• 导入依赖(pom.xml) 

        <!--整合Shiro安全框架-->

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.4.0</version>

        </dependency>

        <!--集成jwt实现token认证-->

        <dependency>

            <groupId>com.auth0</groupId>

            <artifactId>java-jwt</artifactId>

            <version>3.2.0</version>

        </dependency>

  • 在 SpringBoot 项目配置 config 包下创建 ShiroConfig 配置类

@Configuration

public class ShiroConfig {

    /**

     * ShiroFilterFactoryBean

     * <p>

     * anon:无需认证就可以访问

     * authc:必须认证才能访问

     * user:必须拥有 记住我 功能才能用

     * perms:拥有对某个资源的权限能访问

     * role:拥有某个角色权限能访问

     */

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {

        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

        // 设置安全管理器

        factoryBean.setSecurityManager(defaultWebSecurityManager);

        // 添加shiro的内置过滤器

        Map<String, String> filterMap = new LinkedHashMap<>();

        // 放行不需要权限认证的接口

        // 网站首页

        filterMap.put("/", "anon");

        filterMap.put("/index", "anon");

        filterMap.put("/index.html", "anon");

        // 不验证跳转接口

        filterMap.put("/into/**", "anon");

        // 需要权限认证的接口

        // 验证跳转接口

        filterMap.put("/verifyInto/**", "authc");

        factoryBean.setFilterChainDefinitionMap(filterMap);

        // 访问没有授权的资源

        factoryBean.setLoginUrl("redirect:/into/login");

        // 设置无权限时跳转的url

        factoryBean.setUnauthorizedUrl("redirect:/into/login");

        return factoryBean;

    }

    /**

     * 管理shiro的生命周期

     */

    @Bean("lifecycleBeanPostProcessor")

    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {

        return new LifecycleBeanPostProcessor();

    }

    /**

     * 注入 密码登录CustomRealm

     */

    @Bean

    @DependsOn("lifecycleBeanPostProcessor")

    public UserPasswordRealm userPasswordRealm() {

        return new UserPasswordRealm();

    }

    /**

     * 注入 邮箱验证登录EmailRealm

     */

    @Bean

    @DependsOn("lifecycleBeanPostProcessor")

    public UserEmailRealm userEmailRealm() {

        return new UserEmailRealm();

    }

    /**

     * 默认安全管理器

     */

    @Bean

    public DefaultWebSecurityManager securityManager(UserPasswordRealm userPasswordRealm, UserEmailRealm userEmailRealm, AbstractAuthenticator abstractAuthenticator) {

        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();

        List<Realm> realms = new ArrayList<>();

        realms.add(userPasswordRealm);

        realms.add(userEmailRealm);

        defaultWebSecurityManager.setRealms(realms);

        // 记住我

        defaultWebSecurityManager.setRememberMeManager(cookieRememberMeManager());

        defaultWebSecurityManager.setAuthenticator(abstractAuthenticator);

        return defaultWebSecurityManager;

    }

    /**

     * 认证器 把我们的自定义验证加入到认证器中

     */

    @Bean

    public AbstractAuthenticator abstractAuthenticator(UserPasswordRealm userPasswordRealm, UserEmailRealm userEmailRealm) {

        // 自定义模块化认证器,用于解决多realm抛出异常问题

        //开始没用自定义异常问题,发现不管是账号密码错误还是什么错误

        //shiro只会抛出一个AuthenticationException异常

        ModularRealmAuthenticator authenticator = new MyCustomModularRealmAuthenticator();

        // 认证策略:AtLeastOneSuccessfulStrategy(默认),AllSuccessfulStrategy,FirstSuccessfulStrategy

        authenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());

        // 加入realms

        List<Realm> realms = new ArrayList<>();

        realms.add(userPasswordRealm);

        realms.add(userEmailRealm);

        authenticator.setRealms(realms);

        return authenticator;

    }

    /**

     * 加入shiro注解  代理生成器 切面

     */

    @Bean

    @DependsOn({"lifecycleBeanPostProcessor"})

    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {

        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();

        advisorAutoProxyCreator.setProxyTargetClass(true);

        return advisorAutoProxyCreator;

    }

    /**

     * 加入shiro注解 切点

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

        return authorizationAttributeSourceAdvisor;

    }

    /**

     * 设置cookie 记住我生成cookie

     */

    @Bean

    public CookieRememberMeManager cookieRememberMeManager() {

        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();

        cookieRememberMeManager.setCookie(rememberMeCookie());

        return cookieRememberMeManager;

    }

    /**

     * 设置cookie有效时间

     */

    @Bean

    public SimpleCookie rememberMeCookie() {

        /*这个参数是cookie的名称,对应前端页面的checkbox的name=remremberMe*/

        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");

        /*cookie的有效时间为30天,单位秒*/

        simpleCookie.setMaxAge(259200);

        return simpleCookie;

    }

}

  • 创建自定义验证器 MyCustomModularRealmAuthenticator 类

public class MyCustomModularRealmAuthenticator extends ModularRealmAuthenticator {

    @Override

    protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {

        AuthenticationStrategy authenticationStrategy = this.getAuthenticationStrategy();

        AuthenticationInfo authenticationInfo = authenticationStrategy.beforeAllAttempts(realms, token);

        Iterator var5 = realms.iterator();

        while (var5.hasNext()) {

            Realm realm = (Realm) var5.next();

            authenticationInfo = authenticationStrategy.beforeAttempt(realm, token, authenticationInfo);

            if (realm.supports(token)) {

                AuthenticationInfo info = null;

                Throwable t = null;

                info = realm.getAuthenticationInfo(token);

                authenticationInfo = authenticationStrategy.afterAttempt(realm, token, info, authenticationInfo, t);

            }

        }

        authenticationInfo = authenticationStrategy.afterAllAttempts(token, authenticationInfo);

        return authenticationInfo;

    }

}

  • 创建密码登录时验证授权 UserPasswordRealm 类

@Component

public class UserPasswordRealm extends AuthorizingRealm {

    // 注入用户业务

    @Autowired

    private UserMapper userMapper;

    /**

     * 授权

     */

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        System.out.println("————密码授权————doGetAuthorizationInfo————");

        return null;

    }

    /**

     * 认证

     */

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        System.out.println("————密码认证————doGetAuthenticationInfo————");

        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        // 连接数据库  查询用户数据

        QueryWrapper<User> wrapper = new QueryWrapper<>();

        wrapper.eq("user_name", userToken.getUsername());

        User user = userMapper.selectOne(wrapper);

        // 验证用户

        if (user == null) {

            throw new UnknownAccountException();

        }

        return new SimpleAuthenticationInfo("", user.getUserPassword(), "");

    }

    /**

     * 用来判断是否使用当前的 realm

     *

     * @param var1 传入的token

     * @return true就使用,false就不使用

     */

    @Override

    public boolean supports(AuthenticationToken var1) {

        return var1 instanceof UsernamePasswordToken;

    }

}

  • 创建邮件验证码登录时验证授权 UserEmailRealm 

@Component

public class UserEmailRealm extends AuthorizingRealm {

    // 注入用户业务

    @Autowired

    UserService userService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("————邮箱登录授权————doGetAuthorizationInfo————");

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        System.out.println("————邮箱登录认证————doGetAuthenticationInfo————");

        UserEmailToken userEmailToken = (UserEmailToken) token;

        String userEmail = (String) userEmailToken.getPrincipal();

        // 连接数据库  查询用户数据

        QueryWrapper<User> wrapper = new QueryWrapper<>();

        wrapper.eq("user_email", userEmail);

        User user = userService.getOne(wrapper);

        //因为没有密码,并且验证码在之前就验证了

        if (user == null) {

            throw new UnknownAccountException();

        }

        return new SimpleAuthenticationInfo("", userEmail, "");

    }

    /**

     * 用来判断是否使用当前的 realm

     *

     * @param var1 传入的token

     * @return true就使用,false就不使用

     */

    @Override

    public boolean supports(AuthenticationToken var1) {

        return var1 instanceof UserEmailToken;

    }

}

  • 创建邮件验证码登录验证通过生成令牌的 UserEmailToken 类(密码登录时使用shiro默认的 UsernamePasswordToken 令牌)

@Data  // 使用lombok 生成get方法、set方法

public class UserEmailToken implements HostAuthenticationToken, RememberMeAuthenticationToken {

    private String userEmail;

    private boolean rememberMe;

    private String host;

    public UserEmailToken() {

        this.rememberMe = false;

    }

    public UserEmailToken(String userEmail) {

        this(userEmail, false, null);

    }

    public UserEmailToken(String userEmail, boolean rememberMe) {

        this(userEmail, rememberMe, null);

    }

    public UserEmailToken(String userEmail, boolean rememberMe, String host) {

        this.userEmail = userEmail;

        this.rememberMe = rememberMe;

        this.host = host;

    }

    @Override

    public String getHost() {

        return host;

    }

    @Override

    public boolean isRememberMe() {

        return rememberMe;

    }

    /**

     * 重写getPrincipal方法

     */

    @Override

    public Object getPrincipal() {

        return userEmail;

    }

    /**

     * 重写getCredentials方法

     */

    @Override

    public Object getCredentials() {

        return userEmail;

    }

}

  • 创建密码盐值加密 MDPasswordUtil 工具类 

public class MDPasswordUtil {

    public String getMDPasswordUtil(String userName, String userPassword) {

        String hashAlgorithmName = "MD5";  // 加密方式:md5加密

        Object credentials = userPassword;  // 密码

        Object salt = ByteSource.Util.bytes(userName); // 盐

        int hashIterations = 512;  // 加密次数

        Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);

        return result.toString();

    }

}

  • 控制层用户密码登录

// 用户密码登录

    @PostMapping("/passwordLogin")

    public String userLogin(@RequestParam("userName") String userName,

                            @RequestParam("userPassword") String userPassword,

                            HttpSession session, Model model) {

        // 获取当前的用户

        Subject subject = SecurityUtils.getSubject();

        // 对密码进行MD5盐值加密

        String md5Password = new MDPasswordUtil().getMDPasswordUtil(userName, userPassword);

        // 封装用户的登录数据

        UsernamePasswordToken token = new UsernamePasswordToken(userName, md5Password);

        //rememberme记住我

        token.setRememberMe(true);

        try {

            // 登录,验证,保存令牌

            subject.login(token);

            //查询登录信息

            QueryWrapper<User> wrapper = new QueryWrapper<>();

            wrapper.eq("user_name", userName);

            User user = userService.getOne(wrapper);

            //保存登录用户信息

            session.setAttribute(user.getUserId().toString(), user);

           return "admin";

        } catch (UnknownAccountException e) {

            model.addAttribute("userError", "用户名错误!请重新输入。");

            return "login";

        } catch (IncorrectCredentialsException ice) {

            model.addAttribute("pwError", "密码错误!请重新输入。");

            return "login";

        }

    }

  • 控制层用户邮件验证码密码登录

 // 用户邮箱登录

    @PostMapping("/emailLogin")

    public String emailLogin(@RequestParam("userEmail") String userEmail,

                             @RequestParam("emailCode") String emailCode,

                             HttpSession session, Model model) {

        // 根据userEmail从session中取出发送的验证码

        String sendEmailCode = (String) session.getAttribute(userEmail);

        // 比对验证码

        if (StringUtils.isNoneBlank(sendEmailCode) && sendEmailCode.equals(emailCode)) {

            try {

                UserEmailToken token = new UserEmailToken(userEmail);

                //rememberme记住我

                token.setRememberMe(true);

                // 登录,验证,保存令牌

                Subject subject = SecurityUtils.getSubject();

                subject.login(token);

                //查询登录信息

                QueryWrapper<User> wrapper = new QueryWrapper<>();

                wrapper.eq("user_email", userEmail);

                User user = userService.getOne(wrapper);

                //保存登录用户信息

                session.setAttribute(user.getUserId().toString(), user);

                // 销毁验证码

                session.removeAttribute(emailCode);

                return "admin";

            } catch (Exception e) {

                model.addAttribute("error", "验证码错误!请重新输入。");

                return "login";

            }

        } else {

            return "login";

        }

    }

  • SpringBoot 整合 Shiro 密码登录与邮件验证码登录(多 Realm 认证)就可以了 (有点多,哈哈哈)

推荐大神:狂神说Java

SpringBoot 整合 Shiro 密码登录与邮件验证码登录(多 Realm 认证)的更多相关文章

  1. SpringBoot整合Shiro实现权限控制,验证码

    本文介绍 SpringBoot 整合 shiro,相对于 Spring Security 而言,shiro 更加简单,没有那么复杂. 目前我的需求是一个博客系统,有用户和管理员两种角色.一个用户可能有 ...

  2. SpringBoot整合Shiro完成验证码校验

    SpringBoot整合Shiro完成验证码校验 上一篇:SpringBoot整合Shiro使用Redis作为缓存 首先编写生成验证码的工具类 package club.qy.datao.utils; ...

  3. 补习系列(6)- springboot 整合 shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

  4. SpringBoot系列十二:SpringBoot整合 Shiro

    声明:本文来源于MLDN培训视频的课堂笔记,写在这里只是为了方便查阅. 1.概念:SpringBoot 整合 Shiro 2.具体内容 Shiro 是现在最为流行的权限认证开发框架,与它起名的只有最初 ...

  5. SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...

  6. springboot整合Shiro功能案例

    Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...

  7. SpringBoot 整合Shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

  8. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期

    写在前面 通过前几篇文章的学习,我们从大体上了解了shiro关于认证和授权方面的应用.在接下来的文章当中,我将通过一个demo,带领大家搭建一个SpringBoot整合Shiro的一个项目开发脚手架, ...

  9. SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理|前后端分离(下)----筑基后期

    写在前面 在上一篇文章<SpringBoot整合Shiro+MD5+Salt+Redis实现认证和动态权限管理(上)----筑基中期>当中,我们初步实现了SpringBoot整合Shiro ...

随机推荐

  1. NodeRED常用操作

    NodeRED常用操作 记录使用在云服务器操作NodeRED过程中常用的一些过程或方法 重启NodeRED 通过命令行重启 我的NodeRED在pm2的自启动管理下,因此使用pm2进行重启 pm2 r ...

  2. 这次一定要记住opencv和cv2是什么及其基础用法

    opencv是一个基于BSD许可发行(也就是俗称的开源)的跨平台计算机视觉库,可以运行在Linux.Windows.Android和Mac OS上.由一系列 C 函数和少量 C++ 类构成的它轻量且高 ...

  3. docker部署 springboot 多模块项目+vue

    之前学习了docker,今天就来试试将这个项目打包成docker镜像并通过运行一个镜像来运行项目.这里使用的项目是el-admin.是一个开源的springboot后端管理框架(前端vue),有兴趣的 ...

  4. HDU-6874 Decision 倍增 (2020 HDU多校 D7 D)

    Decision 题意 从 \([0,t]\) 中等概率的选取两个数字 \(v_1,v_2\), 定义序列 \(X\) 有 \(X_0=v1+v2,X_{n+1}=(aX_n+c) \mod m\). ...

  5. 【uva 1658】Admiral(图论--网络流 最小费用最大流)

    题意:有个N个点M个边的有向加权图,求1~N的两条不相交路径(除了起点和终点外没有公共点),使得权和最小. 解法:不相交?也就是一个点只能经过一次,也就是我后面博文会讲的"结点容量问题&qu ...

  6. hdu3565 Bi-peak Number (有上界和下界的数位dp)

    Problem Description A peak number is defined as continuous digits {D0, D1 - Dn-1} (D0 > 0 and n & ...

  7. Codeforces Round #552 (Div. 3) C. Gourmet Cat (数学,模拟)

    题意:你要带着你的喵咪一起去旅行,你的喵在星期\(1,4,7\)吃喵粮\(x\),在星期\(2,6\)吃喵粮\(y\),在星期\(3,5\)吃喵粮\(z\),你只有\(a\)个\(x\),\(b\)个 ...

  8. Uva 12436 Rip Van Winkle's Code

    Rip Van Winkle was fed up with everything except programming. One day he found a problem whichrequir ...

  9. 记一次亲身体验的勒索病毒事件 StopV2勒索病毒

    昨天给笔记本装了 windows server 2016 操作系统,配置的差不多之后,想使用注册机激活系统.使用了几个本地以前下载的注册机激活失败后,尝试上网搜索. 于是找到下面这个网站(这个网站下载 ...

  10. Kill pending windows service

    Get-Service winrm -Verbose $winrmService=Get-CimInstance -ClassName win32_Service |? {$_.Name -eq &q ...