Shiro实战详解(3)

已于 2024-01-22 15:00:35 修改
阅读量512 收藏 9
点赞数 21
分类专栏: shiro 文章标签: shiro java
于 2024-01-22 10:32:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ji_xin0721/article/details/135740966
版权

Shiro实战详解(3)

04 Springboot集成Shiro

1、技术栈

主框架:springboot

响应层:springMVC

持久层:mybatis

事务控制:jta

前端技术:vue+ElementUI

2、数据库设计

在这里插入图片描述

sh_user:用户表,一个用户可以有多个角色

sh_role:角色表,一个角色可以有多个资源

sh_resource:资源表

sh_user_role:用户角色中间表

sh_role_resource:角色资源中间表

3、注解方式鉴权

以下为常用注解

注解说明
@RequiresAuthentication表明当前用户需是经过认证的用户
@ RequiresGuest表明该用户需为”guest”用户
@RequiresPermissions当前用户需拥有指定权限
@RequiresRoles当前用户需拥有指定角色
@ RequiresUser当前用户需为已认证用户或已记住用户

05 实现分布式会话SessionManager

1、会话的问题

在使用多个服务器,实现分布式服务时,用户在登录服务器已经登录,但是其他服务器对用户来说由于第一次访问,没有用户的会话信息,就会拦截,让他去登录,但实际上我们已经登录过了。
在这里插入图片描述

2、分布式会话实现思路

在这里插入图片描述
针对出现的session会话问题,可以使用redis来存储session会话信息,来实现共享session。

所有服务器的session信息都存储到了同一个Redis集群中,即所有的服务都将 Session 的信息存储到 Redis 集群中,无论是对 Session 的注销、更新都会同步到集群中,达到了 Session 共享的目的。

Cookie 保存在客户端浏览器中,而 Session 保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是 Session。客户端浏览器再次访问时只需要从该 Session 中查找该客户的状态就可以了。

在实际工作中我们建议使用外部的缓存设备(包括Redis)来共享 Session,避免单个服务器节点挂掉而影响服务,共享数据都会放到外部缓存容器中

3、实现步骤:

1.创建RedisSessionDao extends AbstractSessionDAO
public class RedisSessionDao extends AbstractSessionDAO {

    @Autowired(required = false)
    RedisTemplate redisTemplate;

    @Override
    protected Serializable doCreate(Session session) {
        //获取sessionid
        Serializable id = generateSessionId(session); //传入参数获取id
        //调用父类方法
        assignSessionId(session,id);
        redisTemplate.opsForValue().set(id,session);
        return id;
    }

    @Override
    protected Session doReadSession(Serializable serializable) {
        return (Session) redisTemplate.opsForValue().get(serializable);
    }

    @Override
    public void delete(Session session) {
        redisTemplate.delete(session.getId());

    }
}
2.配置ShiroConfig
 /**
     * 1.创建shiro自带cookie对象
     */
    @Bean
    public SimpleCookie sessionIdCookie(){
        SimpleCookie simpleCookie = new SimpleCookie();
        simpleCookie.setName("ShiroSession");
        return simpleCookie;
    }

    //2.创建realm
    @Bean
    public MyRealm getRealm() {
        return new MyRealm();
    }

    /*
    * 注入创建的RedisSessionDao类
    * */
    @Bean
    public RedisSessionDao getRedisSessionDao(){

        return  new RedisSessionDao();
    }
    /**
     * 3.创建会话管理器
     */

    @Bean
    public DefaultWebSessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

        sessionManager.setSessionDAO(getRedisSessionDao());
        sessionManager.setSessionValidationSchedulerEnabled(false);
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.setSessionIdCookie(sessionIdCookie());
        sessionManager.setGlobalSessionTimeout(3600000);

        return sessionManager;
    }

    //4.创建安全管理器
    @Bean
    public SecurityManager defaultWebSecurityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(getRealm());
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    /**
     * 5.保证实现了Shiro内部lifecycle函数的bean执行
     */
    @Bean(name = "lifecycleBeanPostProcessor")
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 6.开启对shiro注解的支持
     *   AOP式方法级权限检查
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
        return defaultAdvisorAutoProxyCreator;
    }

    /**
     * 7.配合DefaultAdvisorAutoProxyCreator事项注解权限校验
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(defaultWebSecurityManager());
        return authorizationAttributeSourceAdvisor;
    }




    //8.配置shiro的过滤器工厂再web程序中,shiro进行权限控制全部是通过一组过滤器集合进行控制
   @Bean
    public ShiroFilterFactoryBean myShiroFilterFactoryBean(){

       ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();

       factoryBean.setLoginUrl("/usererror"); //认证失败去这里
       factoryBean.setSecurityManager(defaultWebSecurityManager());

       Map<String, String> map = new LinkedHashMap<>();
       //认证页面
       map.put("/login","anon");  //匿名
       map.put("/user/**","authc"); //认证后

       factoryBean.setFilterChainDefinitionMap(map);
       return factoryBean;
   }
codeMonkey-吉
关注
  • 21
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro详解
weixin_43735007的博客
02-28 123
一、权限管理的概念
springmvc+shiro整合详解
12-01
架构采用 sping+spingmvc+hibenate+shiro完美整合,每段 配置文件都亲自加了注释,包括 web.xml,spring配置文件等,自己亲自试过,代码可以直接运行,是一个不可多得代码架构分享
SSM框架整合shiro实战详解
guangzhou007_java的博客
12-14 285
shiro简介 Apache ShiroJava的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成与其他安全框架同样的...
shiro实战详解(2)
ji_xin0721的博客
01-19 937
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如salt(即盐);Shiro内置了很多默认的过滤器,比如身份验证、授权等相关的。
shiro实战详解(1)
ji_xin0721的博客
01-19 1245
权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。权限管理在系统中一般分为:访问权限一般表示你能做什么样的操作,或者能够访问那些资源。数据权限一般表示某些数据你是否属于你,或者属于你可以操作范围。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后,系统会为其分配对应的权限,当访问资源时,会校验其是否有访问此资源的权限。这里首先理解4个对象。用户对象user:当前操作的用户、程序。
权限框架之Shiro详解
Dream_ling的博客
02-23 3568
文章大纲 一、权限框架介绍 二、Shiro基础介绍 三、Spring Boot整合Shiro代码实战 四、项目源码与资料下载 五、参考文章 一、权限框架介绍 1. 什么是权限管理   权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证   身份.
Springboot+Shiro实战
天雨流芳
04-19 430
Springboot+shiro 实战 1、Shiro概述(what) ​ Apache Shiro是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全- 从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 1.1 功能概述 验证用户来核实他们的身份 对用户执行访问控制 判断用户是否被分配一个特定的角色 判定用户是否被允许做什...
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3441
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
Shiro授权登录讲解+实战
wZh3121的博客
09-14 1328
前言 Shiro 是什么? Shiro 是一个功能强大且易于使用还很灵活的 Java 开源安全框架; 可以干净地处理身份验证、授权、企业会话管理、单点登录和加密服务。 出自 Apache 、也叫 Apache Shiro Shiro 能干什么? 1)验证用户身份; 2)用户访问控制;比如用户是否被赋予了某个角色,是否允许访问某些资源 3)会话管理 4)事件响应(在身份验证,访问控制期间,或session生命周期中) 5)集成多种用户信息数据源 6)SSO单点登录、记住我、加密、缓存
Shiro实战详解(4)--JWT生成token以及解析token
ji_xin0721的博客
01-22 1014
​ JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。实现步骤:1.创建RedisSessionDao extends AbstractSessionDAO2.配置ShiroConfig首先Shiro是一套安全认证框架,已经有了对token的相关封装。而JWT只是一种生。
Shiro权限管理框架详解
01-27
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证...
shiro实战教程资料.zip
06-11
shiro实战教程资料,对应B战编程不良人的shiro的资料
Shiro实战讲解课程
06-12
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序
Linux下网络编程-简易Epll服务器和客户端
weixin_45256307的博客
05-06 418
Linux下网络编程-简易Epll服务器和客户端
一篇文章,系统性聊聊Java注解
架构风清扬
05-06 1049
一篇文章,系统性聊聊Java注解
Java代码基础算法练习-删除有序数组中的重复项-2024.05.07
最新发布
Sakurapaid的博客
05-07 188
给一个有序数组(共10个元素),请在不新建数组的情况下,删除重复出现的元素,使 每个元素只出现一次,最后请输出删除重复元素后数组的新长度和数组元素。要删除有序数组中的重复项,且不使用额外数组,可以采用。
Nacos 配置中心实例分析实践
m0_73557631的博客
05-03 1078
​ 浏览器: http://localhost:5000/nacos/config/ip。先创建e-commerce-nacos-config-client5000 模块。​ 启动e-commerce-nacos-config-client5000。​ 启动Nacos Server。
Java基础(三):Java异常机制以及底层实现原理
Lee的博客
05-07 704
除了Java中提供的异常之外,我们也可以自定义一些异常,自定义异常可以自定义运行时异常和非运行时异常两种方式。自定义运行时异常之需要继承这个方法即可,这里我们加了一个构造方法,这样可以创建异常对象时加一些描述异常信息。自定义非运行时异常只需要继承Exception,这里也是加了一个构造方法,描述异常信息。
shiro的使用详解
06-01
下面是Shiro的使用详解: 1. 引入Shiro依赖 在Maven项目中,需在pom.xml文件中添加Shiro的依赖: ```xml <groupId>org.apache.shiro <artifactId>shiro-core <version>1.7.1 ``` 2. 配置Shiro 在项目中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值