shiro学习笔记以及demo

最新推荐文章于 2019-10-14 23:58:11 发布
最新推荐文章于 2019-10-14 23:58:11 发布
阅读量477 收藏
点赞数
分类专栏: shiro 文章标签: shiro 安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bai_bug/article/details/77430156
版权

1、shiro框架核心配置

Spring的配置文件中配置的一个bean,org.apache.shiro.spring.web.ShiroFilterFactoryBean(协调办公室,真正意义掌握安全控制权限)

2、web.xml文件为什么还要配置一个DelegatingFilterProxy

DelegatingFilterProxy:用来到spring容器中去找与filter-name下相同名字的bean实例。降低耦合。

3、web.xml的shiroFilter与spring配置的shiroFilter关系

web容器启动加载web.xml,创建shiroFilter,根据shiroFilter的name去spring的IOC容器中寻找与shiroFilter相同的名字的bean实例.并且将安全控制权限交给bean实例处理。

4、从DelegatingFilterProxy的shiroFilter到Spring IOC配置的ShiroFilter控制权限转移过程

DelegatingFilterProxy类主要结构(一个属性,两个方法):

//为DelegatingFilterProxy初始化的shiroFilter Bean名字
private String targetBeanName;
//获取到的spring中shiro的核心过滤器
private volatile Filter delegate;
//寻找需要转移的shiroFilter bean 并且完成控制权的转移
@Override
protected void initFilterBean() throws ServletException {
        synchronized (this.delegateMonitor) {
            if (this.delegate == null) {
                // If no target bean name specified, use filter name.
                if (this.targetBeanName == null) {
                    this.targetBeanName = getFilterName();
                }
                // Fetch Spring root application context and initialize the delegate early,
                // if possible. If the root application context will be started after this
                // filter proxy, we'll have to resort to lazy initialization.
                WebApplicationContext wac = findWebApplicationContext();
                if (wac != null) {
                    this.delegate = initDelegate(wac);
                }
            }
        }
    }
    //如果没有设置需要转移控制权的bean,targetBeanName == null 没有告知我们DelegatingFilterProxy要寻找的bean,那么就会调用getFilterName()方法
    //如果filterConfig不为空,寻找filterConfig中的filterName作为返回值,然后到IOC容器中寻找返回的filterName对应的bean实例
    //如果告知targetBeanName,那么到IOC容器中寻找bean实例
    protected final String getFilterName() {
        return (this.filterConfig != null ? this.filterConfig.getFilterName() : this.beanName);
    }

//servlet容器到IOC容器的关联,根据以上方法获取到的shiroFilter Bean的名字,到Spring中寻找到Bean实例,完成控制权的转移   
@Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {

        // Lazily initialize the delegate if necessary.
        Filter delegateToUse = this.delegate;
        if (delegateToUse == null) {
            synchronized (this.delegateMonitor) {
                if (this.delegate == null) {
                    WebApplicationContext wac = findWebApplicationContext();
                    if (wac == null) {
                        throw new IllegalStateException("No WebApplicationContext found: " +
                                "no ContextLoaderListener or DispatcherServlet registered?");
                    }
                    this.delegate = initDelegate(wac);
                }
                delegateToUse = this.delegate;
            }
        }

        // Let the delegate perform the actual doFilter operation.
        invokeDelegate(delegateToUse, request, response, filterChain);
    }

5、URL使用ant风格模式

? 匹配一个字符
admin?.jsp–admin1.jsp not admin123.jsp
* 一个或多个字符 :
admin*–admin1.jsp and admin123.jsp
** 匹配0个或多个路径,
/** = authc
在web根目录中所有的资源需要授权访问
URL匹配顺序,采取第一次匹配优先的方式
/bb/** = filter1
/bb/aa = filter2
/**=authc
采用第一种/bb

6、Shiro在web环境中的认证

-JSP,包含用户登录的信息,form表单
-Spring MVC控制器:处理用户的请求
-获取用户输入的登陆信息
–shiro API来完成用户的认证
1、获取Subject类型的实例
Subject currentUser = SecurityUtils.getSubject();
2、判断用户是否已经认证过
currentUser.isAuthenticated();
3、使用UsernamePasswordToken对象封装用户名及密码
4、使用Subject实例中的login(token)
currentUser.login(token);(自动帮我们寻找在IOC容器中配置的realm)
Realm指从数据库中获取安全数据的,在realm中完成真实数据的查询,
数据存在的话会封装一个SimpleAuthencationInfo返回。

7、如何确定shiro在什么时候进行密码比对?

第一种方式通过debug(麻烦)
第二种方式,在拿用户的token和从数据查询的数据比对的时候,肯定会比对密码,那么比对密码肯定会调用token的getPassword()方法,在该方法打断点;
通过Debug发现:
对比的操作是:doCredentialMatch(token,info);
1token指用户输入的内容:UsernamePasswordToken
2info指SimpleAuthencationInfo封装了查询之后的结果

8、加密(MD5,SHA1)

1、存储用户密码的时候,对用户输入的明文进行加密,Hibernate当中涉及Md5加密的操作;
2、Shiro底层提供进行密码比对:比如对接收到前端用户输入的值进行MD5的加密,可以通过配置Realm中的属性完成
下面介绍在Spring IOC中如何为前端输入的密码设置加密器:

<!-- 自定义shiroRealm -->
    <bean id="shiroDbRealm" class="com.baisq.shiro.ShiroDbRealm">
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"></property>
                <property name="hashIterations" value="1024"></property>
            </bean>
        </property>
    </bean>

credentialsMatcher:加密器,
–实现类:因为是对密码密,使用org.apache.shiro.authc.credential.HashedCredentialsMatcher即可
–属性注入:
hashAlgorithName: 加密算法 md5
hashIterations: 当前md5算法需要迭代的次数
hashSalted:盐

9、盐值加密:原有算法加密的基础上。(让相同的密码在数据库存储的也不一致,进一步确保数据的安全性)

前端token当中获取的密码应该进行盐值加密(前提是数据库中的密文是盐值加密)

//使用userName作为生成盐
//ByteSource提供了静态内部类
//传入盐值加密
ByteSource salt = ByteSource.Util.bytes(userName);
//封装数据库的查询出的真实信息时传入盐值salt,用于在和前端传的token中的密码比对时加入
SimpleAuthenticationInfo authInfo = new SimpleAuthenticationInfo(userName, sh, salt, realmName);

10、开发人员角度使用shiro

1、通过SecurityUtils获取Subject类型的实例
2、判断当前Subject是否认证过
3、调用Subject的login(token)方法
UsernamePasswordToken:前端用户输入的值
4、自定义Realm:获取数据库当中的数据
如果比对成功:不会出现任何异常,返回用户真实的认证信息
认证失败:出现一个认证失败异常
5、还要了解Spring IOC bean的配置

11、架构角度学习shiro认证的源码解析

这里写图片描述
需要注意:如果一个shiro在认证时不止使用了一个realm
那么调用doMutiRealmAuthentication(realms,authenticationtoken)

11、多Realm获取数据

为什么要使用?(更加安全比如从mysql oracle两个数据库中获取数据,并且在不同数据库的密文使用了不同的算法)
第一种方式
1、书写多个realm实现类
2、SpringIOC容器中完成相应bean的设置
3、securityManager的bean中设置一个realms,并且通过spring 的list集合标签完成多个realm bean的注入

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!-- 第一种方式 -->
        <property name="realms">
            <list>
                <ref bean = "firstRealm"/>
                <ref bean = "secondRealm"/>
            </list>
        </property>
    </bean>

第二种方式
1、需要配置一个认证器,ModularRealmAuthenticator(如果没有找到会使用shiro底层一个默认的认证器)
2、bean的realms属性完成注入

<!-- 多realm使用authenticator -->
    <bean id="authenticator" class=" org.apache.shiro.authc.pam.ModularRealmAuthenticator">
        <property name="realms">
            <list>
                <ref bean="firstRealm"/>
                <ref bean="secondRealm"/>
            </list>
        </property>
        <property name="authenticationStrategy" ref="allSuccessfulStrategy"></property>
    </bean>

3、securityManager当中注入authenticator属性,告诉安全管理器我们具体使用的认证器实例

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="authenticator" ref="authenticator"></property>
</bean>

12、认证策略

应用场景

1两个realm,前端用户输入的账号密码需要与realm1 和realm2比对,最终如何判断成功呢?
答:
可以通过认证策略识别如何算认证成功。
AtleastOneSuccessfulStrategy:多个realm,只要有一个认证成功,代表登陆成功;
AllSuccessfulStrategy:全部realm认证成功,才会认证成功;

使用

2如何修改shiro的认证策略
自定义的认证器中加入一个属性:

<!-- 多realm使用authenticator -->
    <bean id="authenticator" class=" org.apache.shiro.authc.pam.ModularRealmAuthenticator">
        <property name="realms">
            <list>
                <ref bean="firstRealm"/>
                <ref bean="secondRealm"/>
            </list>
        </property>
        <property name="authenticationStrategy" ref="allSuccessfulStrategy"></property>
    </bean>
    <bean id="allSuccessfulStrategy" class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"></bean>

shiro项目demo代码地址

https://github.com/fontain1128/baisq-shiro/tree/master

baisq2017
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro学习笔记
04-03
shiro学习笔记以及代码,包括权限基础、shiro入门、shiro实例等
java md5 字符串_JAVA对字符串进行MD5加密的几种方式(一)
weixin_39850365的博客
02-12 140
JAVA对字符串等内容进行MD5的方法其实有很多,下面先介绍其中的一种:public class MD5Utils {private static final String SALT = "";private static final String ALGORITH_NAME = "md5";private static final int HASH_ITERATIONS = 1;//1次哈希pu...
利用Apache shiro SimpleHash 加密字符串
qh870754310的博客
11-19 2260
1、导入包 import org.apache.shiro.crypto.hash.SimpleHash; 2、代码 import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.util.ByteSource; /* * @Description 散列算法 生成数据的摘要信息,是一种不可逆的算法,一般适合存...
java安全——加密
PacosonSWJTU的博客
02-22 1154
【0】README 1)本文文字描述转自 core java volume 2,旨在学习 java安全——加密 的基础知识; 2)java 安全性的第二个重要方面是加密。 3)认证对于代码签名已足够了-没必要将代码隐藏起来。但是,当 applet 或者应用程序传输机密信息时,比如信用卡号码和其他个人数据等,就有必要进行加密了。(干货——加密的应用背景) 【1】对称密码
shiro内置过滤器研究
mark's technic world
12-02 3万+
anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filter.authc.Bas
MD5加密方法
落日流年
12-12 1848
pom引入: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;version&gt;1.3.2&lt;/version&gt; &lt;/dependency&gt; &lt;
shiro学习笔记.rar
10-06
这是shiro学习笔记,包括学习时候自己写的代码,主要内容就是使用springboot整合shiro,实现对用户的认证和授权,以及图片验证码的实现
shiro学习笔记0.0.0.0
12-21
笔记很少,不全,适合快速入门
Spring-mvc+mybatis+shiro学习demo
03-29
spring-mvc 整合了shiro 和mybatis的小demo 初学者可以看看
Shiro 完整教程及样例demo
lgxzzz的博客
10-14 1630
Shiro Demo 准备工作 运行前申明 请看完本页面的所有细节,对你掌握这个项目来说很重要,别一上来就搞,你不爽,我也不爽。 本项目需要一定的Java功底,需要对SpringMvc,Mybatis,有基本的了解,其次对Redis有了解和使用更佳。 本项目理论上,只需要一个Redis,然后一个Mysql和一个有Maven环境的开发工具即可运行起来。 对Reids没有了解,请看这里:对R...
ShiroSpringboot 关于 Shiro 权限配置 以及 相关问题解决
CodeMan丶
03-26 837
1、权限配置首先涉及到用户、权限、角色三张表,三张表的关系为用户与角色为一对多,角色与权限为一对多 2、配置shiro的相关目录 3、引入shiro相关依赖 <!--shiro --> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> ...
shiro笔记
weixin_34112030的博客
10-25 69
控制某一角色拥有此选项 上图 标签为shiro:hasRole表示 此时只有admin角色才拥有 系统用户管理和角色管理两个tab 页 上图 标签为shiro:hasPermission表示 此时只有 权限为 system:sysUser才拥有 系统用户管理和角色管理两个tab 页 分别对应数据库中的权限表 将权限修改为,拥有system:sysUser角色而不仅仅是拥有adm...
《Pro Spring学习笔记之FactoryBean使用(非BeanFactory)
我的世界我的梦
07-06 1576
看清楚了,不是BeanFactory,而是FactoryBean使用spring的时候,我们或许後碰到这样的问题:如何创建,然后注入纳西无法直接用new关键字创建的依赖对象,为解决这个问题,spring提供了FactoryBean接口,使用FactoryBean.getObject()来返回实例,典型用途可以说是创建事务型代理 ,但本文以加密类MessageDigest做例子讲解Java的
shiro框架的登录流程
jeff的博客
06-28 1142
在点击“登录”按钮后,首先调用这个jar包里边的org.apache.shiro.subject这个接口中的void login(AuthenticationToken token) throws AuthenticationException;这个接口,它的实现类在org.apache.shiro.subject.support包中。在执行完这个方法后执行自定义Realm类(中间过程省略,想...
shiro真正项目中的实战应用核心代码!!!
lvjingang的博客
09-28 2016
欢迎转载!!!请注明出处!!! 说道shiro学习之路真是相当坎坷,网上好多人发的帖子全是简单的demo样例,核心代码根本没有,在学习过程中遇到过N多坑。 经过自己的努力,终于整出来了,等你整明白之后发现,确实没那么难,只是没人告诉你,自己去想向确实不好办,只能通过看源码加上自己猜想,不断尝试。 直接看主题。我就直接说受权这了,不说认证登录了,这种帖子n多个,我要说的是真正
shiro自动过虑URL,无需配置。
kingboy190的博客
08-11 5225
这是我的shiro.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="h
Shiro教程(二)Shiro web.xml中Filter配置,配置注意事项
qq_26321411的博客
03-14 1665
本教程是是采用 SpringMVC  + Spring  + Mybatis  框架集成的,需要配置的文件是web.xml ,然后有一个和 Spring  的配置文件,我取名叫做spring-shiro.xml ,下面一一讲解到。过滤器配置,在web.xml 中配置: &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-nam...
在前后端分离的项目中,后台使用shiro框架时,怎样使用它的话管理系统(session),从而实现权限控制
热门推荐
palerock的博客
06-19 6万+
前后端分离的项目中,ajax跨域和保存用户信息是其中的重点和难点。 如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。 在前一篇文章中,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后端分离的项目中使用shrio的session(话管理系统)。 但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前端ajax框架所公认的,我们需要一种更
Springboot学习笔记springboot+shiro+cas
最新发布
05-21
Spring Boot 是一个快速开发框架,它提供了一系列的工具和插件,可以快速构建一个企业级的应用程序。而 Shiro 是一个强大而灵活的安全框架,可以提供身份验证、授权、密码加密、话管理等功能。CAS 是一个单点登录(SSO)协议,可以实现用户在多个应用系统中使用同一个身份验证。 下面是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序: 1. 创建一个 Spring Boot 应用程序,并添加依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId> <version>3.6.0</version> </dependency> ``` 2. 配置 Shiro: ```java @Configuration public class ShiroConfig { @Bean public CasRealm casRealm() { CasRealm realm = new CasRealm(); realm.setCasServerUrlPrefix("https://cas.example.com/cas"); realm.setCasService("https://myapp.example.com/cas"); realm.setDefaultRoles("user"); realm.setRoleAttributeNames("memberOf"); return realm; } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(casRealm()); return manager; } @Bean public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean(); filter.setSecurityManager(securityManager()); filter.setLoginUrl("https://cas.example.com/cas/login?service=https://myapp.example.com/cas"); filter.setSuccessUrl("/home"); filter.setUnauthorizedUrl("/403"); filter.setFilterChainDefinitionMap(Collections.singletonMap("/**", "authc")); return filter; } } ``` 3. 配置 CAS: ```java @Configuration public class CasConfig { @Bean public CasAuthenticationFilter casAuthenticationFilter() { CasAuthenticationFilter filter = new CasAuthenticationFilter(); filter.setCasServerLoginUrl("https://cas.example.com/cas/login"); filter.setServerName("https://myapp.example.com/cas"); filter.setAuthenticationSuccessHandler(authenticationSuccessHandler()); filter.setAuthenticationFailureHandler(authenticationFailureHandler()); return filter; } @Bean public SimpleUrlAuthenticationSuccessHandler authenticationSuccessHandler() { SimpleUrlAuthenticationSuccessHandler handler = new SimpleUrlAuthenticationSuccessHandler(); handler.setDefaultTargetUrl("/home"); handler.setAlwaysUseDefaultTargetUrl(true); return handler; } @Bean public SimpleUrlAuthenticationFailureHandler authenticationFailureHandler() { SimpleUrlAuthenticationFailureHandler handler = new SimpleUrlAuthenticationFailureHandler(); handler.setDefaultFailureUrl("/login?error=true"); return handler; } @Bean public FilterRegistrationBean<CasAuthenticationFilter> casFilterRegistrationBean() { FilterRegistrationBean<CasAuthenticationFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(casAuthenticationFilter()); registration.addUrlPatterns("/*"); registration.setName("CAS Authentication Filter"); registration.setOrder(1); return registration; } @Bean public ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> singleSignOutHttpSessionListener() { ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> registration = new ServletListenerRegistrationBean<>(); registration.setListener(new SingleSignOutHttpSessionListener()); registration.setOrder(2); return registration; } @Bean public ServletRegistrationBean<Servlet> casValidationServletRegistrationBean() { ServletRegistrationBean<Servlet> registration = new ServletRegistrationBean<>(); registration.setServlet(new Cas20ProxyReceivingTicketValidationFilter()); registration.addUrlMappings("/cas/*"); registration.setName("CAS Validation Filter"); registration.setOrder(3); return registration; } } ``` 4. 创建一个 HomeController: ```java @Controller public class HomeController { @GetMapping("/home") public String home() { return "home"; } @GetMapping("/403") public String error403() { return "403"; } } ``` 5. 创建一个 CAS 认证服务器: ```java @SpringBootApplication public class CasServerApplication { public static void main(String[] args) { SpringApplication.run(CasServerApplication.class, args); } } ``` 6. 创建一个 CAS 客户端: ```java @SpringBootApplication @EnableScheduling public class CasClientApplication { public static void main(String[] args) { SpringApplication.run(CasClientApplication.class, args); } } ``` 这就是一个简单的 Spring Boot + Shiro + CAS 的示例应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值