Shiro应用到Web Application

已于 2024-07-20 09:11:16 修改
阅读量280 收藏
点赞数
分类专栏: 架构落地手记 Java开发框架与工具 文章标签: eclipse web app java web shiro
于 2023-10-05 15:06:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lyon_yong/article/details/133579939
版权

 一、权限基础

a) 认证(你是谁?)

判断你(被认证者)是谁的过程。通常被认证者提供用户名和密码。

常见的认证包含如下几种:

  • 匿名认证:允许访问资源,不做任何类型的安全检查。
  • 表单认证:访问资源之前,需要提交包含用户名和密码的表单。这是web application最常用的认证方式。这个过程一般会接合Session,只在第一次(新会话)访问资源时提交认证表单。
  • 基本HTTP认证:基于RFC 2617的一种认证方式。
  • 用户认证:Filter that allows access to resources if the accessor is a known user, which is defined as having a known principal. This means that any user who is authenticated or remembered via a 'remember me' feature will be allowed access from this filter.

b)  授权(你可以做什么?)

判断被认证者(你)是否能做什么操作的过程。

  • 端口授权:必须通过指定的某个端口才能访问资源。
  • Permission授权:Filter that allows access if the current user has the permissions specified by the mapped value, or denies access if the user does not have all of the permissions specified.
  • Role授权:Filter that allows access if the current user has the roles specified by the mapped value, or denies access if the user does not have all of the roles specified.

perms     org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port     org.apache.shiro.web.filter.authz.PortFilter
roles     org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl     org.apache.shiro.web.filter.authz.SslFilter

c)  加密

使用技术手段(如:MD5、SHA等)把待加密的数据变为密文(如:信息摘要等)过程。

d)  RBAC

基于角色的访问控制(Role-Based Access Control)。

e) Realm

data access object for an application’s security components (users,roles, permissions)

f)  Permission

最小粒度的授权,不与用户关联。
例如:导出报表、查看id号为“PO20090008”的采购单、创建FAQ。

g) Role

Permission的集合。

二、Shiro特点

  • 简单。
  • 功能强大。
  • 能独立运行,不依赖其它框架或容器。
  • 包含了认证、授权、Session管理、加密。
  • 易于扩展。

三、web application 集成Shiro

a)  数据模型

用户账号Account,可以简单的理解为用户。
一个账号可以拥有多个角色(Role)。
一个角色包含了多个权限(Permission)。

b)  创建工程,新建实体,添加与Shiro相关的Jar包

Eclipse:File--New--Other--Web--Dynamic Web Project

在 /WEB-INFO/lib/目录下添加如下Jar包

相关Jar包,http://incubator.apache.org/shiro/download.html

c)  配置web.xml,添加过滤器

<filter>
     <filter-name>ShiroFilter</filter-name>
     <filter-class>org.apache.shiro.web.servlet.IniShiroFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>ShiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

d)  INI配置

[main]
#SHA256加密
sha256Matcher = org.apache.shiro.authc.credential.Sha256CredentialsMatcher

#realm
myRealm = com.xx.xx.shiro.MyShiroRealm
myRealm.credentialsMatcher = $sha256Matcher

#缓存
myRealm.authorizationCachingEnabled = true
cache=org.apache.shiro.cache.ehcache.EhCacheManager
myRealm.cacheManager=$cache

[filters]
shiro.loginUrl = /login.jsp
#authc=org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authc.successUrl =/background.jsp
perms.unauthorizedUrl =/401.jsp

[urls]
/login.jsp=authc
/logout.jsp=anon
/about.jsp=anon
/background.jsp=authc

/faq/test.jsp=authc
/faq/list.jsp=authc,perms["faq:list"]
/faq/view.jsp=authc,perms["faq:view"]

位置:
配置参数可以写在web.xml文件中,也可以单独文件形式存放在本地类根路径、文件系统以及网络环境中。
Shiro INI Inline Config 和External Config

public class MyShiroRealm extends AuthorizingRealm {
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        String username = (String) principals.fromRealm(
                getName()).iterator().next();
        if( username != null ){
            AccountManager accountManager = new AccountManagerImpl();
            Collection<Role> myRoles = accountManager.getRoles( username );
            if( myRoles != null ){
                SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
                for( Role each:myRoles ){
                    info.addRole(each.getName());
                    info.addStringPermissions( each.getPermissionsAsString() );
                }
                return info;
            }
        }
        return null;
    }
   
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken ) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        String accountName = token.getUsername();
               
        //用户名密码验证
        if( accountName != null && !"".equals(accountName) ){
            AccountManager accountManager = new AccountManagerImpl();
            Account account = accountManager.get( token.getUsername() );
            if( account != null )
                return new SimpleAuthenticationInfo(
                        account.getName(),account.getPassword(), getName() );
        }
        return null;
    }
}

f)   登录页面

 <%Object obj = request.getAttribute(org.apache.shiro.web.filter.authc.
FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
            boolean flag = false;
            String msg = "";                   
            if( obj != null ){
                if( "org.apache.shiro.authc.UnknownAccountException".equals( obj ) )
                    msg = "未知帐号错误!";
                else if("org.apache.shiro.authc.IncorrectCredentialsException".equals( obj ))
                    msg = "密码错误!";                   
                else if( "org.apache.shiro.authc.AuthenticationException".equals( obj ))
                    msg = "认证失败!";
                flag = !"".equals(msg);
            }           
            if( flag )
                out.print( msg );
%>

<form action="login.jsp" method="post">
            <br/>用户帐号:
            <input type="text"  name="username" id="username" value=""/>
            <br/>登录密码:
            <input type="password" name="password" id="password" value="" />                            <br/>
            <input value="登录" type="submit" >
</form>

g)  登出页面

<%SecurityUtils.getSubject().logout();%>

四、在Shiro中实现CAPTCHA(验证码)功能

a)  验证码表单认证过滤器

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

public class CaptchaFormAuthenticationFilter extends FormAuthenticationFilter{
      public static final String DEFAULT_CAPTCHA_PARAM = "captcha";
      private String captchaParam = DEFAULT_CAPTCHA_PARAM;
      public String getCaptchaParam() {
        return captchaParam;
    }

      protected String getCaptcha(ServletRequest request) {
        return WebUtils.getCleanParam(request, getCaptchaParam());
    }


protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        String username = getUsername(request);
        String password = getPassword(request);
        String captcha = getCaptcha(request);
        boolean rememberMe = isRememberMe(request);
        String host = getHost(request);       
        return new CaptchaUsernamePasswordToken(username, password, rememberMe, host,captcha);
    }
}

b)  用户名密码令牌UsernamePasswordToken

import org.apache.shiro.authc.UsernamePasswordToken;

public classCaptchaUsernamePasswordToken extends UsernamePasswordToken {
      private static final long serialVersionUID = 1L;
      private String captcha;

      public String getCaptcha() {
           return captcha;
      } 

      public void setCaptcha(String captcha) {
           this.captcha = captcha;
      }

      public CaptchaUsernamePasswordToken() {
           super();
      }

      public CaptchaUsernamePasswordToken(String username, char[] password,
                 boolean rememberMe, String host,String captcha) {        
           super(username, password, rememberMe, host);
           this.captcha = captcha;
      }
}

c)  添加AuthenticationException

public classIncorrectCaptchaException extends AuthenticationException{
      private static final long serialVersionUID = 1L;

      public IncorrectCaptchaException() {
           super();
      }

      public IncorrectCaptchaException(String message, Throwable cause) {
           super(message, cause);
      }

      public IncorrectCaptchaException(String message) {
           super(message);
      }

      public IncorrectCaptchaException(Throwable cause) {
           super(cause);
      }
}

d)  Shiro INI文件

authc= com.xx.xx.shiro.CaptchaFormAuthenticationFilter

e)  实现Realm

 protectedAuthenticationInfo doGetAuthenticationInfo(
                 AuthenticationToken authcToken ) throwsAuthenticationException {
           CaptchaUsernamePasswordToken token = (CaptchaUsernamePasswordToken) authcToken;
           String accountName = token.getUsername();
                 //验证码 验证
                 String captcha = null;
                 Object obj_captcha = SecurityUtils.getSubject().getSession().getAttribute( SessionKey.CAPTCHA );
                 Object obj_count = SecurityUtils.getSubject().getSession().getAttribute( SessionKey.LOGIN_FAILED_COUNT );
                 int failed_count = (obj_count == null || !(obj_count instanceof Integer))?0:(Integer)obj_count;
                 if( obj_captcha instanceof String)
                      captcha = (String)obj_captcha;
                 if( captcha != null && failed_count >0&& !captcha.equalsIgnoreCase( token.getCaptcha() )){
                      throw newIncorrectCaptchaException("验证码错误!");
           }

           //用户名密码验证
           if( accountName != null && !"".equals(accountName) ){
                 AccountManager accountManager = newAccountManagerImpl();
                 Account account = accountManager.get( token.getUsername() );
                 if( account != null )
                      return new SimpleAuthenticationInfo( account.getName(),account.getPassword(), getName() );
           }
           return null;
      }
}

f)   登录页面

<% Object obj = request.getAttribute(org.apache.shiro.web.filter.authc.
FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
           boolean flag = false;
           String msg = "";                        
           if( obj != null ){
                 if( "org.apache.shiro.authc.UnknownAccountException".equals( obj ) )
                      msg = "未知帐号错误!";
                 else if("org.apache.shiro.authc.IncorrectCredentialsException".equals( obj ))
                      msg = "密码错误!";
                 else if("com.xx.xx.shiro.IncorrectCaptchaException".equals( obj ))
                      msg = "验证码错误!";
                 else if( "org.apache.shiro.authc.AuthenticationException".equals( obj ))
                      msg = "认证失败!";
                 flag = !"".equals(msg);
           }
             
           if( flag ){
                 out.print( msg );
                 Integer count = (Integer)request.getSession().getAttribute(SessionKey.LOGIN_FAILED_COUNT );
                 if( count == null )
                 count = Integer.valueOf(0);
                 count++;
                 request.getSession().setAttribute(SessionKey.LOGIN_FAILED_COUNT, count);
           }                   
%>

<form action="login.jsp" method="post">
           <br/>用户帐号:
           <input type="text"  name="username" id="username" value=""/>
           <br/>登录密码:
           <input type="password" name="password" id="password" value="" />         
           <br/>验证码:
           <input type="text" name="captcha" id="captcha" size="6"/>
           <img src="/captcha" alt="captcha" />
           <br/><input value="登录" type="submit" >
</form>

g)  CAPTCHA实现

h)      

五、代码的开发环境

JAVA1.6

Tomcat

Eclipse

李景琰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot + Shiro,单WEB项目的简单权限案例
02-13
Shiro可以很容易地集成到各种应用中,包括Java Web应用。 现在,我们将这两个框架结合,构建一个单Web项目的权限案例: 1. **项目初始化**:首先,创建一个SpringBoot项目,选择Spring Web依赖。然后,通过Maven或...
应用ShiroWeb Application(基础)
程序员!我当定了!
09-30 4814
一、简介 如果你正想学习权限方面的知识,或者正打算把Shiro作为权限组件集成到自己的web application中,或许正在为Shiro如何实现CAPTCHA(验证码)功能而伤透脑筋。那么,本文正是为你准备的。本文简单介绍权限方面的基础知识并以实际例子,带你进入Shiro的世界。 二、权限基础 a)    认证(你是谁?) 判断你(被认证者)是谁的过程。通常被认证者提供用户
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1624
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
shiro整合applicationContext.xml
Ledis的博客
04-19 2142
shiro整合applicationContext.xml
Shiro框架配置-applicationContext里面的(仅提供借鉴)
weixin_30475039的博客
04-25 119
<!-- 配置自定义realm --> <bean id="shiroAuthRealm" class="com.sykj.realm.ShiroAuthRealm"> <!-- 配置加密 --> <property name="credentialsMatcher"> <bean class="org...
springBoot的shiro的简单项目部署
u011577355的博客
01-17 649
springboot2.0框架下使用Shiro 介绍 Shiro是Apache旗下的开源项目,是一个简单易用的安全框架,提供包括认证、授权、加密、会话管理等诸多功能。Shiro使用了比较简单易懂易于使用的授权方式。Shiro属于轻量级框架,配置简单,应用广泛。在很多优秀的开源项目之中都有使用。 搭建springboot,网页部分 创建项目 搭建springboot开发环境 打开idea,点击文件(file)–>新建(new)–>新建文件(Project) 之后就会进入idea的新建项目之中,这
Application Security With Apache Shiro
06-22
Shiro不仅适用于命令行应用程序、移动应用程序,而且适用于大型的Web和企业级应用程序。此外,Shiro还支持Web应用安全、单元测试以及多线程支持等辅助功能,这些辅助功能主要是为了加强这四个主要关注点。 Shiro...
springboot+shiro入门案例
12-21
**ShiroWeb应用场景** 1. **登录功能**:用户提交用户名和密码后,Shiro会调用 Realm 的 `doGetAuthenticationInfo` 方法进行身份验证。 2. **权限控制**:通过 `@RequiresPermissions` 和 `@RequiresRoles` 注解...
shiro-springboot.zip
05-24
在本项目 "shiro-springboot.zip" 中,我们将探讨如何将 Shiro 集成到 Spring Boot 应用中,实现基本的身份验证和权限控制。 首先,`pom.xml` 文件是 Maven 项目的配置文件,它包含了 Shiro 和 Spring Boot 相关...
shiroDemo.rar
07-22
**标题:“shiroDemo.rar”** - 这个压缩包文件名为“shiroDemo”,暗示了它是一个关于Shiro框架的示例项目,可能包含了如何在Spring Boot应用中集成Shiro的相关代码和配置。 **描述:“springboot+shiro+jwt+redis...
Authorization授权
12-14
Laravel官方文档讲解,该资料是一整套视频,需要逐个下载,Authorization授权
springmvc+shiro简单配置及作用(applicationContext.XML springmvc部分)
w3226327的专栏
10-20 2070
1.        避免注解的声明,简化配置 2. 扫描指定包中的注解配置 3.datasource配置 /WEB-INF/config/jdbc.properties 4.sessionfactory配置 <bean id="sessionFacto
application配置+shiro
渔舟唱晚,响穷彭蠡之滨
08-20 1565
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"        xmlns:p="http://www.springframework.org/schema/p"       xmlns:aop="http://www.springframework.org/schema/aop"        xmlns:context="http
shiro简单配置
热门推荐
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
NIOS Eclipse突然报错:No rule to make target `/system.h
xzs520xzs的博客
08-21 320
今天打开NIOS Eclipse编译昨天完好的工程,发现报错。我就纳闷了,代码没有修改,编译结果报错。
阿里云服务器 篇七:服务器热备份/定时备份
最新发布
生活在别处
08-24 61
Python 客户端用于百度云(个人云存储)百度云/百度网盘 Python 客户端。它主要用于在 Linux 环境下通过命令行操作百度云盘的 2TB 存储空间。是一个Github开源项目,这是一个百度云/百度网盘Python客户端。: 列出百度 PCS 中的 ‘remotepath’ 目录。: 从本地目录同步到远程目录。: 在百度云中创建一个目录。
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 500
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
笔记redis
风止的博客
08-22 1038
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
SpringBoot整合Shiro实战:快速入门与配置详解
配置文件部分,Thymeleaf的配置被提及,目的是禁用HTML的验证,这可能涉及到在`application.properties`或`application.yml`中设置Thymeleaf的相关属性,例如关闭XHTML验证,以允许更灵活的模板编写。 在实际应用中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李景琰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值