Shiro的常见用法

已于 2023-08-06 14:14:37 修改
阅读量1.7k 收藏 8
点赞数
分类专栏: Shiro 文章标签: shiro filter session redis 权限控制
于 2020-07-25 00:25:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chy_18883701161/article/details/107454059
版权

目录


 

在Shiro中使用Filter

shiro内置了很多Filter,常见的如下

  • authc:FormAuthenticationFilter,表单认证过滤器,需要从表单登录认证后才能访问指定的url
  • user:UserFilter,用户过滤器,要是特定用户才能访问指定的url
  • anon:AnonymousFilter,匿名过滤器,不需要登录即可访问指定页面,常用于游客可以访问的页面
  • roles:RolesAuthorizationFilter,角色过滤器,具有指定角色的用户才能访问指定的url。如果设置多个角色, eg. roles[“admin,user”],用户必须同时具有这些角色才能通过
  • perms:PermissionsAuthorizationFilter,权限过滤器,具有指定权限的用户才能访问指定的url。如果设置多个权限, eg. perms[“watch, download”],用户必须同时具有这些权限才能通过
  • logout:LogoutFilter,退出过滤器,会直接跳转到 shiroFilterFactoryBean.setLoginUrl() 设置的页面
  • ssl:SslFilter,ssl拦截器,请求协议要是https才能通过

对应关系可在DefaultFilter类中查看。也可以使用自定义的Filter

 

Filter指定要拦截的url时可以使用通配符

  • ?   匹配除/之外的任意一个字符
  • *   匹配零个或多个字符,但这些字符中不能包含/
  • **   和*差不多,但可以包含/

 

Shiro的加密、解密

数据库一般加密存储用户密码,Shiro身份认证时传入密码,需要将传入的密码(明文)加密后与数据库中存储的密码比较。

当然,也可以不使用shiro的加密,直接传入密文。
 

Shiro常用的加密

String pwd = "abcd1234";

//sha256加密,64位
String sha256Pwd = new Sha256Hash(pwd).toHex();
// String sha256Pwd = new Sha256Hash(pwd).toString();

//md5加密,32位
String md5Pwd = new Md5Hash(pwd).toHex();
// String md5Pwd = new Md5Hash(pwd).toString();

toString()、toHex()是一样的,因为toString()就是调用toHex()。

 

Shiro的Session模块

SessionManager:会话管理器,可以管理session中的用户认证、授权信息
 

RememberMe

  • 在调用subject.login()之前,设置 token.setRememberMe(true)
  • 实质是通过cookie在浏览器本地保存用户信息
     

常见的判断方法

  • subject.isAuthenticated()  用户是否是通过身份验证登录的,即通过Subject.login() 登录的
  • subject.isRemembered()  用户是否是通过RememberMe登录的

这2个是互斥的,要么是通过login()登录的,要么是通过rememberMe登录的

rememberMe方式会在浏览器本地保存用户信息,不安全,对安全性要求高的项目,比如银行的项目,一律使用login()。

 

Shiro的缓存模块

使用缓存模块的原因

  • tomcat集群之后,要使用分布式session,一般引入redis做分布式session,session中的认证信息也会被缓存
  • 提高性能:从缓存中获取用户授权信息,不必每次都从数据库查询
  • 持久化:web应用停止后,session被销毁,tomcat中的用户认证信息丢失;使用redis后,重启应用,用户认证信息仍在

可以借助spring session等手段将授权信息放到redis上,但需要自己写代码实现认证信息的序列化、反序列化,很麻烦。

shiro的缓存模块提供了 RedisSessionDAO ,可以自动完成web服务器、redis之间用户认证信息的序列化、反序列化。

认证信息的缓存默认关闭,授权信息的缓存默认开启,因为用户登录次数不多,而访问页面时往往需要校验用户授权。
 

注意事项

  • User、Role、Permission这3个数据表对应的实体类都要实现Serializable接口,成为可序列化的
  • 登出时,在调用subject.logout()后,需删除redis中对应的key,即删除对应的token

 

Shiro的常见用法

依赖
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.5.3</version>
</dependency>

<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis</artifactId>
    <version>3.2.3</version>
</dependency>

 
新建包shiro。不知道导入哪个类时,导入shiro中的类。
 

自定义的Realm

新建类CustomRealm,继承AuthorizingRealm

/**
 * 自定义的Realm
 */
 @Component
public class CustomRealm extends AuthorizingRealm {

	@Resource
	private UserDao userDao;
	
    /**
     * 授权方法,权限校验时自动调用
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取主体标识
        String username = (String) principalCollection.getPrimaryPrincipal();

        //使用dao层,根据主体标识查询用户对应的角色、权限,此处略过
        Set<String> permissions = null;
        Set<String> roles = null;

        //设置并返回主体的授权信息
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setRoles(roles);
        simpleAuthorizationInfo.setStringPermissions(permissions);

        return simpleAuthorizationInfo;
    }


    /**
     * 认证方法,登录时自动调用
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取主体标识
        String username = (String) token.getPrincipal();

        //校验账号、密码是否匹配,不匹配直接返回null
        UserPo userPo = userDao.getByUsername(username);
        if(userPo == null) {
        	return null;
        }
        String password = userPo.getPassword();
        
        //设置并返回主体的认证信息,主体标识、凭证、realm的名称
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, password, this.getName());

        return simpleAuthenticationInfo;
    }

}

 

自定义的Filter

新建类CustomRolesOrAuthorizationFilter ,继承AuthorizationFilter

/**
 * 自定义filter
 */
public class CustomRolesOrAuthorizationFilter extends AuthorizationFilter {

    /**
     * 权限校验
     * @param request
     * @param response
     * @param mappedValue Object类型,所需的角色/权限
     * @return boolean 是否通过验证
     * @throws IOException
     */
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);

        //获取当前访问路径所需要的角色集合
        String[] rolesArray = (String[]) mappedValue;

        //没有角色限制,可以直接访问
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }

        Set<String> roles = CollectionUtils.asSet(rolesArray);

        //具有roles中的任意一个角色,则有权限访问
        for(String role : roles){
            if(subject.hasRole(role)){
                return true;
            }
        }

        return false;
    }

}

 

自定义的SessionManager

新建类CustomSessionManager,继承DefaultWebSessionManager

public class CustomSessionManager extends DefaultWebSessionManager {

    private static final String AUTHORIZATION = "token";

    public CustomSessionManager(){
        super();
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String sessionId = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        if(sessionId != null){
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,
                    ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return sessionId;
        }else {
            return super.getSessionId(request,response);
        }
    }
    
}

 

Shiro配置类

新建类ShiroConfig

@Configuration
public class ShiroConfig {

    /** 配置ShiroFilterFactoryBean,主要是设置Filter的过滤规则
     * @param securityManager
     * @return ShiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //设置securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //某些页面需要登录后才能访问,如果未登录,会交给指定的url处理
        //如果是前后端分离,设置为controller映射的url;如果前后端未分离,设置为视图页面的url
        shiroFilterFactoryBean.setLoginUrl("/pub/need_login");

        //登录成功后跳转到的url
        //如果前后端分离,则不用设置此项
        //shiroFilterFactoryBean.setSuccessUrl("/");

        //没有权限、未授权会交给指定的url处理,处理方式一般是:先验证登录,再验证是否有权限
        //如果前后端没有分离,直接设置为视图页面的url
        shiroFilterFactoryBean.setUnauthorizedUrl("/pub/not_permit");


        //设置自定义的Filter
        Map<String,Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("roleOrFilter",new CustomRolesOrAuthorizationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);


        //Filter的执行有一定顺序,应该使用LinkedHashMap,使用HashMap会出问题
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        //退出过滤器
        filterChainDefinitionMap.put("/logout", "logout");

        //不需要登录(校验)就可以访问
        filterChainDefinitionMap.put("/pub/**", "anon");

        //用户登录后才可以访问
        filterChainDefinitionMap.put("/authc/**", "authc");

        //角色是管理员的用户才可以访问
        filterChainDefinitionMap.put("/admin/**", "roleOrFilter[admin]");

        //具有video_update权限的用户才可以访问
        filterChainDefinitionMap.put("/video/dwonload", "perms[video_download]");

        //[]表示参数是数组,有多个元素时逗号隔开,eg. [video_watch,video_download],必须同时满足[]中的要求才会通过

        //LinkedHashMap,Filter的执行顺序和添加顺序一致,一般把 /** 放到最后

        //前面的url未匹配的请求路径,就使用/**来过滤
        filterChainDefinitionMap.put("/**", "authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }


    /**
     * 获取redisManager
     * @return RedisManager
     */
    public RedisManager redisManager(){
        RedisManager redisManager = new RedisManager();
        redisManager.setHost("127.0.0.1:6379");  //设置redis服务器的地址,默认就是"127.0.0.1:6379"
        return redisManager;
    }


    /**
     * 获取RedisSessionDAO
     * @return RedisSessionDAO
     */
    public RedisSessionDAO redisSessionDAO(){
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        return redisSessionDAO;
    }


    /**
     * 获取自定义的sessionManager
     * @return SessionManager
     */
    @Bean
    public SessionManager sessionManager(){

        CustomSessionManager customSessionManager = new CustomSessionManager();

        //设置session超时时间,单位ms。默认30min
        //customSessionManager.setGlobalSessionTimeout(20000);

        //配置session持久化
        customSessionManager.setSessionDAO(redisSessionDAO());

        return customSessionManager;
    }


    /**
     * 获取RedisCacheManager
     * @return RedisCacheManager
     */
    public RedisCacheManager cacheManager(){
        RedisCacheManager redisCacheManager = new RedisCacheManager();

        redisCacheManager.setRedisManager(redisManager());

        //设置授权信息对应的key的过期时间,单位s。用户权限有变化时,除了要更新数据库,还需要更新redis中对应的key
        redisCacheManager.setExpire(24*60*60*7);

        return redisCacheManager;
    }


    /**
     * 设置加密、解密规则
     * @return HashedCredentialsMatcher
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();

        //设置使用的散列算法是md5
        credentialsMatcher.setHashAlgorithmName("md5");

        //设置散列次数,即多重加密次数
        credentialsMatcher.setHashIterations(2);

        return credentialsMatcher;
    }


    /**
     * 获取自定义的Realm
     * @return CustomRealm
     */
    @Bean
    public CustomRealm customRealm(){
        CustomRealm customRealm = new CustomRealm();
        customRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return customRealm;
    }


    /**
     * 配置SecurityManager
     * @return SecurityManager
     */
    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        //如果前后端没有分离,则不必使用sessionManager,不必设置SessionManager相关配置
        securityManager.setSessionManager(sessionManager());

        //使用自定义的CacheManager
        securityManager.setCacheManager(cacheManager());

        //设置Realm。建议放到最后,否则可能会出问题
        securityManager.setRealm(customRealm());

        return securityManager;
    }

}

 

Shiro的权限校验注解

在controller或controller的方法上加注解,请求对应接口时会自动校验权限,此种方式权限控制散落在controller中,与业务代码耦合在一起,不好维护,一般不用,了解即可

//校验角色|权限,要有指定的角色|权限才能访问,value中配置多个角色|权限时,可用logical指定逻辑运算符
@RequiresRoles(value={"admin", "editor"}, logical= Logical.AND)
@RequiresPermissions (value={"user:add", "user:del"}, logical= Logical.OR)

//要是已授权的用户才能访问(即调用Subject.isAuthenticated()返回true)
@RequiresAuthentication

//要是已登录的用户才能访问(已通过login()或rememberMe登录)
@RequiresUser

 

说明

常用的鉴权方式

  • 分布式session
  • JWT
  • Oauth2.0
     

复杂的权限校验会拉低性能,不要使用过于复杂的权限校验,尤其是对性能要求较高的项目,eg. 高并发的秒杀系统。
 

没有绝对可靠的校验方式,但可以用以下方式增加安全性

  • 限制一定时间内同一ip登录错误的次数
  • 增加图形验证码,图形验证码不能过于简单,过于简单容易被脚本识别
chy1984
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ShiroShiroFilterFactoryBean的filterChainDefinitionMap配置
core815的专栏
07-22 1万+
通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[permissive]");//jwt[permissive]就是一个普...
shrio 权限管理filterChainDefinitions过滤器配置
qq635708614的专栏
12-16 7384
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配成功
授权 - Spring Security简单案例
个人纪录、总结!
10-21 549
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Shiro教程(一):入门概述与基本使用
WwLK123的博客
07-11 4363
Shiro入门概述与基本使用
Shiro详细使用
残影的博客
10-10 1055
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
Apache Shiro教程
12-30
在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法。 1. **核心概念** - **身份验证(Authentication)**:确认用户的身份,即验证用户提供的凭证(如用户名和密码)是否正确。 - **授权...
Shiro终极版
08-14
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、会话管理和...通过学习"Shiro 终极版"提供的资料,开发者不仅可以掌握 Shiro 的基本用法,还能深入了解其在实际项目中的应用,提升系统的安全性。
shiro学习资料
08-29
"shiro使用方法.ppt"则是关于Shiro更具体的用法介绍,可能会涵盖更复杂的应用场景,比如会话管理、记住我功能、CSRF防护等。此外,它可能还会涉及Shiro与其他技术的集成,如Spring框架,以及如何解决常见问题和调试...
shiro学习源码与资料
02-24
Apache Shiro 是一个强大且易用的...通过学习这个压缩包中的资料,你可以系统地掌握Shiro的基本用法,理解其工作原理,并能在实际项目中灵活运用。同时,也可以借此机会深入学习Java安全相关知识,提升自己的专业技能。
跟我一起学shiro 张开涛
10-30
书中可能涵盖如何在Spring Boot、Spring MVC等常见框架中整合Shiro,以及如何解决实际开发中遇到的问题,比如跨域问题、单点登录等。 总的来说,《跟我一起学Shiro——张开涛》这本书是学习Shiro的宝贵资料,不仅...
Shiro的介绍与使用
最新发布
X_a_X_a_X_a的博客
01-10 704
Shiro 是一个强大而灵活的 Java 安全框架,用于身份验证、授权和会话管理。它提供了易于使用的 API,可以轻松地集成到现有的 Java 应用程序中。本文将介绍 Shiro 的基本概念和使用方法,并通过代码示例演示其在实际项目中的应用。
Springboot+Shiro实现动态权限验证
Eagga_Lo的博客
12-24 1568
本文将带你从0开始搭建一个Springboot+shiro动态权限控制 首先你得知道什么是Shiro? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解API,你可以快速、轻松地获取任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网:[点我进入] 开发环境: <!-- shiro --...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2771
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
Apache Shiro 越权访问漏洞 CVE-2020-1957 漏洞复现
qq_44484541的博客
11-01 366
CVE-2020-1957,Spring Boot中使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用 Apache Shiro 和 Spring Boot 对URL的处理的差异化,可以绕过 Apache Shiro 对 Spring Boot 中的 Servlet 的权限控制,越权并实现未授权访问。/admin/ , 最终请求 /admin/, 成功访问了后台请求。构造恶意请求url:http://ip:port/xxx/…/admin/,访问到管理页面,越权成功。
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3372
一、Shiro框架携带的拦截器 首先来温故一下最常见shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
shiroFilter配置文件详解关于默认的and关系改为or
一窍不通只会复制粘贴的Java工程师
09-24 2094
由于shiro默认对于角色授权的拦截是and关系,只有当该用户拥有配置的一个多个角色是才可通过 /user/add = roles["admin,test"]当该角色同时拥有这两个角色时才可进入user/add的页面中 这显然是不够我们使用的,但是我们可以自定义一个filter实现or关系 自定义的shiroOrFilter如下 /** * 自定义校验规则(or) * 只要满足其中一个
shiro realm何时调用
shaoying.c的专栏
07-03 1054
shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo()都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。         doGetAuthenticationInfo这个方法是在用户登录的时候调用的也就...
spring-shiro实现角色(roles)自定义Filter----配置多个角色的或关系
椭圆的博客
10-09 7712
roles:正常情况下URL路径的拦截设置如下: /admins/user/**=roles[admin] 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles[“admin,guest”] 但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admi
springboot-shiro整合集成教程
10-12
"Spring Boot 整合 Apache Shiro 教程" Apache Shiro 是一个全面的 Java 安全框架,它负责处理身份验证、授权、密码管理和会话管理等多个安全相关任务。Shiro 的设计目标是简化安全编程,通过提供直观易用的 API,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值