Shiro权限控制应用

最新推荐文章于 2021-02-16 08:27:27 发布
最新推荐文章于 2021-02-16 08:27:27 发布
阅读量420 收藏
点赞数
文章标签: Shiro 前后端分离 分布式部署 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PS101505138/article/details/79917620
版权

       最近学习了解了一下Shiro,发现他在权限控制方面有很好的处理,现将相关的学习心得记录下来,作为自己的知识储备,也为有需要的小伙伴提供解决方案。

      Shiro 是一款简单易用的Java安全框架,可以帮助我们完成:认证、授权、加密、会话管理,你可以快速集成到任何应用程序——从最小的移动应用程序到最大的web应用程序。

       图一在很多地方都可以见到,他可以让我们从程序的角度来了解shiro怎样帮我们完成权限控制。

        Subject, 当前登录主体。

        SecurityManager,是Shiro的核心,一系列的认证、授权、加密、会话管理等操作,都是由他来统一调度。

        Realm,相当于安全数据源,Shiro需要从Realm中获取安全数据,如用户、角色、权限。如果用户需要访问某个接口,首先需要Realm告知登录用户是否合法(如密码校验等),其次需要Realm告知用户是否有权限访问接口。Realm需要开发者自己编写处理逻辑。

      


                                                                图一

      图二在很多地方也可以见到,这个可以反映Shiro的整体架构,各个组件的说明,可以查看开涛老师Shiro教程博客,上面写得很详细,大家可以查看他的博客,http://jinnianshilongnian.iteye.com/blog/2018936

                   

                                                                            图二

      了解了Shiro的整体架构后,我接下来说明一下自己遇到的三个问题及解决方案。

一、前后端分离

       项目中采用前后端分离的处理方法,并且前端是ajax跨域请求,无法带上cookie,虽然针对这点网上有解决办法,可是从安全角度考虑,也不想把sessionId保存在cookie中。查看Shiro默认的web会话管理器,DefaultWebSessionManager,可以发现Shiro默认是通过Cookie来获取sessionId,如果无法从cookie中获取,就会去查看url后是否带有JSESSIONID或jsessionid参数,来获取sessionId。我们都不满足,这样的话,原生的方法就无法获取sessionId,所以需要自己稍微改造一下获取sessionId的方法,如下所示,自行定义一个MyWebSessionManager,继承DefaultWebSessionManager类,更改获取sessionId的方法,最后需要将自定义的MyWebSessionManager注入到securityManager中。

public class MyWebSessionManager extends DefaultWebSessionManager{
.................
private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {

    String id = WebUtils.toHttp(request).getHeader("token");
    if(Strings.isNullOrEmpty(id)){
        id = this.getSessionIdCookieValue(request, response);
    }
    if (id != null) {
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "cookie");
    } else {
        id = this.getUriPathSegmentParamValue(request, "JSESSIONID");
        if (id == null) {
            String name = this.getSessionIdName();
            id = request.getParameter(name);
            if (id == null) {
                id = request.getParameter(name.toLowerCase());
            }
        }
        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url");
        }
    }
    if (id != null) {
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
    }
    return id;
}
....................

}

二、会话集群管理

 后台部署在多台机器上,就涉及到session共享的问题。通过查看DefaultWebSessionManage源码,发现其父类DefaultSessionManager中含有SessionDAO属性,通过他可以对session进行管理,默认的是MemorySessionDAO,那么我们可以自己实现SessionDAO,注入到sessionManager中。如下所示,redisManager是普通的redis管理类,定义了自己的session储存类,最后需要将MyShiroSessionDAO注入到sessionManager中。

public class MyShiroSessionDAO extends EnterpriseCacheSessionDAO {

    static final String SESSION_KEY = "session:";

    //创建session
    @Override
    protected Serializable doCreate(Session session) {
        Serializable sessionId = super.doCreate(session);
        final String key = SESSION_KEY + session.getId().toString();
        setShiroSession(key,session);
        return sessionId;
    }

    //获取session
    @Override
    protected Session doReadSession(Serializable sessionId) {
        Session session = super.doReadSession(sessionId);
        if(session == null){
            final String key = SESSION_KEY + sessionId;
            session = getShiroSession(key);
        }
        return session;
    }

    //更新session
    @Override
    protected void doUpdate(Session session) {
        super.doUpdate(session);
        final String key = SESSION_KEY + session.getId();
        setShiroSession(key, session);
    }

    //删除session
    @Override
    protected void doDelete(Session session) {
        super.doDelete(session);
        final String key = SESSION_KEY + session.getId();
        byte[] keyBytes = key.getBytes();
        redisManager.deletBytes(keyBytes);
    }

    //获取session
    private Session getShiroSession(String key) {
        byte[] keyBytes = key.getBytes();
        Session session = null;
        byte[] sessionBytes = redisManager.getBytes(keyBytes);
        if(sessionBytes != null){
            session = (Session)SerializeUtil.unserialize(sessionBytes);
        }
        return session;
    }

    //保存session
    private void setShiroSession(String key, Session session){
        Integer expire = 1800;
        byte[] keyBytes = key.getBytes();
        byte[] sessionBytes = SerializeUtil.serialize(session);
        redisManager.setBytes(keyBytes, sessionBytes, expire);
    }

}
三、去掉登录时url中的JSESSIONID

   shiro配置文件中有一个loginUrl的配置,表示登录跳转的url,shiro默认的会在url后面加上“;JSESSIONID=”的后缀,看网上很多人说shiro1.4版本已经修改了这个bug,只要在sessionManager中的sessionIdUrlRewritingEnabled设置为false就可以了,只是我的好像没起作用,所以跟踪了源码后,发现到最后拼接跳转url的时候,会先判断ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED值,如果为false就不会在登录url后拼接JSESSIONID,于是可以覆写sessionManager中的onStart方法,如下所示,

 protected void onStart(Session session, SessionContext context) {

    super.onStart(session, context);
    if(!WebUtils.isHttp(context)) {
        log.debug("SessionContext argument is not HTTP compatible or does not have an HTTP request/response pair. No session ID cookie will be set.");
    } else {
        ServletRequest request = WebUtils.getRequest(context);
        //控制重定向到loginUrl时不带JSESSIONID
        request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED,isSessionIdUrlRewritingEnabled());
    }
}
下面这个方法是把shiro的源码粘贴上去,isEncodeable方法是判断url是否加上JSESSIONID后缀的其中一步。
protected boolean isEncodeable(String location) {
    if(Boolean.FALSE.equals(this.request.getAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED))) {
        return false;
    } else if(location == null) {
        return false;
    } else if(location.startsWith("#")) {
        return false;
    } else {
        HttpServletRequest hreq = this.request;
        HttpSession session = hreq.getSession(false);
        return session == null?false:(hreq.isRequestedSessionIdFromCookie()?false:this.doIsEncodeable(hreq, session, location));
    }
}
四、控制同一个账户只有一个用户在线

       这个就不细说了,主要结合redis,把登录的用户名和session保存在redis中,在realm的doGetAuthorizationInfo方法中进行判断


                

        

        

    




    

      

        

            

              
                
                  PS101505138
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
shiro权限控制

				
			

			

				

					01-04
				

			

		

		

			
				
Shiro的Web支持使得在Web应用中集成安全控制变得轻而易举。  **测试友好** Shiro设计时就考虑了单元测试,提供了Mock对象和测试工具,使得在测试阶段可以方便地模拟用户认证和授权状态,提高测试效率。  **插件体系*...

			
		

	



                

              
                



	

		

			

				
					
Springboot和bootstrap实现shiro权限控制配置过程

				
			

			

				

					08-19
				

			

		

		

			
				
SpringBoot和Bootstrap实现Shiro权限控制配置过程   SpringBoot和Bootstrap是当前Web开发中非常流行的两个框架,SpringBoot是一个基于Java的后端框架,而Bootstrap是一个前端UI框架。Shiro是一个功能强大且灵活的...

			
		

	



                


  
              

                


	

		

			

				
					
Shiro 作为应用权限基础  一:shiro的整体架构

				
			

			

				

					445822357
				

				

					10-29
					
					116
					
				

			

		

		

			
				
Shiro 作为应用权限基础一:shiro的整体架构

近来在做一个重量级的项目,其中权限、日志、报表、工作量由我负责,工作量还是蛮大的,不过想那么多干嘛,做就是了。
这段时间,接触的东西挺多,比如apacheshiro,spring
 data,springside、DWZ等,java的东西好多,学过ssh就像当初学过三层一样。

下面看看这个安全框架吧

一、什么是Shi...

			
		

	





	

		

			

				
					
使用shiro实现权限控制

				
			

			

				

					qq_33554740的博客
				

				

					03-05
					
					202
					
				

			

		

		

			
				
参考路径 : http://jinnianshilongnian.iteye.com/blog/2018398           http://blog.csdn.net/qq_26562641/article/details/54669204           https://www.cnblogs.com/moonlightL/p/8126910.html 	   http://wiki....

			
		

	



		

			
		



	

		

			

				
					
shiro之web配置

				
			

			

				

					weixin_33716154的博客
				

				

					01-31
					
					122
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	





	

		

			

				
					
web组件工具之获取表单数据:webUtils

				
			

			

				

					weixin_30540691的博客
				

				

					07-30
					
					145
					
				

			

		

		

			
				
  本文需要的架包:commons-beanutils-1.8.3.jar、commons-logging-1.1.3.jar、servlet-api.jar。
  本文共分为五部分:1)封装通用工具类:从表单接收数据并封装到实体类中;2)绘制jsp页面:传输数据; 3)创建实体类:用来存放表单数据; 4)创建servlet类:调用工具类,实现数据封装; 5) 配置web.xml文件
...

			
		

	





	

		

			

				
					
shIro跳转方法https服务变为http请求的问题解决办法

				
			

			

				

					x948130516的博客
				

				

					04-19
					
					7395
					
				

			

		

		

			
				
当https服务收到http请求时会有异常无法访问的错误。具体shiro的重定向方法如下:

          Map<String,Object> queryParams = new HashMap<>();
         queryParams.put("kickoutLoginMsg", "您的账号在别处地点登录,您已被...

			
		

	





	

		

			

				
					
Spring MVC整合Shiro权限控制的方法

				
			

			

				

					08-27
				

			

		

		

			
				
Spring MVC整合Shiro权限控制的方法  Spring MVC 是一个流行的 Java Web 框架,而 Shiro 是一个功能强大且灵活的开放源代码安全框架。为了实现权限控制,需要将 Spring MVC 和 Shiro 进行整合。下面是 Spring MVC ...

			
		

	





	

		

			

				
					
vue与shiro结合实现权限按钮

				
			

			

				

					12-15
				

			

		

		

			
				
在现代Web应用开发中,权限控制是一个至关重要的环节,它涉及到用户访问的权限范围和操作权限,确保系统安全。Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度...

			
		

	





	

		

			

				
					
shiro-freemarker权限控制标签

				
			

			

				

					06-13
				

			

		

		

			
				
Apache Shiro 和 Freemarker 的整合主要集中在权限控制方面,这对于构建安全、易维护的Web应用至关重要。Shiro 是一个强大的Java安全框架,提供身份验证、授权、加密和会话管理功能,而Freemarker则是一种常用的模板...

			
		

	





	

		

			

				
					
springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题

				
			

			

				

					wmy_0707的博客
				

				

					08-28
					
					6342
					
				

			

		

		

			
				
近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。



下面记录在整个过程中涉及的几个大问题:1、跨域问题 2、sessionId问题 3、302鉴权问题



1、springboot跨域问题解决


package net.sino...

			
		

	





	

		

			

				
					
shiro学习33-shiro的工具类-webUtils

				
			

			

				

					iteye_14612的博客
				

				

					02-18
					
					1402
					
				

			

		

		

			
				

这个类提供的很多方法对于我们的平时开发都很有帮助,并不仅仅是shiro内部的应用。
&lt;!--[if !supportLists]--&gt;1、 1、 &lt;!--[endif]--&gt;getPathWithinApplication(HttpServletRequest),取得不包含应用路径的路径。
&lt;!--[if !supportLists]--&gt;2、  2、n...

			
		

	





	

		

			

				
					
java session跨域共享_我的shiro之旅: 十七 跨域session共享的一种解决方法

				
			

			

				

					weixin_42109125的博客
				

				

					02-16
					
					243
					
				

			

		

		

			
				
importjavax.servlet.ServletRequest;importjavax.servlet.ServletResponse;importjavax.servlet.http.HttpServletRequest;importorg.apache.commons.lang.StringUtils;importorg.apache.shiro.web.servlet.Adv...

			
		

	





	

		

			

				
					
解决https服务使用shiro跳转登录界面变成http

				
			

			

				

					kanaiji123的博客
				

				

					12-05
					
					2988
					
				

			

		

		

			
				
最近项目上线跳转登录页面的时候报错400,权限框架使用的是shiro,排查后发现是https跳转登录页面变成了http导致的问题。

查看源码可以发现,shiro的登录过滤器FormAuthenticationFilter的方法中调用了saveRequestAndRedirectToLogin方法


protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IO

			
		

	





	

		

			

				
					
Spring 优秀工具类盘点,第 1 部分: 文件资源操作三

				
			

			

				

					小乐乐
				

				

					04-16
					
					179
					
				

			

		

		

			
				
Spring 所提供的过滤器和监听器
Spring 为 Web 应用提供了几个过滤器和监听器,在适合的时间使用它们,可以解决一些常见的 Web 应用问题。
延迟加载过滤器
Hibernate 允许对关联对象、属性进行延迟加载,但是必须保证延迟加载的操作限于同一个 Hibernate Session 范围之内进行。如果 Service 层返回一个启用了延迟加载功能的领域对象给 Web 层,当 ...

			
		

	





	

		

			

				
					
shIro跳转方法https服务变为http请求

				
			

			

				

					lee___l__的博客
				

				

					08-29
					
					3413
					
				

			

		

		

			
				
在使用shiro框架时,当session会话过期后返回登陆页面报错,
错误为:Mixed Content: The page at ‘https://XXX’ was loaded over HTTPS, but requested an insecure

原因是因为需要https协议而shiro帮我们转化为了http协议.
网上的一种方法是在视图层将redirectHttp10Compatib...

			
		

	





	

		

			

				
					
在前后端分离的项目中,后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制

					
热门推荐

				
			

			

				

					palerock的博客
				

				

					06-19
					
					6万+
					
				

			

		

		

			
				
前后端分离的项目中,ajax跨域和保存用户信息是其中的重点和难点。
如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。
在前一篇文章中,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后端分离的项目中使用shrio的session(会话管理系统)。
但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前端ajax框架所公认的,我们需要一种更

			
		

	





	

		

			

				
					
WebUtils.java

				
			

			

				

					菜鸟之家
				

				

					04-10
					
					740
					
				

			

		

		

			
				
public static boolean isAPIRequest(HttpServletRequest request){
		boolean ajax = "XMLHttpRequest".equals(request.getHeader("X-Requested-With"));
		boolean html = request.getHeader("Accept") != null ...

			
		

	





	

		

			

				
					
shiro前后端分离中的跳转问题

				
			

			

				

					小海的博客
				

				

					03-25
					
					4294
					
				

			

		

		

			
				
1.问题描述

因为想实现前后端分离,并且使用shiro进行权限管理
但是碰到一个问题就是shiro的重定向问题
1.未登录,shiro会自动重定向到 /login
2.访问路径无权限shiro会抛出401 http错误


2.解决

因为我纯粹只想用springBoot写后端api所以就必须kill掉这些问题
通过查资料发现在 org.apache.shiro.web.filter.aut...

			
		

	





	

		

			

				
					
shiro权限控制

					
最新发布

				
			

			

				

					10-10
				

			

		

		

			
				
Shiro是一个用于Java应用程序的强大且灵活的安全框架,可以用于实现权限控制。它提供了身份验证、授权、加密、会话管理等功能,可以帮助开发人员轻松地添加安全性到他们的应用程序中。  要使用Shiro进行权限控制,你...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值