大数据WEB阶段 shiro安全控制框架

最新推荐文章于 2024-05-01 06:09:06 发布
最新推荐文章于 2024-05-01 06:09:06 发布
阅读量275 收藏 3
点赞数
分类专栏: 大数据 WEB 文章标签: 大数据 安全 web shiro 解决方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chou_out_man/article/details/79017041
版权

shiro安全框架

零、目录

  • 问题引申
  • shiro介绍
  • shiro工作流程
  • 使用shiro 进行登录操作
  • 使用shiro进行权限管理

一、 问题引申

  1. 需要实现的功能: 用户没有登录的情况下 , 处理登录界面其他页面都不能访问
  2. 权限控制: 根据用户的权限列表内的权限 , 控制页面中各项功能的显示
  3. 解决方案: shiro安全框架

二、 shiro安全框架介绍

  2. Authentication:登录证明 , 当用户登录系统时需要使用这个模块 , 此时shiro框架内部会自己做登录校验 , 如果登录通过则证明用户名密码正确
  3. Authorization: 权限认证: 当用户没有登录时 , 不能随意发出请求 , 当不同的用户登录时会通过用户的权限列表控制页面功能的显示或隐藏。
  4. SessionManagement: session管理器 , 处理session问题
  5. Cryptography: 加密模块 , 包含了加密算法和加密工具类MD5Hash
  6. 类似产品: Spring Security 是Spring的子产品 , 但是由于配置过于繁琐所以不被广泛使用

三、工作流程

  2. Application: 应用程序代码
  3. Subject: Subject是shiro框架对外暴露的唯一接口 , 如果用户需要登录验证 , 需要创建Subject对象才能通过shiro安全中心进行各种操作 ,
  4. shiro SecurityManager: shiro安全管理器 , 处理登录或权限控制等问题等内部逻辑
  5. Realm: 代表进行登录或权限控制的原材料 , 登录时需要给shiro提供正确的用户信息和登录的用户名和密码 。
  6. 执行流程:
    1. 程序员创建subject , 提交登录的请求发送到shiro安全管理器
    2. 此时shiro安全管理器并不知道正确的信息是什么 , 需要通过realm得到正确的登录信息

四、使用shiro进行登录操作

  1. 导入需要依赖的jar包

    <!-- Apache Shiro 权限架构 -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.2.3</version>
</dependency>

  2. 创建shiro的配置文件 一共5个bean

        <?xml version="1.0" encoding="UTF-8"?>
    <beans
        xmlns="http://www.springframework.org/schema/beans"
        xmlns:tx="http://www.springframework.org/schema/tx"
        xmlns:aop="http://www.springframework.org/schema/aop"
        xmlns:context="http://www.springframework.org/schema/context"
        xmlns:util="http://www.springframework.org/schema/util"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns:p="http://www.springframework.org/schema/p"
        xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.2.xsd
        http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.2.xsd
        http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.2.xsd
        http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.2.xsd
        ">
        <!--1.  安全管理器 -->
        <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
            <!-- 注入原材料 -->
            <property name="realm" ref="authRealm"></property>
         </bean>
         <!-- 2. 创建原材料 com.tj.ht.shiro.AuthRleam类-->
         <!-- 3. 引入原材料 -->
         <bean id="authRealm" class="com.tj.ht.shiro.AuthRealm">
            <!-- 注入加密匹配器 -->
            <property name="credentialsMatcher" ref="authMatcher"></property>
         </bean>    
         <!-- 4. 创建加密匹配器  com.tj.ht.shiro.AuthMatcher类-->
         <!-- 5. 引入加密匹配器 -->
         <bean id="authMatcher" class="com.tj.ht.shiro.AuthMatcher">
         </bean>
         <!-- 6. 权限认证 的观察器 -->
         <bean id="advisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
            <!-- 注入安全管理器 -->
            <property name="securityManager" ref="securityManager"></property>
         </bean>
         <!-- 7. shiro过滤工厂 -->
         <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" >
            <!-- 输入安全管理器 -->
            <property name="securityManager" ref="securityManager"></property>
            <!-- 配置登陆地址     如果没有登陆则跳转发出登陆请求 , 跳转到登陆界面   默认是放行的-->
            <property name="loginUrl" value="/tologin.action"></property>
            <!-- 配置拦截 和 放行地址 -->
            <property name="filterChainDefinitions">
                <value>
                    <!-- anon  放行 -->
                    <!-- authc 拦截 -->

                    /login.action=anon <!-- 对登陆放行 -->
                    <!-- /* 代表 所有请求 -->
                    <!-- /**代表所有请求及静态资源文件 -->
                    /staticfile/**=anon <!-- 对静态资源放行 -->

                    /sysadmin/user/tocreate=anon<!-- 对添加用户放行  测试用 -->
                    /sysadmin/user/save=anon<!-- 对添加用户放行 测试用-->

                    /**=authc<!-- 除了上面放行的资源 , 其余全部拦截 -->
                </value>
            </property>
         </bean>
    </beans>

  3. 在web.xml文件中配置过滤器

    <!-- 配置安全框架过滤器 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
            <init-param>
                <!-- 吧过滤器的生命周期交给web容器进行管理 -->
                <param-name>targetFilterLifecycle</param-name>
                <param-value>true</param-value>
            </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

  4. 执行流程

    1. 在loginController中拦截login请求 , 并创建subject
    2. 调用subject的login方法 , 让安全管理器进行登录校验
    3. 安全管理器回去找AuthRealm获取登录的原材料信息 , 在AuthRealm类中通过用户名获取正确的用户信息和密码交由安全管理器进行校验

    4. 安全管理器进行登录检验时需要先把用户输入的明文密码加密后再与数据库中加密后的面比对 ,这是会去找自定义的AuthCredentialMatcher

      1. 拦截登录请求
@RequestMapping("login.action")
public String login(Model model , String username , String password  ) {
    //获取subject对象
    Subject subject = SecurityUtils.getSubject();
    //创建用户名密码令牌
    UsernamePasswordToken token = new UsernamePasswordToken(username , password);
    try{
        //安全框架进行登陆
        subject.login(token);
        //得到登录成功的信息
        User u = (User) subject.getPrincipal();
        model.addAttribute("_CURRENT_USER", u);//把用户信息存进session中
    }catch(AuthenticationException  e) {
        e.printStackTrace();
        //登录失败
        model.addAttribute("errorInfo", "用户名或密码错误!");
        return "sysadmin/login/login";
    }
    //登录成功
    return "redirect:/home";
}
2. AuthRealm类
public class AuthRealm extends SimpleAccountRealm{

    @Autowired
    private UserService userService;

    //登录证明
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //需要给安全中i性能提供的登陆校验的信息   1. 用户正确信息  2. 提交的信息
        //得到正确信息

        //用户输入的信息
        UsernamePasswordToken myToken = (UsernamePasswordToken) token;
        //通过提交的用户名查询用户正确信息
        User user = userService.findOneByUsername(myToken.getUsername());
        //创建用于登陆的原材料信息
        //参数 1. 正确信息 2. 需要验证的正确信息  3. 原材料的类的名称
        AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        return info;
    }

    //权限认证
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // TODO Auto-generated method stub
        return super.doGetAuthorizationInfo(principals);
    }

}
3. AuthMatcher类
public class AuthMatcher extends SimpleCredentialsMatcher{
    //需要在此位置对原材料中的密码进行加密操作
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        //得到明文密码  加密后设置回去
        UsernamePasswordToken myToken =  (UsernamePasswordToken) token;
        Md5Hash md5Hash = new Md5Hash(String.valueOf(myToken.getPassword()) , myToken.getUsername(), 3);
        //设置回去
        myToken.setPassword(md5Hash.toString().toCharArray());
        return super.doCredentialsMatch(myToken, info);
    }

}
4. 登出操作
@RequestMapping("logout")
public String  logout(Model model,HttpSession session) {
    session.removeAttribute("_CURRENT_USER");
    //通知shiro框架 退出登录
    Subject subject = SecurityUtils.getSubject();
    //判断是否是登录状态 , 如果是则退出
    if(subject.isAuthenticated()) {
        subject.logout();
    }
    return "sysadmin/login/login";
}

五、通过shiro实现权限管理

  1. 在原材料中提供当前用户所拥有的权限列表
  2. 页面显示的时候通过shiro标签进行权限判断 , 如果有权限才允许在页面中显示相应的功能

  3. 代码

    1. 正原材料类中添加权限认证代码
public class AuthRealm extends SimpleAccountRealm{

    @Autowired
    private UserService userService;

    //登录证明
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //需要给安全中i性能提供的登陆校验的信息   1. 用户正确信息  2. 提交的信息
        //得到正确信息

        //用户输入的信息
        UsernamePasswordToken myToken = (UsernamePasswordToken) token;
        //通过提交的用户名查询用户正确信息
        User user = userService.findOneByUsername(myToken.getUsername());
        //创建用于登陆的原材料信息
        //参数 1. 正确信息 2. 需要验证的正确信息  3. 原材料的类的名称
        AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
        return info;
    }

    //权限认证
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        User user = (User) principals.getPrimaryPrincipal();
        List<String> ps = userService.findAllModulesByUserId(user.getUserId());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRoles(ps);
        return info;
    }

}
2. 在页面中引入标签
<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>
3. 对页面中的模块请求进行控制
<shiro:hasPermission name="货运管理"> //name要与原材料中list中的权限一致
    <span id="topmenu" onclick="toModule('cargo');">货运管理</span><span id="tm_separator"></span>
</shiro:hasPermission>
<shiro:hasPermission name="基础信息">
<span id="topmenu" onclick="toModule('baseinfo');">基础信息</span><span id="tm_separator"></span>
    </shiro:hasPermission>
    <shiro:hasPermission name="系统管理">
<span id="topmenu" onclick="toModule('sysadmin');">系统管理</span>
    </shiro:hasPermission>
chou_out_man
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全控制框架教程shiro
10-29
Apache Shiro 是 Java 的一个安全框架。本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用
Shiro安全控制
HWP
05-06 400
1、介绍 Apache Shiro是Java的一个安全框架Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。其不仅可以用在 JavaSE环境,也可以用在 JavaEE 环境。 2、优点 易于理解的 Java Security API 简单的身份认证,支持多种数据源 对角色的简单的授权,支持细粒度的授权 不跟任何的框架或者容器捆绑,可以独立运行 3、特性 A...
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证(1)
05-01 471
6.复制一下shiro.ini文件7.复制一下Quickstart.java文件8.运行启动Quickstart.java2.分析代码//工厂模式,通过shiro.ini配置文件的信息,生成一个工厂实例//获取当前的用户对象Subject//通过当前用户拿到session//判断当前的用户是否被认证if (!//Token :令牌,没有获取,随机//设置记住我try {//执行了登录操作//如果 用户名不存在//如果 密码不正确”);
JAVA安全控制框架 —— Shiro
X-rapido的专栏
04-05 2863
查看原文:http://ibloger.net/article/126.htmlApache Shiro官网:http://shiro.apache.org/什么是ShiroApache组织下的名媛 —— Shiro 一个强大且易用的轻量级Java安全框架, 执行身份验证(Authentication)、(Authorization)授权、(Cryptography)
安全控制框架Shiro的使用
E=mc²
09-19 1169
Shiro依赖于SLFJ日志框架,而SLFJ只是一个接口,并没用提供具体的实现,可以选择Log4J作为它的实现,正好SLFJ也提供了一个slf4j-log4j12的Artifact,所以这里就可以用上了。 既然使用了Log4J,那么就应该在classpath下提供一个log4j.properties文件: log4j.rootLogger=INFO,console log4j.app...
Shiro再理解
Life And Code
06-13 644
文章目录1.权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权2.什么是shiro3.shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography4. shiro的认证4.1 认证4.2 shiro认证的关键对象4.3 认证流程4.4 认证的开发1. 创建项
旅游大数据可视化平台是基于Springboot+thymeleaf+Shiro+Mybatis-plus+Redis 平台zip
04-06
Angular:一个用于构建Web应用的前端框架。 Vue.js:一个渐进式JavaScript框架,用于构建交互式界面。 Sass 和 Less:CSS预处理器,用于简化和加强CSS的功能。 Bootstrap:一个用于快速开发响应式网站的前端框架。 ...
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计
05-14
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
kvf-admin是一套基于springboot、mybatis、shiro及layui的轻量级快速开发框架、后台管理的OA系统
05-14
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
springboot+mybatis+shiro的电商书城系统bookstore.zip
05-14
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
基于springboot、shiro的单点登录系统springboot-shiro-sso.zip
最新发布
05-14
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
Shiro 安全框架详解二(概念+权限案例实现)
zzvar的博客
06-18 1842
Shiro 安全框架详解二总结内容一、登录认证二、Shiro 授权1. 概念2. 授权流程图三、基于 ini 的授权认证案例实现1. 实现原理图2. 实现代码2.1 添加 maven jar包依赖2.2 编写 ini 配置文件:shiro-authc.ini2.3 使用 Shiro 相关的 ***API*** 完成身份认证四、CRM 集成 Shiro 授权1. Shiro 权限验证三种方式五、项目集成 Shiro 认证授权案例实现1. 项目准备2. 代码实现2.1 登录的 EmployeeControl
2024年网络安全山东省赛-SMB信息收集解析(职组)_使用访问工具对服务器服务访问,将服务器管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 738
任务环境说明:服务器场景:Server1。
Shiro安全框架
callmexinshou的博客
08-05 847
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。授权,顾名思义就是授予权限或权力,授权是在身份认证后进行的,身份认证通过后,需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。.....
shiro安全框架[快速入门]
2301_78418531的博客
07-05 85
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。1.2、什么是身份认证身份认证,就是判断一个用户是否为合法用户的处理过程。
shiro 安全(权限)框架
weixin_49107940的博客
11-02 4082
Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。Shiro 默认的登录认证是不带加密的,如果想要实现加密认证需要自定义登录认证,自定义 Realm。自定义登录认证。
Java系列技术之安全框架Shiro
12-31
在SSM基础下整合使用安全框架Shiro,本课将设计导Spring和Shrio整合起来应用的核心知识点都讲到了,学习本课后能够在项目将Shro用起来。
Shiro笔记(一)----Shiro安全框架简介
热门推荐
fendo
02-14 5万+
一、Shiro简介 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成
权限控制器——Shiro安全框架
没有伞的孩子必须努力奔跑!—小林
12-05 4637
Shiro框架】 它是一种安全框架,用于解决系统认证和授权问题,同时提供了会化管理,数据加密机制。 传统的登录: Shiro安全框架实现登录: 什么情况下使用Shiro框架: 用户登录时:检测用户是否登录正确、如登录错误或未登录状态、直接跳转到登录页面并给出提示。如果用户未登录直接访问后台,Shiro框架可以根据用户的请求给出相应的拦截, 并进行跳转到登录页
Shiro安全框架深度解析
7. **与WEB集成**:Shiro可以方便地与Web应用结合,通过`SHIROFILTER`作为过滤器入口,配合`WEB INI`配置实现Web安全控制。 8. **拦截器机制**:Shiro的拦截器机制类似Spring MVC的拦截器,可以自定义拦截规则,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值