安全验证框架shiro(三)

最新推荐文章于 2023-07-19 20:11:50 发布
最新推荐文章于 2023-07-19 20:11:50 发布
阅读量205 收藏
点赞数
文章标签: 数据库 java git
原文链接:https://my.oschina.net/suspring/blog/1852816
版权

主要还是对shiro在web项目使用的一下简要说明与实例。

首先看该项目配置相关的信息,使用的idea,创建maven项目,并在pom.xml中加入如下依赖: 

        <!-- slf4j作为日志框架配合logback,jcl-over-slf4j相当于把jcl(common-logging)转接由slf4j实现 -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>1.7.21</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>1.7.21</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-classic</artifactId>
            <version>1.1.7</version>
            <scope>runtime</scope>
        </dependency>

        <dependency>
            <groupId>commons-dbcp</groupId>
            <artifactId>commons-dbcp</artifactId>
            <version>1.4</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.41</version>
        </dependency>
        <!-- Shiro dependencies: -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>${shiro.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>${shiro.version}</version>
        </dependency>
       <!-- servlet -->
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.1.0</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>javax.servlet.jsp</groupId>
            <artifactId>jsp-api</artifactId>
            <version>2.1</version>
        </dependency>
        <dependency>
            <groupId>jstl</groupId>
            <artifactId>jstl</artifactId>
            <version>1.2</version>
        </dependency>

同时web.xml配置如下:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">

    <display-name>shiro-simple-web</display-name>

    <context-param>
        <param-name>shiroConfigLocations</param-name>
        <param-value>/WEB-INF/shiro.ini</param-value>
    </context-param>

    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>

    <filter>
        <filter-name>ShiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
        <!--<init-param>-->
            <!--<param-name>configPath</param-name>-->
            <!--<param-value>/WEB-INF/shiro.ini</param-value>-->
        <!--</init-param>-->
    </filter>

    <filter-mapping>
        <filter-name>ShiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
        <dispatcher>INCLUDE</dispatcher>
        <dispatcher>ERROR</dispatcher>
    </filter-mapping>
</web-app>

由于没有借助spring等工具,shiro相关的配置通过shrio.ini完成:

[main]
#form提交的地址必须是authc.loginUrl相同
authc.loginUrl = /login.jsp
authc.successUrl= /pages/index.html
roles.unauthorizedUrl = nonrole.jsp
perms.unauthorizedUrl =  nunperm.jsp

#securityManager=org.apache.shiro.mgt.DefaultWebSecurityManager
dataSource=org.apache.commons.dbcp.BasicDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://127.0.0.1:3306/shiro
dataSource.username=root
dataSource.password=123456

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
jdbcRealm.dataSource=$dataSource
myRealm=com.sucl.shiro.realm.MyRealm
securityManager.realms=$jdbcRealm
#多realm
#覆盖默认的securityManager
#securityManager=org.apache.shiro.mgt.DefaultSecurityManager

#authenticator
#authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
#authenticationStrategy=org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy
#authenticator.authenticationStrategy=$authenticationStrategy
#securityManager.authenticator=$authenticator

#authorizer
#authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
#permissionResolver=org.apache.shiro.authz.permission.WildcardPermissionResolver
#authorizer.permissionResolver=$permissionResolver
#securityManager.authorizer=$authorizer

[urls]
/login.jsp = authc
/index.jsp = authc
/logout = logout
/static/** = anon
/pages/** = authc
/** = authc

之前是通过定义login页面,提交请求到指定路径,然后通过Subject.login(token)完成。今天直接通过authc完成自动登录。

对于shiro作为轻量级的安全框架主要是其内部将负责的认证、鉴权都已完成,我们需要做的仅定义认证鉴权相关的逻辑关系。站在开发者的角度,shiro的整个处理过程包含以下几点:

  • 创建token,一般通过form表单提交配置authc,即FormAuthenticationFilter,创建UsernamePasswordToken
  • 由Subject.login(Token)进行登录认证,其实是有SecurityManager完成
  • 最终调用Realm对应的doGetAuthenticationInfo方法,构建SimpleAuthenticationInfo对象,此对象有两个参数principal、credentials,第一个对象在鉴权时用到,认证时shiro只会验证credentials
  • 调用Realm对应的doGetAuthorizationInfo方法,通过上一步的principal的后去对应的角色、权限信息,并封装到SimpleAuthorizationInfo即可

对与我们,若果需要扩展,比如多表登录,同表多字段登录,就可以对其中的的几个关键对象进行扩展,token、principal、SimpleAuthenticationInfo、SimpleAuthorizationInfo,具体做法下次和springmvc整合提供。

本次代码地址:https://github.com/suspring/shiro-simpler-web.git

转载于:https://my.oschina.net/suspring/blog/1852816

chuanyuan8669
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro安全验证框架
12-31
深度解析Shiro安全验证框架,整套开发视频源码以及开发文档。
安全验证框架shiro(二)
chuanyuan8669的博客
03-24 72
这里主要说的是在web中的开发 同样引用一段图片和说明 Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”; SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher;...
安全认证框架
qq_35930102的博客
06-04 675
Spring 技术栈的组成部分。 通过提供完整可扩展的认证和授权支持保护你的应用程序。 https://spring.io/projects/spring-security SpringSecurity 特点:Apache 旗下的轻量级权限控制框架。 特点:Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shi
10.图灵学院-----阿里/京东/滴滴/美团整理----安全验证
05-11 467
一、什么是认证和授权?如何设计一个权限认 证框架? 认证: 就是对系统访问者的身份进行确认。 用户名密码登录、 二维码登录、手机短信登录、指纹、刷脸。。。 授权:就是对系统访问者的行为进行控制。授权通常是在认证之后,对系统内的用户隐私数据进行保护。后台接口访问权限、前台控件的访问权限。 RBAC模型: 主体 -》 角色 -》 资源 -》访问系统的行为。 认证和授权也是对一个权限认证框架进行扩展的两个主要的方面。 二、Cookie和Session有什么区别? 、如果没有Cookie,Session还能进行身
java 安全验证框架_spring security 权限安全认证框架-入门(一)
weixin_39717443的博客
02-27 351
spring security 概述:Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的实际标准。Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它很容易扩展以满足定制需求。全面和可扩展的认证和授权保护,如会话固定,点击劫持,跨站...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
安全框架shiro 中文教程
11-05
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(认证)、授权(权限管理)、加密(加密服务)以及会话管理(session管理)等核心功能。本教程将引导你深入理解Shiro,并教你如何在实际的Web...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证和授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 ...
安全控制框架教程shiro
10-29
Apache Shiro 是一款功能强大的Java安全框架,专为简化应用程序的安全管理而设计。它涵盖了认证、授权、会话管理和加密等多个关键领域,使得开发者能够轻松地实现用户身份验证、权限控制以及安全设置。本教程主要...
安全验证框架shiro(一)
沉浮
03-22 518
框架架构如下(来源于网络): Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会话,在没有...
安全框架 用户认证
qq1083273166的博客
09-06 658
一、用户登录的Controller控制层代码 @Controller @RequestMapping(&amp;quot;/&amp;quot;) public class LoginController { @ResponseBody @RequestMapping(&amp;quot;doLogin&amp;quot;) public JsonResult doLogin(String username, S...
SpringSecurity框架 —— 安全校验
Thor_Selen_Liu的博客
07-27 1535
前言:     随着技术的不断发展和完善,极大的方便了我们的生活和工作。但也存在着很大的安全隐患,例如:黑客的攻击。如果没有一定的安全防护措施 将会带来巨大的 业务损失。安全访问控制 特别是大型企业 都非常重视的一个环节。 1. Spring Security 的入门介绍     Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式 的安全访问控制解决方案...
安全验证框架Kerberos次通信内容
weixin_33851177的博客
11-25 98
为什么80%的码农都做不了架构师?>>> ...
基于springboot+shiro一套可落地实施安全认证框架整合
热门推荐
congge
05-30 3万+
前言 俗话说,兵马未动,粮草先行,万丈高楼平地起,一套切实可用的微服务框架是整个项目小组进行后续高效开发的保障,在前期微服务框架构建过程中,大体来说,主要考虑3个点: 技术选项,如果公司业务规模能够提前预估,选择合适的并且还能预留一定的拓展空间的技术栈足矣,而非一开始规划的尽善尽美 技术栈的组合,技术选择确定整个项目技术的基调,对于某一个业务来说,使用消息中间件有很多选择,具体是使用kafka,还是rabbitmq等,需要结合团队人员的技术匹配度,技术实现成本,以及业务上的要求,合理搭配 技术的适用性,最
26.JavaWeb-SpringSecurity安全框架
LB_bei的博客
07-19 1259
Spring Security是一个功能强大且灵活的安全框架,它专注于为Java应用程序提供身份验证(Authentication)、授权(Authorization)和其他安全功能。:Spring Security支持多种身份验证方式,如基于表单的身份验证、基于HTTP基本认证、基于OAuth2等。它可以轻松地集成到现有的用户认证系统中,也可以自定义认证逻辑。:Spring Security允许您定义资源的访问控制规则,以控制哪些用户有权访问哪些资源。
end的python学习shiro检测
qq_45781155的博客
04-05 408
识别SHIRO框架: 请求包里面发送:RememberMe= 响应头里面出现cookie rememberme 代码检测是否使用SHIRO框架: import requests import urllib3 urllib3.disable_warnings() header={ 'cookie':'rememberMe=1' } def check_shiro(url): res=requests.get(url,verify=False,headers=header) if
Shiro高版本默认密钥的漏洞利用
12-10 6335
Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5286
漏洞复现——shiro反序列化。
Shiro 架构,看这篇就够了
qianfeng_dashuju的博客
11-05 590
  Shiro是一个简洁,易用的安全框架。   Shiro 架构有个基本的概念: Subject, SecurityManager and Realms。        Subject,   实际就是我们通常所指的用户,但是,为什么不用User 呢, 这是因为User,我们通常理解为实际的用户, 而用Subject则表示Shiro面向的可以是一个实际用户,也可能是第方的服务,系统...
java安全框架shiro的优点
最新发布
04-13
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。以下是Shiro框架的几个优点: 1. 简单易用:Shiro的设计目标之一是简化安全操作,提供了简单易用的API和配置方式,使得开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值