Shiro框架详解

最新推荐文章于 2024-08-04 11:07:52 发布
最新推荐文章于 2024-08-04 11:07:52 发布
阅读量3k 收藏 18
点赞数 1
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402564/article/details/124022891
版权

1.Shiro框架详解

一、Shiro能干什么
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:

  • 认证 - 用户身份识别,常被称为用户“登录”;
  • 授权 - 访问控制;
  • 密码加密 - 保护或隐藏数据防止被偷窥;
  • 会话管理 - 每用户相关的时间敏感的状态。

对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。

二、Shiro的架构介绍
首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager 和 Realms. 如下图:

Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。
Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。

Shiro完整架构图:


除前文所讲Subject、SecurityManager 、Realm三个核心组件外,Shiro主要组件还包括:
Authenticator :认证就是核实用户身份的过程。这个过程的常见例子是大家都熟悉的“用户/密码”组合。多数用户在登录软件系统时,通常提供自己的用户名(当事人)和支持他们的密码(证书)。如果存储在系统中的密码(或密码表示)与用户提供的匹配,他们就被认为通过认证。
Authorizer :授权实质上就是访问控制 - 控制用户能够访问应用中的哪些内容,比如资源、Web页面等等。
SessionManager :在安全框架领域,Apache Shiro提供了一些独特的东西:可在任何应用或架构层一致地使用Session API。即,Shiro为任何应用提供了一个会话编程范式 - 从小型后台独立应用到大型集群Web应用。这意味着,那些希望使用会话的应用开发者,不必被迫使用Servlet或EJB容器了。或者,如果正在使用这些容器,开发者现在也可以选择使用在任何层统一一致的会话API,取代Servlet或EJB机制。
CacheManager :对Shiro的其他组件提供缓存支持。

2.Shiro的认证机制

认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。

一、Shiro认证过程

1、收集实体/凭据信息

Java代码 [这里是图片003]

  1. //Exampleusingmostcommonscenarioofusername/passwordpair:
  2. UsernamePasswordTokentoken=newUsernamePasswordToken(username,password);
  3. //”RememberMe”built-in:
  4. token.setRememberMe(true);

UsernamePasswordToken支持最常见的用户名/密码的认证机制。同时,由于它实现了RememberMeAuthenticationToken接口,我们可以通过令牌设置“记住我”的功能。
但是,“已记住”和“已认证”是有区别的:
已记住的用户仅仅是非匿名用户,你可以通过subject.getPrincipals()获取用户信息。但是它并非是完全认证通过的用户,当你访问需要认证用户的功能时,你仍然需要重新提交认证信息。
这一区别可以参考亚马逊网站,网站会默认记住登录的用户,再次访问网站时,对于非敏感的页面功能,页面上会显示记住的用户信息,但是当你访问网站账户信息时仍然需要再次进行登录认证。

2、提交实体/凭据信息

Java代码 [这里是图片004]

  1. SubjectcurrentUser=SecurityUtils.getSubject();
  2. currentUser.login(token);

收集了实体/凭据信息之后,我们可以通过SecurityUtils工具类,获取当前的用户,然后通过调用login方法提交认证。

3、认证处理

Java代码 [这里是图片005]

  1. try{
  2. currentUser.login(token);
  3. }catch(UnknownAccountExceptionuae){…
  4. }catch(IncorrectCredentialsExceptionice){…
  5. }catch(LockedAccountExceptionlae){…
  6. }catch(ExcessiveAttemptsExceptioneae){…
  7. }…catchyourown…
  8. }catch(AuthenticationExceptionae){
  9. //unexpectederror
  10. }

如果login方法执行完毕且没有抛出任何异常信息,那么便认为用户认证通过。之后在应用程序任意地方调用SecurityUtils.getSubject() 都可以获取到当前认证通过的用户实例,使用subject.isAuthenticated()判断用户是否已验证都将返回true.
相反,如果login方法执行过程中抛出异常,那么将认为认证失败。Shiro有着丰富的层次鲜明的异常类来描述认证失败的原因,如代码示例。

二、登出操作
登出操作可以通过调用subject.logout()来删除你的登录信息,如:

Java代码 [这里是图片006]

  1. currentUser.logout();//removesallidentifyinginformationandinvalidatestheirsessiontoo.

当执行完登出操作后,Session信息将被清空,subject将被视作为匿名用户。

三、认证内部处理机制
以上,是Shiro认证在应用程序中的处理过程,下面将详细解说Shiro认证的内部处理机制。

如上图,我们通过Shiro架构图的认证部分,来说明Shiro认证内部的处理顺序:
1、应用程序构建了一个终端用户认证信息的AuthenticationToken 实例后,调用Subject.login方法。
2、Sbuject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,会委托应用程序设置的securityManager实例调用securityManager.login(token)方法。
3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token). ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制。
4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应。
注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略。
5、判断每一个Realm是否支持提交的token,如果支持,Realm将调用getAuthenticationInfo(token); getAuthenticationInfo 方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理。

四、使用多个Realm的处理机制:

1、Authenticator
默认实现是ModularRealmAuthenticator,它既支持单一Realm也支持多个Realm。如果仅配置了一个Realm,ModularRealmAuthenticator 会直接调用该Realm处理认证信息,如果配置了多个Realm,它会根据认证策略来适配Realm,找到合适的Realm执行认证信息。
自定义Authenticator的配置:

Java代码 [这里是图片008]

  1. [main]
  3. authenticator=com.foo.bar.CustomAuthenticator
  4. securityManager.authenticator=$authenticator

2、AuthenticationStrategy(认证策略)
当应用程序配置了多个Realm时,ModularRealmAuthenticator将根据认证策略来判断认证成功或是失败。
例如,如果只有一个Realm验证成功,而其他Realm验证失败,那么这次认证是否成功呢?如果大多数的Realm验证成功了,认证是否就认为成功呢?或者,一个Realm验证成功后,是否还需要判断其他Realm的结果?认证策略就是根据应用程序的需要对这些问题作出决断。
认证策略是一个无状态的组件,在认证过程中会经过4次的调用:

  • 在所有Realm被调用之前
  • 在调用Realm的getAuthenticationInfo 方法之前
  • 在调用Realm的getAuthenticationInfo 方法之后
  • 在所有Realm被调用之后

认证策略的另外一项工作就是聚合所有Realm的结果信息封装至一个AuthenticationInfo实例中,并将此信息返回,以此作为Subject的身份信息。
Shiro有3中认证策略的具体实现:

AtLeastOneSuccessfulStrategy

只要有一个(或更多)的Realm验证成功,那么认证将被视为成功

FirstSuccessfulStrategy

第一个Realm验证成功,整体认证将被视为成功,且后续Realm将被忽略

AllSuccessfulStrategy

所有Realm成功,认证才视为成功

ModularRealmAuthenticator 内置的认证策略默认实现是AtLeastOneSuccessfulStrategy 方式,因为这种方式也是被广泛使用的一种认证策略。当然,你也可以通过配置文件定义你需要的策略,如:

Java代码 [这里是图片009]

  1. [main]
  3. authcStrategy=org.apache.shiro.authc.pam.FirstSuccessfulStrategy
  4. securityManager.authenticator.authenticationStrategy=$authcStrategy

3、Realm的顺序
由刚才提到的认证策略,可以看到Realm在ModularRealmAuthenticator 里面的顺序对认证是有影响的。
ModularRealmAuthenticator 会读取配置在SecurityManager里的Realm。当执行认证是,它会遍历Realm集合,对所有支持提交的token的Realm调用getAuthenticationInfo 。
因此,如果Realm的顺序对你使用的认证策略结果有影响,那么你应该在配置文件中明确定义Realm的顺序,如:

Java代码 [这里是图片010]

  1. blahRealm=com.company.blah.Realm

  3. fooRealm=com.company.foo.Realm

  5. barRealm=com.company.another.Realm

  6. securityManager.realms= f o o R e a l m , fooRealm, fooRealm,barRealm,$blahRealm

3.Shiro的授权机制

授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。
如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。

一、授权的三要素

授权有着三个核心元素:权限、角色和用户。

权限
权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好好的权限声明可以清晰表达出用户对该资源拥有的权限。
大多数的资源会支持典型的CRUD操作(create,read,update,delete),但是任何操作建立在特定的资源上才是有意义的。因此,权限声明的根本思想就是建立在资源以及操作上。
而我们通过权限声明仅仅能了解这个权限可以在应用程序中做些什么,而不能确定谁拥有此权限。
于是,我们就需要在应用程序中对用户和权限建立关联。
通常的做法就是将权限分配给某个角色,然后将这个角色关联一个或多个用户。

权限声明及粒度
Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲,一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。
下面以实例来说明权限表达式。
可查询用户数据
User:view
可查询或编辑用户数据
User:view,edit
可对用户数据进行所有操作
User:* 或 user
可编辑id为123的用户数据
User:edit:123

角色
Shiro支持两种角色模式:
1、传统角色:一个角色代表着一系列的操作,当需要对某一操作进行授权验证时,只需判断是否是该角色即可。这种角色权限相对简单、模糊,不利于扩展。
2、权限角色:一个角色拥有一个权限的集合。授权验证时,需要判断当前角色是否拥有该权限。这种角色权限可以对该角色进行详细的权限描述,适合更复杂的权限设计。
下面将详细描述对两种角色模式的授权实现。

二、授权实现

Shiro支持三种方式实现授权过程:

  • 编码实现
  • 注解实现
  • JSP Taglig实现

1、基于编码的授权实现

1.1基于传统角色授权实现
当需要验证用户是否拥有某个角色时,可以调用Subject 实例的hasRole*方法验证。

Java代码 [这里是图片011]

  1. SubjectcurrentUser=SecurityUtils.getSubject();
  2. if(currentUser.hasRole(“administrator”)){
  3. //showtheadminbutton
  4. }else{
  5. //don’tshowthebuttonGreyitout
  6. }

相关验证方法如下:

Subject方法

描述

hasRole(String roleName)

当用户拥有指定角色时,返回true

hasRoles(List roleNames)

按照列表顺序返回相应的一个boolean值数组

hasAllRoles(Collection roleNames)

如果用户拥有所有指定角色时,返回true

断言支持
Shiro还支持以断言的方式进行授权验证。断言成功,不返回任何值,程序继续执行;断言失败时,将抛出异常信息。使用断言,可以使我们的代码更加简洁。

Java代码 [这里是图片012]

  1. SubjectcurrentUser=SecurityUtils.getSubject();
  2. //guaranteethatthecurrentuserisabanktellerand
  3. //thereforeallowedtoopentheaccount:
  4. currentUser.checkRole(“bankTeller”);
  5. openBankAccount();

断言的相关方法:

Subject方法

描述

checkRole(String roleName)

断言用户是否拥有指定角色

checkRoles(Collection roleNames)

断言用户是否拥有所有指定角色

checkRoles(String… roleNames)

对上一方法的方法重载

1.2 基于权限角色授权实现
相比传统角色模式,基于权限的角色模式耦合性要更低些,它不会因角色的改变而对源代码进行修改,因此,基于权限的角色模式是更好的访问控制方式。
它的代码实现有以下几种实现方式:
1、基于权限对象的实现
创建org.apache.shiro.authz.Permission的实例,将该实例对象作为参数传递给Subject.isPermitted()进行验证。

Java代码 [这里是图片013]

  1. PermissionprintPermission=newPrinterPermission(“laserjet4400n”,“print”);
  2. SubjectcurrentUser=SecurityUtils.getSubject();
  3. if(currentUser.isPermitted(printPermission)){
  4. //showthePrintbutton
  5. }else{
  6. //don’tshowthebuttonGreyitout
  7. }
  8. PermissionprintPermission=newPrinterPermission(“laserjet4400n”,“print”);
  9. SubjectcurrentUser=SecurityUtils.getSubject();
  10. if(currentUser.isPermitted(printPermission)){
  11. //showthePrintbutton
  12. }else{
  13. //don’tshowthebuttonGreyitout
  14. }

相关方法如下:

Subject方法

描述

isPermitted(Permission p)

Subject拥有制定权限时,返回treu

isPermitted(List perms)

返回对应权限的boolean数组

isPermittedAll(Collection perms)

Subject拥有所有制定权限时,返回true

2、 基于字符串的实现
相比笨重的基于对象的实现方式,基于字符串的实现便显得更加简洁。

Java代码 [这里是图片014]

  1. SubjectcurrentUser=SecurityUtils.getSubject();
  2. if(currentUser.isPermitted(“printer:print:laserjet4400n”)){
  3. //showthePrintbutton
  4. }else{
  5. //don’tshowthebuttonGreyitout
  6. }

使用冒号分隔的权限表达式是org.apache.shiro.authz.permission.WildcardPermission 默认支持的实现方式。
这里分别代表了 资源类型:操作:资源ID

类似基于对象的实现相关方法,基于字符串的实现相关方法:
isPermitted(String perm)、isPermitted(String… perms)、isPermittedAll(String… perms)

基于权限对象的断言实现

Java代码 [这里是图片015]

  1. SubjectcurrentUser=SecurityUtils.getSubject();
  2. //guaranteethatthecurrentuserispermitted
  3. //toopenabankaccount:
  4. Permissionp=newAccountPermission(“open”);
  5. currentUser.checkPermission§;
  6. openBankAccount();

基于字符串的断言实现

Java代码 [这里是图片016]

  1. SubjectcurrentUser=SecurityUtils.getSubject();
  2. //guaranteethatthecurrentuserispermitted
  3. //toopenabankaccount:
  4. currentUser.checkPermission(“account:open”);
  5. openBankAccount();

断言实现的相关方法

Subject方法

说明

checkPermission(Permission p)

断言用户是否拥有制定权限

checkPermission(String perm)

断言用户是否拥有制定权限

checkPermissions(Collection perms)

断言用户是否拥有所有指定权限

checkPermissions(String… perms)

断言用户是否拥有所有指定权限

2、基于注解的授权实现
Shiro注解支持AspectJ、Spring、Google-Guice等,可根据应用进行不同的配置。

相关的注解:
@ RequiresAuthentication
可以用户类/属性/方法,用于表明当前用户需是经过认证的用户。

Java代码 [这里是图片017]

  1. @RequiresAuthentication
  2. publicvoidupdateAccount(AccountuserAccount){
  3. //thismethodwillonlybeinvokedbya
  4. //Subjectthatisguaranteedauthenticated
  6. }

@ RequiresGuest
表明该用户需为”guest”用户

@ RequiresPermissions
当前用户需拥有制定权限

Java代码 [这里是图片018]

  1. @RequiresPermissions(“account:create”)
  2. publicvoidcreateAccount(Accountaccount){
  3. //thismethodwillonlybeinvokedbyaSubject
  4. //thatispermittedtocreateanaccount
  6. }

@RequiresRoles
当前用户需拥有制定角色

@ RequiresUser
当前用户需为已认证用户或已记住用户

3、基于JSP TAG的授权实现
Shiro提供了一套JSP标签库来实现页面级的授权控制。
在使用Shiro标签库前,首先需要在JSP引入shiro标签:

Java代码 [这里是图片019]

  1. <%@taglibprefix="shiro"uri=“http://shiro.apache.org/tags”%>

下面一一介绍Shiro的标签:
guest标签
验证当前用户是否为“访客”,即未认证(包含未记住)的用户

Xml代码 [这里是图片020]

  1. shiro:guest\
  2. Hithere!Please<ahref=“login.jsp”>Login</a>or<ahref=“signup.jsp”>Signup</a>today!
  3. </shiro:guest>

user标签
认证通过或已记住的用户

Xml代码 [这里是图片021]

  1. shiro:user\
  2. WelcomebackJohn!NotJohnClick<ahref=“login.jsp”>here<a>tologin.
  3. </shiro:user>

authenticated标签
已认证通过的用户。不包含已记住的用户,这是与user标签的区别所在。

Xml代码 [这里是图片022]

  1. shiro:authenticated\
  2. <ahref=“updateAccount.jsp”>Updateyourcontactinformation</a>.
  3. </shiro:authenticated>

notAuthenticated标签
未认证通过用户,与authenticated标签相对应。与guest标签的区别是,该标签包含已记住用户。

Xml代码 [这里是图片023]

  1. shiro:notAuthenticated\
  2. Please<ahref=“login.jsp”>login</a>inordertoupdateyourcreditcardinformation.
  3. </shiro:notAuthenticated>

principal 标签
输出当前用户信息,通常为登录帐号信息

Xml代码 [这里是图片024]

  1. Hello,shiro:principal/,howareyoutoday

hasRole标签
验证当前用户是否属于该角色

Xml代码 [这里是图片025]

  1. shiro:hasRolename\=“administrator”\
  2. <ahref=“admin.jsp”>Administerthesystem</a>
  3. </shiro:hasRole>

lacksRole标签
与hasRole标签逻辑相反,当用户不属于该角色时验证通过

Xml代码 [这里是图片026]

  1. shiro:lacksRolename\=“administrator”\
  2. Sorry,youarenotallowedtoadministerthesystem.
  3. </shiro:lacksRole>

hasAnyRole标签
验证当前用户是否属于以下任意一个角色。

Xml代码 [这里是图片027]

  1. shiro:hasAnyRolesname\=“developer,projectmanager,administrator”\
  2. Youareeitheradeveloper,projectmanager,oradministrator.
  3. </shiro:lacksRole>

hasPermission标签
验证当前用户是否拥有制定权限

Xml代码 [这里是图片028]

  1. shiro:hasPermissionname\=“user:create”\
  2. <ahref=“createUser.jsp”>CreateanewUser</a>
  3. </shiro:hasPermission>

lacksPermission标签
与hasPermission标签逻辑相反,当前用户没有制定权限时,验证通过

Xml代码 [这里是图片029]

  1. shiro:hasPermissionname\=“user:create”\
  2. <ahref=“createUser.jsp”>CreateanewUser</a>
  3. </shiro:hasPermission>

三、Shiro授权的内部处理机制

1、在应用程序中调用授权验证方法(Subject的isPermitted*或hasRole*等)
2、Sbuject的实例通常是DelegatingSubject类(或子类)的实例对象,在认证开始时,会委托应用程序设置的securityManager实例调用相应的isPermitted*或hasRole*方法。
3、接下来SecurityManager会委托内置的Authorizer的实例(默认是ModularRealmAuthorizer 类的实例,类似认证实例,它同样支持一个或多个Realm实例认证)调用相应的授权方法。
4、每一个Realm将检查是否实现了相同的 Authorizer 接口。然后,将调用Reaml自己的相应的授权验证方法。

当使用多个Realm时,不同于认证策略处理方式,授权处理过程中:
1、当调用Realm出现异常时,将立即抛出异常,结束授权验证。
2、只要有一个Realm验证成功,那么将认为授权成功,立即返回,结束认证。

4.Shiro的Realm实现

在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO.

一、认证实现
正如前文所提到的,Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法。
该方法主要执行以下操作:
1、检查提交的进行认证的令牌信息
2、根据令牌信息从数据源(通常为数据库)中获取用户信息
3、对用户信息进行匹配验证。
4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。
5、验证失败则抛出AuthenticationException异常信息。

而在我们的应用程序中要做的就是自定义一个Realm类,继承AuthorizingRealm抽象类,重载doGetAuthenticationInfo (),重写获取用户信息的方法。

Java代码 [这里是图片031]

  1. protectedAuthenticationInfodoGetAuthenticationInfo(AuthenticationTokenauthcToken)throwsAuthenticationException{
  2. UsernamePasswordTokentoken=(UsernamePasswordToken)authcToken;
  3. Useruser=accountManager.findUserByUserName(token.getUsername());
  4. if(user!=null){
  5. returnnewSimpleAuthenticationInfo(user.getUserName(),user.getPassword(),getName());
  6. }else{
  7. returnnull;
  8. }
  9. }

二、授权实现
而授权实现则与认证实现非常相似,在我们自定义的Realm中,重载doGetAuthorizationInfo()方法,重写获取用户权限的方法即可。

Java代码 [这里是图片032]

  1. protectedAuthorizationInfodoGetAuthorizationInfo(PrincipalCollectionprincipals){
  2. StringuserName=(String)principals.fromRealm(getName()).iterator().next();
  3. Useruser=accountManager.findUserByUserName(userName);
  4. if(user!=null){
  5. SimpleAuthorizationInfoinfo=newSimpleAuthorizationInfo();
  6. for(Groupgroup:user.getGroupList()){
  7. info.addStringPermissions(group.getPermissionList());
  8. }
  9. returninfo;
  10. }else{
  11. returnnull;
  12. }
  13. }

5.Shiro的配置说明

Apache Shiro的配置主要分为四部分:

  • 对象和属性的定义与配置
  • URL的过滤器配置
  • 静态用户配置
  • 静态角色配置

其中,由于用户、角色一般由后台进行操作的动态数据,因此Shiro配置一般仅包含前两项的配置。

Apache Shiro的大多数组件是基于POJO的,因此我们可以使用POJO兼容的任何配置机制进行配置,例如:Java代码、Sping XML、YAML、JSON、ini文件等等。下面,以Spring XML的配置方式为例,并且对其中的一些配置参数进行一些简单说明。

Shiro对象的配置:
主要是对Shiro各个组件的实现进行定义配置,主要组件在前文已做过简单介绍,这里不再一一说明。

Xml代码 [这里是图片033]

  1. <beanid="securityManager"class=“org.apache.shiro.mgt.DefaultSecurityManager”>
  2. <propertyname="cacheManager"ref=“cacheManager”/>
  3. <propertyname="sessionMode"value=“native”/>
  5. <propertyname="realm"ref=“myRealm”/>
  6. <propertyname="sessionManager"ref=“sessionManager”/>
  7. </bean>

Shiro过滤器的配置
Shiro主要是通过URL过滤来进行安全管理,这里的配置便是指定具体授权规则定义。

Xml代码 [这里是图片034]

  1. <beanid="shiroFilter"class=“org.apache.shiro.spring.web.ShiroFilterFactoryBean”>
  2. <propertyname="securityManager"ref=“securityManager”/>
  3. <propertyname=“loginUrl"value=”/login.jsp"/>
  4. <propertyname=“successUrl"value=”/home.jsp"/>
  5. <propertyname=“unauthorizedUrl"value=”/unauthorized.jsp"/>–>
  6. <propertyname=“filterChainDefinitions”>
  7. <value>
  8. #someexamplechaindefinitions:
  9. /admin/**=authc,roles[admin]
  10. /docs/**=authc,perms[document:read]
  11. /**=authc
  12. #moreURL-to-FilterChaindefinitionshere
  13. </value>
  14. </property>
  15. </bean>

URL过滤器配置说明:
Shiro可以通过配置文件实现基于URL的授权验证。FilterChain定义格式:
URL_Ant_Path_Expression = Path_Specific_Filter_Chain
每个URL配置,表示匹配该URL的应用程序请求将由对应的过滤器进行验证。
例如:
[urls]
/index.html = anon
/user/create = anon
/user/** = authc
/admin/** = authc, roles[administrator]
/rest/** = authc, rest
/remoting/rpc/** = authc, perms[“remote:invoke”]

URL表达式说明
1、URL目录是基于HttpServletRequest.getContextPath()此目录设置
2、URL可使用通配符,**代表任意子目录
3、Shiro验证URL时,URL匹配成功便不再继续匹配查找。所以要注意配置文件中的URL顺序,尤其在使用通配符时。

Filter Chain定义说明
1、一个URL可以配置多个Filter,使用逗号分隔
2、当设置多个过滤器时,全部验证通过,才视为通过
3、部分过滤器可指定参数,如perms,roles

Shiro内置的FilterChain

Filter Name

Class

anon

org.apache.shiro.web.filter.authc.AnonymousFilter

authc

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

authcBasic

org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter

perms

org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

port

org.apache.shiro.web.filter.authz.PortFilter

rest

org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter

roles

org.apache.shiro.web.filter.authz.RolesAuthorizationFilter

ssl

org.apache.shiro.web.filter.authz.SslFilter

user

org.apache.shiro.web.filter.authc.UserFilter

6.Shiro与Spring的集成

一、在web.xml中添加shiro过滤器

Xml代码 [这里是图片035]

  2. <filter>
  3. <filter-name>shiroFilter</filter-name>
  4. <filter-class>
  5. org.springframework.web.filter.DelegatingFilterProxy
  6. </filter-class>
  7. </filter>
  8. <filter-mapping>
  9. <filter-name>shiroFilter</filter-name>
  10. <url-pattern>/*</url-pattern>
  11. </filter-mapping>

二、在Spring的applicationContext.xml中添加shiro配置
1、添加shiroFilter定义

Xml代码 [这里是图片036]

  2. <beanid="shiroFilter"class=“org.apache.shiro.spring.web.ShiroFilterFactoryBean”>
  3. <propertyname="securityManager"ref=“securityManager”/>
  4. <propertyname="loginUrl"value=

=

m0_67402564
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro框架详解.pptx
01-20
Shiro 框架详解 Shiro 框架是一种基于 Java 的开源安全框架,主要用来实现身份验证、授权和会话管理等功能。本文将对 Shiro 框架进行详细的介绍,包括 Shiro 框架的基本概念、环境搭建、身份验证功能实现、资源权限...
Shiro 框架详解
兴趣是最好的老师,勤能补拙
05-11 3792
Shiro 是一个开源的 Java 安全框架,由 Apache 开发和维护。Shiro 可以帮助开发人员快速实现安全特性,包括身份认证、授权、加密和会话管理等。Shiro 的目标是简化 Java 安全编程,并提供更好的开发体验。易于学习和使用:Shiro 设计简单,易于学习和使用。灵活性高:Shiro 可以适用于任何应用场景,支持多种应用程序类型。安全性高:Shiro 的安全性能比较优越,提供了多种方式来保护应用程序的安全性。
springboot集成shiros自定义md5加密自定义token认证
a360284634的博客
06-18 849
spring boot 集成 shiroshiro介绍,shiro与springSecurity区别,shiro优缺点
Shiro框架-史上详解
热门推荐
kentlhxy的博客
05-12 4万+
Shiro   1.权限管理概述 2.Shiro权限框架   2.1 概念   2.2 Apache Shiro 与Spring Security区别 3.Shiro认证   3.1 基于ini认证   3.2 自定义Realm --认证 4.Shiro授权   4.1 基于ini授权   4.2 自定义realm – 授权 5.项目集成shiro 认证-授权注意点   5.1 认证   5.2 授权   5.3 注解@RequiresPermissions()   5.4 标签式权限验证 6.S
简单版 快速掌握实践 SpringBoot继承Shiro框架详解!
SYJ的博客
08-06 6675
ApacheShiro 是一个Java的安全(权限)框架。.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。.Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。
shiro放行_Shiro框架详解
weixin_39619635的博客
12-05 689
之间工作中曾经用到过shiro这个权限控制的框架,之前一直都是停留在用的方面,没有过多的 去理解这方面的知识,现在有时间,专门研究了一下这个Shiro权限的框架使用。Shiro是什么?Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框...
Shiro框架详解 tagline
weixin_30420305的博客
07-18 406
​ 之间工作中曾经用到过shiro这个权限控制的框架,之前一直都是停留在用的方面,没有过多的去理解这方面的知识,现在有时间,专门研究了一下这个Shiro权限的框架使用。 Shiro是什么? Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至...
shiro框架详解
qq_26388159的博客
04-27 543
之前看过一些shiro的项目,自己也搭建过 ,但是一直没有系统的学习,今天抽空学习一下 :  O(∩_∩)O~shiro简介1.shiro的基本功能点:          a     Authentication: 身份认证/登陆,验证用户是不是拥有相应的身份。          b     Authorization:授权,即权限验证          c     Session Manager...
shiro放行_Shiro框架详解 tagline
weixin_39838829的博客
12-08 126
部分面试资料链接:https://pan.baidu.com/s/1qDb2YoCopCHoQXH15jiLhA 密码:jsam想获得全部面试必看资料,关注公众号,大家可以在公众号后台回复“知乎”即可。之间工作中曾经用到过shiro这个权限控制的框架,之前一直都是停留在用的方面,没有过多的 去理解这方面的知识,现在有时间,专门研究了一下这个Shiro权限的框架使用。Shiro是什么?Apache ...
权限框架Shiro详解
Dream_ling的博客
02-23 5146
文章大纲 一、权限框架介绍 二、Shiro基础介绍 三、Spring Boot整合Shiro代码实战 四、项目源码与资料下载 五、参考文章 一、权限框架介绍 1. 什么是权限管理   权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证   身份.
shiro 框架详解-1
KHOST的博客
12-02 324
1.1  简介 Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的Shiro使
shiro认证授权框架详解
11-18
shiro 认证授权框架详解 Shiro 认证授权框架Java 中一种流行的认证授权解决方案,提供了完整的认证和授权机制,能够满足大多数应用程序的安全需求。Shiro 框架的核心思想是将认证和授权分离,认证负责验证用户...
Apache Shrio安全框架实现原理及实例详解
08-19
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)、加密(Cryptography)以及会话管理(Session Management)的功能。这个框架设计简单且直观,使得开发人员能够...
枚举工具类
qq_43049583的博客
08-04 334
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
最新发布
泰勒今天想展开的博客
08-04 369
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
社区养老服务小程序的设计
Karen198的博客
07-31 699
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
深入理解Java注解
weixin_55745942的博客
08-01 691
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
Shiro框架详解:从入门到精通,实现安全认证与授权
Shiro框架详解文档深入介绍了Apache开源Java安全框架Shiro的工作原理、架构设计和关键实现步骤。该文档共分为六个部分: 1. **Shiro安全框架简介**: - Shiro是Apache的一款重要安全框架,主要关注用户身份认证、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值