[Shiro]权限控制

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量295 收藏
点赞数 1
分类专栏: Shiro 文章标签: apache java shiro web 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Konaji/article/details/78943371
版权

前言

Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。

准备工作

  1. log4j-1.2.16.jar
  2. shiro-all-1.3.2.jar
  3. slf4j-api-1.6.1.jar
  4. slf4j-log4j12-1.6.1.jar

下面我们来开始配置Shiro

1、在web.xml中配置filter

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>
        org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
    <async-supported>true</async-supported>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

2、配置securityManager

<bean id="securityManager" class="org.apache.shiro.
    web.mgt.DefaultWebSecurityManager">
    <!-- <property name="cacheManager" ref="cacheManager"/> -->
    <property name="realm" ref="jdbcRealm"/>
</bean>

3、配置缓存ehcache(可选)

<!-- 
    需要加入 ehcache-core-2.5.2.jar及ehcache.xml   
-->
<!-- 
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
</bean> 
-->

4、配置Realm,同时配置加密器credentialsMatcher(加密器可选)

<!-- 
    自定义Realm,同时配置加密器credentialsMatcher
-->
<bean id="credentialsMatcher"
       class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <!-- 采用MD5加密 -->
    <property name="hashAlgorithmName" value="MD5" />
    <!-- 加密次数 -->
    <property name="hashIterations" value="2" />
</bean>
<bean id="jdbcRealm" class="test.jia.com.shiro.ShiroRealm">
    <property name="credentialsMatcher" ref="credentialsMatcher" />
</bean>

5、配置lifecycleBeanPostProcessor,可以自动的调用Spring IOC 容器中 Shiro Bean 的生命周期方法

<!--
    可以自动的调用Spring IOC 容器中 Shiro Bean 的生命周期方法
-->
<bean id="lifecycleBeanPostProcessor" 
    class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

6、启用IOC容器中 Shiro 的注解

<!--
    启用IOC容器中 Shiro 的注解,但必须配置了lifecycleBeanPostProcessor之后才可使用。
    注意:这里需要修改spring-shiro.xml
    需要将
        <bean class="org.springframework.aop.framework.
                autoproxy.DefaultAdvisorAutoProxyCreator"
              depends-on="lifecycleBeanPostProcessor"/> 
        改为
            <aop:config proxy-target-class="true"></aop:config>
    不然shiro的注解不起作用!
-->
<!-- 
    <bean class="org.springframework.aop.framework.
            autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor"/> 
-->
<aop:config proxy-target-class="true"></aop:config>
<bean class="org.apache.shiro.spring.security.
        interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager"/>
</bean>

7、配置ShiroFilter
注意: id必须和web.xml中的ShiroFilter的name一致

<!--
    配置ShiroFilter 
    注意: id必须和web.xml中的ShiroFilter的name一致
-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!-- 登录页面 -->
    <property name="loginUrl" value="/login.jsp"/>
    <!-- 登录成功页面,可有可无 -->
    <property name="successUrl" value="/list.jsp"/>
    <!-- 用户访问未对其授权的资源时,所显示的连接 -->
    <property name="unauthorizedUrl" value="/unauthorized.jsp" />
    <!--
        配置哪些页面需要授权
        anon : 可以被匿名访问
        authc: 必须被认证(即登陆后)才可以被访问
        logout:登出
        注 : 
            1、filterChainDefinitions没有被覆盖到的路径可以直接访问到
            2、路径采用优先被匹配的原则
            例如:/login.jsp = anon
                        /** = authc
                        /list.jsp = anon

                        那么list.jsp的权限应该为authc,而不是anon,
                        因为/**在/list.jsp的前面,/**优先被匹配
    -->
    <property name="filterChainDefinitions">
        <value>
            /login.jsp = anon
            /shiro/login = anon
            /shiro/logout = logout
            /LoginController/testRedis = anon
            /** = authc
            <!--
                /*.js=anon
                /test/*=anon
                /test/**=anon
            -->
        </value>
    </property>
</bean>

spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xmlns:tx="http://www.springframework.org/schema/tx"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:aop="http://www.springframework.org/schema/aop"
    xmlns:mvc="http://www.springframework.org/schema/mvc"
    xmlns:context="http://www.springframework.org/schema/context"

    xsi:schemaLocation="http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
        http://www.springframework.org/schema/tx 
        http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
        http://www.springframework.org/schema/aop 
        http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
        http://www.springframework.org/schema/context 
        http://www.springframework.org/schema/context/spring-context-3.0.xsd
        http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/mvc 
        http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd">
</beans>

8、实现ShiroRealm

/**
 * 实现ShiroRealm
 */
public class ShiroRealm extends AuthorizingRealm { //AuthenticatingRealm{


    /**
     * 授权,需要继承AuthorizingRealm
     * 
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection 
            principalCollection) {
        System.out.println("doGetAuthorizationInfo");
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole("user");
        info.addStringPermission("user:delete");
        Subject currentUser = SecurityUtils.getSubject();
        Session session = currentUser.getSession();
        return info;
    }



    /**
     * 登录权限验证  需要继承AuthenticatingRealm
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        //把AuthenticationToken转换为UsernamePasswordToken
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        //从UsernamePasswordToken 获取 username
        String username = usernamePasswordToken.getUsername();
        String password = new String(usernamePasswordToken.getPassword());
        //查询数据库
        //若用户不存在,抛出异常UnknownAccountException异常

        /**
         * 根据情况,构建AuthenticationInfo对象,并返回
         * AuthenticationInfo是个接口,通常实现类使用的是SimpleAuthenticationInfo
         * 
         * principal:认证的实体信息,可以是username,也可以是数据库该条记录的对象
         * credentials:数据库获取的密码
         * realmName:调用当前父类里的 getName即可
         */
        Object principal = username;
        /**
         * 此时credentials不能直接引用明文的password了,
         * 因为shiro.xml里配置了加密规则,
         * 登陆时会将token里的密码加密的返回值与credentials匹配,
         * 如果能匹配上,说明密码正确。
         * 
         * 注:在正式环境中不会这样写getMd5Password(password);
         *    只需要把数据库取出来的结果赋值给credentials即可,
         */
        Object credentials = getMd5Password(password);
        //Object credentials = 数据库取出来的密码;
        String realmName = getName();
//      SimpleAuthenticationInfo info = 
//              new SimpleAuthenticationInfo(principal, credentials, realmName);

        /**
         * 与上面的SimpleAuthenticationInfo不同,多了一个credentialsSalt参数
         * 由于每个人的密码MD5加密后有可能重复,系统存在安全隐患,
         * 所以配置了更加安全的SimpleAuthenticationInfo,
         * credentialsSalt参数的作用:将一个字符串与密码一起加密,
         * 一般使用的字符串具有唯一性,例如:用户名
         * 这样就实现了所有人的密码加密后不会存在重复值。
         */
        credentials = getMd5Password2(username,password);
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        SimpleAuthenticationInfo info = 
                new SimpleAuthenticationInfo(principal, 
                        credentials, credentialsSalt, realmName);

        System.out.println(token.hashCode());
        return info;
    }

    /**
     * 获取password Md5加密两次的值
     * @param password
     * @return
     */
    public static String getMd5Password(String password){
        SimpleHash simpleHash = new SimpleHash("MD5", "123456", null, 2);
        String string = simpleHash.toString();
        return string;
    }

    /**
     * 获取username与password Md5加密两次的值
     * @param username
     * @param password
     * @return
     */
    public static String getMd5Password2(String username,String password){
        ByteSource bytes = ByteSource.Util.bytes(username);
        SimpleHash simpleHash = new SimpleHash("MD5", "123456", bytes, 2);
        String string = simpleHash.toString();
        return string;
    }


}
Jia的博客
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot集成shrio使用@Async失效,解决方案
llife92的博客
02-24 409
异步方法类: @Component public class LoginLogAsync { @Async public void addLoginLog(String url, String param) { //异步代码 try { URLUtils.sendPost(url, param); } catch (Exception e) { e.printStackTrace();
SpringBoot + Shiro导致 @Transactional 事务 和 @Async 多线程 失效问题
weixin_42322445的博客
04-13 1415
我们使用的 mongoD B4.0副本集 ,正常是支持事务操作的,但是开发运维两年 ,某一次发生异常但是事务并没有回滚,导致数据对不上,意识到需要验证下事务是否还生效,单元测试验证 @Transactional 并未生效,查找原因,一开始以为是mongo的问题,但是两年前开始使用mongo就验证过了事务,一开始网络上找的答案都是如何配置,并未有效果,后来创建了个简单的项目,只引入相同版本spring data mongo 依赖事务生效,同时 @Async 线程异步 也生效。 同时对比了两个项目的输出日志 发
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1119
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
shiroasync-supported报错 cvc-complex-type.2.4.a: Invalid content was found starting with element 'a...
Ray777777777的博客
07-25 196
  最近都在研究shiro这个框架,今天实施了一下,就报了如下错误: cvc-complex-type.2.4.a: Invalid content was found starting with element 'async-supported'. One of '{"http://java.sun.com/xml/ns/ javaee":init-param}' is ex...
shiro权限控制
01-04
Shiro权限表达式非常灵活,可以精确到方法级别,例如"users:create"表示用户创建权限。同时,Shiro支持运行时的权限检查,确保用户只能访问他们被授权的资源。 **加密(Cryptography)** Shiro提供了各种加密工具...
Spring MVC整合Shiro权限控制的方法
08-27
Spring MVC整合Shiro权限控制的方法 Spring MVC 是一个流行的 Java Web 框架,而 Shiro 是一个功能强大且灵活的开放源代码安全框架。为了实现权限控制,需要将 Spring MVC 和 Shiro 进行整合。下面是 Spring MVC ...
Springboot和bootstrap实现shiro权限控制配置过程
08-19
SpringBoot和Bootstrap实现Shiro权限控制配置过程 SpringBoot和Bootstrap是当前Web开发中非常流行的两个框架,SpringBoot是一个基于Java的后端框架,而Bootstrap是一个前端UI框架。Shiro是一个功能强大且灵活的...
vue+element+springboot+shiro权限控制
12-07
"vue+element+springboot+shiro权限控制"的架构提供了一种高效且灵活的方式来实现用户的身份验证和授权。下面将详细介绍这个架构中的各个组件及其功能。 1. **Vue.js**:Vue.js 是一个轻量级的前端JavaScript框架,...
shiro权限控制案例代码.zip
11-03
这个"shiro权限控制案例代码.zip"压缩包中很可能包含了一些示例代码,用于演示如何在Java应用中集成Shiro进行权限控制Shiro框架的使用可以简化开发过程,使得开发者能够更专注于业务逻辑,而不是安全细节。 首先...
Shiro入门
_夜渐凉
07-12 443
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
spring+shiro 事务、异步不生效
qq_16590151的专栏
09-04 259
最近其他项目小伙伴说是项目中用的异步@Async,事务不生效了,并且只是个别的类存在问题; 通过debug后发现spring没有获取到调用类的代理; spring 异步 事务会以AOP proxy的方式处理;并根据项目中指定的代理类型来实例代理对象 通过spring调用链发现源头是shiro MyShiroRealm; MyShiroRealm依赖的类都没有经过spring代理;排查shiro配置文件中发现存在实例ProxyCreator的代码; 排查原因是spring boot通过@bean方式注入默认使
shiro异步任务的处理
╃緣分天空╃
10-13 853
官方文档:https://shiro.apache.org/subject.html#thread-association
shiro配置filterchaindefinitions实现多角色判定方法的重写
yaoyao9565的博客
03-23 6192
不知道在使用shiro中出现这种问题,在进行登录拦截赋予用户权限时,需要赋予用户多个角色权限,而在访问地址拦截时访问控制中当用户拥有多个角色权限的任意其一,则可以访问此页面。例如: /userRole/**=roles[admin,isShopMan]
关于shiro拦截器filterChainDefinitions的设置及使用过程源码分析
热门推荐
平凡的世界
05-14 1万+
shiro源码分析,查了些资料,针对于在shiro框架中设置filterChainDefinitions遇到的小问题,做一下分析备忘记录。问题描述:在设置filterChainDefinitions的时候,如果/k/**设置在/k/index之前,那么/k/index将不会生效,有规则说:拦截器的优先级是从上到下,从左到右,如果有匹配的拦截器就会阻断并返回。源码分析filterChainDefin...
shiro 框架
weixin_52810015的博客
07-01 107
https://blog.csdn.net/bell_love/article/details/105667638?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162513789516780262540833%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=162513789516780262540833&biz_id=0&a
Apache2 Ubuntu-XXE漏洞渗透
weixin_53736204的博客
07-25 504
只知道他在192.168.30.1-192.168.255之间,然后御剑2014端口扫描去扫描IP,发现IP为192.168.30.128是有响应。因为我们用的net模式,我们可以在本机通过ip来访问他的网站,但我们不知道他分配是哪个ip。打开robots.txt看看有什么东西,看见有/xxe目录,还有给admin.php。解码后,发现用户名密码,用户名:administhebest,密码是加密过的。我们构造xxe语句将&xxe;我们试一下xxe发现发现一个新网页,是/xxe/index.php。
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 393
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 444
1.导入hutool的maven依赖。2.复制一下代码执行。
Shiro权限控制与身份验证详解
9. **JSP标签**:利用Shiro提供的JSP标签简化权限控制的前端表现。 10. **会话管理**:涵盖会话的概念、会话管理器、会话监听器的设置,以及会话存储、持久化和验证的实现。 11. **缓存机制**:探讨如何利用Shiro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值