shiro基础(一)shiroFilter

最新推荐文章于 2022-08-30 08:38:48 发布
最新推荐文章于 2022-08-30 08:38:48 发布
阅读量359 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59092234/article/details/124021805
版权

一、功能简介

shiro是java的一个安全(权限)框架,不仅可以用于javaSE环境,还可以用于javaEE环境。shiro可以完成认证、授权、加密、会话管理、缓存等功能。

  • Authentication:身份认证/登录。
  • Authorization:授权,即权限验证。
  • Session Manager:会话管理
  • Crpytography:加密
  • Web Support:Web集成
  • Remember Me:记住我

二、shiro架构

shiro框架(从外部看)

  • Subject:应用代码直接交互的对象,代表了当前“用户”,这个用户不一定指的是具体的人,与当前应用交互的任何东西都可以是Subject。而且与Subject的所有交互都会委托给SecurityManager,Subject其实就是一个门面,SecurityManager才是真正的执行者。
  • SecurityManager:安全管理器,也就是说所有和安全有关的操作都会与它交互。它也是shiro的核心,负责和其他shiro组件的交互。相当于springmvc的DispatcherServlet。
  • Realm:shiro从Realm获取安全数据比如角色,权限。如果SecurityManager要验证用户身份,那么就要从Realm获取相应的用户进行比较,确定用户身份是否合法。可以把Realm看成datasource。

shiro框架(从内部看)

  • Subject:任何可以与应用交互的“用户“。
  • SecurityManager:相当于SpringMVC的DispatcherServlet,核心。
  • Authenticator:负责Subject的认证,可以自定义实现。包含多种认证策略。
  • Authorizer:授权器,也就是访问控制器。控制用户能访问应用中的哪些功能。
  • Realm:可以认为是安全实体数据源,获取安全实体,可以有一个或者多个。
  • SessionManager:管理Session生命周期组件。
  • CacheManager:缓存控制器。
  • Cryptography:密码模块,提供加密组件。

三、集成

与Spring集成

  1. 加入Spring好Shiro的jar包。
  2. 配置Spring和SpringMVC。
  3. 参照1.3.2shiro-root-1.3.2-source-releaseshiro-root-1.3.2samplesspring配置web.xml和Spring配置文件。

与web集成

  1. shiro提供了与web集成的支持,其通过一个shiroFilter入口拦截需要控制的url,然后进行相应的权限控制。
  2. shiroFilter类似于springmvc中的前端控制器,是安全控制的入口点,负责读取配置文件,比如ini配置文件,然后判断url是否需要登录/权限等工作。

四、shiroFilter

下面看shiroFilter在web.xml中的配置:

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>tartgetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattren>*</url-pattern>
</filter-mapping>

DelegatingFilterProxy的作用就是自动到spring的容器中,查找名字为shiroFilter(filter-name)的bean,并将所有filter的操作委托给spring的容器中的bean。

shiro默认的过滤器

  • anon:没有参数,表示可以匿名使用。例子:/admin/**=anon
  • authc:没有参数,表四需要认证(登录)才能使用。例子:/user/**=authc
  • roles:角色过滤器,判断当前用户是否拥有指定角色。例子:admins/**=roles[“admin,guest”]

url匹配模式(使用Ant风格模式)

Ant路径通配符支持、*、**,注意通配符匹配不包括目录分隔符"/"

  • :匹配一个字符,比如/admin将匹配/admin1,但是不匹配/admin或者/admin/
  • *:匹配0个或者多个字符串,比如/admin*将匹配/admin或者/admin123,但是不匹配/admin/1
  • **:匹配路径中的0个或者多个路径,比如/admin/**将匹配/admin/a或者/admin/a/s

url匹配顺序

url匹配顺序按照第一次匹配优先原则,即从头开始选择第一个能匹配上的拦截器链。

比如:

/admin/**=filter1

/admin/user=filter2

/**=filter3

如果请求的是/admin/user,将使用filter1拦截。

bluepad
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Shiro框架 filter&realm绑定 多登陆入口,区分前后台
Yihy的博客
08-20 8094
# Shiro框架 filter&realm绑定这种实现方式有问题,会影响到后续的角色验证。不建议看了新的实现方式 : 自定义Token shiro filterRealm绑定 使用Spring整合Shiro 多登陆入口,成功后跳转到不同地址 - 重写Realm获取方式 最近在项目中使用了apache的轻量级Shiro框架进行权限管理,使用了多个filterShiro会默认迭代Realm进行
浅析Shiro和Security的核心模块以及两者的区别
m0_71392708的博客
09-05 221
主体,这个对象是 Shiro 中最核心的对象,它是主体的抽象,代表了用户,包括用户的身份信息和一些行为(认证、注销、授权校验、获取 Session 等),认证其实就是登录的意思。默认 Web 安全管理器,它是 SecurityManager(安全管理器) 的实现,同样负责管理 Web 方面的安全认证和授权,我们写好的 Realm 需要放到这个管理器中。Shiro 过滤器,这个对象中包含了两个重要的功能(认证和授权),但它是一个空的对象,需要我们自己根据项目的需求,在这个过滤器中编写认证和授权的逻辑代码。
shiro基础文档
01-26
shiro基础文档,包含:1、什么是权限管理 2、掌握权限数据模型 3、掌握基于url的权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shirofilter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
java shirofilter_java filter过滤器和shiro的区别是什么?
weixin_29141505的博客
02-13 440
刚接触权限功能编写的小伙伴,有不少可能不理解一般的过滤器和拦截器有什么区别,这里小编就为大家讲解一下。拦截器(Interceptor)拦截器,用于在AOP中某个方法或字段被访问之前进行拦截,然后在它的前面或后面加入某些操作。是AOP的一种实现策略。通常在面向切面编程中应用的一般就是拦截器,即在我们的service或一个方法之前调用一个方法,或在方法之后调用一个方法。这是基于JAVA反射机制。拦截器...
【笔记07】JavaEE 中的 Filter、拦截器和 Shiro
m0_54189068的博客
07-09 672
Servlet 中的过滤器 Filter 和 SpringMVC 中 的拦截器
shiro中使用自定义filter后,anon不生效解决方案
m0_67391683的博客
08-30 2114
参考:https://stackoverflow.com/questions/51552021/adding-custom-filter-apache-shiro-spring-boot。使用了LinkedHashMap,但配置了anon的接口还是会通过JwtFilter。改写后 配置了anon的接口不会再通过jwtFilter
shiro权限框架
qq_40108680的博客
04-11 229
shiro权限框架 1.shiro依赖包 <!-- shiro的支持包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.4.0</ve...
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro过滤器
biankudingcha的专栏
01-31 101
 转载https://blog.csdn.net/john1337/article/details/77532032 [urls] /logout2=logout /login=anon /logout=anon /unauthorized=anon /static/**=anon /authenticated=authc /role=authc,roles[admin] /permission...
shiro.sql基础表创建
最新发布
04-29
shiro.sql基础表创建
shiro基础框架搭建
08-13
springboot + shiro + redis + mybatis ,最基础的最全的shiro权限管理框架搭建
shiro与spring集成基础Hello案例详解
08-25
主要介绍了shiro与spring集成基础Hello案例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro基础jar包.zip
07-03
包含Shiro架构的所需的相关架包,可以用于快速构建Shiro
(五)设计模式之迭代器模式(Iterator)
卷心菜投手
11-21 190
前言: 参考图书:软件设计模式与体系结构 参考博客:https://www.cnblogs.com/wanson/articles/9277813.html   正题:         迭代器(iterator)有时又称游标(cursor)是程序设计的软件设计模式,可在容器(container,例如链表或阵列)上遍访的接口,设计人员无需关心容器的内容。 代码示例: 1 MyIt...
ShiroFilter(上):ShiroFilter
weixin_33862041的博客
03-21 230
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro默认filter
johnhuster的专栏
08-24 2644
shiro默认filter
使用Shiro写一个登录功能
03-22
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> /login = anon /logout = logout /** = authc ``` 其中,securityManager是Shiro的安全管理器,realm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bluepad

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值