java shiro认证问题_框架

我也不清楚，没去看代码，但我知道如何解决。

是报这个错么

Caused by: javalangIllegalArgumentException: Odd number of characters

如果是的话就把spring-shiroxml里加密的部分去掉

</bean>

</property>

</bean>

改成

</bean>

使用Shiro实现有状态登录，即用户登录状态存储在服务器Session中，使用Shiro实现比较简单，我这里暂不进行讨论。

在一些环境中，可能需要把 Web 应用做成无状态的，即服务器端无状态，就是说服务器端不会存储像Session这种东西，而是每次请求时带上token之类的进行用户判断。

使用Shiro实现无状态登录的主要步骤有，禁用缓存、设置不创建session、关闭Session验证、关闭Session存储、注入自定义拦截器、开启Shiro的注解(如@RequiresRoles,@RequiresPermissions)等。

获取token,这里token写死为admin

添加增删改查接口，并设置需要的访问权限

关键是设置不创建Session

主要功能就是拦截>

随着社会的发展，现在前端展示的方式多样，由原本网页单一形式，到现在的网页、小程序、Android、IOS等多元化模式。由于前端展示的多元化，原有采用session有状态的认证方式已经无法满足需求，所以需要调整后台的技术框架，让系统能满足有状态认证和无状态token认证并存。

后台的管理系统是采用码云上开源的renren-security系统，该系统采用的认证框架是Shiro。考虑系统采用原本的权限控制采用Session方式，整体风险大且时间周期长，所以整合考虑采用SessionId作为token的方式，进行无状态的token认证方式。

登录时，POST用户名与密码到/login进行登入，如果成功返回一个会话ID，以会话ID作为token，失败的话直接返回401错误。之后用户访问每一个需要权限的网址请求必须在header中添加Authorization字段，例如Authorization: token，token为密钥。后台会进行token的校验，如果有误会直接返回401。

在login方法验证通过后，以SessionId作为token，通过json返回客户端。

重写Sessionmanager的getSessionId方法，获取token作为SessionId，同时修改request的“REFERENCED_SESSION_ID”为token，因为token为验证通过的sessionId，所以此request也会采用验证通过的Session进行获取验证和权限。

新建一个Maven工程，添加相关的依赖。

编写认证方法和授权方法。

重写继承DefaultWebSessionManager的SessionManager，修改getSessionId方法，通过获取的token作为SessionId。

配置Realm和SessionManager，还有关于路径的拦截等配置。

整体配置可以参考: >

所以我们需要修改配置，使服务允许访问我们的CAS服务器，如下：

修改完成之后，访问 >

这个就在在人员表了添加一个身份的字段 user_rank ,用这个来控制。用户登录到时候就会用登录信息，把这个 user_rank 字段带出来，在页面或者链接时候加上判断，哈这是简单的，看下官方的。

shiro安全框架是目前为止作为登录注册最常用的框架，因为它十分的强大简单，提供了认证、授权、加密和会话管理等功能。

shiro能做什么？

认证：验证用户的身份

授权：对用户执行访问控制：判断用户是否被允许做某事

会话管理：在任何环境下使用 Session API，即使没有 Web 或EJB 容器。

加密：以更简洁易用的方式使用加密功能，保护或隐藏数据防止被偷窥

Realms：聚集一个或多个用户安全数据的数据源

单点登录（SSO）功能。

为没有关联到登录的用户启用 "Remember Me“ 服务

Shiro 的四大核心部分

Authentication(身份验证)：简称为“登录”，即证明用户是谁。

Authorization(授权)：访问控制的过程，即决定是否有权限去访问受保护的资源。

Session Management(会话管理)：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。

Cryptography(加密)：通过使用加密算法保持数据安全

shiro的三个核心组件：　

Subject ：正与系统进行交互的人，或某一个第三方服务。所有 Subject 实例都被绑定到（且这是必须的）一个SecurityManager 上。

SecurityManager：Shiro 架构的心脏，用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时，实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全 *** 作。

Realms ：本质上是一个特定安全的 DAO。当配置 Shiro 时，必须指定至少一个 Realm 用来进行身份验证和/或授权。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC)，INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。

shiro整合SSM框架：

1加入 jar 包：以下jar包自行百度下载

2配置 webxml 文件

在webxml中加入以下代码—shiro过滤器。

<filter-name>shiroFilter</filter-name>

<filter-class>orgspringframeworkwebfilterDelegatingFilterProxy</filter-class>

<init-param>

<param-name>targetFilterLifecycle</param-name>

<param-value>true</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>shiroFilter</filter-name>

<url-pattern>/</url-pattern>

</filter-mapping>

3在 Spring 的配置文件中配置 Shiro

Springmvc配置文件中：<bean class="orgspringframeworkaopframeworkautoproxyDefaultAdvisorAutoProxyCreator"

depends-on="lifecycleBeanPostProcessor"/>

</bean>

Spring配置文件中导入shiro配置文件：

新建applicationContext-shiroxml

导入ehcache-shiroxml配置文件：

<!--

~ Licensed to the Apache Software Foundation (ASF) under one

~ or more contributor license agreements See the NOTICE file

~ distributed with this work for additional information

~ regarding copyright ownership The ASF licenses this file

~ to you under the Apache License, Version 20 (the

~ "License"); you may not use this file except in compliance

~ with the License You may obtain a copy of the License at

~ >

准备好了，接下来要写Realm方法了，新建shiro包，在包下新建MyRealmjava文件继承AuthorizingRealm

package shiro;import orgapacheshiroauthcAuthenticationException;import orgapacheshiroauthcAuthenticationInfo;import orgapacheshiroauthcAuthenticationToken;import orgapacheshiroauthcSimpleAuthenticationInfo;import orgapacheshiroauthccredentialHashedCredentialsMatcher;import orgapacheshiroauthzAuthorizationInfo;import orgapacheshiroauthzSimpleAuthorizationInfo;import orgapacheshirocryptohashMd5Hash;import orgapacheshirocryptohashSimpleHash;import orgapacheshirorealmAuthorizingRealm;import orgapacheshirosubjectPrincipalCollection;import orgapacheshiroutilByteSource;import orgspringframeworkbeansfactoryannotationAutowired;import beanuser;import daouserdao;public class MyRealm extends AuthorizingRealm {

@Autowired private userdao userdao;

String pass; /

授权:

@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

Object principal = principalCollectiongetPrimaryPrincipal();//获取登录的用户名

if("admin"equals(principal)){ //两个if根据判断赋予登录用户权限

infoaddRole("admin");

} if("user"equals(principal)){

infoaddRole("list");

}

infoaddRole("user");

return info;

} /

用户验证

@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//1 token 中获取登录的 username! 注意不需要获取password

Object principal = tokengetPrincipal();

//2 利用 username 查询数据库得到用户的信息

user user=userdaofindbyname((String) principal); if(user!=null){

pass=usergetPass();

}

String credentials = pass; //3设置盐值，（加密的调料，让加密出来的东西更具安全性，一般是通过数据库查询出来的。简单的说，就是把密码根据特定的东西而进行动态加密，如果别人不知道你的盐值，就解不出你的密码）

String source = "abcdefg";

ByteSource credentialsSalt = new Md5Hash(source);

//当前 Realm 的name

String realmName = getName(); //返回值实例化

SimpleAuthenticationInfo info =

new SimpleAuthenticationInfo(principal, credentials,

credentialsSalt, realmName);

return info;

} //init-method 配置

public void setCredentialMatcher(){

HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();

credentialsMatchersetHashAlgorithmName("MD5");//MD5算法加密

credentialsMatchersetHashIterations(1024);//1024次循环加密

setCredentialsMatcher(credentialsMatcher);

}

//用来测试的算出密码password盐值加密后的结果，下面方法用于新增用户添加到数据库 *** 作的，我这里就直接用main获得，直接数据库添加了，省时间

public static void main(String[] args) {

String saltSource = "abcdef";

String hashAlgorithmName = "MD5";

String credentials = "passwor";

Object salt = new Md5Hash(saltSource); int hashIterations = 1024;

Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);

Systemoutprintln(result);

}

好了，接下来我们写一个简单的action来通过shiro登录验证。

//登录认证

@RequestMapping("/shiro-login") public String login(@RequestParam("username") String username,

@RequestParam("password") String password){

Subject subject = SecurityUtilsgetSubject();

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

try { //执行认证 *** 作 subjectlogin(token);

}catch (AuthenticationException ae) {

Systemoutprintln("登陆失败: " + aegetMessage()); return "/index";

}

return "/shiro-success";

}

//温馨提示：记得在注册中密码存入数据库前也记得加密哦，提供一个utils方法//进行shiro加密，返回加密后的结果public static String md5(String pass){

String saltSource = "blog";

String hashAlgorithmName = "MD5";

Object salt = new Md5Hash(saltSource);int hashIterations = 1024;

Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);

String password = resulttoString();return password;

}

好了，shiro登录验证到这里完了

我们可以看到这个框架图，我们的整个交互都是与security Manager做交互，而这里面就有一个Session Manager的管理器，Shiro当然内置了实现，我们也可以根据接口拓展其功能，那么下面，我们就来了解一下shiro中关于Session管理的部分内容

这是一个管理器实现类，是shiro提供的可用的结构。

上面两个图是该SessionManager的方法，当然，这些方法并不是全部，因为这个默认的管理器其实继承于其他的一些结构，下面是整个sessionManager的UML图

有关这部分的源码分析，我会在下次有精力的时候用一篇文章更新

获取当前subject的主机地址，该地址是通过HostAuthenticationTokengetHost()提供的。

获取/设置当前Session的过期时间；如果不设置是默认的会话管理器的全局过期时间。

获取会话的启动时间和最后访问时间；如果是JavaSE应用需要自己定期调用sessiontouch()去更新最后访问时间；如果是web应用，每次进入ShiroFilter都会自动调用sessiontouch()来更新最后访问时间。

更新会话最后访问时间及销毁会话；当Subjectlogout()时会自动调用stop方法来销毁会话的。如果在web中，调用javaxservlet>

以上就是关于java shiro认证问题全部的内容，包括:java shiro认证问题、【SpringBoot】Shiro实现无状态登录、Shiro+SessionId构建token鉴权体系等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/web/9318537.html

java shiro认证问题

发表评论

评论列表（0条）