shiro框架小结

最新推荐文章于 2023-09-28 11:21:44 发布
最新推荐文章于 2023-09-28 11:21:44 发布
阅读量156 收藏
点赞数
分类专栏: javaweb 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lz20120808/article/details/103435903
版权

shiro是权限管理框架。权限管理是对用户的身份认证和访问权限验证。

shiro涉及的三个对象:

1)Subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

2)Principal:身份信息

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

3)credential:凭证信息

只有主体自己知道的安全信息,如密码、证书等。

shiro执行逻辑

在这里插入图片描述

shiro与springmvc的集成

1.pom.xml引入

2.配置web.xml

 <!-- shiro 过滤器 start -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <!-- 设置true由servlet容器控制filter的生命周期 -->
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <!-- shiro 过滤器 end -->

3.配置spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:util="http://www.springframework.org/schema/util"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans-4.1.xsd
                        http://www.springframework.org/schema/util
                        http://www.springframework.org/schema/util/spring-util-4.1.xsd">

    <description>权限配置</description>
    <!-- Realm实现 -->
    <bean id="userRealm" class="com.sdhsie.essos.lys.login.component.UserRealm">
        <property name="cachingEnabled" value="false"/>
    </bean>

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userRealm"/>
        <property name="cacheManager" ref="cacheManager"/>
    </bean>

    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"></property>
    </bean>

    <!-- 基于Form表单的身份验证过滤器 -->
    <bean id="formAuthenticationFilter" class="com.sdhsie.essos.lys.login.component.MyFormAuthenticationFilter">
        <property name="usernameParam" value="username"/>
        <property name="passwordParam" value="password"/>
        <property name="rememberMeParam" value="rememberMe"/>
    </bean>
    <bean id="rolesAuthorizFilter" class="com.sdhsie.essos.lys.login.component.MyRolesAuthorizationFilter"> </bean>

    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- shiro的核心安全接口 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 要求登录时的链接 -->
        <!--<property name="loginUrl" value="/login"/>-->
        <!-- 登陆成功后要跳转的连接 -->
        <!--<property name="successUrl" value="/" />-->
        <property name="filters">
            <util:map>  
                <entry key="authc" value-ref="formAuthenticationFilter"/>
                <entry key="roles" value-ref="rolesAuthorizFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                / = anon
                /app/ = anon
                /doLogin = anon
                /registerDriver = anon
                /app/**/*.js = anon
                /app/**/*.css = anon
                /app/**/*.gif = anon
                /app/**/*.png = anon
                /app/**/*.jpg = anon
                /jsp/**/*.jsp = anon
                /jsp/**/*.html = anon
                /**/noauth = anon
                /logout = anon
                /workinformtruckweb/**=roles[admin]
                /user/deleteUser/** = perms[USER:DELETE]
                /** = authc
            </value>
        </property>
    </bean>
</beans>

1)声明SecurityManager,注入自定义的realm。定义身份验证和权限授权。
2)声明Shiro的WEB过滤器,必须引入securityManager,WEB过滤器主要用于URL的访问控制,控制哪些URL需要权限控制,哪些不需要权限控制
anon:表示不需要权限控制
authc:表示需要登录后才能访问
roles[admin]: 表示有admin角色的才能访问
perms[USER:DELETE]:表示有USER:DELETE权限的才能访问
下面会具体代码说明roles和perms的赋值

4.自定义Realm

public class UserRealm extends AuthorizingRealm {
    @Autowired
    private UserInfoService userInfoService;
    /**
     * 表示根据用户身份获取权限信息并授权
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        Set<String> roles = Sets.newHashSet();
        roles.add("超级管理员");
        authorizationInfo.setRoles(roles);
        return authorizationInfo;
    }

    /**
     * 表示获取身份验证信息
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token){
        if(token.getPrincipal()==null || token.getCredentials()==null){
            return null;
        }

        UsernamePasswordToken upToken = (UsernamePasswordToken)token;
        String userName = upToken.getUsername();
        String psw = new String(upToken.getPassword());
        if(LoginController.PSW_FLAG.equals(psw)){

        }else{
            UserInfo userInfo = userInfoService.checkByUserName(userName);
            if(userInfo == null) {
                throw new UnknownAccountException();//没找到帐号
            }else{
                psw = userInfo.getPassword();
            }
        }

        //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                userName,     //用户名
                psw,     //密码
                null,       //salt=username+salt
                getName()                   //realm name
        );

        return authenticationInfo;
    }

    @Override
    protected void assertCredentialsMatch(AuthenticationToken authcToken,
                                          AuthenticationInfo info) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

        super.assertCredentialsMatch(token, info);
    }
}

doGetAuthorizationInfo里给roles造了假数据

5.自定义登录验证过滤器

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        Subject logUser = SecurityUtils.getSubject();
        //电脑版可使用cookie-session保持会话信息
        if(logUser.isAuthenticated()){
            return super.preHandle(request, response);
        }
        return super.preHandle(request, response);
    }

    //处理跨域问题
    public static void setResponse(HttpServletResponse res, HttpServletRequest req){
        //HttpServletResponse res = (HttpServletResponse) response;
        res.setHeader("Access-Control-Allow-Origin",req.getHeader("origin"));
        res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        res.setHeader("Access-Control-Max-Age", "3600");
        res.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");
        res.setHeader("Access-Control-Allow-Credentials", "true");
    }

    //未登录访问被拒绝时调用
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        try {
            HttpServletRequest req = (HttpServletRequest)request;
            HttpServletResponse res = (HttpServletResponse)response;
//。。。。
        //返回false自己处理,不再使用shiro的filter
        return false;
    }
}

AccessControlFilter的onPreHandle调用isAccessAllowed和onAccessDenied

    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
    }

6.点击登陆请求的控制层

  public Object doLogin(String username, String password, String vercode,HttpServletRequest request) throws IOException {
        String msg = null;
        Integer code = 0;
        Object data = null;
        try {
            // 登录,即身份验证
            Subject subject = SecurityUtils.getSubject();
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
            subject.login(token);
            // 在线用户维护
            //loginService.onlineUserList(getSession(), userId);
        }catch (UnknownAccountException e) {
            msg = "您输入的用户名不存在!";
            code = 1;
        }catch (IncorrectCredentialsException e) {
            msg = "您输入的密码有误!";
            code = 2 ;
        }catch (AuthenticationException e) {
            msg = "登陆异常,请重新登陆!";
            code = 3;
        }catch (RuntimeException e){
            msg = "账户被注销!";
            code = 4;
        }

两个过滤情形:

1)账户登录:
点击登录按钮,执行 subject.login(token);后会调用抽象类AuthenticatingRealm.getAuthenticationInfo方法,然后由实现类
UserRealm.doGetAuthenticationInfo方法执行验证密码。
2)未登录直接访问url:
对于请求地址符合authc过滤,过滤器会拦截url验证是否已经登录,执行AccessControlFilter的onPreHandle。先执行isAccessAllowed,若返回true,那么过滤器将直接放行,若返回false,执行或运算符后的onAccessDenied方法,那么再由其子类中的onAccessDenied方法处理后续逻辑。

关于shiro过滤器更详细的源码分析,请看
https://www.cnblogs.com/LeeScofiled/p/10511948.html

坚持奋斗的李洛克
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 框架简介
01-11
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏数据防止被偷窥; ...
shiro框架的学习总结
青树寒鸦的博客
04-16 224
shiro的使用,配置和理解
Shiro框架总结
cxmengxin的博客
07-08 1024
Shiro框架总结 一、Shrio框架 1、Shiro介绍 (1)RBAC Shiro是一款基于资源的访问控制框架即RBAC(Resource-Based Access Control),其将安全认证等相关功能全部提取出来抽象成了一个框架,使用Shiro能够轻松方便的完成认证、授权、加密等功能的开发。 (2)角色(roles)与权限(Permission) 角色与权限是Shiro认证授权的核心概念。在用户登录时,Shiro对用户进行认证,并授予其相应的角色,而角色也有其对应的权限,根据角色所具有的权限从而可
shiro框架总结(一)
qq_42756994的博客
03-19 182
权限概述 认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证功能-----让系统知道你是谁?? 授权:系统授予用户可以访问哪些功能的许可(证书)----让系统知道你能做什么?? 常见的权限控制方式 URL拦截权限控制 底层基于拦截器或者过滤器实现 2.方法注解权限控制 底层基于代理技术实现,为Action创建代理对象,由代理对象进行权限校验 ...
shiro 安全框架梳理总结
qq_28403781的博客
03-17 190
shiro 介绍 Apache Shiro 是一个强大且易用的java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro 的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject、SecurityManger 和 Realms Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。...
Shiro-全面详解(学习总结---从入门到深化)
12-01 1333
身份认证/登录。权限验证,即判断用户是否能在系统中做某件 事情。会话管理,用户登录后就是一次会 话,在没有退出之前,它的所有信息都在会话中,会话可以是 JavaSE环境的,也可以是Web环境的。加密,保护数据的安全性。即密码加密存储到 数据库,而不是明文存储。Web 支持,可以非常容易的集成到Web环境。缓存。在用户登录后,用户信息、拥有的权限不必每 次去查,这样可以提高效率。Shiro支持多线程应用的并发验证,即如在一个 线程中开启另一个线程,能把权限自动传播过去。提供测试支持。
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
将springboot项目生成可依赖的jar,并引入到项目中
小李的专栏
02-17 6413
SpringBoot项目默认打包的是可运行jar包,也可以打包成不可运行的jar包。能打成可运行的jar包是因为,Spring Boot 项目引入了 spring-boot-maven-plugin 依赖包。
java导出word(含图片、表格)
最新发布
小李的专栏
09-28 4342
【代码】java导出word(含图片、表格)
两步完美解决eclipse 文件后不显示svn提交人信息
小李的专栏
03-20 1955
解决eclipse 文件后不显示svn提交人信息选择Window-Preferences-Team-SVN-Label Decorations 在右侧选择 Text Decorations 选项卡 在Format菜单区域内的 “File”、“Folder”、“Project” 三个子菜单中,分别勾选 “author-name of the author” 和 “date-last changed”...
java调用Harbor v2.0接口
小李的专栏
07-07 1785
java调用Harbor v2.0接口
利用jackson实现bean、array、List、Map 和 json互转
小李的专栏
10-18 1470
利用jackson实现bean、array、List、Map 和 json互转
跨域请求
小李的专栏
06-19 825
最近项目用到跨域登录请求并跳转,其实实际上用到的就是重定向和转发。 本来的基础知识,现在感觉很陌生,实现了功能,也加深了重定向和转发的理解。 javaweb实现跳转在前端和后端都可以实现。 前端使用window.location=url 后端使用response.senRedirect ,request.getRequestDispatcher().forward()。 重定向 response.senRedirect 属于重定向,不仅可以重定向到当前应用程序中的其他资源,还可以重定向到同一个站点上的其
javaweb分层思想
小李的专栏
06-23 532
JavaWeb开发模式C/S:客户端 / 服务器 (胖客户端) B/S:浏览器 / 服务器 (瘦客户端)JSP + Servlet + JavaBean MVC:开发模式 M: Model模型 JavaBean|四种作用域 V:view视图 JSP C:Controller控制器 Servlet
Validform 级联逻辑验证样式展示
小李的专栏
05-18 498
目录 目录 Validform 级联逻辑验证样式展示 验证两者相同 验证两者不同 Validform 级联逻辑验证样式展示 在进行表单验证时存在两个输入框联合验证的情况。 验证两者相同 比如简单的情况:两次输入密码,在后次输入密码时可以使用Validform recheck属性 &lt;!--密码--&gt; &lt;input type="password" ...
Mybatis框架入门
小李的专栏
12-05 245
一、传统的JDBC程序存在的问题1、数据库连接,使用时就创建,不适用时就立即释放,对数据库进行频繁的开启和关闭, 造成数据库资源浪费,影响数据库性能 2、将 sql 语句硬编码到 java 代码中,如果 sql 语句修改,还需要重写编译 java 代码,不 便于系统维护 3、从查询的 resultSet 中遍历结果集数据时,将获取表的字段进行硬编码,不利于系统维 护
《深入理解Java虚拟机》学习笔记
小李的专栏
05-14 220
400页的电子书终于研读一遍。其中的原理知识让我受益匪浅。 对于不少开发人员来说,c/c++是接触的第一种语言,在内存管理方面,开发人员要负责每一个对象的全生命周期。而开发Java项目,就简单一些,内存管理交给虚拟机去负责。咱一起看看虚拟机是如何做到的。 Java内存区域 运行时数据区域 1.本地方法栈 :调用其他语言,为虚拟机使用的native方法服务。 2.虚拟机栈 :方法的执行,跳转。每个方...
Spring 之IOC和DI
小李的专栏
01-14 202
原来在开发中,创建对象时总是利用关键字new实例化一个对象。通过主动实例化创建对象。这样导致很多对象无法被回收,并且如果类之间有依赖关系,就会有很高的耦合度。下面给出原来的实现方式。 @Test public void demo01(){ //变为面向接口编程 UserService userService = new UserServiceIm
java shiro框架
05-17
Java Shiro框架是一个开源的安全框架,它提供了身份认证、授权、加密、会话管理等功能,可以帮助开发者轻松地实现安全功能,减少安全漏洞。Shiro框架不依赖于任何容器,可以与任何Java应用程序集成,支持多种身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值