Shiro 实战

最新推荐文章于 2024-04-28 12:59:57 发布
最新推荐文章于 2024-04-28 12:59:57 发布
阅读量385 收藏 1
点赞数
分类专栏: java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luwfls/article/details/62419404
版权

项目简介

背景 及 需求

背景
平台融合了多种用户(平台客户、后台运营者)
多种登录逻辑(面向客户的、面向运营人员的)混杂在一个项目中
需求
为后台运营系统增加权限
页面元素按照用户角色决定是否展示
难点
shiro难以对多个登陆逻辑、多个系统做出统一的处理,很难拆分出 不需要shiro 管理的面向客户的系统,也就是说需要拦截的东西是不确定的,不需要拦截的东西是确定的。

解决思路

想法一
刚开始想法错误,考虑到以后需求可能会将客户平台也纳入到shiro中,所以总想着将所有东西都划归到shiro下管理,但是当前系统需要拦截的东西是不确定的,反而不需要拦截的东西是确定的。走了很多弯路。
其中 loginUrl 即未授权重定向的页面是对应多个的,所以只能通过一个Action或Filter来做复杂判断和跳转。
shiro 核心过滤器如下

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/loginDispatcher.do"/>
<property name="unauthorizedUrl" value="/page/401"/>
<property name="filterChainDefinitions">
<value>
<!-- 静态资源允许访问 -->
/resource/** = anon
<!--用户平台允许访问-->
/bank/** = anon
<!--运营平台需要登录认证-->
/platform/** = authc
<!-- 其他资源需要认证 -->
/** = authc
</value>
</property>
</bean>
想法二
由于前台mvc层使用的是Struts2(各种漏洞、吐槽)、而且考虑到当前struts2的命名空间划分还是比较合理的,运营平台统一划分在 /platform下,转变思路,不去考虑使用shiro管理所有东西,把所有权限都放行,只拦截 /platform下的。
客户平台还是由原来的Filter管理

struts.xml

 <!-- 运营平台 -->
    <package name="platform" namespace="/platform" extends="struts-default">
        <action>
            ...
    </package >

shrio核心过滤器

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="unauthorizedUrl" value="/page/401"/>
    <property name="filterChainDefinitions">
        <value>
            <!--后台运营使用shrio管理-->
            /platform/** = authc
            <!-- 其他资源放开 -->
            /** = anon
        </value>
    </property>
</bean>

环境

  • JDK1.7
  • Tomcat1.8
  • Struts2 2.32
  • Spring 4.0.6
  • Hibernate 4.0.4
  • shiro 1.2.3

配置

web.xml

shiro的过滤器应该位于MVC(这里是struts2)层框架过滤器的上方

<!-- shiro的过滤器 -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <async-supported>true</async-supported>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
  <!-- struts2的过滤器 -->
<filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
<!-- shiro的过滤器 -->
 <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
 <!-- struts2的过滤器 -->
<filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
自定义登录逻辑 Realm

继承AuthorizingRealm

public class PlatformRealm extends AuthorizingRealm {
    ...
}

重写登录教研

@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        ...
    }

重写授权校验

@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    ...
 }

注册Realm给安全管理器

DefaultWebSecurityManager 安全管理器

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="platformRealm"/>
            </list>
        </property>
    </bean>

~使用Shiro~

  • 登录逻辑重构 UsernamePasswordToken
    用户令牌 
            UsernamePasswordToken token = new UsernamePasswordToken();
        token.setUsername("用户输入的用户名");
        token.setPassword("用户输入的密码");
    Subject
    可以理解为Shiro所管理的用户对象所 
     Subject subject = SecurityUtils.getSubject();
 //登录
 subject.login(token);
    SimpleAuthenticationInfo
    认证及认证结果信息,其中user为登陆成功后 返还给客户端的用户对象。可以通过 User user = (User) subject.getPrincipal(); 获取。 
    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, "数据库中的密码", getName());

  • 权限校验
    注解方式
    : @RequiresPermissions(“你定义的权限名称”)应用在你的方法上。

    页面标签
    : <shiro:hasPermission name="user:create">

自定义url过滤器

  • shiro内置的 角色url过滤器校验的逻辑为且的关系,即满足多种角色才可以,一个用户即是platform.admin角色而且也是platform.operator角色才可以访问,代码如下

  • 先在的需求:需要两者满足其一即可,即或的关系。

      <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
       <property name="filterChainDefinitions">
            <value>
            /platform/home.do* = roles[platform.admin,platform.operator]

  • 自定义过滤器
    参考自ikaraide的博客

    public class CustomRolesAuthorizationFilter extends AuthorizationFilter {

    @Override  
    protected boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object mappedValue) throws Exception {
        Subject subject = getSubject(req, resp);
        String[] rolesArray = (String[]) mappedValue;  

        if (rolesArray == null || rolesArray.length == 0) { //没有角色限制,有权限访问  
            return true;  
        }
        for (String aRolesArray : rolesArray) {
            if (subject.hasRole(aRolesArray)) { //若当前用户是rolesArray中的任何一个,则有权限访问
                return true;
            }
        }  
        return false;
    }  
}

  • 配置

    <!-- 自定义的过滤器,用来判断当前用户是否是roleOrFilter["comm,test"]中的某个角色 -->
    <bean id="roleOrFilter" class="cn.ecotrans.web.shior.CustomRolesAuthorizationFilter" />

    注册该过滤器到shiro的过滤器链

      <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 添加各种验证过滤器 -->
        <property name="filters">
            <map>
                <entry key="roleOrFilter" value-ref="roleOrFilter"/>
            </map>
        </property>
         ···
         ···
         ···

    使用

     /platform/** = roleOrFilter[platform.admin,platform.operator]
luwfls
关注
专栏目录
Shiro入门实战【附源码】
永远年轻
06-25 1271
文章目录1. Shiro简介2. Shiro 的认证流程3. 编码实战3.1 创建 SpringBoot 项目,pom.xml 依赖如下:3.2 application.yml 配置如下:3.3 实体类创建3.4 创建 mapper 接口3.5 在主启动类上加 @MapperScan 注解扫描 mapper 的位置3.6 创建 mapper.xml 文件,代码如下:3.7 创建数据库 test,sql 语句如下:3.8 创建 AuthRealm,实现 Shiro 框架的 AuthorizingRealm,代
shiro实战教程资料.zip
06-11
这个"shiro实战教程资料.zip"压缩包包含了多个与 Shiro 相关的学习资源,帮助你深入理解和实践 Shiro 在实际项目中的应用。 首先,`Shiro 实战教程.md`可能是教程的主体内容,它可能详细介绍了Shiro的基础概念,如...
一文总结 Shiro 实战教程
最新发布
m0_74932057的博客
04-28 555
(img-6aRwlpS4-1714280377218)](img-Xszy3qrd-1714280377218)]System.out.println(“用户名错误!System.out.println(“密码错误!System.out.println(“登录成功”);//创建securityManager。//设置为自定义realm获取认证数据。//将安装工具类中设置默认安全管理器。//创建token令牌。* 自定义realm。
shiro实战系列(一)之入门实战
weixin_33997389的博客
06-03 1204
一、什么是shiro? Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。...
Shiro 实战教程
翰萨姆的博客
09-14 549
Shiro 实战教程 1.权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 什么是身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名
Shiro实战讲解课程
06-12
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序
Spring Boot Shiro实战
06-11
在Spring Boot中集成Shiro,可以了解到如何使用Spring MVC,;如何使用Spring Data JPA进行数据的持久化;如何使用Shiro安全框架;如何使用Thymeleaf模板引擎;如何使用ehcache缓存管理!
Shiro 实战教程.md
02-25
Shiro 实战教程.md
Shiro快速实战
weixin_43587055的博客
04-25 262
Shiro Spring Boot
Shiro 实战教程(全)
swy2560666141的博客
04-25 1747
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。
实战篇:30 分钟学会如何使用 Shiro
qq_41490913的博客
06-06 1097
实战篇:30 分钟学会如何使用 Shiro
Shiro 实战教程(一) Shiro 认证
weixin_44602460的博客
07-07 214
一. 权限的管理 1. 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 2. 什么是身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中
Shiro实战Demo
我要,我要,我还要
11-15 592
Shiro 使用 hello shiro 首先创建Maven项目并引入最新的shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> <
shiro框架实战讲解
qq_15138689的博客
09-19 953
shiro的权限功能有哪些? 1.身份认证/登录,验证用户是不是拥有相应的身份; 2.授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; 3.会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; 4.加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; 5.Web支持,可以非常容易的集成到We
Shiro实战1-介绍
老徐的博客只有干货
03-02 293
什么是 Shiro 官网:http://shiro.apache.org/ shiro是一款主流的 Java 安全框架,不依赖任何容器,可以运行在 Java SE和 Java EE 项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。 Shiro 就是用来解决安全管理的系统化框架。 总体架构 核心功能 认证Authentication 授权Authorization 会话管理 加密 缓存 用户信息、角色、权限等缓存到如redis等缓存中 Web集成支持 测试支持
shiro实战案例
ITzhongzi的博客
07-15 472
shiro实战案例解析
Springboot+Shiro实战
天雨流芳
04-19 463
Springboot+shiro 实战 1、Shiro概述(what) ​ Apache Shiro是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全- 从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 1.1 功能概述 验证用户来核实他们的身份 对用户执行访问控制 判断用户是否被分配一个特定的角色 判定用户是否被允许做什...
Java安全框架Apache Shiro实战教程
"最新硅谷Shiro实战视频教程,包含Apache Shiro的全面讲解和实战演示,旨在帮助学习者深入理解和应用这个强大的Java安全框架。" Apache Shiro是一个在Java开发领域广泛应用的安全框架,它提供了核心的安全功能,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值