2. 程式人生 > >Shiro簡易使用記錄

Shiro簡易使用記錄

阿新 發佈:2018-12-14

1、自定義令牌:定義一個類,繼承自:UsernamePasswordToken

public class MyToken extend  UsernamePasswordToken

2、登陸操作:

Subject currentUser = SecurityUtils.getSubject();
currentUser.login(MyToken);

3、自定義密碼憑證:定義一個類,繼承自:AuthorizingRealm

public class UserRealm extends AuthorizingRealm

4、自定義授權操作(登陸之後),在自定義密碼憑證裡面重寫doGetAuthorizationInfo方法

    /**
     * 授權(驗證許可權時呼叫)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        LoginUser loginUser = (LoginUser) principals.getPrimaryPrincipal();
        int roleId = loginUser.getRoleId();
        String userType = loginUser.getUserType();
        //使用者許可權列表
        Set<String> permsSet = permissionBizService.getPermissionByRoleId(roleId, userType);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setStringPermissions(permsSet);
        return info;
    }

  5、自定義認證操作(登陸時候呼叫),在自定義密碼憑證裡面重寫doGetAuthenticationInfo

/**
     * 認證(登入時呼叫)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) {
        MyToken myToken = (MyToken ) token;
        String username = (String) myToken.getPrincipal();
        String password = new String((char[]) myToken.getCredentials());
        String userType = myToken.getUserType();
        LoginUser loginUser = userBizService.getUserByMobile(username, userType);
        if (loginUser == null) {
            //沒找到帳號
            throw new UnknownAccountException();
        }
            //交給AuthenticatingRealm使用CredentialsMatcher進行密碼匹配
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(loginUser, loginUser.getPassword(), getName());
        //session中不需要儲存密碼
        loginUser.setPassword(null);
        //將使用者資訊放入session中
        Session session = SecurityUtils.getSubject().getSession();
        session.setAttribute(Constants.SESSION_USER, loginUser);
        return authenticationInfo;
    }

6、使用自定義密碼校驗(在自定義認證操作方法裡面呼叫),在自定義密碼憑證裡面初始化initCredentialsMatcher方法

    @PostConstruct
    public void initCredentialsMatcher() {
        //該句作用是重寫shiro的密碼驗證,讓shiro用我自己的驗證
        setCredentialsMatcher(new CustomCredentialsMatcher());
    }

7、自定義密碼校驗:定義一個類,繼承自SimpleCredentialsMatcher

/**
 * 自定義密碼校驗
 **/
public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {

    @Override
    public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        Object tokenCredentials = String.valueOf(token.getPassword());
        Object accountCredentials = getCredentials(info);
        MyToken myToken = (MyToken) token;
        String loginType = myToken.getLoginType();
        //將密碼加密與系統加密後的密碼校驗,內容一致就返回true,不一致就返回false
        try {
            if (loginType.equals("0")){//使用使用者名稱+密碼登陸
                return PasswordHash.validatePassword(tokenCredentials.toString(), accountCredentials.toString());
            }else{//使用手機驗證碼登陸
                return true;
            }
        } catch (Exception e) {
            throw new ServiceException("密碼錯誤!");
        }
    }
}

相關推薦

Shiro簡易使用記錄

1、自定義令牌:定義一個類,繼承自:UsernamePasswordToken public class MyToken extend  UsernamePasswordToken 2、登陸操作: Subject currentUser = SecurityUtils.

shiro配置記錄(認證篇)

      最近部落格很久沒搞了,這幾天開始搞起來。。。。     這段時間在學習shiro許可權框架,我是以張開濤老師的部落格為主,孔浩老師的視訊為輔來學習的,無奈孔浩老師的視訊出的有點讓人捉急,後半

Shiro簡易例項:HelloWorld

 1.程式整體佈局: 2.新建工程/匯入jar包(pom.xml) <project xmlns="http://maven.apache.org/POM/4.0.0"  

Springboot整合shiro錯誤記錄

搞了一天,遇到大大小小的問題,參考了無數前輩的資料,最後貌似走通了。教程就不放了,放兩個我遇到的問題package com.xxx.config; import java.util.LinkedHashMap; import java.util.Map; import o

應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬(Shiro反序列化漏洞和ddg挖礦木馬)

var vpc hist crontab 使用 8.4 wget 序列化 coo 背景 某公司線上服務器意外發現一個Apache Shiro 反序列化漏洞,可以直接GetShell。出於做安全的謹慎,馬上出現場應急,確認漏洞。該漏洞存在在cookie字段中的remembe

centos6.5下tengine-2.2.2簡易安裝記錄

ase 編譯 log libpng AMM pda download yum源 ast 配置firewalld,iptables,關閉SELINUX 1、安裝必要的編譯環境好 由於Tengine安裝需要使用源代碼自行編譯,所以在安裝前需要安裝必要的編譯工具: y

成長記錄貼之springboot+shiro(一)

剛開始學習springboot+shiro的安全登入 專案整合參考的http://412887952-qq-com.iteye.com/blog/2299777,是我目前所見寫的最詳細的一位大佬 把各種問題和經驗記錄下來,以備後面學習使用。 這些只是小弟初學shiro的一些粗淺的理解,有

成長記錄貼之springboot+shiro(二) {完成一個完整的許可權控制,詳細步驟}

       近一個月比較忙,公司接了一個新專案,領導要求用shiro進行安全管理,而且全公司只有我一個java,從專案搭建到具體介面全是一個人再弄。不過剛好前段時間大概學習了一下shiro的使用,還算順利。       &n

一種簡易log記錄系統設計

/************************************************************* * 轉載時請保留部落格連結地址:https://blog.csdn.net/yunjie167/article/details/84285513 **************

LayoutInflater.inflate簡易的使用說明記錄

LayoutInflater它主要是用於Android載入佈局。 基本用法: LayoutInflater layoutInflater=LayoutInflater.from(this); View view=layoutInflater.inflate(R.layout.activity_

鑑於網上很多關於 shiro做集群后 session共享的回答 但是都有問題 我自己實踐寫一遍記錄

第一個是繼承 AbstractSessionDAO 這個類 這個類是shiro去儲存session的 import com.newcoin.manager.web.utils.ShiroSessionRedisManager; import org.apache.sh

[個人記錄] spring+shiro 整合

一、新增相關依賴 1 <dependency> 2 <groupId>org.apache.shiro</groupId> 3 <artifactId>shiro-core</arti

Spring整合shiro+nginx 實現訪問記錄

最近公司的網站需要新增使用者訪問記錄功能,由於使用了nginx請求轉發直接通過HttpServletRequest無法獲取使用者真實Ip 關於nginx獲取真實IP的資料  https://blog.csdn.net/bigtree_3721/article/details/72820081 獲

SDK簡易描述(記錄

SDK是一系列程式介面,文件,開發工具的集合, sdk即單單不是一個開發工具,也不是一個程式。一個完整的SDK應該包括以下內容: (1)介面檔案和庫檔案 (2)幫助文件 (3)開發示例 (4)實用工具。 介面檔案和庫檔案就是API,將底層的程式碼進行封裝保護,提供給使用者一個呼叫底層程式碼的

記錄一次解決shiro+cas的整合問題【重複重定向】

首先簡介一下工作中的情況: 公司之前的兩個專案,許可權和認證是用shir做的。現在需要將這兩個專案作為客戶端,做單點登陸(sso)。 這個重複重定向的問題真是由於自己不熟悉shiro造成的,網上的解決方案大概我都看過了,都試過了,然而。。。 工作準備: 1.之前沒有做過單點

新手最強許可權管理框架——Shiro簡易說明與開發配置

Apache Shiro是Java的一個安全框架。功能強大(強大......),使用簡單的Java安全框架,它為開發人員提供一個直觀而全面的認證,授權,加密及會話管理的解決方案。 實際上,Shiro的主要功能是管理應用程式中與安全相關的全部,同時儘可能支援多種實現方法。S

記錄自己在centos虛擬機器搭建簡易git伺服器的過程,分享給大家

心血來潮,想自己搭建一個git開發環境, 奈何linux小白, git小白, 只好搜尋網上資源,整理到一起。 完成之後,發現自己的知識貧乏至極, 繼續努力學習才是王道。 我的真機安裝的是Windows 8專業版。 在vmware上安裝了centos6.3-64位,

【新手須知】Spring Boot 2.0.0 + MyBatis + Shiro + Swagger 開發專案踩坑記錄

寫在前面 Swagger 2.8.0 Spring Boot 2.0.0.RELEASE Shiro 1.4.0 Mybatis 1.3.1 填坑 踩坑一: MyBatis xml檔案

shiro+mybatis+springmvc例項記錄(二)——shiro支援ajax請求

接上文,頁面跳轉顯然不適合動靜分離ajax互動的架構模式,因此就需要對框架進行改造優化,使得後臺能夠返回json資料給前端請求。 自定義攔截器 shiro對許可權、使用者資訊的校驗實在預設的攔截器中進行的,要改寫資料返回方式,則需要重寫攔截器。這裡我們分

簡單記錄一下shiro的驗證流程

關於shiro我就不說了,公司的用到shiro這兩天看了下,又重新認知了一遍使用者角色許可權之間的關係,在看shiro和web整合的時候,關於驗證流程這一塊記錄一下。 這裡直接寫驗證流程了:關於配置就不說了,這是與資料庫互動的shiro要依賴service層,