首页 > 其他分享 >详谈 springboot整合shiro

详谈 springboot整合shiro

时间:2023-08-16 23:23:35浏览次数:34  
标签:用户名 springboot 登录 UsernamePasswordToken 认证 Shiro 详谈 login shiro

背景:

上文学习了shrio 基本概念后,本章将进一步的落地实践学习,在springboot中如何去整合shrio,整个过程步骤有个清晰的了解。

 

利用Shiro进行登录认证主要步骤:

1. 添加依赖:首先,在pom.xml文件中添加Spring Boot和Shiro的相关依赖。

<!-- Spring Boot -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<!-- Shiro -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-starter</artifactId>
    <version>1.7.1</version>
</dependency>

2. 创建Shiro配置类:创建一个ShiroConfig类,用于配置Shiro的相关信息和组件。(对于配置的解释和作用见第三章杂谈

@Configuration
public class ShiroConfig {

    // 配置安全管理器
    @Bean
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        return securityManager;
    }

    // 配置自定义Realm
    @Bean
    public MyRealm myRealm() {
        return new MyRealm();
    }

    // 配置Shiro过滤器
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager());
        shiroFilterFactoryBean.setLoginUrl("/login"); // 设置登录页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); // 设置未授权页面

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        // 允许匿名访问的路径
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/static/**", "anon");

        // 需要认证才能访问的路径
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
}

 3. 创建自定义Realm:创建一个MyRealm类,继承AuthorizingRealm并实现相关方法,用于处理认证和授权逻辑

public class MyRealm extends AuthorizingRealm {

    // 处理认证逻辑
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 从token中获取用户名
        String username = (String) authenticationToken.getPrincipal();

        // 模拟从数据库或其他存储中获取用户信息
        // 例如,从数据库中查询用户信息并返回
        String dbPassword = "123456"; // 假设从数据库中查询的密码是123456

        // 返回认证信息,包括用户名和密码
        return new SimpleAuthenticationInfo(username, dbPassword, getName());
    }

    // 处理授权逻辑
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 从PrincipalCollection中获取用户名
        String username = (String) principalCollection.getPrimaryPrincipal();

        // 模拟从数据库或其他存储中获取用户角色和权限信息
        // 例如,从数据库中查询用户对应的角色和权限并返回
        Set<String> roles = new HashSet<>();
        roles.add("admin"); // 假设用户拥有admin角色

        Set<String> permissions = new HashSet<>();
        permissions.add("user:read"); // 假设用户拥有user:read权限

        // 创建授权信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(roles);
        authorizationInfo.setStringPermissions(permissions);

        return authorizationInfo;
    }
}

4. 创建登录接口和登录页面:创建一个登录接口处理用户的登录请求

@Controller
public class LoginController {

    @GetMapping("/login")
    public String login() {
        return "login";
    }

    @PostMapping("/login")
    public String doLogin(String username, String password) {
        // 执行登录逻辑
        Subject currentUser = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        try {
            currentUser.login(token); // 执行登录
            return "redirect:/home"; // 登录成功后跳转到首页
        } catch (AuthenticationException e) {
            return "redirect:/login-error"; // 登录失败后跳转到错误页面
        }
    }
}

整体的执行流程:

  1. 用户在浏览器中访问登录页面,输入用户名和密码,并点击登录按钮。

  2. Controller层的LoginController类中的doLogin方法被调用,该方法接收用户名和密码作为参数。

  3. 创建一个Subject对象,该对象代表当前正在与应用程序交互的用户。

  4. 创建一个UsernamePasswordToken对象,将用户名和密码设置为该对象的属性。

  5. 调用Subject对象的login方法,将UsernamePasswordToken对象作为参数传递进去。

  6. Subject对象将UsernamePasswordToken对象传递给Shiro进行认证。

  7. Shiro框架会调用MyRealm类中的doGetAuthenticationInfo方法,该方法用于处理认证逻辑。

  8. doGetAuthenticationInfo方法中,从UsernamePasswordToken对象中获取用户名。

  9. 可以根据需要,从数据库或其他存储中获取与用户名对应的用户信息,例如密码等。

  10. 将获取到的用户信息与UsernamePasswordToken对象中的密码进行比较,判断用户是否通过认证。

  11. 如果认证成功,创建一个SimpleAuthenticationInfo对象,将用户名、数据库中的密码和Realm名称作为参数传递给它。

  12. SimpleAuthenticationInfo对象会被返回给Shiro框架,表示认证成功。

  13. Shiro框架会将认证成功的信息保存在Subject对象中。

  14. 如果认证失败,将抛出AuthenticationException异常。

  15. doLogin方法中,通过捕获AuthenticationException异常,可以处理登录失败的情况,例如重定向到登录失败页面。

  16. 如果登录成功,可以根据需要执行一些操作,例如重定向到首页或其他需要登录后才能访问的页面。

总结起来,整个执行流程如下:

  1. 用户输入用户名和密码,并提交登录表单。
  2. Controller层的LoginController类中的doLogin方法接收到登录请求。
  3. 创建Subject对象,代表当前用户。
  4. 创建UsernamePasswordToken对象,将用户名和密码设置为其属性。
  5. 调用Subject对象的login方法,将UsernamePasswordToken对象作为参数传入。
  6. Shiro框架调用MyRealm类中的doGetAuthenticationInfo方法,处理认证逻辑。
  7. doGetAuthenticationInfo方法中,获取用户名和密码,并与数据库中的信息进行比较。
  8. 如果认证成功,返回一个SimpleAuthenticationInfo对象,表示认证通过。
  9. 如果认证失败,抛出AuthenticationException异常。
  10. doLogin方法中,根据认证结果执行相应的操作,例如重定向到登录成功页面或登录失败页面。

标签:用户名,springboot,登录,UsernamePasswordToken,认证,Shiro,详谈,login,shiro
From: https://www.cnblogs.com/beyond-tester/p/17636466.html

相关文章

  • SpringBoot项目统一处理返回值和异常
    目录简介前期准备统一封装报文统一异常处理自定义异常信息简介当使用SpringBoot开发Web项目的API时,为了与前端更好地通信,通常会约定好接口的响应格式。例如,以下是一个JSON格式的响应,通过返回码和返回信息告知前端具体的操作结果或错误信息。如果操作成功,前端可以通过"data"字段......
  • SpringBoot3.x 启动 refresh 过程解析
    Spring容器创建后,会调用它的refresh方法,refresh的时候会做很多事情:如完成配置类解析、各种BeanFactoryPostProcessor和BeanPostProcessor的注册、国际化配置的初始化、web内置容器的构造等等。web程序对应Spring容器为AnnotationConfigServletWebServerApplicationContext。Servlet......
  • 拉去springboot 项目时java8 本地时java11 时idea编译不通过
    解决方法:1、 2、 3、 ......
  • 基于springboot度假村管理系统
    随着互联网技术和信息化技术的不断深入发展,利用互联网技术进行信息化管理有了很大的提高,从而使得信息管理变的越来越快捷。面对互联网的发展提升引发的新的管理方式,度假村管理人员急需要一套管理系统来规范度假村各项信息的自动化。通过该系统度假村管理人员都能够做到度假村信息的......
  • 基于springboot物资类运维任务管理系统
    本课题重点主要完成了对于Springboot框架的线上物资运维系统的需求分析、开发、设计和测试。完整的系统主要包含了物料信息、采购申请、入库申请、出库信息、员工信息这几大模块,满足了用户在线物资运维的需求,提高了物资行业的信息化水平。技术方案如下:通过在myeclipse的平台上去开......
  • shiro用户登录验证
    @ApiOperation(value="用户登录",notes="用户登录",httpMethod="POST")@PostMapping({"/login"})publicResultVOlogin(@ApiParam(name="username",value="用户名",required=true)@RequestPar......
  • springboot 整合sentinel 和nacos实现流量控制
    方案一使用sentinel控制面板1、启动sentineljava-jarsentinel.jar2、在自己应用user中添加依赖<modelVersion>4.0.0</modelVersion><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-pa......
  • SpringBoot3 学习笔记 (整合Druid)
    一、Druid Github地址:https://github.com/alibaba/druid/二、配置数据源1、在https://mvnrepository.com/artifact/com.alibaba/druid上找最新的版本 2、在pom.xml中添加上Druid数据源依赖<!--https://mvnrepository.com/artifact/com.alibaba/druid--><dependency......
  • SpringBoot3 学习笔记 (整合Mybatis-plus)
    1、引入依赖,网址:https://mvnrepository.com/artifact/com.baomidou 找到mybatis-plus-boot-starter这里最新版本为3.5.3.2,点击进去2、在pom.xml中添加依赖,并确认依赖中已经有了mysql-connector-j的依赖<!--https://mvnrepository.com/artifact/com.baomidou/mybatis-pl......
  • 单元测试中的@SpringBootTest和@RunWith
    背景:平常都是写功能,写业务代码忽略了对测试案例的理解,借此机会梳理记录一下测试案例中常用到的的几个注解。一:@SpringBootTest作用是加载ApplicationContext,启动spring容器。使用@SpringBootTest时并没有像@ContextConfiguration一样显示指定locations或classes属性,原因在于@Sprin......