shiro入门实战

最新推荐文章于 2023-07-30 18:32:35 发布
最新推荐文章于 2023-07-30 18:32:35 发布
阅读量966 收藏
点赞数
分类专栏: 安全认证 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CelineT/article/details/130756072
版权

​​​​​​​Apache Shiro | Simple. Java. Security.

java语言编写

架构

 shiro认证流程

使用

添加shiro依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.0</version>
        </dependency>

SimpleAccountRealm

SimpleAccountRealm只支持role的授权 hasRole、checkRole 

授权是认证之后的操作 

public void authen() {
        //认证的发起者(subject),   SecurityManager,   Realm
        //1. 准备Realm(基于内存存储用户信息)
        SimpleAccountRealm realm = new SimpleAccountRealm();
        realm.addAccount("admin", "admin", "超级管理员", "商家");

        //2. 准备SecurityManager
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        //3. SecurityManager和Realm建立连接
        securityManager.setRealm(realm);

        //4. subject和SecurityManager建立联系
        SecurityUtils.setSecurityManager(securityManager);

        //5. 声明subject
        Subject subject = SecurityUtils.getSubject();

        //6. 发起认证
        subject.login(new UsernamePasswordToken("admin", "admin"));
        // 如果认证时,用户名错误,抛出:org.apache.shiro.authc.UnknownAccountException异常
        // 如果认证时,密码错误,抛出:org.apache.shiro.authc.IncorrectCredentialsException:

        //7. 判断是否认证成功
        System.out.println(subject.isAuthenticated());

        //8. 退出登录后再判断
        //        subject.logout();
        //        System.out.println("logout方法执行后,认证的状态:" + subject.isAuthenticated());

        //9. 授权是在认证成功之后的操作!!!
        // SimpleAccountRealm只支持角色的授权
        System.out.println("是否拥有超级管理员角色:" + subject.hasRole("超级管理员"));
        subject.checkRole("商家");
        // check方法校验角色时,如果没有指定角色,会抛出异常:org.apache.shiro.authz.UnauthorizedException: Subject does not have role [角色信息]
    }

IniRealm

基于文件存储用户名,密码,角色等信息

支持权限校验

public void authen(){
        //1. 构建IniRealm
        IniRealm realm = new IniRealm("classpath:shiro.ini");

        //2. 构建SecurityManager绑定Realm
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(realm);

        //3. 基于SecurityUtils绑定SecurityManager并声明subject
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();

        //4. 认证操作
        subject.login(new UsernamePasswordToken("admin","admin"));

        //5. 角色校验
        // 超级管理员
        System.out.println(subject.hasRole("超级管理员"));
        subject.checkRole("运营");

        //6. 权限校验
        System.out.println(subject.isPermitted("user:update"));
        // 如果没有响应的权限,就抛出异常:UnauthorizedException: Subject does not have permission [user:select]
        subject.checkPermission("user:delete");
    }

shiro.ini

[users]
username=password,role1,role2
admin=admin,超级管理员,运营
[roles]
role1=perm1,perm2
超级管理员=user:add,user:update,user:delete

JdbcRealm

通过数据库存储对应的用户、角色、权限信息

推荐使用经典五张表来存储

    public void authen(){
        //1. 构建JdbcRealm
        JdbcRealm realm = new JdbcRealm();

        DruidDataSource dataSource = new DruidDataSource();
        dataSource.setDriverClassName("com.mysql.jdbc.Driver");
        dataSource.setUrl("jdbc:mysql:///shiro");
        dataSource.setUsername("root");
        dataSource.setPassword("root");
        realm.setDataSource(dataSource);

        // 开启权限校验
        realm.setPermissionsLookupEnabled(true);

        //2. 构建SecurityManager绑定Realm
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(realm);

        //3. 基于SecurityUtils绑定SecurityManager并声明subject
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();

        //4. 认证操作
        subject.login(new UsernamePasswordToken("admin","admin"));

        //5. 授权操作(角色)
        System.out.println(subject.hasRole("超级管1理员"));

        //6. 授权操作(权限)
        System.out.println(subject.isPermitted("user:add"));

    }

jdbcRealm默认不支持权限校验,需要手动开启setPermissionLookupEnabled(true)

表需要按照它内部的结构来进行定义,需要表结构不一致,也可以使用自定义的校验sql

CustomRealm(自定义)推荐

需要手动创建CustomRealm,并且继承AuthorizingRealm ,

认证

重写doGetAuthenticationInfo方法完成自定义Realm认证

public class CustomRealm extends AuthorizingRealm {


    /**
     * 认证方法,只需要完成用户名校验即可,密码校验由Shiro内部完成
     * @param token  用户传入的用户名和密码
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //1. 基于Token获取用户名
        String username = (String) token.getPrincipal();

        //2. 判断用户名(非空)
        if(StringUtils.isEmpty(username)){
            // 返回null,会默认抛出一个异常,org.apache.shiro.authc.UnknownAccountException
            return null;
        }

        //3. 如果用户名不为null,基于用户名查询用户信息
        User user = this.findUserByUsername(username);

        //4. 判断user对象是否为null
        if(user == null){
            return null;
        }

        //5. 声明AuthenticationInfo对象,并填充用户信息
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),"CustomRealm!!");
   
        //6. 返回info
        return info;
    }

校验同其他real基本相同

认证(密码加密加盐)

虽然MD5加密不可逆,但是又一些网站可以把大量常用的密码加密后的结果存储起来,这样MD5的加密也可能会被破解

密码存储的时候需要加密加盐,还需要把对应的salt存储起来,认证时需要拿到对应的salt进行加密然后比较

public class CustomRealm extends AuthorizingRealm {

    {
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        matcher.setHashAlgorithmName("MD5");
        matcher.setHashIterations(1024);
        this.setCredentialsMatcher(matcher);
    }


    /**
     * 认证方法,只需要完成用户名校验即可,密码校验由Shiro内部完成
     * @param token  用户传入的用户名和密码
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //1. 基于Token获取用户名
        String username = (String) token.getPrincipal();

        //2. 判断用户名(非空)
        if(StringUtils.isEmpty(username)){
            // 返回null,会默认抛出一个异常,org.apache.shiro.authc.UnknownAccountException
            return null;
        }

        //3. 如果用户名不为null,基于用户名查询用户信息
        User user = this.findUserByUsername(username);

        //4. 判断user对象是否为null
        if(user == null){
            return null;
        }

        //5. 声明AuthenticationInfo对象,并填充用户信息
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),"CustomRealm!!");
        // 设置盐!
        info.setCredentialsSalt(ByteSource.Util.bytes(user.getSalt()));
        //6. 返回info
        return info;
    }

授权

授权是在认证之后的操作,授权操作需要重写doGetAuthorizationInfo方法

    // 授权方法,授权是在认证之后的操作
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //1. 获取认证用户的信息
        User user = (User) principals.getPrimaryPrincipal();

        //2. 基于用户信息获取当前用户拥有的角色。
        Set<String> roleSet = this.findRolesByUser();

        //3. 基于用户拥有的角色查询权限信息
        Set<String> permSet = this.findPermsByRoleSet(roleSet);

        //4. 声明AuthorizationInfo对象作为返回值,传入角色信息和权限信息
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roleSet);
        info.setStringPermissions(permSet);

        //5. 返回
        return info;
    }

 shiro整合web的流程

shiro不太适合前后端分离的项目,前后端分离的项目,推荐使用JWT

shiro整合springboot

pom

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.47</version>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.10</version>
        </dependency>

        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring-boot-web-starter</artifactId>
            <version>1.4.0</version>
        </dependency>

    </dependencies>

application.yml

shiro:
  loginUrl: /login.html
  unauthorizedUrl: /401.html   # 针对过滤器链生效,针对注解是不生效的

配置类

@Configuration
public class ShiroConfig {

    @Bean
    public SessionManager sessionManager(RedisSessionDAO sessionDAO) {
        DefaultRedisWebSessionManager sessionManager = new DefaultRedisWebSessionManager();
        sessionManager.setSessionDAO(sessionDAO);
        return sessionManager;
    }



    @Bean
    public DefaultWebSecurityManager securityManager(ShiroRealm realm, SessionManager sessionManager, RedisCacheManager redisCacheManager){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);
        securityManager.setSessionManager(sessionManager);
        // 设置CacheManager,提供与Redis交互的Cache对象
        securityManager.setCacheManager(redisCacheManager);
        return securityManager;
    }

    @Bean
    public DefaultShiroFilterChainDefinition shiroFilterChainDefinition(){
        DefaultShiroFilterChainDefinition shiroFilterChainDefinition = new DefaultShiroFilterChainDefinition();

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        filterChainDefinitionMap.put("/login.html","anon");
        filterChainDefinitionMap.put("/user/logout","logout");
        filterChainDefinitionMap.put("/user/**","anon");
        filterChainDefinitionMap.put("/item/rememberMe","user");
        filterChainDefinitionMap.put("/item/authentication","authc");
        filterChainDefinitionMap.put("/item/select","rolesOr[超级管理员,运营]");
        filterChainDefinitionMap.put("/item/delete","perms[item:delete,item:insert]");
        filterChainDefinitionMap.put("/**","authc");

        shiroFilterChainDefinition.addPathDefinitions(filterChainDefinitionMap);

        return shiroFilterChainDefinition;
    }

    @Value("#{ @environment['shiro.loginUrl'] ?: '/login.jsp' }")
    protected String loginUrl;

    @Value("#{ @environment['shiro.successUrl'] ?: '/' }")
    protected String successUrl;

    @Value("#{ @environment['shiro.unauthorizedUrl'] ?: null }")
    protected String unauthorizedUrl;


    @Bean
    protected ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,ShiroFilterChainDefinition shiroFilterChainDefinition) {

        //1. 构建ShiroFilterFactoryBean工厂
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();

        //2. 设置了大量的路径
        filterFactoryBean.setLoginUrl(loginUrl);
        filterFactoryBean.setSuccessUrl(successUrl);
        filterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);

        //3. 设置安全管理器
        filterFactoryBean.setSecurityManager(securityManager);

        //4. 设置过滤器链
        filterFactoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition.getFilterChainMap());

        //5. 设置自定义过滤器 , 这里一定要手动的new出来这个自定义过滤器,如果使用Spring管理自定义过滤器,会造成无法获取到Subject
        filterFactoryBean.getFilters().put("rolesOr",new RolesOrAuthorizationFilter());



        //6. 返回工厂
        return filterFactoryBean;
    }


}

shiro的过滤器

 角色校验使用roles

权限校验使用perms

自定义过滤器

写自定义过滤器

public class RolesOrAuthorizationFilter extends AuthorizationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        // 获取主体subject
        Subject subject = getSubject(request, response);
        // 将传入的角色转成数组操作
        String[] rolesArray = (String[]) mappedValue;
        // 健壮性校验
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        // 开始校验
        for (String role : rolesArray) {
            if(subject.hasRole(role)){
                return true;
            }
        }

        return false;
    }
}

将自定义过滤器配置给shiro

shiro配置文件中将自定义过滤器配置进去

    @Bean
    protected ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,ShiroFilterChainDefinition shiroFilterChainDefinition) {

        //1. 构建ShiroFilterFactoryBean工厂
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();

        //2. 设置了大量的路径
        filterFactoryBean.setLoginUrl(loginUrl);
        filterFactoryBean.setSuccessUrl(successUrl);
        filterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);

        //3. 设置安全管理器
        filterFactoryBean.setSecurityManager(securityManager);

        //4. 设置过滤器链
        filterFactoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition.getFilterChainMap());

        //5. 设置自定义过滤器 , 这里一定要手动的new出来这个自定义过滤器,如果使用Spring管理自定义过滤器,会造成无法获取到Subject
        filterFactoryBean.getFilters().put("rolesOr",new RolesOrAuthorizationFilter());



        //6. 返回工厂
        return filterFactoryBean;
    }

加了@Bean注解的方法的参数值也都是从spring容器中获取

springboot项目中,默认有一个过滤器

使用注解授权

@RequiresRoles(value={"role1","role2"}) 

注解进行授权时,是基于对Controller类进行代理,在前置增强中对请求进行权限校验

 在SpringBoot中注解默认就生效,是因为自动装配中,已经配置好了对注解的支持

注解的形式无法将错误页面的信息定位到401.html,因为配置的这种路径,只针对过滤器链有效,注解无效。为了实现友好提示的效果,可以配置异常处理器,@RestControllerAdvice,@ControllerAdvice  

记住我,remember me

springboot自动装配

 rememberMe是基于user过滤器实现的,适用于安全等级较低的页面

只要登陆过,不需要再次登录

认证登录时,添加rememberMe

UsernamePasswordToken token = new UsernamePasswordToken(username, password);
token.setRememberMe(rememberMe != null && "on".equals(rememberMe));
subject.login(token);

认证后,需要以浏览器的cookie和后台的user对象绑定,进行持久化,所以需要user序列化(实现Serializable)

需要在realm授权方法前重新鉴权(因为cookie绑定的是认证成功后,返回的第一个参数,而第一个参数和授权方法中参数能获得到的用户信息是一个内容。直接在授权方法中先做认证判断 )

Shiro在认证成功后,可以不依赖Web容器的Session,也可以依赖!

在SpringBoot自动装配之后,Shiro默认将HttpSession作为存储用户认证成功信息的位置。

但是SpringBoot也提供了一个基于JVM内存(HashMap)存储用户认证信息的位置。

使用springboot提供的MemorySession来存储用户认证信息:

修改Shiro默认使用的SessionDAO,修改为默认构建好的MemorySessionDAO

// 构建管理SessionDAO的SessionManager
@Bean
public SessionManager sessionManager(SessionDAO sessionDAO) {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    sessionManager.setSessionDAO(sessionDAO);
    return sessionManager;
}

@Bean
public DefaultWebSecurityManager securityManager(ShiroRealm realm,SessionManager sessionManager){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(realm);
	// 将使用MemorySessionDAO的SessionManager注入到SecurityManager
    securityManager.setSessionManager(sessionManager);
    return securityManager;
}

将认证信息存储在redis中,可以实现分布式系统的功能

重写SessionDAO (extends AbstractSessionDAO),实现redis的相关操作

@Component
public class RedisSessionDAO extends AbstractSessionDAO {

    @Resource
    private RedisTemplate redisTemplate;

    // 存储到Redis时,sessionId作为key,Session作为Value
    // sessionId就是一个字符串
    // Session可以和sessionId绑定到一起,绑定之后,可以基于Session拿到sessionId
    // 需要给Key设置一个统一的前缀,这样才可以方便通过keys命令查看到所有关联的信息

    private final String SHIOR_SESSION = "session:";

    @Override
    protected Serializable doCreate(Session session) {
        System.out.println("Redis---doCreate");
        //1. 基于Session生成一个sessionId(唯一标识)
        Serializable sessionId = generateSessionId(session);

        //2. 将Session和sessionId绑定到一起(可以基于Session拿到sessionId)
        assignSessionId(session, sessionId);

        //3. 将 前缀:sessionId 作为key,session作为value存储
        redisTemplate.opsForValue().set(SHIOR_SESSION + sessionId,session,30, TimeUnit.MINUTES);

        //4. 返回sessionId
        return sessionId;
    }

 	@Override
    protected Session doReadSession(Serializable sessionId) {
        //1. 基于sessionId获取Session (与Redis交互)
        if (sessionId == null) {
            return null;
        }
        Session session = (Session) redisTemplate.opsForValue().get(SHIOR_SESSION + sessionId);
        if (session != null) {
            redisTemplate.expire(SHIOR_SESSION + sessionId,30,TimeUnit.MINUTES);
        }
        return session;
    }

    @Override
    public void update(Session session) throws UnknownSessionException {
        System.out.println("Redis---update");
        //1. 修改Redis中session
        if(session == null){
            return ;
        }
        redisTemplate.opsForValue().set(SHIOR_SESSION + session.getId(),session,30, TimeUnit.MINUTES);
    }

    @Override
    public void delete(Session session) {
        // 删除Redis中的Session
        if(session == null){
            return ;
        }
        redisTemplate.delete(SHIOR_SESSION + session.getId());
    }

    @Override
    public Collection<Session> getActiveSessions() {
        Set keys = redisTemplate.keys(SHIOR_SESSION + "*");

        Set<Session> sessionSet = new HashSet<>();
        // 尝试修改为管道操作,pipeline(Redis的知识)
        for (Object key : keys) {
            Session session = (Session) redisTemplate.opsForValue().get(key);
            sessionSet.add(session);
        }
        return sessionSet;
    }
}

将RedisSessionDAO交给SessionManager

@Bean
public SessionManager sessionManager(RedisSessionDAO sessionDAO) {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    sessionManager.setSessionDAO(sessionDAO);
    return sessionManager;
}

将SessionManager注入到SecurityManager

@Bean
public DefaultWebSecurityManager securityManager(ShiroRealm realm,SessionManager sessionManager){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setRealm(realm);
    securityManager.setSessionManager(sessionManager);
    return securityManager;
}

一次请求,访问了多次redis

解决方案:把请求结果放到request中

CelineT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro入门实战(整合进SpringBoot)
xmg_zs的博客
05-30 347
文章目录前言一、Shiro是什么?二、Shiro 的功能介绍1.基本功能点2.功能点介绍三、Shiro 的架构1.Shrio的应用层面架构2.Shiro的核心架构四、Shiro入门案例1.shiro.ini2.Quickstart.class五、Shiro实战-整合进Spring Boot1.创建父工程shiroDemo2.创建shiroAuth子模块(Maven)3.代码结构讲解4.各个类详细讲解5.补充多Realm认证 前言 这篇文章主要是为了辅助记忆Shiro的,下面的代码主要复用了我看的一个视频里
Shiro的常见用法
chy1984的博客
07-25 1770
新建类CustomRealm,继承AuthorizingRealm/*** 自定义的Realm/*** 授权方法,权限校验时自动调用//获取主体标识 String username =(String) principalCollection . getPrimaryPrincipal();//使用dao层,根据主体标识查询用户对应的角色、权限,此处略过 Set < String > permissions = null;
spring集成shiro详解
u010752885的博客
06-24 6739
shiro说明 springboot集成shiro 前后端分离项目集成shiro shiro集成其他认证方式
java安全框架_Shiro---强大且易用的Java安全框架(三)
weixin_36372579的博客
02-19 298
Shiro】十、Spring Boot整合Shiro实现登录认证整体项目结构。省略数据访问层相关代码,使用固定数据进行认证。1、添加依赖org.springframework.bootspring-boot-starter-parent2.1.13.RELEASEorg.apache.shiroshiro-spring-boot-web-starter1.4.2org.springframewo...
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
Shiro入门实例
03-28
在这个"Shiro入门实例"中,我们将探讨Shiro的基础知识和如何在项目中进行实战应用。 **1. 认证与授权** Shiro 的核心概念包括主体(Subject)、安全管理者(SecurityManager)、身份验证(Authentication)、授权...
Shiro入门源码
08-06
本文将深入解析Shiro入门源码,带你理解其核心概念,并结合Spring框架进行整合,帮助你更好地在实际项目中应用Shiro。 ### 一、Shiro基础 1. **认证(Authentication)**:Shiro通过Subject接口处理用户身份验证...
SSM整合shiro入门
08-15
8. **实战应用**: - 在实际项目中,Shiro可以用来保护REST API、控制后台管理系统权限、防止CSRF攻击等。 - 结合Spring Security,可以构建更复杂的权限管理体系,满足企业级应用的需求。 通过以上知识点的学习...
Shiro框架从入门实战
06-09
本教程"Shiro框架从入门实战"将带你全面了解和掌握这个框架,以实现高效的Web网站权限管理。 首先,我们要理解Shiro的基本概念: 1. **身份验证(Authentication)**:这是用户身份确认的过程,通常涉及用户名和...
shiro_入门教程
04-02
7. **实战应用** - 在Web应用中,Shiro可以通过过滤器链实现用户登录、权限校验等功能。 - 在Spring Boot项目中,可以使用Shiro与Spring的集成,简化配置和使用。 8. **教程资源** - "教程shiro-v1.1.pdf" 这份...
shrio 权限管理filterChainDefinitions过滤器配置
weixin_39214481的博客
09-21 1878
/** * Shiro-1.2.2内置的FilterChain *  ================================================================================================ * @see 1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时)...
Shiro --- shiro认证-SSM
ty0714的博客
04-18 342
重要: 在 shiro 中,用户需要提供principals (身份)和credentials(凭证)给shiro,从而应用能验证用户身份-------------------------即 帐号 / 密码 1.导入基于Shiro的数据库脚本 t_sys_user:用户信息表,例如:zs/ls/ww t_sys_role:用户角色表,例如:管理员/普通员工/部门经理/技术总监/CEO t_sys_permission:权限信...
Shiro自定义过滤器会执行两次?看我怎么给你解决
Python专栏
06-07 813
其中第一次是作为shiroFilterChain中的过滤器被shiroFilter调用的,另外又在全局过滤器中注册了我们自定义的过滤器,这就导致了在shirofilter之后,该过滤器又被被执行了一次!这个问题困扰了他一个下午都没有解决,最后不得不求助我来帮忙,那我们就来复现一下这个问题,并给出对应的解决方案吧。现在你会发现,Filter处理一次请求会被执行两次的情况就没有了,现在你知道如何解决这个bug了吗?从控制台的信息中我们可以看出,日志被打印了两次,那么这个问题到底是怎么产生的呢?
SpringBoot - 安全框架Shiro的整合与使用教程
lizhengyu891231的博客
10-09 357
叙述 Apache Shiro是一个开源的轻量级的Java安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。相对于Spring Security,Shiro框架更加直观、易用,同时也能提供健壮的安全性。 在传统的SSM框架中,手动整合Shiro的配置步骤还是比较多的,针对Spring Boot,Shiro官方提供了shiro-spring-boot-web-starter用来简化Shiro在Spring Boot中的配置。 ...
SpringBoot中使用shiro权限认证
DoubleC的博客
06-24 291
<!-- 导入shiro的依赖 --> <!-- 启动shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.4.0</version> </dependency> 在
Shiro实现登录认证和权限认证(笔记,自己看的)
bag2016的博客
07-30 185
【代码】Shiro实现登录认证和权限认证(笔记,自己看的)
Shiro:中的filterChainDefinitions详解。
m0_67393413的博客
08-30 537
springrain使用shiro控制权限,配置filterChainDefinitions结合数据库校验权限。我们在web.xml中配置一个全局过滤器,也就是在springrain配置的是一个spring bean的“shiroFilter“,在这个bean中可以根据访问路径在配置不同的过滤器,其中shiro默认自带的过滤器如下:Class説明anon任何人都可以访问authc必须是登录之后才能进行访问,不包括remember meauthcBasiclogoutperms。...
Spring-shiro-Boot-7 shiro中的自定义过滤器-LogoutFilter
良之才的专栏
03-17 1527
如果是使用restful的方式,还需要在登出的时候处理token,将其删除才行。 所以还需建立LogoutFilter。 shiro直接提供了LogoutFilter,我们只要继承之后实现自己的逻辑就可以。这里要说的是与上一个userFilter不同,LogoutFilter继承AdviceFilter,所以我们实现的方法也不同。 boolean preHandle(ServletRequest request, ServletResponse response) (1)如果没有获取到login
Shiro 权限管理filterChainDefinitions过滤器配置
热门推荐
萝卜
08-20 3万+
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配
shiro 入门案例
最新发布
09-06
嗨!欢迎来到 C知道!关于 Shiro入门案例,你可以尝试以下步骤来理解 Shiro 的基本用法: 1. 导入 Shiro 依赖:在你的项目中添加 Shiro 的相关依赖,可以使用 Maven、Gradle 或直接下载 jar 包引入。 2. 创建 Shiro 配置文件:在你的项目中创建一个 Shiro 的配置文件(一般命名为 shiro.ini 或 shiro.yml),配置文件中包含了 Shiro 的一些基本设置和安全规则。 3. 配置认证:在配置文件中配置 Shiro 的认证规则,比如指定用户的身份验证方式、加密算法等。 4. 配置授权:在配置文件中配置 Shiro 的授权规则,定义用户能够访问的资源或操作。 5. 编写登录界面:在你的项目中编写一个登录界面,用户可以输入用户名和密码进行认证。 6. 编写认证逻辑:在后端代码中编写认证逻辑,通过获取用户输入的用户名和密码,调用 Shiro 提供的 API 进行认证。 7. 编写授权逻辑:根据需要,在后端代码中编写授权逻辑,通过调用 Shiro 提供的 API 进行授权判断。 这些是 Shiro 的基本入门步骤,你可以根据自己的需求进一步深入学习和使用 Shiro。如果你需要更详细的案例或具体的代码示例,请告诉我你的具体需求,我会尽力帮助你!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值