shiro权限认证实践
最新推荐文章于 2020-12-18 18:49:12 发布
最新推荐文章于 2020-12-18 18:49:12 发布
阅读量327 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/2427561/blog/1524585
本文介绍了一个基于Shiro框架的登录授权功能实现过程,包括从客户端获取信息到服务器端的身份验证与权限验证流程。详细展示了如何利用ShiroRealm类进行用户身份验证及权限分配。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

现在开始实现框架的登录授权功能。

1.从客户端获取用户名,密码,是否记住等信息,生成token,通过subject.login(token)进行登录验证,如下:

public void login()
{
    String username = getPara("username");
    String password = getPara("password");
    String rememberMe = getPara("rememberMe");
    UsernamePasswordToken token = new UsernamePasswordToken(username, password, StrKit.notBlank(rememberMe) ? true : false);
    Subject subject = SecurityUtils.getSubject();
    try
    {
        //登录,即身份验证
        subject.login(token);
        redirect("/");
        return;
    }
    catch (AuthenticationException e)
    {
        //身份验证失败
    }
}

2.这里再简单叙述下验证及授权流程,作为上几篇认证和授权的总结。

(1)启动jfinal,会首先加载web.xml,并实例化里面的类,这里会创建EnvironmentLoaderListener的实例。EnvironmentLoaderListener在容器启动时创建 WebEnvironment 对象,并由该对象来读取 Shiro 配置文件,创建WebSecurityManager 与 FilterChainResolver 对象,同时创建一些有用的内置过滤器实例,并且自动的在[main]部分使用。如.ini文件配置,要使用authc,先定义其使用的类,这个类必须实现AuthenticatingFilter。

(2)调用方法subject.login(token)进行登录,最终委托接口SecurityManage的实现类的login方法。

(3)调用login方法的过程是:Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,权限信息,然后进行身份验证和权限验证。

(4)ShiroRealm具体实现如下:

public class ShiroRealm extends AuthorizingRealm
{

    // 用户服务类
    private final UserService userService = UserService.me();
    // 角色服务类
    private final RoleService roleService = RoleService.me();
    // 权限服务类
    private final PermissionService permissionService = PermissionService.me();

    /**
     * 获取登录用户拥有的角色和权限
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)
    {
        String username = (String)principals.getPrimaryPrincipal();//当前登录用户名
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        User user = userService.findByUsername(username); //根据用户名查找用户信息
        List<Role> roles = roleService.findRolesByUserId(user.getId());//根据用户名查找角色
        if(roles != null && roles.size() > 0)
        {
            for(Role role : roles)
            {
                authorizationInfo.addRole(role.getName());//将当前用户名下的角色存入authorizationInfo
            }
        }
        List<Permission> permissions = permissionService.findUserPermsByUserId(user.getId());
        if(permissions != null && permissions.size() > 0)
        {
            for(Permission permission : permissions)
            {
                authorizationInfo.addStringPermission(permission.getPermissionName());//将当前用户名下的权限存入authorizationInfo
            }
        }
        return authorizationInfo;
    }

    /**
     * 验证用户是否合法 
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException
    {
        String username = (String)token.getPrincipal();  //当前登录用户名
        User user = userService.findByUsername(username); //根据用户名查找用户信息
        if(StrKit.isBlank(username))
        {
            throw new AuthenticationException("用户名不可以为空");
        }
        if (user == null)
        {
            throw new AuthenticationException("用户名或者密码错误");
        }
        return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); //存入查询用户信息
    }
}

转载于:https://my.oschina.net/u/2427561/blog/1524585

shiro 实现多种方式登录_Shiro 使用多个 Realm 实现多种登录方式
weixin_42466331的博客
12-28 1822
前言大部分场景下,我们都会在项目中实现自定义 Realm 搭配 UsernamePasswordToken 来完成用户的登录认证流程,但是如果登录方式包括“第三方登录”、“手机号登录”等,仅凭 UsernamePasswordToken 就难以实现了,因为以上的两种登录方式都是免密登录,而 UsernamePasswordToken 却必须要有 username 和 password,因此需要自定...
java web网站中使用shiro实现前后台登录功能
三郎的博客
03-29 1万+
年前公司网站需要重新开发一个新版本,在架构设计上废了一些劲,我项目架构大概是这样:Spring作为容器,Mybatis做数据持久层,SpringMVC做控制层,Shiro做为安全框架,页面使用tomdjs引擎,大概是这样,由于是功能型网站,需要有前后台登录,后台需要审核以及数据统计和分析等等,所以涉及到了两端登录,这里不多说,直接上关键代码: <bean id="defineModularRea
jfinal+shiro整合的一个例子
08-19
eclipse+oracle+jfinal+shiro+sql自己参考网上资料整理!
JFinal 整合 Shiro 补充Realm类和数据库
weixin_34252090的博客
10-14 115
为什么80%的码农都做不了架构师?>>> ...
初步使用JFinal实现简单登录demo
scott_yes的博客
12-14 9492
一、环境的搭建(省略),在此使用的是JFinal手册推荐的启动方式,Tomcat启动方式百度,嘿哈。 二、使用mysql设计简单的数据库 三、整体结构 四、具体代码实现 User.java public class User extends Model{ public static final User dao = new User(); public List findA
jFinal拦截器验证登录
04-21
jFinal 使用拦截器验证用户是否登录
Jfinal通过拦截器实现登录验证
10-02
Jfinal通过拦截器实现登录验证,要访问控制层的方法必须先登录通过验证
shiro实现不同身份使用不同Realm进行验证.docx
10-29
在上述文档中提到的问题是关于如何使用 Shiro 实现不同的身份(如普通用户和管理员)使用不同的 Realm 进行验证RealmShiro 中扮演着数据源的角色,它负责与具体的后端数据存储进行交互,获取用户的凭证并验证...
shiro实现不同身份使用不同Realm进行验证.pdf
10-29
通过这种方式,我们实现了不同的身份使用不同的 Realm 进行验证,确保了普通用户和管理员登录的分离,增强了系统的安全性。在实际应用中,可以根据需求扩展更多的登录类型和对应的 Realm,以适应更复杂的用户管理...
shiro 实现多种方式登录_spring boot+shiro实现多种登录方式
weixin_39748928的博客
12-18 699
多种登录方式说白了就是账号密码登录和第三方登录(免密码)。账号密码登录的账号可能是手机号、邮箱、身份证号等等,这些到了shiro处理的时候就是username+password的处理;而第三方登录在本系统只需要校验用户是否存在。所涉及的类 开始引入shiro mavenorg.apache.shiroshiro-spring${shiro.version}配置基础的shiro@Configurat...
jfinal登录/注册;有验证验证,可运行
08-10
里面代码中有详细说明,配有jfinal验证验证验证
JFinal+token基础demo
05-21
基于JFinal的token认证demo
JFinal-shiro-oAuth
05-09 2849
记录下来一遍以后回顾. 先推荐几个参考项目  https://github.com/Dreampie/jfinal-shiro http://www.oschina.net/code/snippet_96568_33628 几个主要的文件 Maven pom.xml org.apache.oltu.oauth2 org.apache.oltu.oa
Jfinal---简单登录
男儿不展风云志,空负天生八尺躯。
11-21 792
一,至于配置什么的,按照文档上来就行了。 首先,创建登录的Cntroller public class LoginController extends Controller{ public void login() { //表示 通过路由 访问到这里。 render("login.xml"); } /** * 登录 */ public void denglu(){ ...
Apache Shiro Remember Me服务
王浩的技术博客
03-29 1万+
Shiro提供Remember服务,AuthenticationToken需要实现org.apache.shiro.authc.RememberMeAuthenticationToken接口,此接口提供了一个方法: boolean isRememberMe(); 如果该方法返回true,则Shiro 将会在整个会话中记住终端用户的身份ID。 注:经常使用的Us
Jfinal配合Shiro进行权限控制
热门推荐
Calvin的专栏
02-26 2万+
web项目总免不了用户的管理与注册,需求稍微再多一点儿,就涉及用户的角色及权限管理了,下面根据自己项目的实际经验,介绍如何在Jfinal项目中使用Shiro来进行简单的登陆及权限管理。主角简介 Jfinal 位居开源中国年度热门开源项目前列,简单好用快速的java web开发框架,用过就知道。 Shiro Apache基金会顶级项目,所以你懂得。java安全框架里的主流选择,号称相当简单,但是我至
Jfinal重复登录问题
weixin_34396103的博客
11-14 246
2019独角兽企业重金招聘Python工程师标准>>> ...
第二章 身份验证
逸轩
12-23 698
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但
jfinal整合shiro回顾
weixin_33901926的博客
08-30 139
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro实现无密码登录
最新发布
06-27
实现 Apache Shiro 中的无密码登录功能,通常需要绕过传统的基于用户名和密码的身份验证机制。这种需求在一些特定场景中非常常见,例如通过短信验证码、第三方授权令牌(如 OAuth2)或生物识别等方式进行身份验证。 以下是实现无密码登录的一般方法和步骤: ### 1. 自定义 `Realm` Shiro 的 `Realm` 是用于连接数据源并提供用户信息的核心组件。为了支持无密码登录,可以自定义一个 `Realm`,使其能够根据非密码的信息(如验证码、令牌等)来验证用户身份。 ```java public class CustomNoPasswordRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 授权逻辑 return null; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 在这里实现无密码验证逻辑 String username = (String) token.getPrincipal(); // 根据业务逻辑验证用户是否存在,并返回认证信息 if ("validUser".equals(username)) { return new SimpleAuthenticationInfo(username, "", getName()); } else { throw new UnknownAccountException("用户不存在"); } } } ``` ### 2. 使用自定义 `AuthenticationToken` 创建一个自定义的 `AuthenticationToken` 类型,以表示无密码登录请求。这个类将包含用户的唯一标识符(如手机号码、邮箱地址等),而不是传统的用户名和密码组合。 ```java public class NoPasswordAuthenticationToken implements AuthenticationToken { private String principal; public NoPasswordAuthenticationToken(String principal) { this.principal = principal; } @Override public Object getPrincipal() { return principal; } @Override public Object getCredentials() { return ""; // 不使用密码 } } ``` ### 3. 配置 Shiro 在配置文件中注册自定义的 `Realm` 和 `SecurityManager`,确保它们正确地集成到 Shiro 的安全框架中。 ```java @Configuration public class ShiroConfig { @Bean public Realm customNoPasswordRealm() { return new CustomNoPasswordRealm(); } @Bean public SecurityManager securityManager(Realm customNoPasswordRealm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(customNoPasswordRealm); return securityManager; } } ``` ### 4. 实现登录接口 在服务层实现登录接口,利用自定义的 `AuthenticationToken` 来完成无密码登录过程。 ```java @Service public class UserServiceImpl implements UserService { private final SecurityManager securityManager; public UserServiceImpl(SecurityManager securityManager) { this.securityManager = securityManager; } @Override public void login(UserLoginDTO loginDTO) { Subject currentUser = new Subject.Builder(securityManager).buildSubject(); AuthenticationToken token = new NoPasswordAuthenticationToken(loginDTO.getUsername()); try { currentUser.login(token); // 执行登录操作 } catch (AuthenticationException e) { // 处理异常情况 } } } ``` 通过以上步骤,可以在 Apache Shiro实现无密码登录的功能。需要注意的是,具体实现细节可能会根据实际应用场景有所不同,比如如何生成和验证验证码、如何处理用户状态等[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值