shiro安全框架

最新推荐文章于 2023-12-06 17:51:39 发布
最新推荐文章于 2023-12-06 17:51:39 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: shiro安全框架 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asmall_cat/article/details/124087638
版权

一:为什么学习 Shiro

目前学习写的代码整体不太安全

解决的方案

1.spring security 安全框架

缺点:必须基于Spring,局限性比较大

  1. shiro javaEE javaSE 分布式项目

二:什么是 shiro

Apache Shiro™是一个功能强大、易于使用的Java安全框架,可以执行身份验证、授权、加密和会话管理。 通过Shiro易于理解的API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。

三:Shiro 中的体系的组成

 

Authentication:身份的验证-就是我们平时做的登录

Authorization:授权:赋予角色不同的 菜单功能

Session Management:管理登录用户的信息

Cryptography:加密技术 MD5 加密算法等。。

Web Supportshiro web 项目进行的支持

Caching:缓存 可以安全快速的操作

Concurrency:支持并发多线程的处理

Testing:测试

Run As:可以实现在一个用户允许的前提下,使用另一个用户访问

Remember Me:记住我(免密登录) 

四:shiro主要有三大功能模块:

1. Subject:主体,指用户。

2. SecurityManager:安全管理器,管理所有用户,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet)

3. Realms(接口):用于进行用户认证/权限控制和授权,需要自己实现。(使用jdbc的realm比较繁琐建议自定义)

五:搭建 shiro 实现登陆的操作(shiro的依赖)

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>

六:Shiro 验证时的常见的异常

用户名不正确: UnknownAccountException        常用

凭证(密码)不正确: IncorrectCredentialsException   常用

账户失效异常: DisabledAccountException

竞争次数过多: ConcurrentAccessException

尝试次数过多: ExcessiveAttemptsException

凭证过期: ExpiredCredentialsException  

使用 shiro 做异常处理的时候,尽量把异常信息表示的婉转一点(不要太详细),这

样有助于提升代码的安全性

七:Shiro认证策略(多数据源认证)

 使用一个集合封装数据源realms

Collection<Realm> realms; 获取认证数据源;Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”

八:shiro拦截器的枚举使用

使用shiro过滤器方式
使用有顺序的双链集合,**带链表的集合**
Map<String, String> filterMap = new LinkedHashMap<>();

案例:

//1放行jsp:必须在拦截前面
filterMap.put("/login","anon");
filterMap.put("/css/**","anon");
filterMap.put("/editor/**","anon");
filterMap.put("/images/**","anon");
filterMap.put("/js/**","anon");
filterMap.put("/My97DatePicker/**","anon");
//放行Controller方法
filterMap.put("/loginShiro","anon");
//2对某个jsp页面需要审核权限时放权:增加URl的细粒度
filterMap.put("/showToAudit","perms[审核]");
filterMap.put("/showMyAudit","perms[审核]");

//3需要认证身份才可以登录
//拦截所有
filterMap.put("/**","user");

//4退出logout
filterMap.put("/logout","logout");//销毁当前登陆者的所有信息;
bean.setFilterChainDefinitionMap(filterMap);

//5当前未登录,跳转到登录页面
bean.setLoginUrl("/toLogin");//RequestMapping()

bean.setUnauthorizedUrl("/unAuthorized");

九:散列算法(算法加密)

在身份认证的过程中往往都会涉及到加密,如果不加密,这个时候信息就会非常的不安全,shiro 中提供的算法比较多,如 MD5/SHA 等,即把密码加密成一组固定长度的十六进制的数据

注意:加密后的数据是不可逆的

public class text {
    public static void main(String[] args) {
        /**
         * 使用md5加密
         */
        String a="123";
        Md5Hash md5Hash = new Md5Hash(a);
        System.out.println("md5加密:"+md5Hash);

        //加入扰乱码salt(数字签名)
        Md5Hash admin = new Md5Hash(a, "admin");
        System.out.println("md5加入扰乱码后:"+admin);

        //加入扰乱码salt(数字签名)加入迭代次数2
        Md5Hash hash1 = new Md5Hash(a, "admin",2);
        System.err.println("md5加入扰乱码后且加入迭代次数2后的admin:"+hash1);

        //加入扰乱码salt(数字签名)加入迭代次数2
        Md5Hash hash2 = new Md5Hash(a, "user",2);
        System.err.println("md5加入扰乱码后且加入迭代次数2后的user:"+hash2);
    }
}

十:设置散列算法

@Configuration //交给spring容器管理
public class shiroConfig {
    /**
     * 设置散列算法
     * Hashed Credentials Matcher 散列证书匹配器
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //指定散列算法:md5
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        //指定迭代次数:默认为一次
        hashedCredentialsMatcher.setHashIterations(2);
        return hashedCredentialsMatcher;
    }

然后关联自定义realname对象;

十一:授权

授权:给身份认证通过的授予某些资源的访问权限

权限的粒度:粗粒度/细粒度

粗粒度

User 具有CRUD 的操作:通常指的是针对表的操作

细粒度

只允许查询 id=1 的用户 使用业务代码实现

Shiro 的授权是粗粒度

角色:角色就是权限的集合 

 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1获取登陆者信息
        Subject subject = SecurityUtils.getSubject();
        Employee emp = (Employee)subject.getPrincipal();
        //2根据登陆者信息找到授权id
        int rid = emp.getRid();
        Roles role=rolesMapper.selectByPrimaryKey(rid);
        //3得到授权字段
        String roles = role.getRname();
        //4授权
        //<shiro:hasAnyRoles name="" >关联前端的这个标签用来校验
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole(roles);

        //给指定jsp放权增加页面细粒度
        Power power = powerMapper.findPower(emp.getEmpid());//可能存在没有权限用户会导致空指针异常
        if (power!=null){
            //添加授权指定字段
            info.addStringPermission(power.getMsg());
        }
        return info;
    }

前台jsp页面通过<shiro>标签设定权限

<shiro:hasAnyRoles name="这个是数据库的权限id对应的授权字段" >

关联前端的这个标签用来校验

十二:记住我免登陆逻辑

/**
     * 记住我,免密登录的处理
     */
    public CookieRememberMeManager rememberMeManager(){
        /*
        设置cookie的参数
         */
        //设置cookie的name=rememberMe
        SimpleCookie cookie = new SimpleCookie("rememberMe");
        //设置cookie的有效时间7天
        cookie.setMaxAge(3600*24*7);
        //把cookie放入管理器
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(cookie);
        /*
        给响应到浏览器的cookie数据加密
        cookie的加密使用的是AES算法家吗秘钥长度为(128,256,512位)
        提供一个AES公开的秘钥:3AvVhmFLUs0KTA3Kprsdag==
         */
        try {
            cookieRememberMeManager.setCipherKey(Base64Util.decode("3AvVhmFLUs0KTA3Kprsdag=="));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return cookieRememberMeManager;
    }

秘钥:3AvVhmFLUs0KTA3Kprsdag==

2 解码与编码:

package com.oa.manage.config;

import java.io.ByteArrayOutputStream;

/**
 * 加密/解密工具类
 * 服务器与浏览器交互的过程中
 * 为增强安全我们需要把cookie/图片等等信息编码成base64字符串传输,提高在网络传输中的安全性
 */
public class Base64Util {
    private static final char[] base64EncodeChars = new char[] { 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q',
            'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r',
            's', 't', 'u', 'v', 'w', 'x', 'y', 'z', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', '+', '/' };
 
    private static byte[] base64DecodeChars = new byte[] { -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
            -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, 62, -1, -1, -1, 63, 52, 53, 54, 55, 56, 57, 58, 59, 60,
            61, -1, -1, -1, -1, -1, -1, -1, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, -1, -1, -1,
            -1, -1, -1, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, -1, -1, -1, -1, -1 };
 
    private Base64Util() {
    }
 
    /**
     * 将字节数组编码为字符串
     * @param data
     */
    public static String encode(byte[] data) {
        StringBuffer sb = new StringBuffer();
        int len = data.length;
        int i = 0;
        int b1, b2, b3;
 
        while (i < len) {
            b1 = data[i++] & 0xff;
            if (i == len) {
                sb.append(base64EncodeChars[b1 >>> 2]);
                sb.append(base64EncodeChars[(b1 & 0x3) << 4]);
                sb.append("==");
                break;
            }
            b2 = data[i++] & 0xff;
            if (i == len) {
                sb.append(base64EncodeChars[b1 >>> 2]);
                sb.append(base64EncodeChars[((b1 & 0x03) << 4) | ((b2 & 0xf0) >>> 4)]);
                sb.append(base64EncodeChars[(b2 & 0x0f) << 2]);
                sb.append("=");
                break;
            }
            b3 = data[i++] & 0xff;
            sb.append(base64EncodeChars[b1 >>> 2]);
            sb.append(base64EncodeChars[((b1 & 0x03) << 4) | ((b2 & 0xf0) >>> 4)]);
            sb.append(base64EncodeChars[((b2 & 0x0f) << 2) | ((b3 & 0xc0) >>> 6)]);
            sb.append(base64EncodeChars[b3 & 0x3f]);
        }
        return sb.toString();
    }
 
    /**
     * 解码
     * @param str
     */
    public static byte[] decode(String str) throws Exception {
        byte[] data = str.getBytes("GBK");
        int len = data.length;
        ByteArrayOutputStream buf = new ByteArrayOutputStream(len);
        int i = 0;
        int b1, b2, b3, b4;
 
        while (i < len) {
 
            /* b1 */
            do {
                b1 = base64DecodeChars[data[i++]];
            } while (i < len && b1 == -1);
            if (b1 == -1) {
                break;
            }
 
            /* b2 */
            do {
                b2 = base64DecodeChars[data[i++]];
            } while (i < len && b2 == -1);
            if (b2 == -1) {
                break;
            }
            buf.write((b1 << 2) | ((b2 & 0x30) >>> 4));
 
            /* b3 */
            do {
                b3 = data[i++];
                if (b3 == 61) {
                    return buf.toByteArray();
                }
                b3 = base64DecodeChars[b3];
            } while (i < len && b3 == -1);
            if (b3 == -1) {
                break;
            }
            buf.write(((b2 & 0x0f) << 4) | ((b3 & 0x3c) >>> 2));
 
            /* b4 */
            do {
                b4 = data[i++];
                if (b4 == 61) {
                    return buf.toByteArray();
                }
                b4 = base64DecodeChars[b4];
            } while (i < len && b4 == -1);
            if (b4 == -1) {
                break;
            }
            buf.write(((b3 & 0x03) << 6) | b4);
        }
        return buf.toByteArray();
    }
}

3:关联shiro框架

关联免登陆逻辑
defaultWebSecurityManager.setRememberMeManager(cookieRememberMeManager());

asmall_cat
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建Springboot整合shiro安全框架+Redis+Swagger+Filter超详细
07-08
在本教程中,我们将深入探讨如何利用Spring Boot整合Shiro安全框架,以实现用户认证与授权,同时结合Redis进行会话管理,以及使用Swagger为API提供文档化接口,最后通过Filter实现自定义的请求处理。以下是对这些...
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
shiro动态配置过滤器
yaoct的博客
05-14 3781
在创建AbstractShiroFiltershiro过滤器)时,可以配置过滤器,比如: @Bean("shiroFilter") @DependsOn({"securityManager"}) public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBea
FilterChainDefinitionMap_参数说明
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
快速上手Shiro拦截器、认证、授权功能
piaolaoshi的博客
03-20 8276
快速实现shiro拦截器授权认证等功能
Shiro学习记录
多思考思考
08-25 436
难度系数 :5 知识点有点琐碎 建议耐下性子来学习 第一部分:代码示例: (因为知识点比较杂所以直接上代码,有注释) 目录 FilterChainDefinitionMapBuilder.java package com.atguigu.shiro.factory; import java.util.LinkedHashMap; public class FilterChainDefinitionMapBuilder { public LinkedHashMap<Strin..
shiro讲解,以及SpringBoot微框架集成shiro完成登录拦截器功能。
听风动的博客
04-02 1239
一:shiro是什么? 1.shiro是什么 shiro是apache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。 2.shiro与传统权限的区别 shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限...
常见问题
最新发布
weixin_39873434的博客
12-06 542
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
shiro中使用自定义filter后,anon不生效解决方案
m0_67391683的博客
08-30 2253
参考:https://stackoverflow.com/questions/51552021/adding-custom-filter-apache-shiro-spring-boot。使用了LinkedHashMap,但配置了anon的接口还是会通过JwtFilter。改写后 配置了anon的接口不会再通过jwtFilter
shiro setFilterChainDefinitionMap 多个路径不生效问题
woaiqianzhige的博客
11-30 1万+
shiro setFilterChainDefinitionMap 多个路径不生效问题 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put("/cms/admin/**", "perms[admin]"); map.put("/cms/appeal/**", "perms[appeal]");
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
springboot shiro vue使用websocket案例
kan_Feng的博客
09-29 1541
springboot shiro vue 使用 websocket 案例
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值
m0_67402341的博客
04-07 763
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值 1、在ShiroConfig中的ShiroFilterFactoryBean这个bean中添加过滤器,在过滤器中对接口添加访问权限 1> 添加访问权限 Map<String, String> filterMap = new LinkedHashMap<>(); filterMap.put("/user/add", "perms[user:add]"); //授权 shiroFilterFactoryBean.
登陆页面渗透测试常见的几种思路与总结
weixin_50464560的博客
10-02 4088
前言 我们在进行渗透测试的时候,常常会遇到许多网站站点,而有的网站仅仅是基于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中,客户常常丢给你一个登陆网站页面,没有测试账号,让你自己进行渗透测试,一开始经验不足的话,可能会无从下手。今天就来简单说一下如何在只有一个登陆页面的情况下,来进行渗透测试。 0x00 在条件允许的情况下,我们可以拿在渗透测试的开始之前拿出我们的扫描器来进行扫描,目前我们最常用的就是AWVS和Nessus,除此之外,我们还可以使用一些别的自动化测试...
SpringBoot学习笔记(三)
qq_40940940的博客
06-09 341
SpringBoot自动装配 十二:Shiro (一)简介 Apache Shiro是一个Java安全框架,可以完成认证、授权、加密、会话管理、Web集成、缓存等功能,默认使用commom-logging。 Subject(当前用户)—>Shiro SecurityManager(管理所有用户)–>Realm(管理安全数据) (二)开发步骤 导入依赖 <!--shiro--> <dependency> <groupId>org.apache.sh
Java 8 Map Filter 过滤示例
热门推荐
Hatsune_Miku_的博客
06-18 4万+
Java 8 Map Filter 过滤示例 Java 8之前: String result = ""; for (Map.EntryInteger, String> entry : A_MAP_EXAMPLE.entrySet()) { if("something".equals(entry.getValue())){ result = entry.getValue(); }
Spring Boot + Shiro 自定义 logout 后的跳转 地址
花满天下的博客
01-15 1293
Spring Boot + Shiro 自定义 logout 后的跳转 地址 ShiroFilterFactoryBean 的配置代码 如下 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); Map<
Shiro安全框架深度解析
"这篇文档是关于Apache Shiro安全框架的全程讲解,涵盖了从基础到高级的各种功能,包括身份验证、授权、配置、Web集成、拦截器机制、JSP标签、会话管理和缓存机制,以及如何与Spring框架进行集成。" Apache Shiro是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值