Java权限验证框架Shiro的入门

最新推荐文章于 2024-08-14 15:26:45 发布
最新推荐文章于 2024-08-14 15:26:45 发布
阅读量1.3k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ajax2Json/article/details/78073230
版权

1. Shiro简介


Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:

认证(Authentication):用户身份识别,常被称为用户“登录”,判断用户是否登陆,如果未登陆,则拦截其请求

授权(Authorization):访问控制。当用户登陆后,判断其身份是否有权限访问相应的资源,如果没有权限则拦截

密码加密(Cryptography):保护或隐藏数据防止被偷窃。将MD5进行二次封装,让其更加容易使用。注意MD5不可逆运算

会话管理(Session Management)

 Shiro内置过滤器

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

这些过滤器分为两组:

 认证过滤器:anon(不认证也可以访问),authcBasic, authc(必须认证后才可

访问)

  授权过滤器:perms(指定资源需要哪些权限才可以访问),Roles, ssl,rest, port


在maven的web子模块中加applicationContext_shiro.xml 配置

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd">

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!--安全管理器: shiro的核心,认证、授权、回话、缓存  -->
<property name="securityManager" ref="securityManager" />
<!-- 使用自定义的过滤器 -->
<property name="filters">
<map>
<!--如果key值与默认的相同时会替换掉  -->
<entry key="perms" value-ref="myPerms"></entry>
</map>
</property>
<!--如果没有登录 就跳转到登录页面  -->
<property name="loginUrl" value="/login.html" />
<!--如果用户没有权限 就跳转到错误页面  -->
<property name="unauthorizedUrl" value="/error.html" />
<!--过滤链 拦截规则  -->
<property name="filterChainDefinitions">
<value>
#1、anon 匿名
#2、perms 授权
#3、authc 认证
/error.html = anon
/login.html = anon

/goodstype.html=perms["商品类型"]
/goods.html=perms["商品"]
/dep.html=perms["部门"]
/emp.html=perms["员工"]
/orders.html=perms["采购订单查询","我的采购订单","采购审核","采购确认","采购入库","销售订单查询","我的销售订单","销售订单出库"]
/orders_*=perms["采购订单查询","我的采购订单","采购审核","采购确认","采购入库","销售订单查询","我的销售订单","销售订单出库"]

/storedetail.html=perms["商品库存"]
/storeoper.html=perms["库存变动记录"]
/supplier.html=perms["供应商管理","客户管理"]
/store.html=perms["仓库"]

/*.html = authc
</value>
</property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="erpRealm"></property>
</bean>
<bean id="myPerms" class="com.baidu.erp.filter.MyAuthorizationFilter"></bean>
<bean id="erpRealm" class="com.baidu.erp.realm.ErpRealm">
<property name="empBiz" ref="empBiz"></property>
<property name="menuBiz" ref="menuBiz"></property>
</bean>
<!-- 启动shiro注解 -->
<bean
class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor" >
<!-- 默认使用JDK代理 ,如被代理类没有实现接口,必须使用下列配置开启 cglib代理  -->
<property name="proxyTargetClass" value="true" />
</bean>
<bean
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>

<!-- 对安全管理器 增强代码 , spring 后处理器 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 

</beans>


创建一个自定义授权过滤器


Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。 
       从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。 

realm的创建:


/**
 * 自定义ream,实现认证与授权
 * @author Eric
 *
 */
public class ErpRealm extends AuthorizingRealm {

private IEmpBiz empBiz;

private IMenuBiz menuBiz;

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

//授权 告诉当前用户拥有的权限名称
SimpleAuthorizationInfo sai = new SimpleAuthorizationInfo();
Emp loginUser = (Emp)principals.getPrimaryPrincipal();//拿主事者
//用户所拥有的权限
List<Menu> menuList = menuBiz.getMenusListByEmpuuid(loginUser.getUuid());
//授权
for(Menu m : menuList){
//加入权限名称
sai.addStringPermission(m.getMenuname());
}

//sai.addStringPermission("采购订单查询");
/*sai.addStringPermission("我的采购订单");
sai.addStringPermission("采购确认");*/

return sai;
}

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//得到登陆令牌
UsernamePasswordToken upt = (UsernamePasswordToken)token;
//获取登陆用户名
String username = upt.getUsername();
//登陆密码
String pwd = new String(upt.getPassword());

Emp emp = empBiz.findByUsernameAndPwd(username, pwd);
if(null != emp){
//1: 主事者,主角,登陆用户
//2: 凭证, 密码
//3: realm的名称
return new SimpleAuthenticationInfo(emp,pwd,getName());
}

return null;
}
public void setEmpBiz(IEmpBiz empBiz) {
this.empBiz = empBiz;
}
public void setMenuBiz(IMenuBiz menuBiz) {
this.menuBiz = menuBiz;
}

}





Subject:正与系统进行交互的人,或某一个第三方服务。所有Subject实例都被绑定到(且这是必须的)一个SecurityManager上。

SecurityManager:Shiro架构的心脏,典型的Facade模式。用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当Shiro与一个Subject进行交互时,实质上是幕后的SecurityManager处理所有繁重的Subject安全操作。

Realms:本质上是一个特定安全的DAO。当配置Shiro时,必须指定至少一个Realm用来进行身份验证和/或授权。Shiro提供了多种可用的Realms来获取安全相关的数据。如关系数据库(JDBC),INI及属性文件等。可以定义自己Realm实现来代表自定义的数据源。




Ajax的请求
关注
Shiro权限框架 01(shiro框架入门
m0_67094505的博客
08-24 457
Shiro是Apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权。​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是一个权限框架,它和Spring依赖过于紧密,没有Shiro使用简单。Shiro不依赖于Spring,Shiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
Shiro框架入门到实战
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证认证)、授权(权限控制)、加密和会话管理功能。本教程"Shiro框架入门到实战"将带你全面了解和掌握这个框架,以实现高效的Web网站权限管理。...
这可能是史上功能最全的Java权限认证框架
04-24
这可能是史上功能最全的Java权限认证框架! Sa-Token 功能一览: 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限认证 —— 权限认证、角色认证、会话二级认证 Session会话 —— 全端共享Session、单端独享Session、自定义Session 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线 账号封禁 —— 指定天数封禁、永久封禁、设定解封时间 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失 分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案 微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证 单点登录 —— 内置三种单点登录模式:无论是否跨域、是否共享Redis,都可以搞定 OAuth2.0认证 —— 基于RFC-6749标准编写,OAuth2.0标准流程的授权认证,支持openid模式 二级认证 —— 在已登录的基础上再次认证,保证安全性 Basic认证 —— 一行代码接入 Http Basic 认证 ......
重磅推荐:很全的 Java 权限认证框架
程序员闪充宝
03-08 912
来源:GitHub上sa-token项目今天给大家推荐的这个开源项目超级棒,可能是史上功能最全的 Java 权限认证框架!这个开源项目就是:sa-token 。Sa-Token是什么?s...
基于java常用的用户权限架构
最新发布
ts977的博客
08-14 410
Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。Shiro的核心架构包括Subject(主体)、SecurityManager(安全管理器)等组件。Shiro能够清晰地处理认证、授权、会话管理以及密码加密等任务,且配置和使用相对简单,依赖性低,可以独立运行,支持多线程应用的并发验证Shiro适用于多种应用场景,包括JavaSE和JavaEE项目,以及Web环境。它提供了丰富的功能,如用户登录、权限验证、会话管理、加密保护等,且支持缓存机制以提高效率。
史上功能最全的Java权限认证框架
永远年轻
03-12 2303
文章目录Sa-Token是什么?Sa-Token 能做什么?代码示例官网地址sa-token 使用示例SpringBoot 环境1. 创建项目2. 设置jar包依赖3. 配置文件4. 启动类5. 运行 Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证权限认证、Session会话、单点登录、OAuth2.0 等一系列权限相关问题 框架针对踢人下线、自动续签、前后台分离、分布式会话……等常见业务进行N多适配,通过sa-token,你可以以一种极简的方式实现系统的
shiro入门
weixin_45176963的博客
11-03 159
Shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shir...
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro 是一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
Shiro入门.rar
06-12
在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一、Shiro基本概念** 1. **认证**:也称为身份验证,是确认用户身份的过程,通常通过用户名和密码进行验证。 2. **授权**:也称为...
很全的 Java 权限认证框架
z_ssyy的博客
05-04 1093
今天给大家推荐的这个开源项目超级棒,可能是史上功能最全的 Java 权限认证框架!。
shiro入门级使用(纯java应用)
weixin_34279246的博客
11-22 149
1. 创建一个新的java应用(maven) 在pom文件中引入如下依赖: <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <groupId>org.apache.shiro&l...
java shiro实例_shiro入门示例
weixin_32115639的博客
02-16 110
一、pom引入maven依赖junitjunit4.12commons-loggingcommons-logging1.2org.apache.shiroshiro-core1.3.2二、从ini文件获取用户名密码shiro.ini文件[users]admin=123456单元测试:@Testpublic void demoIni(){//init配置文件初始化SecurityManager工厂F...
这可能是史上功能最全的 Java 权限认证框架
民工哥的博客
07-27 899
点击关注公众号,回复“1024”获取2TB学习资源!今天给大家推荐的这个开源项目超级棒,可能是史上功能最全的 Java 权限认证框架!Sa-Token 介绍Sa-Token是一个轻量级Ja...
Java权限控制框架看它就够了之Shiro
雲浩的博客
11-29 1480
Java权限控制框架看它就够了共分为三个部分: 1、Java权限控制框架看它就够了之Shiro 2、Java权限控制框架看它就够了之Spring Security 3、Java权限控制框架看它就够了之Spring Security Oauth2 这三个权限框架博客将于近期发布,敬请关注哦!!!!!!!!!!!!!!!!!!!!!!!!!!!! 一、Shiro简介 首先我还是先介绍一波Shiro是做什么的吧。Shiro框架是Apache基金会开源维护的一个Java安全框架。它为...
shiro入门(一)
qq_43059674的博客
10-12 148
Shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shi...
基于Springboot搭建java项目(二十五)——权限认证框架Sa-token
m0_46616045的博客
02-01 1953
以上是对Sa-token的主要功能模块的简介,具体的使用详情可参考官方文档https://sa-token.cc/doc.html#/这个框架我自己使用了三个月了,对于一个轻量级的项目来说还是非常友好的,集成和使用都非常便捷,后续我也会写一篇文章来总结一下在使用这个框架过程当中遇到的坑。有问题可以评论或者私信联系我哦。
Java Web安全框架Shiro入门教程
"Shiro 教程,JAVA WEB安全框架学习笔记,涵盖了身份验证、授权、配置、加密、REALM、WEB集成、拦截器、JSP标签、会话管理和缓存机制,适合JAVA开发者深入理解Shiro的使用。" Apache Shiro 是一个强大且易用的Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值