安全验证框架shiro(二)

最新推荐文章于 2023-07-23 20:48:56 发布
最新推荐文章于 2023-07-23 20:48:56 发布
阅读量71 收藏
点赞数
文章标签: json memcached 前端 ViewUI
原文链接:https://my.oschina.net/suspring/blog/866013
版权

这里主要说的是在web中的开发

同样引用一段图片和说明

 

Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;

SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。

Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;

Authrizer:授权器,或者访问控制器,用来决定主体是否有权限进行相应的操作;即控制着用户能访问应用中的哪些功能;

Realm:可以有1个或多个Realm,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC实现,也可以是LDAP实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;

SessionManager:如果写过Servlet就应该知道Session的概念,Session呢需要有人去管理它的生命周期,这个组件就是SessionManager;而Shiro并不仅仅可以用在Web环境,也可以用在如普通的JavaSE环境、EJB等环境;所有呢,Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据;这样的话,比如我们在Web环境用,刚开始是一台Web服务器;接着又上了台EJB服务器;这时想把两台服务器的会话数据放到一个地方,这个时候就可以实现自己的分布式会话(如把数据放到Memcached服务器);

SessionDAO:DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;比如想把Session放到Memcached中,可以实现自己的Memcached SessionDAO;另外SessionDAO中可以使用Cache进行缓存,以提高性能;

CacheManager:缓存控制器,来管理如用户、角色、权限等的缓存的;因为这些数据基本上很少去改变,放到缓存中后可以提高访问的性能

Cryptography:密码模块,Shiro提高了一些常见的加密组件用于如密码加密/解密的。

同样创建maven-web项目,大致结构如下:

095737_yQDd_2379721.png

pom.xml如下:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>com.shiro</groupId>
  <artifactId>shiro-web</artifactId>
  <packaging>war</packaging>
  <version>0.0.1-SNAPSHOT</version>
  <name>shiro-web Maven Webapp</name>
  <url>http://maven.apache.org</url>

  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <shiro.version>1.2.4</shiro.version>
  </properties>

  <dependencies>
		<dependency>  
           <groupId>javax.servlet</groupId>  
           <artifactId>jstl</artifactId>  
           <version>1.1.2</version>  <!-- 1.2 -->
       </dependency>
       <dependency>  
           <groupId>taglibs</groupId>  
           <artifactId>standard</artifactId>  
           <version>1.1.2</version>  
       </dependency> 

		<dependency>
			<groupId>javax.servlet.jsp</groupId>
			<artifactId>jsp-api</artifactId>
			<version>2.1</version>
			<scope>provided</scope>
		</dependency>		
		<dependency>
		    <groupId>javax.servlet</groupId>
		    <artifactId>javax.servlet-api</artifactId>
		    <version>3.1.0</version>
		    <scope>provided</scope>
		</dependency>
		
	 <dependency>
		<groupId>org.slf4j</groupId>
		<artifactId>slf4j-log4j12</artifactId>
		<version>1.7.19</version>
	 </dependency>
	 
	<dependency>
		<groupId>c3p0</groupId>
		<artifactId>c3p0</artifactId>
		<version>0.9.1.2</version>
	</dependency>
	
	<dependency>
		<groupId>commons-logging</groupId>
		<artifactId>commons-logging</artifactId>
		<version>1.2</version>
	</dependency>
	
	<dependency>
		<groupId>mysql</groupId>
		<artifactId>mysql-connector-java</artifactId>
		<version>5.1.38</version>
	</dependency>
	
     <dependency>  
	    <groupId>org.apache.commons</groupId>  
	    <artifactId>commons-lang3</artifactId>  
	    <version>3.4</version>  
	</dependency> 	
	
<!--     <dependency>  
	    <groupId>com.fasterxml.jackson.core</groupId>  
	    <artifactId>jackson-core</artifactId>  
	    <version>2.8.1</version>  
	</dependency>  
	  
	<dependency>  
	    <groupId>com.fasterxml.jackson.core</groupId>  
	    <artifactId>jackson-databind</artifactId>  
	    <version>2.8.1</version>  
	</dependency>  
	  
	<dependency>  
	    <groupId>com.fasterxml.jackson.core</groupId>  
	    <artifactId>jackson-annotations</artifactId>  
	    <version>2.8.1</version>  
	</dependency> --> 
<!-- 	<dependency>
	    <groupId>org.codehaus.jackson</groupId>
	    <artifactId>jackson-core-asl</artifactId>
	    <version>1.9.13</version>
	</dependency>
	<dependency>
	    <groupId>org.codehaus.jackson</groupId>
	    <artifactId>jackson-core-lgpl</artifactId>
	    <version>1.9.13</version>
	</dependency> -->
	
	<dependency>
	    <groupId>net.sf.json-lib</groupId>
	    <artifactId>json-lib</artifactId>
	    <version>2.4</version>
	    <classifier>jdk15</classifier>
	</dependency>		 		
    
	  <dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-core</artifactId>
		<version>${shiro.version}</version>
	  </dependency>
	  <dependency>
		<groupId>org.apache.shiro</groupId>
		<artifactId>shiro-web</artifactId>
		<version>${shiro.version}</version>
	  </dependency>	      
  </dependencies>
  
  <build>
   <finalName>shiro-web</finalName>
  	<plugins>
		<plugin>
			<groupId>org.apache.tomcat.maven</groupId>
         		<artifactId>tomcat7-maven-plugin</artifactId>
         		<version>2.2</version>
			<configuration>
				<uriEncoding>UTF-8</uriEncoding>
				<port>80</port>
				<path>/shiro</path>
			</configuration>
		</plugin>  	
  		<plugin>
 			<groupId>org.apache.maven.plugins</groupId>  
	        <artifactId>maven-compiler-plugin</artifactId>  
	        <configuration>  
	          <source>1.7</source>  
	          <target>1.7</target>  
	        </configuration>
  		</plugin>
  	</plugins>
  </build>

</project>

然后开始配置web.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0">

	<welcome-file-list>
		<welcome-file>index.html</welcome-file>
	</welcome-file-list>
	
	
	<context-param>
		<param-name>shiroConfigLocations</param-name>
	    <param-value>/WEB-INF/configs/ini/shiro.ini</param-value>
	    <!-- <param-value>/WEB-INF/configs/ini/shiro-jdbc.ini</param-value> -->
	</context-param>
	
	<filter>
	    <filter-name>ShiroFilter</filter-name>
	    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
	</filter>
	<filter-mapping>
	    <filter-name>ShiroFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>
	
	<servlet>
		<servlet-name>login</servlet-name>
		<servlet-class>com.shiro.servlet.LoginServlet</servlet-class>
	</servlet>
	
	<servlet-mapping>
		<servlet-name>login</servlet-name>
		<url-pattern>/login</url-pattern>
	</servlet-mapping>
	 
	<listener>
		<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
	</listener>
</web-app>

由于使用的ini配置文件读取用户信息,所以加入org.apache.shiro.web.env.EnvironmentLoaderListener,

然后就是对应的shiro.ini文件:

#登入 和没有权限的处理
[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/error/unauthorized.jsp
perms.unauthorizedUrl=/error/unauthorized.jsp
#用户密码和角色
[users]
tom=1234,admin
jack=123,manager
rose=000,oper
ami=123,admin,manager
#角色对应权限
[roles]
admin=*:*
manager=user:create,user:delete,user:select,leader:create,leader:delete,leader:select
oper=user:select,leader:select

[filters]
myroles=com.shiro.filter.MyRolesAuthorizationFilter
#请求对应角色
[urls]
/login=anon
/error/*=anon
/success=authc
/Department/*=myroles[admin,manager]
#roles[xx,xxx]这种写法是且的关系
/leader=roles[admin,manager]
/user=perms["user:create"]

最后就是写相关的jsp页面和服务端的处理业务,当然这里用到了前端的一些js和css需要引入,主要是jqeruy knockout bootstrap-table,此例子没有实现完整的CRUD功能,只是作为权限控制的了解。

比如登入代码:

package com.shiro.servlet;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.StringUtils;

public class LoginServlet extends HttpServlet {
	public static String LOGIN_TYPE="login-in";

	private static final long serialVersionUID = 6164825538857134973L;

	@Override
	protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		String type = request.getParameter("type");
		
		String username = request.getParameter("username");
		
		String password = request.getParameter("password");
		
		Subject subject = SecurityUtils.getSubject();
		
		AuthenticationToken token = new UsernamePasswordToken(username, password);
		
		try {
			subject.login(token);
			response.sendRedirect("success");
		} catch (AuthenticationException e) {
			if(StringUtils.hasText(type)&&LOGIN_TYPE.equals(type)){
				request.setAttribute("error", "用户名或密码错误!");
			}
			request.getRequestDispatcher("/WEB-INF/pages/login.jsp").forward(request, response);
//			e.printStackTrace();
		}
		
	}
}

登出:

package com.shiro.servlet;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.SecurityUtils;
@WebServlet("/logout")
public class LoginoutServlet extends HttpServlet{

	@Override
	protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		SecurityUtils.getSubject().logout();
		resp.sendRedirect("login");
	}
}

其中的一个简单业务:

package com.shiro.servlet;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.time.DateFormatUtils;

import com.shiro.entity.Department;

import net.sf.json.JSONArray;

@WebServlet("/Department/*")
public class DepartmentController extends HttpServlet{

	private static final long serialVersionUID = 4025943331108753214L;

	@Override
	protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		resp.setCharacterEncoding("UTF-8");
		resp.setContentType("application/json,text/xml;charset=UTF-8");
		String uri = req.getRequestURI();
		if(uri.endsWith("/GetDepartment")){
			List<Department> depts = new ArrayList<Department>();
			buildDepts(depts);
//			ObjectMapper mapper = new ObjectMapper();
//	        mapper.enable(SerializationFeature.WRAP_ROOT_VALUE);
//	        String jsonStr = mapper.writeValueAsString(depts.get(0));
			JSONArray jsonArray = JSONArray.fromObject(depts);
			String json = "{\"total\":" + depts.size() + ",\"rows\":" + jsonArray.toString() + "}"; 
	        PrintWriter out = resp.getWriter();
			out.write(json);
	        out.close();
		}else if(uri.endsWith("/SaveDepartment")){
			
		}
	}

	private void buildDepts(List<Department> depts) {
		for(int i=0;i<5;i++){
			Department dept = new Department();
			dept.setId(""+i);
			dept.setName("test"+i);
			dept.setDes("这是test"+i);
			dept.setLevel(""+i);
			dept.setCreateTime(DateFormatUtils.format(new Date(), "yyyy-MM-dd HH:mm:ss"));
			depts.add(dept);
		}
	}
}

自定义的过滤器:

package com.shiro.filter;


import java.io.IOException;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;


/**
 * Filter that allows access if the current user has the roles specified by the mapped value, or denies access
 * if the user does not have all of the roles specified.
 *
 * @since 0.9
 */
public class MyRolesAuthorizationFilter extends AuthorizationFilter {

    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }else{
        	for(String role:rolesArray){
        		if(subject.hasRole(role)){
        			return true;
        		}
        	}
        }
        
        return false;
    }

}

其余都是些请求-到页面的简单处理。

这个例子做的比较简单,没有完整的CRUD,只能大致了解请求的权限控制。

例子的代码https://github.com/suspring/shiro-web.git

转载于:https://my.oschina.net/suspring/blog/866013

chuanyuan8669
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro安全验证框架
12-31
深度解析Shiro安全验证框架,整套开发视频源码以及开发文档。
安全验证框架shiro(三)
chuanyuan8669的博客
07-14 205
主要还是对shiro在web项目使用的一下简要说明与实例。 首先看该项目配置相关的信息,使用的idea,创建maven项目,并在pom.xml中加入如下依赖: <!-- slf4j作为日志框架配合logback,jcl-over-slf4j相当于把jcl(commo...
安全认证框架
qq_35930102的博客
06-04 675
Spring 技术栈的组成部分。 通过提供完整可扩展的认证和授权支持保护你的应用程序。 https://spring.io/projects/spring-security SpringSecurity 特点:Apache 旗下的轻量级权限控制框架。 特点:Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shi
10.图灵学院-----阿里/京东/滴滴/美团整理----安全验证
05-11 467
一、什么是认证和授权?如何设计一个权限认 证框架? 认证: 就是对系统访问者的身份进行确认。 用户名密码登录、 维码登录、手机短信登录、指纹、刷脸。。。 授权:就是对系统访问者的行为进行控制。授权通常是在认证之后,对系统内的用户隐私数据进行保护。后台接口访问权限、前台控件的访问权限。 RBAC模型: 主体 -》 角色 -》 资源 -》访问系统的行为。 认证和授权也是对一个权限认证框架进行扩展的两个主要的方面。 、Cookie和Session有什么区别? 三、如果没有Cookie,Session还能进行身
java 安全验证框架_spring security 权限安全认证框架-入门(一)
weixin_39717443的博客
02-27 351
spring security 概述:Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的实际标准。Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它很容易扩展以满足定制需求。全面和可扩展的认证和授权保护,如会话固定,点击劫持,跨站...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
安全框架shiro 中文教程
11-05
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(认证)、授权(权限管理)、加密(加密服务)以及会话管理(session管理)等核心功能。本教程将引导你深入理解Shiro,并教你如何在实际的Web...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
安全控制框架教程shiro
10-29
Apache Shiro 是一款功能强大的Java安全框架,专为简化应用程序的安全管理而设计。它涵盖了认证、授权、会话管理和加密等多个关键领域,使得开发者能够轻松地实现用户身份验证、权限控制以及安全设置。本教程主要...
安全验证框架shiro(一)
沉浮
03-22 518
框架架构如下(来源于网络): Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有...
安全框架 用户认证
qq1083273166的博客
09-06 658
一、用户登录的Controller控制层代码 @Controller @RequestMapping(&amp;quot;/&amp;quot;) public class LoginController { @ResponseBody @RequestMapping(&amp;quot;doLogin&amp;quot;) public JsonResult doLogin(String username, S...
SpringSecurity框架 —— 安全校验
Thor_Selen_Liu的博客
07-27 1535
前言:     随着技术的不断发展和完善,极大的方便了我们的生活和工作。但也存在着很大的安全隐患,例如:黑客的攻击。如果没有一定的安全防护措施 将会带来巨大的 业务损失。安全访问控制 特别是大型企业 都非常重视的一个环节。 1. Spring Security 的入门介绍     Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式 的安全访问控制解决方案...
安全验证框架Kerberos三次通信内容
weixin_33851177的博客
11-25 98
为什么80%的码农都做不了架构师?>>> ...
基于springboot+shiro一套可落地实施安全认证框架整合
热门推荐
congge
05-30 3万+
前言 俗话说,兵马未动,粮草先行,万丈高楼平地起,一套切实可用的微服务框架是整个项目小组进行后续高效开发的保障,在前期微服务框架构建过程中,大体来说,主要考虑3个点: 技术选项,如果公司业务规模能够提前预估,选择合适的并且还能预留一定的拓展空间的技术栈足矣,而非一开始规划的尽善尽美 技术栈的组合,技术选择确定整个项目技术的基调,对于某一个业务来说,使用消息中间件有很多选择,具体是使用kafka,还是rabbitmq等,需要结合团队人员的技术匹配度,技术实现成本,以及业务上的要求,合理搭配 技术的适用性,最
26.JavaWeb-SpringSecurity安全框架
LB_bei的博客
07-19 1259
Spring Security是一个功能强大且灵活的安全框架,它专注于为Java应用程序提供身份验证(Authentication)、授权(Authorization)和其他安全功能。:Spring Security支持多种身份验证方式,如基于表单的身份验证、基于HTTP基本认证、基于OAuth2等。它可以轻松地集成到现有的用户认证系统中,也可以自定义认证逻辑。:Spring Security允许您定义资源的访问控制规则,以控制哪些用户有权访问哪些资源。
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 4784
org.springframework.security.crypto.password.PasswordEncoder 接口。
springcloud-eureka集群-整合security安全验证框架
Keith003的博客
08-31 1960
1、继之前的eureka服务中心项目添加依赖 &lt;!-- 停止springboot项目 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-actuator&lt;/artifactId&gt...
Spring Security 安全认证简单入门
03-27 1748
废话不说了,直接上代码   看注释应该丢会吧  到时候改下用户名  和密码即可第一步:导包  pom.xml&lt;!--安全认证  --&gt;                    &lt;dependency&gt;                    &lt;groupId&gt;org.springframework.security&lt;/groupId&gt;          ...
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 3986
一、Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
java安全框架shiro的优点
最新发布
04-13
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。以下是Shiro框架的几个优点: 1. 简单易用:Shiro的设计目标之一是简化安全操作,提供了简单易用的API和配置方式,使得开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值