权限与shiro框架

最新推荐文章于 2022-08-24 04:57:53 发布
最新推荐文章于 2022-08-24 04:57:53 发布
阅读量258 收藏
点赞数
文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/June_FlyingFrost/article/details/88935882
版权

shiro(权限框架)

1.目前主流的权限框架
Spring security:重量级安全框架
Apache shiro:轻量级安全框架
2.Shiro的四大基石
① 身份认证:登录
② 授权:权限判断
③ 密码学:加密
④ 会话管理:session
3.从宏观上看
在这里插入图片描述
4.导包

<dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.4.0</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.12</version>
    </dependency>
</dependencies>

4.案例一
1)准备配置文件shiro.ini
在这里插入图片描述
2) 代码

//读取带Shiro.ini文件并拿到工厂类
	Factory<SeeurityManager> factory = new IniSeeurityManagerFactory("classpath:shiro.ini")
	//从工厂类中获取SecurityManager 对象
	SecurityManager securityManager = factory.getInstance();
	//把SecurityManager 对象设置到上下文中
	/**
	*  把SecurityManager 对象放到一个地方没然后所有位置都能使用
	*/
    SecurityUtils.setSecurityManager(securityManager);
    //获取到当前用户(没有登录就是游客)
    Subject currentUser = SecurityUtils.getSubject();
    System.out.printn(currentUser.isAuthenticated());//判断用户是否登录
    if(!currectUser.isAuthenticated(){
    		try{
        		 UsernamePasswordToken token = new UsernamePasswordToken("root", "123456");
    	         currectUser.login(token);
      			 //设置记住我的功能
                 token.setRememberMe(true);
            } catch (UnknownAccountException uae) {
          			//未知账户异常
            } catch (IncorrectCredentialsException ice) {
             		//错误凭证异常
           } catch (AuthenticationException ae) {
              		//未知错误异常
            }	
	}

3) 常用方法
在这里插入图片描述5.自定义Realm(继承AuthorizingRealm类)

	/**
 * 自定义一个Realm
 */
public class MyRealm extends AuthorizingRealm {

    //获取到这个Realm的名称(随便取)
    @Override
    public String getName() {
        return "MyRealm";
    }
    //进行授权判断(权限)
    
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        	 //拿到认证的主要信息(用户名)
	        String username = (String) principalCollection.getPrimaryPrincipal();
	        //模拟根据用户名拿到角色信息与权限信息
	        Set<String> roles = getRolesByUsername(username);
	        Set<String> permissions = getPermissionsByUsername(username);
	        //拿到验证信息对象
	        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
	        //设置用户的角色
	        authorizationInfo.setRoles(roles);
	        //设置用户的权限
	        authorizationInfo.setStringPermissions(permissions);
	        return authorizationInfo;
    }
    //进行身份认证(登录)
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
           //获取用户令牌
	        UsernamePassowrdToken   token = (UsernamePassowrdToken)authenticationToken;
     		String username = token.getUsername(); //拿到用户名(注:这个用户名是传过来的)
	        //这里根据用户名去获取密码(如果没有获取到,相当于这个用户不存在,就返回null值)
	        String password = getByName(username);
	        if(password==null){
	        	//返回null,自动报UnknownAccountException 异常
	            return null;
	        }
	        //创建一个简单的身份信息(把用户名与密码放进去-注:它会自动的比较获取的密码与你传过来的密码)
	        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,getName());
	        return authenticationInfo;
    }
    
    //模拟从数据库中获取信息
  private String getByName(String username) {
	        if("admin".equals(username)){
	            return "123456";
	        }else if("guest".equals(username)){
	            return "abcd";
	        }
	        return null;
}

测试

@Test
public void testMyRealm() throws Exception{

    //创建自己定义的Realm
    MyRealm myRealm = new MyRealm();
   //把Realm放到securityManager中去
    DefaultSecurityManager securityManager = new DefaultSecurityManager();
    securityManager.setRealm(myRealm);
    //把权限管理器放到相应的环境中(我们可以在项目任何位置拿到)
    SecurityUtils.setSecurityManager(securityManager);

    //拿到当前用户(Subject就是当前用户,游客)
    Subject currentUser = SecurityUtils.getSubject();
    //准备登录的令牌(准备用户名与密码)
    UsernamePasswordToken token = new UsernamePasswordToken("admin","123456");

    try {
        //根据令牌进行功能登录(当前用户进行登录)
        currentUser.login(token);
    } catch (UnknownAccountException e) {
        System.out.println("这个账号不存在!" + token.getPrincipal());
        e.printStackTrace();
    } catch (IncorrectCredentialsException ice) {
        System.out.println("这个密码不存在!" + token.getPrincipal());
        ice.printStackTrace();
    }catch (AuthenticationException e){
        System.out.println("i don't k");
    }

}

6.密码加密

SimpleHash simpleHash = new SimpleHash("MD5","admin","itsource",10);
System.out.println(simpleHash);

7.5.2.测试时让自定义Reaml加上算法

	 @Test
     public void testMyRealm() throws Exception{
         //创建自己定义的Realm
         MyRealm myRealm = new MyRealm();
        //把Realm放到securityManager中去
         DefaultSecurityManager securityManager = new DefaultSecurityManager();
         securityManager.setRealm(myRealm);
         //把权限管理器放到相应的环境中(我们可以在项目任何位置拿到)
         SecurityUtils.setSecurityManager(securityManager);
 

         //拿到当前用户(Subject就是当前用户,游客)
         Subject currentUser = SecurityUtils.getSubject();
         //准备登录的令牌(准备用户名与密码) -> 这里的密码进行了加密
         UsernamePasswordToken token = new UsernamePasswordToken("admin","123456");

         try {
             //根据令牌进行功能登录(当前用户进行登录)
             currentUser.login(token);
             System.out.println("登录成功啦。。。。");
         } catch (UnknownAccountException e) {
             System.out.println("这个账号不存在!" + token.getPrincipal());
             e.printStackTrace();
         } catch (IncorrectCredentialsException ice) {
             System.out.println("这个密码不存在!" + token.getPrincipal());
             ice.printStackTrace();
         }catch (AuthenticationException e){
             System.out.println("i don't k");
         }
     }

8.自定义Reaml加上盐值

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    //明显的知道:这个authenticationToken就是UsernamePasswordtoken
    UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
    String username = token.getUsername(); //拿到用户名(注:这个用户名是传过来的)

    //这里根据用户名去获取密码(如果没有获取到,相当于这个用户不存在,就返回陪我)
    String password = getByName(username);
    if(password==null){
        return null;
    }
    //在这里加盐值需一个ByteSource对象,而Shiro提供了一个ByteSource对象给咱们
    ByteSource salt = ByteSource.Util.bytes("itsource");
    //创建一个简单的身份信息(把用户名与密码放进去-注:它会自动的比较获取的密码与你传过来的密码)
    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,salt,getName());
    return authenticationInfo;
}

private String getByName(String username) {
    if("admin".equals(username)){
        // 4a95737b032e98a50c056c41f2fa9ec6: 123456 迭代10次不加盐的结果
        // 831d092d59f6e305ebcfa77e05135eac: 123456 迭代10次加盐(itsource)的结果
        return "831d092d59f6e305ebcfa77e05135eac"; //修改为加密加盐后的数据
    }else if("guest".equals(username)){
        return "abcd";
    }
    return null;
}

Shiro集成Spring

把核心对象SecurityManager交由Spring创建
myRealm也交给Spring创建

1.导包

<!-- shiro的支持包 -->
 <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.4.0</version>
    <type>pom</type>
</dependency>
  <!-- shiro与Spring的集成包 -->
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
  </dependency>

2.将拦截器拷贝到web.xml中(这个拦截器只过滤,处理要到Spring的拦截器中完成)

<!-- Spring与shiro集成:需要定义一个shiro过滤器(这是一个代理过滤器,它会到spring的配置中找一个名称相同的真实过滤器) -->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>

<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

3.配置applicationContext-shiro.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd">

    <!-- 配置securityManager核心对象-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 配置一个realm,到数据库中获取权限数据 -->
        <property name="realm" ref="jpaRealm"/>
    </bean>

    <!-- 自定义一个realm-->
    <bean id="jpaRealm" class="cn.itsource.yxb.shiro.realm.JpaRealm">
			<property name="credentialsMatcher">
					<!—设置加密匹配方案-->
					 <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
							 <!-- 编码的方式使用:md5 -->
							 <property name="hashAlgorithmName" value="MD5"/>
						     <!-- 编码的次数:10 -->
							 <property name="hashIterations" value="10"/>
			     	</bean>
                </property>
	</bean>

    <!-- shiro的真实过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!-- 登录的url,如果没有登录,你访问的路径会跳到这个页面 -->
        <property name="loginUrl" value="/s/login.jsp"/>
        <!-- 登录成功的url,如果登录成功,会跳转到这个页面 -->
          
        <!-- 没有权限时跳转到这个位置 -->
        <property name="unauthorizedUrl" value="/s/unauthorized.jsp"/>
        <!--
            配置哪些资源被保护,哪些资源需要权限
            anon:不需要登录也可以访问相应的权限
            authc:需要权限才能访问
              /** :所有文件及其子文件
        -->
        <property name="filterChainDefinitions">
            <value>
                /s/login.jsp = anon
                /** = authc
            </value>
        </property>
    </bean>

</beans>

4.引入applicationContext-shiro.xml文件

在applicationContext.xml中添加

<import resource="applicationContext-shiro.xml"/>

5.因为如果在applicationContxt-shiro.xml配置权限拦截,因此可以配置

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!-- 登录的url,如果没有登录,你访问的路径会跳到这个页面 -->
        <property name="loginUrl" value="/s/login.jsp"/>
        <!-- 登录成功的url,如果登录成功,会跳转到这个页面 -->
        <property name="successUrl" value="/s/main.jsp"/>
        <!-- 没有权限时跳转到这个位置 -->
        <property name="unauthorizedUrl" value="/s/unauthorized.jsp"/>

        <!-- 这个配置我们可以直接给一个map(动态的可以从代码中获取) -->
        <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
    </bean>

    <!-- 这个bean是帮助咱们获取相应的值:它会到一个工厂bean中通过对应的方法拿到相应的值 -->
    <bean id="filterChainDefinitionMap" factory-bean="filterChainDefinitionMapBuilder" factory-method="createFilterChainDefinitionMap"></bean>
    <!-- 配置可以创建 -->
    <bean id="filterChainDefinitionMapBuilder" class="cn.itsource.yxb.shiro.realm.FilterChainDefinitionMapBuilder"></bean>
</beans>

6.创建一个FilterChainDefinitionMapBuilder 类

/**
 * 准备一个构造器类
 */
public class FilterChainDefinitionMapBuilder {
    public Map<String,String> createFilterChainDefinitionMap(){
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap();
        filterChainDefinitionMap.put("/s/login.jsp","anon");
        filterChainDefinitionMap.put("/login","anon");
        //这个值之后从数据库中查询到【用户-角色-权限-资源】
        filterChainDefinitionMap.put("/s/permission.jsp","perms[user:*]");
        filterChainDefinitionMap.put("//**","authc");
        return  filterChainDefinitionMap;
    }
}

7.一个简单的登录程序

@Controller
public class LoginController {
    @RequestMapping("/login")
    public String login(String username,String password){
        /**
         * 获取当前的 Subject. 调用 SecurityUtils.getSubject();
         * 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
         * 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
         * 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法.
         */
        //1.拿到访问的主体(当前登录用户)
        Subject subject = SecurityUtils.getSubject();
        //2.判断这个用户是否已经登录(通过验证)
        if(!subject.isAuthenticated()){
            //3.如果没有验证,就要完成登录
            UsernamePasswordToken token = new UsernamePasswordToken(username,password);
            try{
                //4.根据toke完成登录功能
                subject.login(token);
            }catch (UnknownAccountException e){
                System.out.println("用户名不存在!!");
                e.printStackTrace();
            }catch (IncorrectCredentialsException e){
                System.out.println("密码不存在!");
                e.printStackTrace();
            }catch (AuthenticationException e){
                System.out.println("登录出错!");
                e.printStackTrace();
            }

        }
        return "redirect:/s/main.jsp";
    }
}
Ning&Li
关注
Shiro权限框架 01(shiro框架入门)
m0_67094505的博客
08-24 484
Shiro是Apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权。​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是一个权限框架,它和Spring依赖过于紧密,没有Shiro使用简单。Shiro不依赖于Spring,Shiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
shiro SecurityUtils.getSubject()深度分析
qq_39575279的博客
01-30 2万+
1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal&lt;Map&lt;Object, Object&gt;&gt;)变量中,也就是一个http请求一个subject,并绑定到当前线程。  问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那...
Shiro安全框架学习
web_15534206248的博客
08-24 170
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。三个核心组件:Subject, SecurityManager 和 Realms.Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
shiro - 使用 token
bhegi_seg的博客
03-28 1283
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
shiro-SecurityUtils.getSubject().getPrincipal()获取的值无法强制类型转换
zwj1030711290的CSDN
03-08 4015
在登录成功后,我想取出当前登录的用户,就使用了 User user=User user=(User) SecurityUtils.getSubject().getPrincipal(); 但是运行就会出错 严重: Servlet.service() for servlet [springDispatcherServlet] in context with path [/kygl] threw exception [Request processing failed; nested exception i
Shiro自定义Token
drhrht的博客
08-24 1415
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
Apache Shiro权限框架实战+项目案例视频课程
06-09
7. **Shiro与其他框架整合**:如Spring框架的集成,使Shiro更好地融入现有的Java应用中。 在“Shiro项目案例”部分,你将接触到: 1. **简单登录注册系统**:通过一个实际的登录注册系统,展示Shiro的身份验证和...
shiro权限框架文档
04-10
Subject是Shiro框架与应用安全相关的所有事务的基础,包括用户登录、登出、访问控制等。 SecurityManager是Shiro架构的心脏,它是Shiro框架进行安全操作的中心协调器。它维护了Shiro内部安全操作的状态,管理Shiro...
shiro权限框架资料.zip
06-21
shiro 权限框架学习资料, 从最基本的maven 工程到springboot 的整合, 再到一个通用的RBAC 权限框架模板的设计与创作, 包括视频, 源码, 资料, 稳定, 笔记, 软件, 依赖等等
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
实际上,SecurityManager就是Shiro框架的控制器。 Realm:域对象 定义了访问数据的方式,用来连接不同的数据源,如:关系数据库,配置文件等等。 3、核心理念 Shiro自己不维护用户和权限,通过Subject用户主体和...
008-shiro使用token认证
这个需求,做不了
05-25 8538
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
前后端分离架构使用shiro框架进行登录的两种实现
热门推荐
lijunfeng的博客
02-25 2万+
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截 当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny()...
shiro学习1-权限管理和Shiro介绍
z_yemu的博客
04-30 250
本博客 Shiro系别 的学习,是根据 《跟我学Shiro》一书和 叩丁狼Shiro视频教学 写下来的笔记 1. 什么是权限管理 实现用户访问系统的控制,按照安全规则或者安全策略限制用户操作,只允许用户访问被授权的资源。 权限管理包括用户身份认证和授权两部分。简称认证授权。 1.1 身份认证: ​ 判断用户是否为合法用户的处理过程,最常用的身份认证就是通过用户名和口令,看其是否与系统中存储的用...
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 4465
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
Shiro安全框架入门使用方法
宋铮的博客
08-15 1万+
框架介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任 何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shrio的主要功能: Authentication:用户认证(登录) Authorization:权限控制 Session Management:会话管理 Cryptogr
使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题
古纳川海的博客
04-27 1488
使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题 前言:这个问题其实挺基础的,但自己还是费了一点时间,特此记录下,在使用Shiro后post拦截和放行都没有问题,唯独在以get方法下载图片等在不需要token验证的方式下一直被拦截 文章目录使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题错误示例正确示例(一)正确示例(二) 错误示例 Controller代码 说明:这里是用get拼接路径的方式指定参数,也就是使
mybatis 1对多 collection分页问题正确解答
cqh520llr的专栏
05-07 540
PageHelper.startPage(pageNum,pageSize); List<Vo>list= mapper.find(); return list;//错误 //正确 转化一次 returnlist.stream().map(e->{ Vo vo=newVo(); BeanUtils.copyProperties(e,vo); return vo;...
使用springboot整合shiro和token实现用户的身份验证和权限控制
sqlgao22的博客
08-11 2万+
使用springboot整合shiro和token实现用户的身份验证和权限控制 使用shiro请看:https://blog.csdn.net/sqlgao22/article/details/98506479 使用token请看:https://blog.csdn.net/sqlgao22/article/details/98532943 由于已经分别学习了shiro和token想到整合在一起使...
简单实现Shiro单点登录(自定义Token令牌)
menghuannvxia的专栏
05-28 8434
1. MVC Controller 映射 sso 方法。 Java代码   /**   * 单点登录(如已经登录,则直接跳转)   * @param userCode 登录用户编码   * @param token 登录令牌,令牌组成:sso密钥+用户名+日期,进行md5加密,举例:    *      String secretKey = Global.getCo
Shiro权限管理框架:认证与授权详解
本文将深入探讨Shiro框架权限管理中的应用。 1. 权限管理概述 权限管理是确保系统安全的关键环节,主要涉及用户身份认证和授权。认证是确认用户身份的过程,而授权则是决定用户能访问哪些资源。Shiro框架通过这两...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值