apacher shiro

最新推荐文章于 2022-03-29 19:22:33 发布
最新推荐文章于 2022-03-29 19:22:33 发布
阅读量168 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35684456/article/details/79995789
版权

ShiroFilterFactoryBean注入SecurityManager LoginUrl UnauthorizedUrl FilterChainDefinitionMap 拦截器返回登录页面

认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证功能-----让系统知道你是谁??
授权:系统授予用户可以访问哪些功能的许可(证书)----让系统知道你能做什么??

常见的权限控制方式
1 URL拦截权限控制:底层基于拦截器或者过滤器实现
2 方法注解权限控制:底层基于代理技术实现,为Action创建代理对象,由代理对象进行权限校验
过滤器名称 过滤器类 描述

简写类名作用
anonorg.apache.shiro.web.filter.authc.AnonymousFilter匿名过滤器
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter如果继续操作,需要做对应的表单验证否则不能通过
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter基本http验证过滤,如果不通过,跳转屋登录页面
logoutorg.apache.shiro.web.filter.authc.LogoutFilter登录退出过滤器
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter没有session创建过滤器
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter权限过滤器
portorg.apache.shiro.web.filter.authz.PortFilter端口过滤器,可以设置是否是指定端口如果不是跳转到登录页面
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilterhttp方法过滤器,可以指定如post不能进行访问等
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter角色过滤器,判断当前用户是否指定角色
sslorg.apache.shiro.web.filter.authz.SslFilter请求需要通过ssl,如果不是跳转回登录页
userorg.apache.shiro.web.filter.authc.UserFilter如果访问一个已知用户,比如记住我功能,走这个过滤器

Application Code:应用程序代码,由开发人员负责开发的
Subject:框架提供的接口,代表当前用户对象
SecurityManager:框架提供的接口,代表安全管理器对象
Realm:可以开发人员编写,框架也提供一些,类似于DAO,用于访问权限数据
认证流程
认证流程
web.xml

<!-- 配置spring框架提供的用于整合shiro框架的过滤器 filter-name为spring.xml的bean-->
<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
	   <filter-name>shiroFilter</filter-name>
	   <url-pattern>/*</url-pattern>
	</filter-mapping>

applicationContext.xml

<!-- 配置shiro框架的过滤器工厂对象 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- 注入安全管理器对象 -->
		<property name="securityManager" ref="securityManager"/>
		<!-- 注入相关页面访问URL -->
		<property name="loginUrl" value="/login.jsp"/>
		<property name="successUrl" value="/index.jsp"/>
		<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
		<!--注入URL拦截规则 和注解一样 -->
		<property name="filterChainDefinitions">
			<value>
				/css/** = anon
				/js/** = anon
				/images/** = anon
				/validatecode.jsp* = anon
				/login.jsp = anon
				/userAction_login.action = anon
				/page_base_staff.action = perms["staff-list"]
				/* = authc
			</value>
		</property>
	</bean>
	
	<!-- 注册安全管理器对象 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	    <!-- realm -->
		<property name="realm" ref="bosRealm"/>
		<!-- 注入缓存管理器 -->
		<property name="cacheManager" ref="cacheManager"/>
	</bean>
	
	<!-- 注册缓存管理器 -->
	<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<!-- 注入ehcache的配置文件 -->
		<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
	</bean>
	
	<!-- 注册realm -->
	<bean id="bosRealm" class="com.itheima.bos.realm.BOSRealm">(BOSRealm extends AuthorizingRealm)
	</bean>
	
	<!-- 开启shiro框架注解支持 -->
	<bean id="defaultAdvisorAutoProxyCreator" 
		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator">
			<!-- 必须使用cglib方式为Action对象创建代理对象 -->
		<property name="proxyTargetClass" value="true"/>
	</bean>
	
	<!-- 配置shiro框架提供的切面类,用于创建代理对象 -->
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"/>
	

//注解
@RequiresPermissions("aaaa")

shiro的标签库
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<shiro:hasPermission name="aaaa">

/**
     * 用户登录,使用shiro框架提供的方式进行认证操作
     */
    public String login(){
        //从Session中获取生成的验证码
        String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");
        //校验验证码是否输入正确
        if(StringUtils.isNotBlank(checkcode) && checkcode.equals(validatecode)){
            //使用shiro框架提供的方式进行认证操作
            Subject subject = SecurityUtils.getSubject();//获得当前用户对象,状态为“未认证”
            AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//创建用户名密码令牌对象
            try{
                subject.login(token); ---------------------------------------------------BOSRealm
            }catch(Exception e){
                e.printStackTrace();
                return LOGIN;
            }
            User user = (User) subject.getPrincipal();
            ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);
            return HOME;
        }else{
            //输入的验证码错误,设置提示信息,跳转到登录页面
            this.addActionError("输入的验证码错误!");
            return LOGIN;
        }
    }
一行一步
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 框架的基本用法
cailizhu833的博客
03-26 373
一、 权限控制两种主要方式 权限控制分为 粗粒度 URL 级别权限控制和细粒度方法级别权限控制 1.可以基于 Filter 实现 在数据库中存放 用户、权限、访问 URL 对应关系, 当前用户访问一个 URL 地址,查 询数据库判断用户当前具有权限,是否包含这个 URL,如果包含允许访问,如果不包含 权限不足 !!! 2.可以代理、自定义注解实现, 访问目标对象方法,在方法上添加权限注解信息,对目...
Apache Shiro的简单使用
屌丝小羊的博客
01-04 3764
Apache Shiro的简单了解 在java中进行权限控制功能,主要分为粗粒度(基于URL级别权限控制)和细粒度(基于方法级别权限控制)两种。主要使用的框架一般有Spring Security与Apache Shiro,前者使用比较复杂,依赖spring,后者使用更轻量,使用更简单,不完全依赖spring,可以独立使用 粗粒度权限控制(基于URL级别权限控制) 粗粒度权限控制一般主要是基于
什么是 Apache Shiro
web15085599741的博客
03-29 5794
什么是Apache Shiro Apache Shiro 是一种功能强大且易于使用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护任何应用程序的安全。 如: 命令行应用程序、移动应用程序、Web应用程序、企业级应用程序。从小到大到很大,Apache Shiro都会给你提供安全帮助。 Shiro 为你的应用程序提供如下API,帮助你更好的管理应用程序的安全。 身份验证 证明用户的身份。也就是所谓的用户的 “登录” 功能,验证访问的用户是否有权利登录系统或者访问后台接口。
Shiro详解
r_12xq的博客
01-05 870
Shiro是什么 1、Apache Shiro是Java的一个安全框架。对比另一个安全框架Spring Sercurity,它更简单和灵活。 2、Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用JavaEE环境。 3、Shiro可以帮助我们完成:认证、授权、加密、会话管理、Web集成、缓存等。 4、网址:http://shiro.apache.org/ 功能介...
Apache Shiro权限框架
热门推荐
weixin_42183336的博客
08-11 2万+
简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这...
apache shiro漏洞复现
赵花花08042的博客
12-13 756
Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。
【漏洞复现】Apache系列(一)之Shiro漏洞复现
qq_45244158的博客
02-23 4976
Apache Shiro550反序列化(CVE-2016-4437)漏洞 Apache Shiro 认证绕过漏洞(CVE-2020-1957) 漏洞
apacher-zookeeper
Turbedadan的博客
12-16 97
前提:关闭防火墙 1、解压 cd /opt/module/tar-zxvf apache-zookeeper-3.5.5-bin.tar.gz 2、创建数据文件和目录文件 在zookeeper的跟目录下创建两个文件夹data和log cd/opt/module/apache-zookeeper-3.5.5-bin/ mkdir data mkdir log 3、拷贝配置文件 cd /opt/module/apache-zookeeper-3.5.5-bin/conf/ cp zoo_..
Dockerfile创建Apacher
qq_33332829的博客
03-17 300
1、创建一个工作目录 mkdir apache_ubuntu &amp;&amp; cd apache_ubuntu touch Dockerfile run.sh mkdir sample 2、编写Dockerfile #设置继承自我们创建的sshd镜像 FROM sshd:dockerfile #创建者的基本信息 MAINTAINER waitfish from dockerpool....
apacher:Apache日志文件解析器
05-11
Apache日志文件解析器,通常被称为“apacher”,是一种用于处理和分析Apache Web服务器生成的日志文件的工具。Apache是互联网上最广泛使用的HTTP服务器,它记录了各种关于服务器活动的信息,包括请求、响应状态、...
APACHER服务器
08-19
网站开发的必备工具,源码加载,这只是网站开发的一种资源
apacher_commons-lang3.1.zip
12-14
`apacher_commons-lang3.1.zip` 文件包含的就是 Apache Commons Lang 3.1 版本的 JAR 包,可以用于 Android Studio 项目的本地依赖。 Apache Commons Lang 提供了大量实用的工具类,这些类涵盖了字符串处理、日期和...
apache 2.4.39
04-08
这个版本的编号httpd-2.4.39-o102r-x64-vc14表明它是针对64位操作系统设计的,并且使用了Visual C++ 14(即Visual Studio 2017)进行编译。... 1. **模块化设计**:Apache 2.4的一大亮点是其模块化架构,允许用户根据...
apache-jmeter-3.3
10-14
ApacheJMeter 俏猈eb/HTTP测试而设计的,但是它已经扩展以支持各种各样的测试模块.JMeter在Window XP / 2003 / W7 /W8基本都可以运行,前提是要安装好JDK包,JMeter是基于JAVA开发的压力测试软件。...
java运行报错
一行一步的博客
04-08 981
web.xml 数据源jndi错误 &amp;amp;lt;context-param&amp;amp;gt; &amp;amp;lt;param-name&amp;amp;gt;spring.profiles.active&amp;amp;lt;/param-name&amp;amp;gt; &amp;amp;lt;param-value&amp;amp;gt;dev&amp;amp;lt;/param
java常用编码转换
一行一步的博客
09-02 523
中文转\u4e2d\u6587 native2ascii gdk.properties uni.properyies 反转 native2ascii -reverse uni.properties gdk.properyies native2ascii 其他用法后续再查
Quartz记录
一行一步的博客
04-22 420
<!-- 注册自定义作业类 --> <bean id="myJob" class="com.itheima.jobs.MailJob"> <property name="username" value="itcast_server@126.com"/> <property name="password" value="147963qP"/> <
ActiveMQ记录
一行一步的博客
05-11 334
进入http://activemq.apache.org/下载ActiveMQ 第一步: 把ActiveMQ 的压缩包上传到Linux系统。 第二步:解压缩。 第三步:启动。 使用bin目录下的activemq命令启动: [root@localhost bin]# ./activemq start 关闭: [root@localhost bin]# ./activemq stop ...
spring读书笔记
一行一步的博客
05-22 315
//spring的计划任务 @EnableScheduling//配置中加入 @Scheduling//在方法上配置支持cron表达式定时,fixedRate固定时间。 //条件注解 @Conditional //通过实现同一个接口在配置类里做判断 //组合注解 @RestController //相当于@Controller和@ResponseBody //通过这个注解,可以将对于控制器的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值