av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁(yè)技術(shù)文章
文章詳情頁(yè)

Spring Boot+Shiro實(shí)現(xiàn)一個(gè)Http請(qǐng)求的Basic認(rèn)證

瀏覽:4日期:2023-07-09 18:16:26
目錄前言實(shí)踐部分測(cè)試部分總結(jié)前言

今天跟小伙伴們分享一個(gè)實(shí)戰(zhàn)內(nèi)容,使用Spring Boot+Shiro實(shí)現(xiàn)一個(gè)簡(jiǎn)單的Http認(rèn)證。

場(chǎng)景是這樣的,我們平時(shí)的工作中可能會(huì)對(duì)外提供一些接口,如果這些接口不做一些安全認(rèn)證,什么人都可以訪問(wèn),安全性就太低了,所以我們的目的就是增加一個(gè)接口的認(rèn)證機(jī)制,防止別人通過(guò)接口攻擊服務(wù)器。

至于Shiro是什么,Http的Basic認(rèn)證是什么,王子就簡(jiǎn)單介紹一下,詳細(xì)內(nèi)容請(qǐng)自行了解。

Shiro是一個(gè)Java的安全框架,可以簡(jiǎn)單實(shí)現(xiàn)登錄、鑒權(quán)等等的功能。

Basic認(rèn)證是一種較為簡(jiǎn)單的HTTP認(rèn)證方式,客戶端通過(guò)明文(Base64編碼格式)傳輸用戶名和密碼到服務(wù)端進(jìn)行認(rèn)證,通常需要配合HTTPS來(lái)保證信息傳輸?shù)陌踩?/p>實(shí)踐部分

首先說(shuō)明一下測(cè)試環(huán)境。

王子已經(jīng)有了一套集成好Shiro的Spring Boot框架,這套框架詳細(xì)代碼就不做展示了,我們只來(lái)看一下測(cè)試用例。

要測(cè)試的接口代碼如下:

/** * @author liumeng */@RestController@RequestMapping('/test')@CrossOriginpublic class TestAppController extends BaseController { /** * 數(shù)據(jù)匯總 */ @GetMapping('/list') public AjaxResult test() {return success('測(cè)試接口!'); }}

使用Shiro,一定會(huì)有Shiro的攔截器配置,這部分代碼如下:

/** * Shiro過(guò)濾器配置 */ @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();// Shiro的核心安全接口,這個(gè)屬性是必須的shiroFilterFactoryBean.setSecurityManager(securityManager);// 身份認(rèn)證失敗,則跳轉(zhuǎn)到登錄頁(yè)面的配置shiroFilterFactoryBean.setLoginUrl(loginUrl);// 權(quán)限認(rèn)證失敗,則跳轉(zhuǎn)到指定頁(yè)面shiroFilterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);// Shiro連接約束配置,即過(guò)濾鏈的定義LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();// 對(duì)靜態(tài)資源設(shè)置匿名訪問(wèn)filterChainDefinitionMap.put('/favicon.ico**', 'anon');filterChainDefinitionMap.put('/lr.png**', 'anon');filterChainDefinitionMap.put('/css/**', 'anon');filterChainDefinitionMap.put('/docs/**', 'anon');filterChainDefinitionMap.put('/fonts/**', 'anon');filterChainDefinitionMap.put('/img/**', 'anon');filterChainDefinitionMap.put('/ajax/**', 'anon');filterChainDefinitionMap.put('/js/**', 'anon');filterChainDefinitionMap.put('/lr/**', 'anon');filterChainDefinitionMap.put('/captcha/captchaImage**', 'anon');// 退出 logout地址,shiro去清除sessionfilterChainDefinitionMap.put('/logout', 'logout');// 不需要攔截的訪問(wèn)filterChainDefinitionMap.put('/login', 'anon,captchaValidate');filterChainDefinitionMap.put('/ssoLogin', 'anon'); // 開啟Http的Basic認(rèn)證filterChainDefinitionMap.put('/test/**', 'authcBasic'); // 注冊(cè)相關(guān)filterChainDefinitionMap.put('/register', 'anon,captchaValidate');Map<String, Filter> filters = new LinkedHashMap<String, Filter>();filters.put('onlineSession', onlineSessionFilter());filters.put('syncOnlineSession', syncOnlineSessionFilter());filters.put('captchaValidate', captchaValidateFilter());filters.put('kickout', kickoutSessionFilter());// 注銷成功,則跳轉(zhuǎn)到指定頁(yè)面filters.put('logout', logoutFilter());shiroFilterFactoryBean.setFilters(filters);// 所有請(qǐng)求需要認(rèn)證authcBasicfilterChainDefinitionMap.put('/**', 'user,kickout,onlineSession,syncOnlineSession');shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean; }

這里我們要關(guān)注的是代碼中的

filterChainDefinitionMap.put('/test/**', 'authcBasic'); 這部分代碼,它指定了我們的測(cè)試接口啟動(dòng)了Http的Basic認(rèn)證,這就是我們的第一步。

做到這里我們可以嘗試的去用瀏覽器訪問(wèn)一下接口,會(huì)發(fā)現(xiàn)如下情況:

Spring Boot+Shiro實(shí)現(xiàn)一個(gè)Http請(qǐng)求的Basic認(rèn)證

這就代表Basic認(rèn)證已經(jīng)成功開啟了,這個(gè)時(shí)候我們輸入系統(tǒng)的用戶名和密碼,你以為它就能成功訪問(wèn)了嗎?

答案是否定的,我們只是開啟了認(rèn)證,但并沒(méi)有實(shí)現(xiàn)認(rèn)證的邏輯。

王子通過(guò)閱讀部分Shiro源碼,發(fā)現(xiàn)每次發(fā)送請(qǐng)求后,都會(huì)調(diào)用ModularRealmAuthenticator這個(gè)類的doAuthenticate方法,源碼如下:

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {assertRealmsConfigured();Collection<Realm> realms = getRealms();if (realms.size() == 1) { return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);} else { return doMultiRealmAuthentication(realms, authenticationToken);} }

可以看出,這個(gè)方法主要就是對(duì)Realm進(jìn)行了管理,因?yàn)槲覀兊南到y(tǒng)本身已經(jīng)有兩個(gè)Ream了,針對(duì)的是不同情況的權(quán)限驗(yàn)證,所以為了使用起來(lái)不沖突,我們可以繼承這個(gè)類來(lái)實(shí)現(xiàn)我們自己的邏輯,在配置類中增加如下內(nèi)容即可:

@Bean public ModularRealmAuthenticator modularRealmAuthenticator(){//用自己重新的覆蓋UserModularRealmAuthericator modularRealmAuthericator = new UserModularRealmAuthericator();modularRealmAuthericator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());return modularRealmAuthericator; }

然后在我們自己的UserModularRealmAuthericator類中重寫doAuthenticate方法就可以了,這里面的具體實(shí)現(xiàn)邏輯就要看你們自己的使用場(chǎng)景了。

我們可以自己新創(chuàng)建一個(gè)Realm來(lái)單獨(dú)校驗(yàn)Basic認(rèn)證的情況,或者共用之前的Realm,這部分就自由發(fā)揮了。

大概內(nèi)容如下:

public class UserModularRealmAuthericator extends ModularRealmAuthenticator { private static final Logger logger = LoggerFactory.getLogger(UserModularRealmAuthericator.class); @Override protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {assertRealmsConfigured();//強(qiáng)制轉(zhuǎn)換返回的tokenUsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;//所有RealmCollection<Realm> realms = getRealms();//最終選擇的RealmCollection<Realm> typeRealms = new ArrayList<>();for(Realm realm:realms){ if(...){ //這部分是自己的邏輯判斷,過(guò)濾出想要使用的RealmtypeRealms.add(realm); }}//判斷是單Realm 還是多Realmif(typeRealms.size()==1){ return doSingleRealmAuthentication(typeRealms.iterator().next(),usernamePasswordToken);}else{ return doMultiRealmAuthentication(typeRealms,usernamePasswordToken);} }}

Realm的具體實(shí)現(xiàn)代碼這里就不做演示了,無(wú)非就是判斷用戶名密碼是否能通過(guò)校驗(yàn)的邏輯。如果不清楚,可以自行了解Realm的實(shí)現(xiàn)方式。

Realm校驗(yàn)實(shí)現(xiàn)后,Basic認(rèn)證就已經(jīng)實(shí)現(xiàn)了。

測(cè)試部分

接下來(lái)我們?cè)俅问褂脼g覽器對(duì)接口進(jìn)行測(cè)試,輸入用戶名和密碼,就會(huì)發(fā)現(xiàn)接口成功響應(yīng)了。

我們來(lái)抓取一下請(qǐng)求情況

Spring Boot+Shiro實(shí)現(xiàn)一個(gè)Http請(qǐng)求的Basic認(rèn)證

可以發(fā)現(xiàn),Request Header中有了Basic認(rèn)證的信息Authorization: Basic dGVzdDoxMjM0NTY=

這部分內(nèi)容是這樣的,Basic為一個(gè)固定的寫法,dGVzdDoxMjM0NTY=這部分內(nèi)容是userName:Password組合后的Base64編碼,所以我們只要給第三方提供這個(gè)編碼,他們就可以通過(guò)編碼訪問(wèn)我們的接口了。

使用PostMan測(cè)試一下

Spring Boot+Shiro實(shí)現(xiàn)一個(gè)Http請(qǐng)求的Basic認(rèn)證

可以發(fā)現(xiàn)接口是可以成功訪問(wèn)的。

總結(jié)

到這里本篇文章就結(jié)束了,王子向大家仔細(xì)的介紹了如何使用Shiro實(shí)現(xiàn)一個(gè)Http請(qǐng)求的Basic認(rèn)證,是不是很簡(jiǎn)單呢。

以上就是Spring Boot+Shiro實(shí)現(xiàn)一個(gè)Http請(qǐng)求的Basic認(rèn)證的詳細(xì)內(nèi)容,更多關(guān)于Spring Boot+Shiro Http請(qǐng)求的Basic認(rèn)證的資料請(qǐng)關(guān)注好吧啦網(wǎng)其它相關(guān)文章!

標(biāo)簽: Spring
相關(guān)文章:
主站蜘蛛池模板: 久久精品成人 | 欧美日韩中文在线观看 | 久久99蜜桃综合影院免费观看 | 18gay男同69亚洲网站 | 成人性视频在线播放 | 一级在线观看 | 麻豆视频国产在线观看 | 91最新视频 | 日本视频一区二区 | 亚洲高清在线观看 | 一区二区三区亚洲 | 天天综合永久入口 | 黄网免费| 国产日韩欧美中文 | 91传媒在线观看 | 亚洲成人av | 欧美日韩淫片 | 国产精品久久久久久久久久久新郎 | 久久精品99国产精品 | 五月婷婷在线播放 | 精品av天堂毛片久久久借种 | 日韩中文字幕一区二区 | 91国自产| 中文在线一区 | 91视频官网 | 成人精品视频在线观看 | 欧美乱淫视频 | 欧美成人激情 | 欧美精品一区二区三区一线天视频 | 3级毛片| 日韩在线播放网址 | 久久r免费视频 | 不卡一区二区三区四区 | 日韩成人免费视频 | 欧美精品v国产精品v日韩精品 | 国产黄色网 | 国产精品欧美精品 | 亚洲a在线视频 | 尤物在线精品视频 | 婷婷综合| 一区二区三区高清 |