05---shiro基本配置

最新推荐文章于 2022-03-29 21:55:25 发布
最新推荐文章于 2022-03-29 21:55:25 发布
阅读量491 收藏
点赞数
分类专栏: java 文章标签: shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Echouuu/article/details/103543054
版权
自定义Realm
  • 自定义类继承AuthorizingRealm
    提供了两个方法,一个是授权doGetAuthorizationInfo,一个是身份认证 doGetAuthenticationInfo
 /*自定义类继承AuthorizingRealm*/
public class MyRealm extends AuthorizingRealm{
    /*授权*/
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //创建一个授权对象
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //获取并设置角色
        Set<String> roles = setRoles();
        authorizationInfo.setRoles(roles);
        //获取并设置权限
        Set<String> perms = setPerms();
        authorizationInfo.setStringPermissions(perms);

        return authorizationInfo;
    }
    //模拟数据库设置角色
    private Set<String> setRoles(){
        Set<String> roles = new HashSet<String>();
        roles.add("admin");
        return roles;
    }
    //模拟数据库设置权限
    private Set<String> setPerms(){
        Set<String> perms = new HashSet<String>();
        perms.add("*");
        perms.add("employee:save");
        return perms;
    }
    /*
    * 登录功能 返回null代表用户名不存在
    * 密码交给shiro,会自动帮我们判断
    *
    * */
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //拿到用户密码 令牌 强转
        UsernamePasswordToken token =(UsernamePasswordToken)authenticationToken;
        //获取用户名
        String username = token.getUsername();
        //判断用户名是否存在
        String password = findUsername(username);
        if(password==null){
            //如果用户名不存在就返回null
            return null;
        }
        //设置盐值
        ByteSource salt = ByteSource.Util.bytes("ok");
        //判断密码是否正确
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,salt,getName());
        return authenticationInfo;
    }

    private String findUsername(String username){
        if (username.equals("admin")){
            return "3e8139cbebae8c69264cb26c8a5dfdcf";
        }else if (username.equals("it")){
            return "123456";
        }
        return null;
    }
}
测试自定义类Realm
public class RealmTest {
    @Test
    public void test(){
        //获取权限管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //创建一个Relam
        MyRealm relam = new MyRealm();

        //创建一个凭证匹配器
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //设置匹配器算法
        matcher.setHashAlgorithmName("MD5");
        //设置迭代的次数
        matcher.setHashIterations(10);
        //设置凭证匹配器
        relam.setCredentialsMatcher(matcher);

        //将relam放在权限管理器中
        securityManager.setRealm(relam);
        //把管理器放在工具中
        SecurityUtils.setSecurityManager(securityManager);
        //拿到当前用户
        Subject subject = SecurityUtils.getSubject();
        //是否登录
        System.out.println("是否登录"+subject.isAuthenticated());

        //如果没登录就进行登录
        if (!subject.isAuthenticated()){
            //拿到令牌
            UsernamePasswordToken token = null;
            try {
                token = new UsernamePasswordToken("admin","123456");
                //登录
                subject.login(token);
            } catch (UnknownAccountException e) {
                System.out.println("用户名不存在");
                e.printStackTrace();
            }catch (IncorrectCredentialsException e){
                System.out.println("密码不正确");
                e.printStackTrace();
            }catch (AuthenticationException e){
                System.out.println("未知错误");
                e.printStackTrace();
            }

            //角色判断
            System.out.println("是否是admin"+subject.hasRole("admin"));
            System.out.println("是否是it"+subject.hasRole("it"));
            //权限判断
            System.out.println("是否是employee:save"+subject.isPermitted("employee:save"));
            System.out.println("是否是employee:delete"+subject.isPermitted("employee:delete"));
            System.out.println("是否是employee:update"+subject.isPermitted("employee:update"));

            //是否登录
            System.out.println("是否登录"+subject.isAuthenticated());
        }
    }
    //加密密码
    @Test
    public void testHash(){
        /*
         * algorthmName 算法
         * source 密码
         * salt 盐值
         * hashIterations 迭代次数
         *
         *           e10adc3949ba59abbe56e057f20f883e
         *    盐值    47fbb266bd4270ef4bc1fcf7e0e8a08a
         *  盐值+10  3e8139cbebae8c69264cb26c8a5dfdcf
         * */
        SimpleHash hash = new SimpleHash("MD5", "123456","ok",10);
        System.out.println(hash.toHex());
    }
}
shiro和Spring集成
  • 导包
<!-- shiro(权限框架)的支持包 -->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-all</artifactId>
  <version>1.4.0</version>
  <type>pom</type>
</dependency>
<!-- shiro与Spring的集成包 -->
<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.4.0</version>
</dependency>
  • web.xml中配置代理过滤器
<!--shiro 过滤器 什么都不做
      Delegating 委托给其他地方
      Proxy 这个管理器只是代理,通过名字shiroFilter去找真正做事的
      但是这个过滤器是不可缺的
  -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>

  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  • 自定义类MyRealm
    模拟数据库我们去获取里面的值,在application中需要配置
/*自定义类继承AuthorizingRealm*/
public class MyRealm extends AuthorizingRealm{
    /*授权*/
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //创建一个授权对象
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //获取并设置角色
        Set<String> roles = setRoles();
        authorizationInfo.setRoles(roles);
        //获取并设置权限
        Set<String> perms = setPerms();
        authorizationInfo.setStringPermissions(perms);

        return authorizationInfo;
    }
    //模拟数据库设置角色
    private Set<String> setRoles(){
        Set<String> roles = new HashSet<String>();
        roles.add("admin");
        return roles;
    }
    //模拟数据库设置权限
    private Set<String> setPerms(){
        Set<String> perms = new HashSet<String>();
        perms.add("employee:index");
        return perms;
    }
    /*
    * 登录功能 返回null代表用户名不存在
    * 密码交给shiro,会自动帮我们判断
    *
    * */
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //拿到用户密码 令牌 强转
        UsernamePasswordToken token =(UsernamePasswordToken)authenticationToken;
        //获取用户名
        String username = token.getUsername();
        //判断用户名是否存在
        String password = findUsername(username);
        if(password==null){
            //如果用户名不存在就返回null
            return null;
        }
        //设置盐值
        ByteSource salt = ByteSource.Util.bytes("ok");
        //判断密码是否正确
        /*
        *第一个参数  username 登录成功后可以在任何地方拿的数据
        *第二个参数  password 从数据库查询出来的密码
        *第三个参数  salt 盐值
        *第四个参数  当前realm的名字
        *
        * */
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,salt,"myRealm");
        return authenticationInfo;
    }

    private String findUsername(String username){
        if (username.equals("admin")){
            return "3e8139cbebae8c69264cb26c8a5dfdcf";
        }else if (username.equals("it")){
            return "123456";
        }
        return null;
    }
}
  • 自定义类工厂返回权限

1.返回的Map值是有顺序的;
2. 修改后要重启(热启动无效);
3.解决在xml中配置权限繁琐的问题,以后通过读取数据库内容来设置权限。

public class FilterChainDefinitionsMapFactory {
    public Map<String,String> createMap(){
        //返回权限数据
        Map<String,String> map = new LinkedHashMap<>();
        //添加不拦截的数据
        map.put("/login","anon");
        //添加权限拦截数据
        map.put("/employee/index","perms[employee:index]");
        map.put("/department/index","perms[department:index]");
        //拦截所有
        map.put("/**","authc");
        return map;
    }
}
  • applicationContext-shiro.xml的配置
    需要在 applicationContext.xml 中引入它 < import
resource="classpath:applicationContext-shiro.xml" /> 

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd">

    <!--shiro的核心管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="MyRealm"/>
    </bean>

   <!-- 创建相应的Realm(拿权限数据的对象)
    AisellRealm realm = new AisellRealm();-->
    <bean id="MyRealm" class="cn.itsource.aisell.web.shiro.MyRealm">
        <!--名称-->
        <property name="name" value="MyRealm"/>
        <!--凭证匹配器 realm.setCredentialsMatcher(..) -->
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--加密算法-->
                <property name="hashAlgorithmName" value="MD5"/>
                <!--迭代次数-->
                <property name="hashIterations" value="10"/>
            </bean>
        </property>
    </bean>

    <!--可以支持注解权限控制-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>


    <!--
        shiro真实的权限过滤器(这个名字必需和shiro过滤器的名字一致)
     -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!--引入权限管理器-->
        <property name="securityManager" ref="securityManager"/>
        <!--没有登录就会进入这个路径-->
        <property name="loginUrl" value="/s/login.jsp"/>
        <!--登录成功后进入页面-->
        <property name="successUrl" value="/s/success.jsp"/>
        <!--没有权限进入的页面-->
        <property name="unauthorizedUrl" value="/s/unauthorized.jsp"/>

        <!--
            filterChainDefinitions:过滤器描述(有顺序)
                anon:不登录也可以访问(游客可以访问的页面)
                authc:必需登录才可以访问
          -->
       <!-- <property name="filterChainDefinitions">
            <value>
                /login= anon
                /s/permission.jsp = perms[employee:index]
                /department/index = perms[department:index]
                /** = authc
            </value>
        </property>-->
        <property name="filterChainDefinitionMap" ref="filterChainDefinitionsMap"></property>
    </bean>

    <!--把工厂中的方法返回值也变成一个bean-->
    <bean id="filterChainDefinitionsMap" factory-bean="filterChainDefinitionsMapFactory" factory-method="createMap"/>
    <!--创建工厂bean-->
    <bean id="filterChainDefinitionsMapFactory" class="cn.itsource.aisell.web.shiro.FilterChainDefinitionsMapFactory"/>

</beans>
大份土豆加凉面
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
要使用 `shiro-redisson`,首先需要在 Shiro 配置中指定 Redisson 的配置,包括 Redis 服务器地址、密码、数据库编号等。然后,配置 Shiro 使用 Redisson 的 CacheManager 和 SessionManager 实例。 5. **安全性...
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
为了有效地利用"shiro-attack-4.7.0-SNAPSHOT-all.zip",开发者需要了解Shiro基本工作原理,包括身份验证流程、授权策略以及会话管理机制。同时,他们应该熟悉Java序列化的安全风险,比如CVE-2015-4852等著名漏洞...
7个顶级资源搜索网站,不知道太可惜了!
热门推荐
office666的博客
10-18 23万+
  说起搜索资源,大家肯定先想到百度,的确“度娘”很万能,能帮我们解决很多问题,但毕竟百度资源有限,用的人多了就造成重复的问题,接下来,小编给大家分享7个顶级资源搜索网站,能满足你很所多需求哦。 一、 疯狂影视搜索 http://www.ifkdy.com/   一款全能影视搜索引擎,里面的视频资源都是高清的,而且每天不重样,适合喜欢看影视的朋友。 二、 BT搜索 http...
屌丝网,上线了 哈哈,
weixin_30549657的博客
03-17 4万+
www.disosi123.cn 屌丝网,如果你没有前,更没有特权,但是有理想。那么 这里 就是你想要的地方。提供给有志向的励志贫民,展示自我的舞台,让全世界听见我们的声音~! 转载于:https://www.cnblogs.com/lianqianxue/archive/2013/03/17/2964848.html...
http://sishuok.com/forum/blog/index.html?search_keywords=%E7%A0%94%E7%A3%A8%E8%AE%BE%E8%AE%A1%E6%A8%
cxs4808的专栏
12-06 3万+
http:// search_keywords=%E7%A0%94%E7%A3%A8%E8%AE%BE%E8%AE%A1%E6%A8%A1%E5%BC%8F
屌丝的24个特征,看看自己中了几枪
碌人乘凉, 黎硕 --> Aerchi.com
12-22 4409
1、身高。168已经非常高了,可以用吊丝极限来形容 2、体重。30KG-40KG(骨瘦如柴) 65-100KG(肥的流油,就0-168身高来说) 3、收入一线城市不超过2000,二线三线不超过1500 4.手机:华为,NOKIA5230,5233,金立,天宇,山寨机跑马灯 5.长相:2分-4分, 6.饮料:康师傅系列,脉动,鲜橙多,快活林 7.食品:康师傅系列,鸡蛋灌饼,豆浆,油条,包...
资源下载网站
pptde的博客
12-07 2677
本文转载自:https://blog.csdn.net/tianshanet/article/details/86545861 吾爱破解网:https://www.52pojie.cn/ CSDN:https://download.csdn.net/ 国外网站:http://p30download.me/ 行业软件:http://www.hyrjw.net ...
shiro-master.zip
06-03
1. **core模块**:包含Shiro基本组件,如Subject、SecurityManager、Realm等。 2. **web模块**:针对Web应用的安全控制,提供Filter配置和处理。 3. **cryptography模块**:加密相关的工具和算法实现。 4. **...
springboot-07-shiro.zip
08-12
通过以上步骤,我们就能在SpringBoot项目中成功集成Shiro,实现基本的用户认证和授权功能。随着业务的扩展,可以进一步利用Shiro的其他功能,如记住我、会话管理等,以满足更复杂的权限需求。在实际开发过程中,应...
shiro-core1.6.0.zip
09-08
Apache Shiro的核心库(shiro-core)是Shiro框架的基础部分,包含了处理用户认证、授权、会话管理和安全性事件的基本组件。以下是对这个核心库的详细说明: 1. **身份验证(Authentication)**:Shiro提供了一套...
wzdh.github.io:我的永久网址导航
05-01
我的永久GitHub网址导航 我的永久软件分享站点 欢迎大家访问!! 一键安装wireguard 脚本 Debian 9 (源:逗比网安装笔记) wget -qO- git.io/fptwc | bash 一键安装wireguard 脚本 Ubuntu (源:逗比网安装笔记) wget -qO- git.io/fpcnL | bash CentOS 7 一键脚本安装WireGuard (官方脚本自动升级内核) wget -qO- git.io/fhnhS | bash CentOS 7 测试 GCP和Vultr 都能自动升级内核,如果辣鸡要升级内核 yum install -y wget vim # Cetos 安装 wget 和 vim 工具 wget -qO wg.sh git.io/fhnhS && bash wg.sh kernel # Cent
苹果cms做色站黑色简洁模板
02-23
苹果cms简洁模板,好看的苹果cms,下载了就知道。清晰简单明了
技术宅男屌丝转型高富帅月老的心路历程
java开发指南博客 【转载】
04-29 1203
还记得新型约会网站Miss Travel么,很多读者反映这个网站伤透了男屌丝们的心,而实际上,这个网站的创始人Brandon Wade自己就是一个技术宅男屌丝,那这样的人是如何创造一个为高富帅服务的约会平台的呢?一起来看他的心路历程。 Brandon Wade在进入MIT(麻省理工学院)之前,如上图所述,他就是个宅男,由于过于害羞导致他有点孤僻,缺少朋友当然更缺少女朋友,所以他听从他...
TPP:吊丝男青年的装X利器
weixin_30692143的博客
02-04 460
TPP是一款基于文本界面的presentation工具,也就是文字版的ppt。装X当真是犀利无比啊。至于为什么说吊丝,作者example里各种asdf,qwert,jkl看得真是亲切无比啊。吊丝青年心中默默想着:高富帅用的大概都是Mary,Jane这种女神的英文名吧。 先看个最简单的效果图: 关于安装: 各发行版的软件源里应该都有,软件包名称就叫tpp,不确定的可以先搜一下,例如,fed...
HTML初学者
hkl_2101089569的博客
11-23 858
《第一节课》 博客 记录东西的 cscn是比较专业的,面向IT专业技术人员的。 HTML 超文本链接标示语言 一门语言 前端技术 目前用HBuilder编写 域名例如http://www.baidu.com(是一种名称 需要用钱买 越好记越贵) IP地址xxxxxxxx和域名作用相似 制作网页相关单书名号包裹关键字叫标记,标记分为两类:单标记和双标记(对标记)。re1、charset、src等 在标记里面定义的是标记属性,等号后面的是标记属性值,一个标记中可以有多个标记属性和标记属...
屌丝不哭!!!
水到渠成,功到自然成
03-15 2213
习惯了大学乌托邦式的生活...... 我们是否还有勇气独自走向社会, 去面对形形色色,带着各种生活压力的人, 至少现在我还没有, 我们都需要成长,需要在这个温暖的乌托邦里构建自己的王国, 理想很美好,现实很残酷...... 革命的路上需要勇气和策略,还有两年,该好好准备了...... 大学给我们构建的保护伞,那就好好利用这把伞,在没有能力去和社会竞争对抗时, 给
Linux命令汇总
低着头走着...
07-24 1万+
这是一份收集Unix/Linux/BSD命令和任务的文档,它有助于高级用户或IT工作。它是一份简明扼要的实用指南,当然读者应该知道他/她在干什么。 Unix Toolbox 版本:12 你可以到 http://cb.vu/unixtoolbox.xhtml 找到本文档的最新版。PDF版本可以替换链接中的.xhtml为 .pdf ,小册子版本可以替换成 .book.pdf 。 用双面
Burp自用插件
5L2g556F5ZWl77yf
03-29 7810
文章目录logger++Software Vulnerability ScannerTurbo Intruderreflectorchunked-coding-converterburp-unauth-checkerBurpJSLinkFinderburp-sensitive-param-extractorBurpSuite_403BypasserAutozieHaEBurpFastJsonScanShiro Echo Toolssrf-kingbypasswaf 一些插件,基本上都是在github上搜集来
ehlib3 增强dbgrid控件 for cb5安装方法
格物穷理
07-31 1898
<br />ehlib3 增强dbgrid控件<br /> 参见ehlib3/readme.txt<br /> 安装步骤:<br /> 1)cb5目录下建ehlib目录, <br /> 如C:/Program Files/Borland/CBuilder5/EhLib。<br /> 2)    拷贝ehlib3目录下Common和BCB5 目录下的文件到前一步骤建立的cb5中的ehlib目录,注意拷贝时只包含文件,不能带有目录结构。<br /> 3)    Cb5 IDE 中使用 "File/O
spring -shiro.xml
05-16
这是一个Spring和Apache Shiro框架的配置文件,用于集成...在这个配置文件中,可以配置Shiro的一些基本组件,例如Realm、SecurityManager、Filter等。同时,也可以在该文件中定义用户、角色、权限等安全相关的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值