shiro登錄過程

原創 原創 2023-02-10 11:53

工作流程:

瀏覽器將用戶名、密碼、是否記住登錄等信息發送給登錄controller ,

new UsernamePasswordToken()獲取token,將用戶名、加密後的密碼、rememberMe,set到token中。SecurityUtils.getSubject();獲取subject對象,執行subect.login(token)進行登錄操作並捕獲可能出現的賬號密碼錯誤等異常。

 

1.前端登錄頁面將用戶名、密碼、是否記住登錄,傳入到Controller

Controller登錄方法:

//1.獲取shiro中的subject對象
Subject subject = SecurityUtils.getSubject();
//2.對用戶從頁面輸入的密碼進行加密處理
password = new Md5Hash(password,username,1024).toString();
System.out.println("加密後的密碼: " + password);
//3.創建shiro中的用戶名和密碼對象,將用戶輸入的用戶名密碼交給shiro管理
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//4.關於記住我的設置
System.out.println("是否記住我: " + rememberMe);
if(rememberMe){
    token.setRememberMe(true);
}
//5.調用shiro的登錄方法,調用後,shiro會自動執行Realm實現類===========
try {
    subject.login(token);
    System.out.println("開始登陸");
} catch (UnknownAccountException e) {
    return new Result(1, "賬號不存在");
}catch (IncorrectCredentialsException e){
    return new Result(1,"密碼錯誤");
}catch (AuthenticationException e){
    System.out.println("其他異常");
    return new Result(1,"其他異常");
}
return new Result(0, "登陸成功!");

/**
 * 註銷方法
 * @return
 */
public Result logout(){
    //1.獲取subject對象
    Subject subject =  SecurityUtils.getSubject();
    //2.返回註銷方法
    subject.logout();
    //3.返回
    return Result.ok("註銷成功");
}

獲取完數據後,shiro會自動執行Realm的實現類,實現類需要手動實現,如下:

/**
 * projectName: myproject
 * @author: xxx
 * time: 2021/9/6 21:17
 * description:  自定義realm對象
 *
 *  1.從數據庫根據用戶名,取出數據庫中的用戶名,密碼交給shiro框架
 *  2.根據用戶名,到數據庫取出用戶對應的角色和權限對象交給shiro框架管理
 */

public class MyUserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;
    @Autowired
    private MenuService menuService;
    @Autowired
    private RoleService roleService;

    /**
     *     用戶輸入的用戶名和密碼輸入正確,校驗完成後進行賦值操作
     *     根據用戶名到數據庫查詢這個用戶對應的角色和權限,交給shiro管理
     *     調用時機:在需要訪問資源的時候,需要角色和權限的視乎纔會調用此方法
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("已登陸成功,授予登錄用戶權限,也就是賦予用戶對應的角色和能夠訪問的菜單");

        //1.獲取當前登錄的用戶對象
        SysUsers sysUSers = (SysUsers) principalCollection.getPrimaryPrincipal();

        //2.獲取當前登錄用戶的 用戶id
        int uid = sysUSers.getId();

        //3.根據用戶id,查詢數據庫中這個用戶對應的角色集合和權限集合
        Set<String> roleList = roleService.findRoleListByUid(uid);
        Set<String> menuList = menuService.findMenuListbyUid(uid);

        //4.創建shiro中的用戶權限對象
        SimpleAuthorizationInfo auth = new SimpleAuthorizationInfo();

        //5.將查詢到的角色集合放入shiro的權限對象
        auth.setRoles(roleList);

        //6.將查詢到的權限集合放入shiro的權限對象
        auth.setStringPermissions(menuList);

        //7.返回shiro權限對象
        return auth;
    }

    /**
     *     根據用戶在頁面輸入的用戶名,查詢數據庫中的用戶名和密碼,交給shiro框架
     *     讓shiro框架進行對比用戶名,密碼是否正確
     *    調用時機:在controller調用subject.login(token);方法就會執行這個方法,進行用戶名 密碼校驗
     * @param auth
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        System.out.println("開始校驗用戶名和密碼................");

        //1.獲取用戶在瀏覽器輸入的用戶名
        String userName = (String) auth.getPrincipal();
        //2.根據用戶輸入的用戶名,查詢數據庫的用戶對象
        String password = new String((char[]) auth.getCredentials());
        //3.判斷用戶是否爲空,爲空則拋出異常
        SysUsers sysUSer = userService.findUserbyName(userName);
        if (sysUSer == null) {
            throw new UnknownAccountException("賬號不存在,請先註冊,再登錄!");
        }
        //4.對比數據庫的密碼和用戶輸入的密碼是否一致
        if(!password.equals(sysUSer.getPassword())){
            throw new IncorrectCredentialsException("密碼錯誤");
        }
        //5.判斷用戶狀態,1正常,其他爲鎖定狀態
        if(sysUSer.getStatus() != 1){
            throw new LockedAccountException("賬號被鎖定不允許登錄");
        }
        //6.封裝shiro中需要的權限對象,包括用戶名 密碼 以及當前用戶對象交給shiro返回
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName, password, this.getName());
        return info;
    }
}

其他Controller方法需要做權限驗證時,可以在上面加註解@RequiresPermissions("sys:product:add")

括號裏是權限字符串,用冒號連接

shiro註解用在Service和Controller層,但是如果Service層有事務註解,那麼shiro註解要放在Controller層。因爲兩個代理對象在類型轉換時會出現異常。

https://www.cnblogs.com/huangruiwu/p/15410382.html

 

 

 

2、接口獲取用戶名,密碼生成UsernamePasswordToken並提交認證:

@Controller
@RequestMapping("/api")
public class ApiController {
 
    @Autowired
    SysMenuService sysMenuService;
 
    @RequestMapping("/login")
    @ResponseBody
    public ResponseVO login(String username, String password) {
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //獲取當前的Subject
        Subject currentUser = SecurityUtils.getSubject();
        try {
            // 在調用了login方法後,SecurityManager會收到AuthenticationToken,並將其發送給已配置的Realm執行必須的認證檢查
            // 每個Realm都能在必要時對提交的AuthenticationTokens作出反應
            // 所以這一步在調用login(token)方法時,它會走到xxRealm.doGetAuthenticationInfo()方法中,具體驗證方式詳見此方法
            currentUser.login(token);
 
            //認證通過,將菜單信息返回給前端展示
            if (currentUser.isAuthenticated()) {
                MenuSystem menuSystem = sysMenuService.findMenuTree();
                Gson gson = new Gson();
                String menuJson = gson.toJson(menuSystem, MenuSystem.class);
                return ResultUtil.success("登錄成功!", menuJson);
            }
        } catch (UnknownAccountException e1) {
            e1.printStackTrace();
            return ResultUtil.error("用戶名不存在!");
        } catch (IncorrectCredentialsException e2) {
            e2.printStackTrace();
            return ResultUtil.error("密碼輸入錯誤!");
        } catch (Exception e) {
            e.printStackTrace();
            return ResultUtil.error(e.getMessage());
        }
        return ResultUtil.error("登錄失敗!");
    }

說明:這裏的菜單數據並沒有使用shiro標籤來實現,因爲layuimini的菜單渲染是通過json數據的形式來實現的,所以這裏我也是將菜單數據轉換成了json給前端。

如果認證通過,那麼通過subject.isAuthenticated()返回的結果就會是true,我們就可以認爲登錄成功了,此時,可以就可以將對應的菜單信息傳回給前端渲染展示了。

https://blog.csdn.net/superyu1992/article/details/125915866

https://blog.csdn.net/superyu1992/article/details/126014248

https://blog.csdn.net/superyu1992/article/details/126058351

 

https://blog.51cto.com/wyait/2082803

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

springboot整合shiro入門及學習筆記

入門demo index.html <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="

原創 2021-12-25 21:28:20

舊的Spring Security OAuth已停止維護,全面擁抱最新解決方案Spring SAS

Spring Authorization Server 替換 Shiro 指引 背景 Spring 團隊正式宣佈 Spring Security OAuth 停止維護,該項目將不會再進行任何的迭代 目前 Spring 生態中的 OA

原創 2024-03-01 13:24:07

JeecgBoot 框架升級Spring Boot 3.1.5步驟

JeecgBoot 框架升級 Spring Boot 3.1.5 步驟 Spring Boot 從 2.7.10升級到3.1.5有以下幾個點需要注意。 JDK版本支持從JDK 17-19版本 javax.servlet切換到jakarta

原創 2023-11-13 13:48:37

敲敲雲與JeecgBoot、明道雲、簡道雲 等低代碼平臺對比,那個更好用?

敲敲雲、JeecgBoot、明道雲和簡道雲都是目前市場上比較受歡迎的產品,它們都提供了一些相似的功能,但也有一些不同之處。下面將對這四款產品進行對比。 功能特點 敲敲雲 敲敲雲是一款雲端APaaS零代碼平臺,幫助企業快速搭建個性化業務應

原創 2023-11-02 01:59:58

122. springboot整合shiro

1.效果 2.說明 3.代碼 鏈接:https://pan.baidu.com/s/1RXSRglSym12d2WzWS08Eyg  提取碼:m1j6    

原創 2022-04-30 05:34:24

Shiro 使用 Token進行認證

引言 在一些老項目中,可能使用shiro進行權限認證和校驗,而shiro是基於cookie/session的, 在現在前後端分離開發的場景下,前端開發人員需要在本地和後端進行調試,勢必會遇到跨域的問題。 而現在隨着谷歌瀏覽器升級,已經禁止在

原創 2021-12-25 21:40:28

不會吧,你還不會用RequestId看日誌 ?

引言 在日常的後端開發工作中,最常見的操作之一就是看日誌排查問題,對於大項目一般使用類似ELK的技術棧統一搜集日誌,小項目就直接把日誌打印到日誌文件。那不管對於大項目或者小項目,查看日誌都需要通過某個關鍵字進行搜索,從而快速定位到異常日誌的

原創 2021-12-25 21:40:28

OA 系統源碼模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、當前流程

原創 2021-12-25 21:14:34

springboot mybatis 後臺框架平臺模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、

原創 2021-10-18 21:12:31

java springboot spring cloud 設計方案

------------------------------------------- 系統模塊 1. 權限管理:點開二級菜單進入三級菜單顯示 角色(基礎權限)和按鈕權限 角色(基礎權限): 分角色組和角色,獨立分配菜單權限和增刪改查權限。

原創 2021-10-13 21:12:33

shiro+jwt 認證登錄

本文章主要用於shiro權限做登錄 運用到的技術: 多數據源、Redis、 mybatisplus、swagger、jwt、shiro 具體代碼 :https://gitee.com/git_yl/jwt-shiro-boot (含數據庫表

原創 2021-09-24 21:31:05

apache shiro 反序列化漏洞復現

一,環境搭建 使用docker搭建測試環境 docker pull medicean/vulapps:s_shiro_1 systemclt restart docker docker run -d -p 8081:8080 medicea

原創 2021-09-14 21:18:14

SpringBoot 整合 Shiro 實現登錄攔截

一、搭建一個SpringBoot 項目。 二、導入shiro 相關座標: <dependency> <groupId>org.apache.shiro</groupId>

原創 2021-09-13 21:12:17

利用註解 + 反射消除重複代碼(Java項目)

作者 | Leilei Chen 來源 |  https://llchen60.com/ 1. 案例場景 假設銀行提供了一些 API 接口,對參數的序列化有點特殊,不使用 JSON,而是需要我們把參數依次拼在一起構成一個大字符串

程序猿DD 2021-09-13 21:36:08

架構師必備技能:Maven Archetype生成項目模板

基本每個公司的項目都有一套模板,只要開新項目直接複製一份改改包名和一些配置就初始化了一個新項目。這種方式有點繁瑣,有沒有通過命令甚至是可視化的方式從一個模板項目初始化項目。Maven其實有提供這種能力,這就是基於原型(Archetype

程序猿DD 2021-09-10 21:35:15