常规操作之安全框架Shiro

最新推荐文章于 2023-12-13 23:02:57 发布
最新推荐文章于 2023-12-13 23:02:57 发布
阅读量313 收藏
点赞数
分类专栏: 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GKTDSR/article/details/104327996
版权

简介

shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。 和spring Securte相比shiro更简单提供的成品逻辑很完善,只需实现和集成相应的接口和类即可实现特有的逻辑,例如AuthorizingRealm(数据源),Filter(自定义拦截器)等等

Shiro结构

因为shiro默认进行session认证的,通过SessionManager(会话管理器)来控制请求的每次会话是否已经授权。

Shiro 认证主要结构

Subject(主体):当前用户,不一定指当前访问人是指当前与应用交互的任何东西都被称为Subject。所有的Subject都会交给SecurityManager进行管理。
SecurityManager(安全管理器):Sbuject所有和安全相关的操作都会交给SecurityManager来进行操作,就像是Spring里面的DispatcherServlet一样负责和和各个组件进行交互。
Realm(安全数据源):SecurityManager验证时的数据提供者,shiro从Realm中获取需要的信息来验证。通过自定义Realm可以看出其实就是DataSource的作用,提供一个安全的数据源。

Shiro内部结构示意图

所有结构

  1. Subject:主体,可以看到主体可以是任何与应用交互的“用户”。
  2. SecurityManager:相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的FilterDispatcher。它是 Shiro 的核心,所有具体的交互都通过 SecurityManager 进行控制。它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。
  3. Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得 Shiro 默认的不好,我们可以自定义实现。其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了。
  4. Authrizer:授权器,或者访问控制器。它用来决定主体是否有权限进行相应的操作,即控制着用户能访问应用中的哪些功能。
  5. Realm:可以有1个或多个 Realm,可以认为是安全实体数据源,即用于获取安全实体的。它可以是 JDBC 实现,也可以是 LDAP 实现,或者内存实现等。
  6. SessionManager:如果写过 Servlet 就应该知道 Session 的概念,Session 需要有人去管理它的生命周期,这个组件就是 SessionManager。而 Shiro 并不仅仅可以用在 Web 环境,也可以用在如普通的 JavaSE 环境。
  7. SessionDAO:DAO 大家都用过,数据访问对象,用于会话的 CRUD。我们可以自定义 SessionDAO 的实现,控制 session 存储的位置。如通过 JDBC 写到数据库或通过 jedis 写入 redis 中。另外 SessionDAO 中可以使用 Cache 进行缓存,以提高性能。
  8. CacheManager:缓存管理器。它来管理如用户、角色、权限等的缓存的。因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能。
  9. Cryptography:密码模块,Shiro 提高了一些常见的加密组件用于如密码加密/解密的。
  10. Filter: 拦截器,集成Web的时候需要对特定的请求进行拦截,相当于Spring中的Interrupt ,拦截器类型:anon(匿名访问)、authc(授权后才允许访问)、authcBasic(需要HttpBasic认证)……拦截器支持自定义并在Shiro配置中加入就可使用自定义配置来拦截URL。

代码范例

自定义安全数据源

// 集成AuthorizingRealm因为
public class ShiroRealm extends AuthorizingRealm  {

    @Autowired
    private UsersService usersService;


    /**
     * 必须重写此方法,不然Shiro会报错
     */
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof JwtToken;
    }


    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        if(principalCollection == null){
            throw new AuthenticationException("PrincipalCollection参数不能为空。");
        }
        Users user = (Users) getAvailablePrincipal(principalCollection);
        if(ObjectUtils.isEmpty(user)){
            throw new AuthenticationException("用户不存在");
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //在token中还没有集成角色权限相关信息所以先暂时注释掉
//        if(ObjectUtils.isEmpty(user.getRole())){
//            info.setRoles(new HashSet<String>(){{add("public");}});
//        }else{
//            info.setRoles(new HashSet<String>(){{add(user.getRole());}});
//        }
        return info;
    }

//获取授权所需要的相关信息
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        JwtToken jwtToken = (JwtToken) authenticationToken;

        if(StringUtils.isEmpty(jwtToken.getToken())){
            throw new AuthenticationException("无效Token");
        }
        String username = JWTUtil.getUsername(jwtToken.getToken());
        if(StringUtils.isEmpty(username)){
            throw new AuthenticationException("无效Token");
        }
        Users user = usersService.fetchByUserName(username);
        if(ObjectUtils.isEmpty(user)){
            throw new AuthenticationException("用户不存在");
        }
        if(!JWTUtil.verify(jwtToken.getToken(),user.getUsername(),user.getPassword())){
            throw new AuthenticationException("无效Token");
        }
//        if(user.getDisabled()){
//            throw new LockedAccountException();
//        }

//        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),ByteSource.Util.bytes(user.getSalt()),getName());
        return new SimpleAuthenticationInfo(jwtToken.getToken(),jwtToken.getToken(),"zbyRealm");
    }

自定义拦截器

public class JwtFilter extends BasicHttpAuthenticationFilter  {


    /**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        try {
            executeLogin(request, response);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    /**
     *
     */
    @Override
    // 实际上可以对请求进行封装以及对授权后的各种错误进行处理
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("api_key");

        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        getSubject(request, response).login(jwtToken);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

Shiro 配置

@Configuration
public class ShiroConfig {



    @Bean(value = "securityManager")
     public DefaultWebSecurityManager securityManager(@Qualifier("zbyRealm") Realm realm){

        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm);

        /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;
    }

    @Bean(value = "zbyRealm")
    public Realm zbyRealm(@Qualifier("credentialsMatcher") SimpleCredentialsMatcher credentialsMatcher){
        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setCredentialsMatcher(credentialsMatcher);
        return shiroRealm;
    }

    /**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     * 所以我们需要修改下doGetAuthenticationInfo中的代码;
     * )
     *
     * @return
     */
    @Bean(name = "credentialsMatcher")
    public CredentialsMatcher credentialsMatcher() {
        return new CredentialsMatcher();
    }


    /**
     * URL 拦截配置
     * @param manager
     * @return
     */
    @Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") DefaultWebSecurityManager manager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(manager);
        //配置登录的url和登录成功的url以及验证失败的url
        bean.setLoginUrl("/v1/auth/loginFail");
//        bean.setSuccessUrl("/home");
        bean.setUnauthorizedUrl("/v1/auth/loginFail");

        //设置自定义Filter
        Map<String, Filter> filterLinkedMap = new HashMap<>();
        JwtFilter jwtFilter = new JwtFilter();

        filterLinkedMap.put("jwt", (Filter) jwtFilter);
        bean.setFilters(filterLinkedMap);

        //配置访问权限
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //登录放过拦截
        filterChainDefinitionMap.put("/v1/auth/login", "anon");
        filterChainDefinitionMap.put("/v1/auth/logout", "anon");
        //未授权URL
        filterChainDefinitionMap.put("/v1/test/loginFail", "anon");
        //过滤SwaggerUI相关URL
        filterChainDefinitionMap.put("/swagger-resources/**", "anon");
        filterChainDefinitionMap.put("/v2/api-docs*", "anon");
        filterChainDefinitionMap.put("/swagger-ui.html", "anon");
        filterChainDefinitionMap.put("/favicon.ico", "anon");
        filterChainDefinitionMap.put("/webjars/**", "anon");
//        filterChainDefinitionMap.put("/swagger-resources.**", "anon");

        //拦截所有URL
        filterChainDefinitionMap.put("/**", "jwt");
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }



    }

自定义Token


public class JwtToken implements AuthenticationToken  {

    private String token;

    public JwtToken(String token){
        this.token = token;
    }

    @Override
    public Object getPrincipal() {
        return null;
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }
}
GKTDSR
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BasicHttpAuthenticationFilter 认证流程
“罐装面包”的博客
06-19 1万+
BasicHttpAuthenticationFilter 继承自抽象类OncePerRequestFilter,OncePerRequestFilter 的字面意思是:Once Per Request,每个请求只执行一次。 OncePerRequestFilter 过滤流程: (1) 调用getAlreadyFilteredAttributeName(),本质上就是通过 Class 对象再加上一个后缀形成一个 attribute 字符串返回。 protected String getAlrea..
Shiro 框架 BasicHttpAuthenticationFilter 认证流程
saienenen的博客
12-11 6297
BasicHttpAuthenticationFilter 继承关系 从继承关系可以看到 BasicHttpAuthenticationFilter 继承自抽象类 OncePerRequestFilter。 OncePerRequestFilter 的字面意思是:Once Per Request,即每个请求只执行一次。 分析 1,OncePerRequestFilter OncePerRequestFilter 部分源码: public final void doFilter(ServletRe
临时笔记
My_Tidy_Life的博客
11-13 418
权限-shiro 运行流程、 ①所有请求被自定义的Filter拦截(BasicHttpAuthenticationFilter),重写鉴权。 其中四个方法 preHandle(提供跨域支持)-&amp;gt;isAccessAllowed(可以区分登入与未登入的subject.isAuthenticated())-&amp;gt;isLoginAttempted(判断是否有令牌)-&amp;gt;executeLogin...
新版Spring Security6.2案例 - Basic HTTP Authentication
最新发布
喝醉的鱼博客
12-13 2234
新版Sprint security 6.2,翻译官网basic http authentication以及小案例
Spring Boot中的安全过滤器及使用方法
程序员徐师兄的博客
07-06 1025
安全过滤器是保护Web应用程序安全的重要组成部分。在Spring Boot中,我们可以使用Spring Security框架来实现安全过滤器。Spring Security提供了多种安全机制和安全服务,包括身份验证、授权、加密和安全过滤器等。我们可以使用Java配置或注解来配置安全过滤器,根据实际需求选择适当的过滤器,或组合使用多个过滤器,以实现更复杂的安全机制。
shiro自定义filter之BasicHttpAuthenticationFilter解读
xuguruogu的专栏
03-31 1万+
通过creattoken,容器获取验证信息。通过onAccessDenied处理验证失败的处理方法。 遇到比较特别的移动开发需求,不得不求助于自定义filter来实现了。 更多细节参考BasicHttpAuthenticationFilter源码 https://shiro.apache.org/static/1.2.3/apidocs/org/apache/shiro/web/filter
springboot整合shiro
cqq00的博客
10-18 671
shiro认证授权
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3538
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
SpringBoot+Shiro+JWT实现授权
帅帅气气的黑猫警长
09-03 1351
SpringBoot+JWT+Shiro实现前后端分离的授权
Shiro之基本使用
每天至少八杯水的博客
03-31 9413
1.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。 Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在.
BasicHttpAuthenticationFilter使用@Autowired注入时会报null
weixin_44029044的博客
06-27 1257
Bug原因:web应用启动的顺序是:listener->filter->servlet 解决方法:使用context中的ApplicationContextAware解决 import org.springframework.beans.BeansException; import org.springframework.context.ApplicationContext; import org.springframework.context.ApplicationContextAwar
HttpClient 三种 Http Basic Authentication 验证方式,你都了解了吗?
wanghao112956的博客
09-04 4789
Http Basic 简介 HTTP 提供一个用于权限控制和认证的通用框架。最常用的 HTTP 认证方案是 HTTP Basic authentication。Http Basic 认证是一种用来允许网页浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 (想自学习编程的小伙伴请搜索圈T社区,更多行业相关资讯更有行业相关免费视频教程。完全免费哦!) 优点 基本认证的...
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息
qq_27437301的博客
11-22 922
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息。
Spring Security3源码分析(11)-BasicAuthenticationFilter分析
Benjamin
09-11 6656
BasicAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.www.BasicAuthenticationFilter  Basic验证方式相比较而言用的不是太多。spring security也支持basic的方式,配置如下  Xml代码   securi
p2p_JWTFilter_BasicHttpAuthenticationFilter
maqingbin8888的专栏
10-01 7763
JWTFilter 继承了BasicHttpAuthenticationFilter //是否是登录尝试 isLoginAttempt(ServletRequest request, ServletResponse response)  //获取验证信息 AuthenticationToken createToken(ServletRequest request, ServletResponse...
HTTP基本认证(Basic Authentication)的JAVA示例
顾传龙
06-05 2446
本文转自:http://blog.csdn.net/kkdelta/article/details/28419625
DSR协议分析
norbert.jiang的专栏
07-04 4350
Source code :     Not all flies in ./dsr/ directory are used by the ns-2. the routing agent is implemented as Agent/DSRAgent.     Thus, the source codes include: dsragent.cc (h):  DSR agent cla
shiro 中的filterChainDefinitions详解
热门推荐
bug_404的博客
05-27 4万+
springrain使用shiro
shiro实现登录认证与权限授权管理
小生的博客
02-27 2330
Apache Shiro 是一个强大而灵活的开源安全框架,从官网上,我们基本上可以了解到,她提供的服务非常明确: 1.Authentication(认证) 2.Authorization(授权) 3.Session Management(会话管理) 4.Cryptography(加密) 1.maven配置 &lt;!--处理登录相关依赖包--&gt; &lt;dep...
Java安全框架Shiro入门教程
"跟我学shiro学习资料,涵盖了Apache Shiro框架的基础知识,包括身份验证、授权、加密、会话管理和Web集成等内容,适合Java企业级安全应用开发人员学习。" Apache Shiro是一个全面且易于使用的Java安全框架,它提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值