安全权限框架 —— Shiro(二)

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量579 收藏
点赞数
分类专栏: 安全框架 Java EE 文章标签: java tomcat spring shiro javaee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_39560928/article/details/119945613
版权

1、权限注解

  • @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即Subject. isAuthenticated() 返回true

  • @RequiresUser:表示当前Subject 已经身份验证或者通过记住我登录的;

  • @RequiresGuest:表示当前Subject没有身份验证或通过记住我登录过,即是游客身份

  • @RequiresRoles (value={“admin”, “user”}, logical== Logical.AND):表示当前Subject 需要角色admin 和user,logical表示逻辑关系

  • **@RequiresPermissions **(value={“user:a”, “user:b”}, logical= Logical.OR):表示当前Subject 需要权限user:a或user:b,logical表示逻辑关系

使用:

// Service 类
public class TestService {
    @RequiresRoles({"admin"})
    public void testShiro(){
        System.out.println("testShiro" + new Date());
    }
}

<!-- applicationContext.xml -->
<bean id="testService" class="com.xiaojian.shiro.service.TestService"></bean>

@Controller
@RequestMapping("/shiro")
public class LoginController {

    @Resource
    private TestService testService;

    @RequestMapping("/testShiro")
    public String testShiroCon(){
        testService.testShiro();
        return "redirect:/list.jsp";
    }
}

<a href="/shiro/testShiro">Test Shiro</a>

在Service方法上使用注解 @Transactional 即在方法开始的时候会有事务,这个时候这个Service已经是一个代理对象

这个是有把 权限注解加到 Service上是不好用的,会发生类型转换异常。需要加到Controller上,因为不能够让Service是代理的代理。

2、从数据库中初始化资源和权限

在我们实现认证、授权的过程中,我们把需要认证或授权的路径都配置在 applicationContext.xml 文件中。

但是如果,需要认证和授权的路径太多,一个一个配置路径太麻烦,文件也会显得臃肿,难维护。

(1). 首先写一个实例工厂类,返回一个 LinkedHashMap<String,String>

/**
 * 过滤器映射集合工厂
 */
public class FilterChainDefinitionMapBuilder {
	/*
	* 这样就可以从数据库中查询所有角色、权限列表,并赋值给过滤器,而不用手动书写了
	*/
    public LinkedHashMap<String,String> getFilterChainDefinitionMap(){
        LinkedHashMap<String,String> hashMap = new LinkedHashMap<>();

        hashMap.put("/login.jsp","anon");
        hashMap.put("/shiro/login","anon");
        hashMap.put("/shiro/logout","anon");
        hashMap.put("/user.jsp","roles[user]");
        hashMap.put("/admin.jsp","roles[admin]");
        hashMap.put("/**","authc");

        return hashMap;
    }
}

(2). applicationContext.xml,修改Shiro过滤器

   <!-- 5.Shiro过滤器
        id 必须和web.xml文件中配置DelegatingFilterProxy的<filter-name>一致
        因为Shiro会在 IOC容器中查询和 <filter-name> 名字对应的 filter bean
     -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 身份认证失败,则跳转到登录页面的配置 -->
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="success.jsp"/>
        <property name="unauthorizedUrl" value="unauth.jsp"/>

        <!-- Shiro连接约束配置,即过滤链的定义(filterChainDefinitions)
            过多路径配置会过于繁琐,改用 FilterChainDefinitionMap 属性
        -->
        <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
    </bean>
    <!-- 配置一个bean,该bean是一个map,通过实例工厂类方法实现-->
    <bean id="filterChainDefinitionMap" factory-bean="filterChainDefinitionMapBuilder" factory-method="getFilterChainDefinitionMap"></bean>

    <bean id="filterChainDefinitionMapBuilder" class="com.xiaojian.shiro.factory.FilterChainDefinitionMapBuilder"></bean>

3、会话管理

​ Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。

为什么使用 Shiro 的会话管理?

​ 在web开发中,service层通常是不能访问 httpSession 的(我们不建议这样做,因为在 service层访问httpSession 是一种潜入式的操作:handler中的api在service层使用)。我们可以通过Shiro的 Subject.getSession() 在任意地点访问到 session。

相关API

  • Subject.getSession():即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建Session 对象会创建一个;Subject.getSession(false),如果当前没有创建Session 则返回null

  • session.setAttribute(key, val) &

    session.getAttribute(key) &

    session.removeAttribute(key):设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作

  • session.getId():获取当前会话的唯一标识

  • session.getHost():获取当前Subject的主机地址

  • session.getTimeout() & session.setTimeout(毫秒):获取/设置当前Session的过期时间

  • session.getStartTimestamp() & session.getLastAccessTime():获取会话的启动时间及最后访问时间;如果是JavaSE应用需要自己定期调用session.touch() 去更新最后访问时间;如果是Web 应用,每次进入ShiroFilter都会自动调用session.touch() 来更新最后访问时间。

  • session.touch() & session.stop():更新会话最后访问时间及销毁会话;当Subject.logout()时会自动调用stop 方法来销毁会话。如果在web中,调用HttpSession. invalidate() 也会自动调用ShiroSession.stop方法进行销毁Shiro的会话

4、RememberMe

​ 在登录一些网页时,勾选 “记住我”登录,浏览器会把 RememberMe的 cookie 存入客户端并保存下来。

​ 当关闭浏览器,再进网页时此时就不需要登录而直接进入网页。

建议:访问一般网页:个人主页,可使用记住我;访问特殊网页,涉及到金钱、隐私,使用认证。

认证和记住我

  • subject.isAuthenticated() 表示用户进行了身份验证登录的,即使有Subject.login进行了登录;
  • subject.isRemembered():表示用户是通过记住我登录的,此时可能并不是真正的你(如你的朋友使用你的电脑,或者你的cookie 被窃取)在访问的
  • 两者二选一,即subject.isAuthenticated() == true,则subject.isRemembered() == false;反之一样。

使用

​ 身份验证相关的拦截器,user:用户拦截器,用户通过身份验证/记住我登录都可。

Shiro过滤器 (需将 RememberMe 可访问的路径配置 user 过滤器)

public class FilterChainDefinitionMapBuilder {

    public LinkedHashMap<String,String> getFilterChainDefinitionMap(){
        LinkedHashMap<String,String> hashMap = new LinkedHashMap<>();
		// 配置成 user 过滤器
        hashMap.put("/list.jsp","user");
        
        hashMap.put("/user.jsp","authc,roles[user]");
        hashMap.put("/admin.jsp","authc,roles[admin]");
        hashMap.put("/**","authc");
        return hashMap;
    }
}

LoginController.java

    @RequestMapping("/login")
    public String login(String username, String password,String checkbox, Model model){

        /**
         * Shiro 认证
         */
        // 1.获取Subject
        Subject subject = SecurityUtils.getSubject();
        // 2.封装用户信息
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        // 判断是否勾选 "记住我",设置记住我功能
        if("1".equals(checkbox)){
            token.setRememberMe(true);
        }
    	....
    }

applicationContext.xml

    <!-- 1.安全管理器SecurityManager -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="rememberMeManager" ref="rememberMeManager"/>
    </bean>
        
    <!--配置Cookie的实现类 SimpleCookie-->
    <bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe"/>
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="120"/>
    </bean>
    <!--RememberMe 管理器-->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/>
        <property name="cookie" ref="simpleCookie"/>
    </bean>
子ぐ非鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro中文开发文档.pdf
12-06
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情:  验证用户来核实他们的身份  对用户执行访问控制,如:  判断用户是否被分配了一个确定的安全角色  判断用户是否被允许做某事  在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。  在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。  聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。  启用单点登录(SSO)功能。  为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的 API 中。 Shiro 视图在所有应用程序环境下实现这些目标——从最简单的命令行应用程序到最大的企业应用,不强制依赖其 他第三方框架,容器,或应用服务器。当然,该项目的目标是尽可能地融入到这些环境,但它能够在任何环境下立 即可用。
java 后台权限管理系统
02-21
是一个简单高效的后台权限管理系统。项目基础框架采用全新的Java Web开发框架 —— Spring Boot2.0.4,消除了繁杂的XML配置,使得次开发更为简单;数据访问层采用Mybatis,同时引入了通用Mapper和PageHelper插件,可快速高效的对单表进行增删改查操作,消除了大量传统XML配置SQL的代码;安全框架采用时下流行的Apache Shiro,可实现对按钮级别的权限控制;前端页面使用Bootstrap构建,主题风格为时下Google最新设计语言Material Design,并提供多套配色以供选择。
@RequiresGuest,@RequiresUser,@RequiresAuthentication等详解 第
weixin_43390321的博客
01-29 1919
@Controller,@RequiresGuest,@RequiresUser等详解 第章@RequiresAuthentication@RequiresUser@RequiresGuest@RequiresRoles@Validated@PathVariable @RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 用注解@RequiresAuthentication去实现 如果用户没登陆系统,系统给出的是
Shiro(七):shiro 注解权限控制-5个权限注解
12程序猿的博客
10-23 3719
shiro提供了相应的注解用于权限控制,如果使用这些注解就需要使用aop的功能来进行判断。shiro提供了spring aop集成,用于权限注解的解析和验证 shiro注解权限控制-5个权限注解 Shiro共有5个注解,接下来我们就详细说说吧 1.@RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须通过login 进行了身份验证;即 Subject.isAuthenticated() 返回 true 2.@RequiresUser: 表
8.Shiro权限控制注解
相互学习 共同进步
06-29 787
Controller中角色权限访问控制(注解★) 在其他的Controller中,使用注解来做权限控制访问 @RequiresPermissions("system:user:view") @RequestMapping(value = {"list", ""}) public String list() { return "/admin/index"; } // 只用同时具有user:view和user:create权限才能访问 @RequiresPermissions(value = { "sys
shiro权限注解
magicproblem的博客
02-03 2228
一、注解解释 @RequiresAuthentication 表示subject已经通过登录验证,才可使用 @RequiresUser 表示subject已经身份验证或者通过记住我登录,才可使用 @RequiresGuest 表示subject没有身份验证或通过记住我登录过,即是游客身份,才可使用 @RequiresRoles(value={“admin”, “user”}, logical=Logical.AND) 表示subject需要xx(value)角色,才可使用 @RequiresPermissi
基于springboot注解的shiro 授权及角色认证
一个菜鸡的博客
05-29 1830
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
Shiro权限管理】17.Shiro权限注解
程序猿之洞
12-10 9421
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们讲解了Shiro的标签属性,下面我们来讲解Shiro的有关权限的注解属性。 Shiro的注解是使用在相应的Java类的方法上,当用户不满足注解的要求时,是无法执行 方法内部逻辑的。这相当于在代码层做了权限校验。 Shiro的注解可以放置在Controller层对应的方法上,也可以放置在Service层对应的方法
Shiro框架通过注解@RequiresAuthentication方式校验权限
m0_67402588的博客
04-22 420
在项目的校验与授权中,我们常使用Shiro框架来完成,在校验阶段,我们可以使用Shiro自带的拦截器来实现拦截功能,本来我写的 filterMap.put(“/**”, “jwt”)来完成拦截,但是这样在没有登录过的页面去注册就会拦截注册请求,但是我没有在注册请求前面加@RequiresAuthentication注解,所以通过改进后实现了常规的拦截功能。 这样在注册请求的url上加上自定义字符就可以直接通行,登录后的方法加上一个全局url路径设置就可以达到部分功能必须要登录才可以实现。 ...
shiro标签库html,学习shiro——注解式授权和JSP标签授权
weixin_36397146的博客
06-29 177
注解式授权 (shiro官网地址:http://shiro.apache.org/authorization.html#Authorization-AnnotationbasedAuthorization)@RequiresAuthentication 要求当前Subject已经在当前的session中被验证通过才能被访问或调用@RequiresAuthenticationpublic void ...
ApacheShiro权限框架理论介绍
03-01
ApacheShiro的官网地址如下:ApacheShiro是一个简单易用且强大而灵活的开源Java安全框架,以下简称Shiro。它干净利落地处理身份认证、授权以及企业会话管理和加密。Shiro拥有易于理解的API,你可以快速且容易地使用...
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统
03-08
安全框架采用时下流行的Apache Shiro,可实现对按钮级别的权限控制;前端页面使用Bootstrap构建,主题风格为时下Google最新设计语言Material Design,并提供多套配色以供选择。FEBS意指:Fast,Easy use,Beautiful...
Shiro权限注解
Hern(宋兆恒)
09-05 478
权限注解 @RequiresAuthentication:表示当前Subject已经通过login 进行了身份验证;即 Subject. isAuthenticated() 返回 true @RequiresUser:表示当前 Subject 已经身份验证或者通过记 住我登录的。 @RequiresGuest:表示当前Subject没有身份验证或通过记住 我登录过,即是游客身份。 @Re...
Shiro安全框架(四)——权限认证
qq_42386143的博客
08-12 368
Shiro权限认证: 1、权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源。 在权限认证中,最核心的三个要素是:权限,角色,用户。 用户:在shiro中,代表访问系统的用户,即Subject。 角色:是权限的集合,一个角色可以包含多个权限权限:操作资源的权利,如访问某个页面,及某个模块的数据的添加,修改 ,删除,查看的权利。 2、授权 1)编程式授权 a)基于角色的...
关于User的一些注解
weixin_30530939的博客
03-12 893
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated()结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated()结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。...
springboot整合shiro 框架
Heyyouare的博客
09-03 269
写这篇文章主要是记录我的学习过程,刚开始在网上找资料的时候,网上的资料很乱。所以自己整合了一个比较简单的shiro的使用方法,shiro是什么、怎么用就不用我在这里详细的讲解了。 1.添加依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <
ShiroShiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 561
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 280
都是符合我们的预期的。
java安全框架shiro的优点
04-13
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。以下是Shiro框架的几个优点: 1. 简单易用:Shiro的设计目标之一是简化安全操作,提供了简单易用的API和配置方式,使得开发人员能够快速集成和使用。 2. 综合性:Shiro提供了全面的安全功能,包括身份验证、授权、加密和会话管理等。它可以满足各种应用程序的安全需求。 3. 权限管理:Shiro支持基于角色和权限的访问控制,可以轻松地定义和管理用户的权限。开发人员可以通过简单的配置来实现细粒度的权限控制。 4. 容易扩展:Shiro框架采用了模块化的设计,允许开发人员根据自己的需求进行扩展和定制。可以自定义Realm、SessionDAO等组件,以满足特定的业务需求。 5. 集成性:Shiro可以与其他框架(如SpringSpring Boot)无缝集成,使得安全功能的添加和管理更加方便。 6. 安全性:Shiro提供了多种加密算法和哈希函数,可以保护用户密码和敏感数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值