shiro简单配置

最新推荐文章于 2024-06-01 14:22:07 发布
最新推荐文章于 2024-06-01 14:22:07 发布
阅读量10w+ 收藏 145
点赞数 44
分类专栏: shiro 文章标签: shiro


注:这里只介绍spring配置模式。

因为官方例子虽然中有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。


涉及的jar

Jar包名称

版本

核心包shiro-core

1.2.0

Web相关包shiro-web

1.2.0

缓存包shiro-ehcache

1.2.0

spring整合包shiro-spring

1.2.0

Ehcache缓存核心包ehcache-core

2.5.3

Shiro自身日志包slf4j-jdk14

1.6.4

使用 maven 时,在 pom 中添加依赖包 

<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-core</artifactId>
	<version>1.2.0</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-web</artifactId>
	<version>1.2.0</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-ehcache</artifactId>
	<version>1.2.0</version>
</dependency>
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.2.0</version>
</dependency>
<dependency>
	<groupId>net.sf.ehcache</groupId>
	<artifactId>ehcache-core</artifactId>
	<version>2.5.3</version>
</dependency>
<dependency>
	<groupId>org.slf4j</groupId>
	<artifactId>slf4j-jdk14</artifactId>
	<version>1.6.4</version>
</dependency>

Spring 整合配置

1.web.xml中配置shiro的过滤器

<!-- Shiro filter-->  
<filter> 
	<filter-name>shiroFilter</filter-name> 
	<filter-class> 
		org.springframework.web.filter.DelegatingFilterProxy  
	</filter-class>  
</filter>  
<filter-mapping>  
	<filter-name>shiroFilter</filter-name>  
	<url-pattern>/*</url-pattern>  
</filter-mapping>  

2.SpringapplicationContext.xml中添加shiro配置 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login" />
		<property name="successUrl" value="/login/loginSuccessFull" />
		<property name="unauthorizedUrl" value="/login/unauthorized" />
		<property name="filterChainDefinitions">
			<value>
				/home* = anon
				/ = anon
				/logout = logout
				/role/** = roles[admin]
				/permission/** = perms[permssion:look]
				/** = authc
			</value>
		</property>
	</bean>

securityManager:这个属性是必须的。

loginUrl:没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp页面。

successUrl:登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此。

unauthorizedUrl:没有权限默认跳转的页面。

过滤器简称

过滤器简称

对应的java

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

logout

org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 没有参数,表示可以匿名使用。

authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数

roles:例子/admins/user/**=roles[admin],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如admins/user/**=roles["admin,guest"],每个参数通过才算通过,相当于hasAllRoles()方法。

perms:例子/admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms["user:add:*,user:modify:*"],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。

rest:例子/admins/user/**=rest[user],根据请求的方法,相当于/admins/user/**=perms[user:method] ,其中methodpost,get,delete等。

port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081?queryString,其中schmal是协议httphttps等,serverName是你访问的host,8081url配置里port的端口,queryString

是你访问的url里的?后面的参数。

authcBasic例如/admins/user/**=authcBasic没有参数表示httpBasic认证

ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https

user:例如/admins/user/**=user没有参数表示必须存在用户,当登入操作时不做检查

注:anon,authcBasic,auchc,user是认证过滤器,

perms,roles,ssl,rest,port是授权过滤器

3.applicationContext.xml中添加securityManagerper配置 

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- 单realm应用。如果有多个realm,使用‘realms’属性代替 -->
<property name="realm" ref="sampleRealm" />
<property name="cacheManager" ref="cacheManager" />
</bean>


<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager" />

4.配置jdbcRealm 

<bean id="sampleRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
	<property name="dataSource" ref="dataSource" />
	<property name="authenticationQuery"
		value="select t.password from my_user t where t.username = ?" />
	<property name="userRolesQuery"
		value="select a.rolename from my_user_role t left join my_role a on t.roleid = a.id where t.username = ? " />
	<property name="permissionsQuery"
		value="SELECT B.PERMISSION FROM MY_ROLE T LEFT JOIN MY_ROLE_PERMISSION A ON T.ID = A.ROLE_ID LEFT JOIN MY_PERMISSION B ON A.PERMISSION = B.ID WHERE T.ROLENAME = ? " />
	<property name="permissionsLookupEnabled" value="true" />
	<property name="saltStyle" value="NO_SALT" />
	<property name="credentialsMatcher" ref="hashedCredentialsMatcher" />
</bean>

dataSource数据源,配置不说了。

authenticationQuery登录认证用户的查询SQL,需要用登录用户名作为条件,查询密码字段。

userRolesQuery用户角色查询SQL,需要通过登录用户名去查询。查询角色字段

permissionsQuery用户的权限资源查询SQL,需要用单一角色查询角色下的权限资源,如果存在多个角色,则是遍历每个角色,分别查询出权限资源并添加到集合中。

permissionsLookupEnabled默认falseFalse时不会使用permissionsQuerySQL去查询权限资源。设置为true才会去执行。

saltStyle密码是否加盐,默认是NO_SALT不加盐。加盐有三种选择CRYPT,COLUMN,EXTERNAL。详细可以去看文档。这里按照不加盐处理。

credentialsMatcher密码匹配规则。下面简单介绍。

<bean id="hashedCredentialsMatcher"
	class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
		<property name="hashAlgorithmName" value="MD5" />
		<property name="storedCredentialsHexEncoded" value="true" />
		<property name="hashIterations" value="1" />
</bean>

hashAlgorithmName必须的,没有默认值。可以有MD5或者SHA-1,如果对密码安全有更高要求可以用SHA-256或者更高。这里使用MD5

storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码

hashIterations迭代次数,默认值是1

登录JSP页面

<form action="login" method="post">


<td>用户名:</td>
<td><input type="text" name="username"></input></td>


<td>密码:</td>
<td><input type="password" name="password"></input></td>


<td>记住我</td>
<td><input type="checkbox" name="rememberMe" /></td>

注:登录JSP,表单action与提交方式固定,用户名与密码的name也是固定。

5.配置shiro注解模式 

<!-- 开启Shiro注解的Spring配置方式的beans。在lifecycleBeanPostProcessor之后运行 -->
	<bean		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor" />
	<bean		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>

注意:在与springMVC整合时必须放在springMVC的配置文件中。

Shiro在注解模式下,登录失败,与没有权限均是通过抛出异常。并且默认并没有去处理或者捕获这些异常。在springMVC下需要配置捕获相应异常来通知用户信息,如果不配置异常会抛出到页面

<bean
	class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
	<property name="exceptionMappings">
		<props>
			<prop key="org.apache.shiro.authz.UnauthorizedException">
				/unauthorized
			</prop>
			<prop key="org.apache.shiro.authz.UnauthenticatedException">
				/unauthenticated
			</prop>
		</props>
	</property>
</bean>

@RequiresAuthentication

验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。

@RequiresUser

验证用户是否被记忆,user有两种含义:

一种是成功登录的(subject.isAuthenticated() 结果为true);

另外一种是被记忆的(subject.isRemembered()结果为true)。

@RequiresGuest

验证是否是一个guest的请求,与@RequiresUser完全相反。

 换言之,RequiresUser  == !RequiresGuest

此时subject.getPrincipal() 结果为null.

@RequiresRoles

例如:@RequiresRoles("aRoleName");

  void someMethod();

如果subject中有aRoleName角色才可以访问方法someMethod。如果没有这个权限则会抛出异常AuthorizationException

@RequiresPermissions

例如: @RequiresPermissions({"file:read", "write:aFile.txt"} )
  void someMethod();

要求subject中必须同时含有file:readwrite:aFile.txt的权限才能执行方法someMethod()。否则抛出异常AuthorizationException

.简单扩展

1. 自定义 realm 
<!--自定义的myRealm 继承自AuthorizingRealm,也可以选择shiro提供的 -->
<bean id="myRealm" class="com.yada.shiro.MyReam"></bean>


//这是授权方法
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
	String userName = (String) getAvailablePrincipal(principals);
	//TODO 通过用户名获得用户的所有资源,并把资源存入info中
	…………………….
	SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
	info.setStringPermissions(set集合);
	info.setRoles(set集合);
	info.setObjectPermissions(set集合);
	return info;
}

//这是认证方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
	//token中储存着输入的用户名和密码
	UsernamePasswordToken upToken = (UsernamePasswordToken)token;
	//获得用户名与密码
	String username = upToken.getUsername();
	String password = String.valueOf(upToken.getPassword());
	//TODO 与数据库中用户名和密码进行比对。比对成功则返回info,比对失败则抛出对应信息的异常AuthenticationException
	…………………..
	SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName());
	return info;
}

2.自定义登录 

//创建用户名和密码的令牌
UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassWord());
//记录该令牌,如果不记录则类似购物车功能不能使用。
token.setRememberMe(true);
//subject理解成权限对象。类似user
Subject subject = SecurityUtils.getSubject();
try {
subject.login(token);
} catch (UnknownAccountException ex) {//用户名没有找到。
} catch (IncorrectCredentialsException ex) {//用户名密码不匹配。
}catch (AuthenticationException e) {//其他的登录错误
}
//验证是否成功登录的方法
if (subject.isAuthenticated()) {
}

3.自定义登出 

Subject subject = SecurityUtils.getSubject();
subject.logout();

4. 基于编码的角色授权实现 

Subject currentUser = SecurityUtils.getSubject();  
if (currentUser.hasRole("administrator")) {  
    //拥有角色administrator
} else {  
    //没有角色处理
}  

断言方式控制

Subject currentUser = SecurityUtils.getSubject();  
//如果没有角色admin,则会抛出异常,someMethod()也不会被执行
currentUser.checkRole(“admin");  
someMethod();  

5. 基于编码的资源授权实现 
Subject currentUser = SecurityUtils.getSubject();  
if (currentUser.isPermitted("permssion:look")) {  
    //有资源权限
} else {  
    //没有权限
}  

断言方式控制

Subject currentUser = SecurityUtils.getSubject();  
//如果没有资源权限则会抛出异常。
currentUser.checkPermission("permssion:look");  
someMethod();  

6. JSP 上的 TAG 实现

标签名称

标签条件(均是显示标签内容)

<shiro:authenticated>

登录之后

<shiro:notAuthenticated>

不在登录状态时

<shiro:guest>

用户在没有RememberMe

<shiro:user>

用户在RememberMe

<shiro:hasAnyRoles name="abc,123" >

在有abc或者123角色时

<shiro:hasRole name="abc">

拥有角色abc

<shiro:lacksRole name="abc">

没有角色abc

<shiro:hasPermission name="abc">

拥有权限资源abc

<shiro:lacksPermission name="abc">

没有abc权限资源

<shiro:principal>

默认显示用户名称

7.

默认,添加或删除用户的角色 或资源 ,系统不需要重启,但是需要用户重新登录。

即用户的授权是首次登录后第一次访问需要权限页面时进行加载。

但是需要进行控制的权限资源,是在启动时就进行加载,如果要新增一个权限资源需要重启系统。

8.

Springsecurity apache shiro差别:

a) shiro 配置更加容易理解,容易上手; security 配置相对比较难懂。
b) spring 的环境下, security 整合性更好。 Shiro 对很多其他的框架兼容性更好,号称是无缝集成。
c) shiro 不仅仅可以使用在 web 中,它可以工作在任何应用环境中。
d) 在集群会话时 Shiro 最重要的一个好处或许就是它的会话是独立于容器的。
e) Shiro 提供的密码加密使用起来非常方便。

9.

控制精度:

注解方式控制权限只能是在方法上控制,无法控制类级别访问。

过滤器方式控制是根据访问的URL进行控制。允许使用*匹配URL,所以可以进行粗粒度,也可以进行细粒度控制。


冰上浮云
关注
  • 44
    点赞
  • 145
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
专栏目录
Shiro简易实例:HelloWorld
11-03
在本资源中,我们有一个名为"Shiro简易实例:HelloWorld"的项目,它将引导你了解如何在实际应用中使用Shiro进行基础的安全设置。 首先,我们需要理解Shiro的基本概念: 1. **身份验证(Authentication)**:确认...
shiro之INI配置详解
08-29
下面是一个简单Shiro INI配置示例: ``` [main] authenticator = org.apache.shiro.authc.pam.ModularRealmAuthenticator authenticationStrategy = org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy ...
web工程使用spring mvc+shiro进行权限控制
aams46841的博客
09-16 172
第1步:引入shiro相关jar包 ehcache-core-2.5.0.jar shiro-ehcache-1.2.3.jar shiro-core-1.2.3.jar shiro-web-1.2.3.jar shiro-spring-1.2.3.jar 第二步:web.xml配置 <!-- shiro的filter --> <!-- shir...
shiro配置
lilovfly的专栏
07-28 304
这个主要是关于之前的配置的一个补充:就是这样的配置:             /static/** = anon /login = anon /WEB-INF/views/login.jsp = anon /user-permission = perms["staff"] /* = authc
subject.isPermitted 报空
最新发布
qq_33240556的博客
06-01 151
在 Apache Shiro 框架中常用于检查一个主体(即,用户)是否有权限执行某个操作。:有时,由于相关库版本不正确、缺少依赖项或安全设置配置错误,也会出现问题。:确保你的应用程序的授权设置已经正确配置了你正在检查的权限。如果你检查了这些点但仍然遇到问题,提供确切的错误信息和引发异常的代码片段可以帮助更准确地诊断问题。的参数应该是一个字符串,表示要检查的权限,并且它不应该为。,而不是抛出异常,除非在管理或检索权限的过程中有底层问题。:使用调试器或添加日志语句来验证在调用。:确保你正确定义了方法的调用。
Shiro配置及使用
qq_45733154的博客
10-21 2837
Shiro,Springboot整合Shiro,Shiro实现登录拦截,Shiro实现用户认证,用户授权,Shiro整合Thymeleaf
shiro配置详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
08-24 2746
*Shiro 从 ****Realm 获取安全数据(如用户、角色、权限),****就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作.5.添加shiro与spring集成的配置文件application-shiro.xml。4.首先在web.xml中加入shiro过滤器。2.shiro架构的核心内容介绍。且其管理着所有Subject。7.自定义realm。
Shiro配置
东土大唐
09-27 204
1.SpringBoot整合Shiro环境搭建 首先导入maven依赖,导入shiro-spring与shiro-web依赖。 <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf</artifactId> <version>3.0.12.RELEASE</version> &l.
shiro简单的demo.zip
07-14
**标题解析:**"shiro简单的demo.zip" 这个标题表明我们正在处理一个关于Apache Shiro简单演示项目,这个项目已经集成了SpringBoot框架,并且使用Redis作为缓存来处理权限认证。Shiro是一个强大的Java安全框架,...
简单配置 shiro + spring +springMVC+hibernate简单框架
02-20
-- shiro简单配置 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.0</version> </dependency> <dependency> <groupId>org.apache.shiro...
shiro简单登录+logback日志记录
06-06
Shiro简单登录+Logback日志记录》 在现代Web开发中,权限管理和日志记录是两个不可或缺的环节。Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、会话管理和加密等功能,而Logback作为Log4j的替代...
Shiro环境配置
酷小亚
05-04 417
Shiro 简介: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro 主要功能: 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他
SpringBoot整合ShiroShiro使用Thymeleaf
weixin_49151279的博客
11-07 430
https://www.cnblogs.com/Bkxk/p/12617078.html https://www.cnblogs.com/lenve/p/12321204.html 包含权限字符串才能看到 // 验证用户是否具备某权限 var permission = [[${@permission.hasPermi(‘system:user:add’)}]];
Shiro-web相关认证授权
wxd_1024的博客
07-28 355
身份认证 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: • 身份验证:一般需要提供如身份 ID 等一些标识信息来表明登录者的身 份,如提供 email,用户名/密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证 明)给 shiro,从而应用能验证用户身份: • principals:身份,即主体的标识属性,可以是...
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3800
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
Shiro
weixin_30487701的博客
09-28 238
Shiro简介 SpringMVC整合ShiroShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个...
springboot shiro 网关配置shiro
10-16
要在Spring Boot中配置Shiro网关,可以使用Shiro的Filter来实现。具体步骤如下: 1. 在pom.xml文件中添加Shiro和Spring Boot Starter Web依赖。 2. 创建一个ShiroFilter类,继承自org.apache.shiro.web.servlet.AbstractShiroFilter,并实现其抽象方法。 3. 在Spring Boot的配置类中,创建一个ShiroFilterFactoryBean对象,并设置其属性。 4. 在配置类中,创建一个DelegatingFilterProxyRegistrationBean对象,并设置其属性。 5. 在配置类中,创建一个DefaultWebSecurityManager对象,并设置其Realm属性。 6. 在配置类中,创建一个ShiroRealm对象,并实现其认证和授权方法。 7. 在配置类中,创建一个ShiroDialect对象,并注册到Thymeleaf模板引擎中。 8. 在配置类中,创建一个ShiroAnnotationProcessor对象,并注册到Spring容器中。 9. 在配置类中,创建一个ShiroFilterChainDefinition对象,并实现其抽象方法。 10. 在配置类中,创建一个ShiroSessionManager对象,并设置其属性。 11. 在配置类中,创建一个ShiroSessionListener对象,并注册到ShiroSessionManager中。 12. 在配置类中,创建一个ShiroCacheManager对象,并设置其属性。 13. 在配置类中,创建一个ShiroCookie对象,并设置其属性。 14. 在配置类中,创建一个ShiroRememberMeManager对象,并设置其属性。 15. 在配置类中,创建一个ShiroSubjectFactory对象,并设置其属性。 16. 在配置类中,创建一个ShiroFilterFactoryBeanConfigurer对象,并注册到Spring容器中。 17. 在配置类中,创建一个ShiroFilterChainDefinitionConfigurer对象,并注册到Spring容器中。 18. 在配置类中,创建一个ShiroWebSecurityConfigurerAdapter对象,并设置其属性。 19. 在配置类中,创建一个ShiroWebMvcConfigurer对象,并注册到Spring容器中。 20. 在配置类中,创建一个ShiroWebMvcConfigurerAdapter对象,并设置其属性。 21. 在配置类中,创建一个ShiroWebMvcConfigurationSupport对象,并设置其属性。 22. 在配置类中,创建一个ShiroWebMvcConfigurationAdapter对象,并设置其属性。 23. 在配置类中,创建一个ShiroWebMvcAutoConfiguration对象,并设置其属性。 24. 在配置类中,创建一个ShiroWebMvcProperties对象,并设置其属性。 25. 在配置类中,创建一个ShiroWebMvcPropertiesCustomizer对象,并注册到Spring容器中。
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值