2. 程式人生 > >shiro許可權驗證

shiro許可權驗證

阿新 發佈:2019-02-09

上次介紹了shiro的一些理論知識,這次用一些程式碼來具體實現角色驗證與登入驗證
首先介紹一下使用的環境:
SpringBoot + Mybatis + Shiro
新增的類

  1. ShiroRealm 繼承了AuthorizingRealm類,實現兩個方法,分別為登入許可權驗證,以及角色許可權驗證的功能。(註釋已經很詳細了,詳細瞭解請看註釋)
import com.aim.chenapp.dao.entity.UserInfoEntity;
import com.aim.chenapp.service.UserInfoService;
import
 
 com.fasterxml.jackson.databind.Module;
import org.apache.catalina.Role;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import
 
 org.apache.shiro.util.ByteSource;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.*;

public class ShiroRealm extends AuthorizingRealm {
    private Logger logger = LoggerFactory.getLogger(ShiroRealm.class);
    @Autowired
 

    private UserInfoService userInfoService;

    private SimpleAuthenticationInfo info = null;

    /**
     * 1.doGetAuthenticationInfo,獲取認證訊息,如果資料庫中沒有數,返回null,如果得到了正確的使用者名稱和密碼,
     * 返回指定型別的物件
     *
     * 2.AuthenticationInfo 可以使用SimpleAuthenticationInfo實現類,封裝正確的使用者名稱和密碼。
     *
     * 3.token引數 就是我們需要認證的token
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    //認證登入
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.將token裝換成UsernamePasswordToken
        UsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;
        logger.info("驗證當前Subject時獲取到token為:" + upToken.toString());
        // 2.獲取使用者名稱即可
        String username = upToken.getUsername();
        // 3.查詢資料庫,是否查詢到使用者名稱和密碼的使用者
        UserInfoEntity userInfo = userInfoService.selectByPhone(username);

        if(userInfo != null) {
            // 4.如果查詢到了,封裝查詢結果,返回給我們的呼叫
            Object principal =  userInfo.getPhoneNumber();
            Object credentials = userInfo.getPassword();
            ByteSource salt = ByteSource.Util.bytes(username);
            String realmName = this.getName();
            info = new SimpleAuthenticationInfo(principal, credentials, salt,realmName);
        }else {
            // 5.如果沒有查詢到,丟擲一個異常
            throw new AuthenticationException();
        }
        return info;
    }
    //授權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        logger.info("##################執行Shiro許可權認證##################");
        String username = (String) principalCollection.getPrimaryPrincipal();
        UserInfoEntity user = userInfoService.selectByPhone(username);
        if (user != null) {
            //許可權資訊物件info,用來存放查出的使用者的所有的角色(role)及許可權(permission)
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            //使用者的角色集合
            Set<String> list = new HashSet<>();
            list.add(user.getUserType());
            info.addRoles(list);
            //使用者的許可權集合
            info.addStringPermissions(list);
            return info;
        }
        // 返回null的話,就會導致任何使用者訪問被攔截的請求時,都會自動跳轉到unauthorizedUrl指定的地址
        return null;
    }
}
  1. 定義ShiroConfig類,主要實現定義攔截的介面,不攔截的介面,還有沒有許可權跳轉的介面,以及密碼加密的方式等

import com.aim.chenapp.beans.ShiroRealm;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //攔截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
        // 配置不會被攔截的連結 順序判斷
        //filterChainDefinitionMap.put("user/login", "anon");
//        filterChainDefinitionMap.put("/loginPage.html", "anon");
        //filterChainDefinitionMap.put("/power.html", "anon");
        //配置退出 過濾器,其中的具體的退出程式碼Shiro已經替我們實現了
        filterChainDefinitionMap.put("/user/login", "anon");
        filterChainDefinitionMap.put("/user/unPower", "anon");
        filterChainDefinitionMap.put("/user/doRegister", "anon");
        filterChainDefinitionMap.put("/user/register", "anon");
        filterChainDefinitionMap.put("/csyappService/selectLawyerIndex", "authc,roles[1]");
//        filterChainDefinitionMap.put("/csyappService/selectLawyerIndex", "roles[]");
//        filterChainDefinitionMap.put("/user/doLogout", "logout");
        //<!-- 過濾鏈定義,從上向下順序執行,一般將/**放在最為下邊 -->:這是一個坑呢,一不小心程式碼就不好使了;
        //<!-- authc:所有url都必須認證通過才可以訪問; anon:所有url都都可以匿名訪問-->
        filterChainDefinitionMap.put("/**", "authc");
        // 如果不設定預設會自動尋找Web工程根目錄下的"/login.jsp"頁面
        shiroFilterFactoryBean.setLoginUrl("/user/unPower");
        //未授權介面;
//        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean(name = "myShiroRealm")
    public ShiroRealm myShiroRealm(HashedCredentialsMatcher matcher){
        ShiroRealm myShiroRealm = new ShiroRealm();
//        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher("MD5");
//        matcher.setHashIterations(1024);
        myShiroRealm.setCredentialsMatcher(matcher);
        return myShiroRealm;
    }


    @Bean
    public SecurityManager securityManager(@Qualifier("hashedCredentialsMatcher") HashedCredentialsMatcher matcher){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm(matcher));
        return securityManager;
    }

    /**
     * 密碼匹配憑證管理器
     *
     * @return
     */
    @Bean(name = "hashedCredentialsMatcher")
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
          hashedCredentialsMatcher.setHashAlgorithmName("MD5");// 雜湊演算法:這裡使用MD5演算法;
        hashedCredentialsMatcher.setHashIterations(1024);// 雜湊的次數,比如雜湊兩次,相當於
        return hashedCredentialsMatcher;
    }
}

至此,shiro的配置已經完成,其他的程式碼都是非常簡單的操作,就不一一的寫了,相信大家都會。
再次提出一個小小的坑,就是用ajax傳送請求,每一次的session都 不同的解決方案,即是:在ajax上新增一個屬性

xhrFields: {
            withCredentials: true
            },

這樣每次傳送的請求session都是一個了,就不會使得驗證出現錯誤。

如有問題,敬請留言。

青春短暫,我_在路上。

相關推薦

簡單三步理解Shiro許可權驗證/登入

通過請求方式來判斷是初始請求還是驗證請求 一、 @RequestMapping(value ="/login", method =RequestMethod.GET)publicString sho

shiro許可權驗證標籤

例項: spring-shiro.xml 1 2 3 /admin/repairType/index = roles["ROLE_ADMIN"] /admin/user=roles["ROLE_ADMIN"] /admin/complaint/lis

shiro許可權驗證

上次介紹了shiro的一些理論知識,這次用一些程式碼來具體實現角色驗證與登入驗證 首先介紹一下使用的環境: SpringBoot + Mybatis + Shiro 新增的類 ShiroRe

SSM框架整合Apache Shiro,實現安全登入驗證許可權驗證功能

第一部分 Apache Shiro的簡介  1、什麼是 apache shiro : Apache Shiro是一個功能強大且易於使用的Java安全框架,提供了認證,授權,加密,和會話管理 如同 spring security 一樣都是是一個許可權安全框架,但是與Spri

Spring Boot Shiro許可權管理--自定義 FormAuthenticationFilter驗證碼整合

驗證碼 思路 shiro使用FormAuthenticationFilter進行表單認證,驗證校驗的功能應該加在FormAuthenticationFilter中,在認證之前進行驗證碼校驗。 需要寫FormAuthenticationFilter的子類,繼承FormAuth

許可權驗證框架Shiro

許可權驗證框架Shiro: Shiro簡介 什麼是Shiro: shiro是一個強大易用的Java安全框架,提供了認證,授權,加密,回話管理等功能; 認證(Authentication):使用者身份識別,常被稱為使用者“登入”,判斷使用者是否登陸,如果未登陸,則攔截其請求

shiro角色許可權驗證

shiro提供了對外驗證角色和許可權的API,都是通過Subject來呼叫。 @Test public void auth(){ Subject subject=SecurityUtils.getSubject(); UsernamePasswordToken t

使用使用maven專案實現Java安全框架Shiro的內建Realm:IniRealm進行登陸許可權驗證

1.我們先建一個maven專案,如圖: 2.在pom.xml中新增如下依賴: <dependencies> <dependency> <groupId>org.apache.shiro</groupId>

菜鳥學習shiro之用配置檔案實現登入,身份和許可權驗證2

Maven的和第一篇,一樣直接去複製使用 這篇部落格和上一篇沒有多大的區別,區別之處就是上一篇沒有實現許可權認證,將在這一篇中實現,這裡我們使用四郎給我們提供的內建類IniRealm,來實現登入,身份

shiro許可權驗證問題

/**  * Copyright &copy; 2012-2014 <a href="https://www.mycomm.com/mycommcrm">MyComm CRM</a> All rights reserved.  */ package com.thi

Shiro框架從入門到實戰程式碼(五)springMVC結合Shiro實現許可權驗證

LoginController @Controller public class LoginController { @RequestMapping("gologin.html") p

Jeeplus框架SSM+shiro許可權控制中實現跳過登入驗證訪問介面資料

新專案中用的Jeeplus框架,裡面用的shiro許可權控制,特別好用,但是如果單獨寫介面的話,總是會有登入驗證,下面上思路實現一行程式碼讓任意介面跳過登入限制。 正常程式碼生成機生成的程式碼不管它,這是每個模組都會自動生成的專案目錄下的模組目錄。 下面這個假設是我們自

菜鳥學習shiro之實現自定義的Realm,從而實現登入驗證,身份驗證許可權驗證4

講了那麼多使用的內建的類從而實現四郎,現在講自定義的境界 首先行家的依賴依然是第一篇的那個依賴 下邊是自定義的境界: import org.apache.shiro.authc.AuthenticationException; import org.apache.shi

shiro身份驗證

hello nds 郵箱 使用 自己 ger logout 如果 art 身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。 在shiro中,用戶需要提供principals (身份)和cre

登入許可權驗證之token驗證的原理和實現

原理 後端不在儲存認證資訊,而是在使用者登入的時候生成一個token,然後返回給前端,前端進行儲存,在需要進行驗證的時候將token一併傳送到後端,後端進行驗證 加密的方式:對稱加密和非對稱加密,對稱加密指的是加密解密使用同一個金鑰,非對稱加密使用公鑰和私鑰,加密用私鑰加密,解密用公鑰解密

登入的許可權驗證session的原理和實現

儲存方式原理: 登入成功後,儲存登入資訊到檔案/資料庫種,同時儲存建立時間和過期時間,下次驗證的時候取出來做驗證 使用express-session中介軟體來進行session的操作 1.安裝express-session npm install express-sess

基於JWT的許可權驗證及實戰演練

前言: 大部分系統,除了大部分金融類的系統需要嚴格的安全框架(如shiro),一般的系統安全性要求都不是很高,只需要簡單的許可權驗證(比如登入驗證)即可,下面將簡單介紹JWT用法及登入驗證的實現方式(註解方式) jwt分析(原理啊什麼的廢話就不說了,只說用法) hea

springmvc整合shiro許可權控制

一、什麼是Shiro   Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能:  認證 - 使用者身份識別,常被稱為使用者“登入”; 授權 - 訪問控制; 密碼加密 - 保護或隱藏資料防止被偷窺; 會話

MongoDB開啟許可權驗證及設定使用者名稱密碼

一、MongoDB資料庫角色 內建的角色 資料庫使用者角色:read、readWrite; 資料庫管理角色:dbAdmin、dbOwner、userAdmin; 叢集管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager

Shiro許可權管理】1.Shiro簡介

一、簡介 在Web系統中我們經常要涉及到許可權問題,例如不同角色的人登入系統,他操作的功能、按鈕、選單是各不相同的,這就是所謂的許可權。 Apache Shiro是Java的一個安全(許可權)框架,Shiro可以完成認證、授權、加密、會話管理、Web整合、快取等功能。適用於JavaSE和JavaEE