ssm+shiro

shiro原理

框架解释: 

subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。

securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。

authenticator:认证器,主体进行认证最终通过authenticator进行的。 

authorizer:授权器,主体进行授权最终通过authorizer进行的。

 sessionManagerweb应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。可以实现单点登录。

SessionDao  通过SessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao

cache Manager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。

 realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据。(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))

注意:在realm中存储授权和认证的逻辑。

cryptography:密码管理,提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能。

比如 md5散列算法。

2shiro介绍

shiroapache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。

spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。

shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro

使用shiro实现系统 的权限管理,有效提高开发效率,从而降低开发成本。

3、认证原理:

1、通过ini配置文件创建securityManager

2、调用subject.login方法主体提交认证,提交的token

3securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。

4ModularRealmAuthenticator调用IniRealm(realm传入token) ini配置文件中查询用户信息

5IniRealm根据输入的tokenUsernamePasswordToken,即这里的token是用户从页面输入的信息)从 shiro-first.ini查询用户信息(这里是测试阶段,后面都是查询的数据库,注入service,调用dao),根据账号查询用户信息(账号和密码)

         如果查询到用户信息,就给ModularRealmAuthenticator返回用户信息(账号和密码)

         如果查询不到,就给ModularRealmAuthenticator返回null

6ModularRealmAuthenticator接收IniRealm返回Authentication认证信息

         如果返回的认证信息是nullModularRealmAuthenticator抛出异常(org.apache.shiro.authc.UnknownAccountException

         如果返回的认证信息不是null(说明inirealm找到了用户),对IniRealm返回用户密码 (在ini文件中存在)和 token中的密码 进行对比,如果不一致抛出异常(org.apache.shiro.authc.IncorrectCredentialsException

小结:

ModularRealmAuthenticator作用进行认证,需要调用realm查询用户信息(在数据库中存在用户信息)

ModularRealmAuthenticator进行密码对比(认证过程)。

        

realm:需要根据token中的身份信息去查询数据库(入门程序使用ini配置文件),如果查到用户返回认证信息,如果查询不到返回null

4、 散列算法:

通常需要对密码 进行散列,常用的有md5sha

shiro的散列加密是这样子的:

建议对md5进行散列时加salt(盐),进行加密相当 于对原始密码+盐进行散列。

md5+salt(这个盐一般是随机盐,即开发人员给定义随机的字符串或者数字即可)+散列次数

这里的md5是原始的md5的加密了一次的密码+随机盐,然后对这个新的密码password=md5+salt,进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。

正常使用时散列方法:

在程序中对原始密码+盐进行散列,将散列值存储到数据库中,并且还要将盐也要存储在数据库中。

如果进行密码对比时,使用相同 方法,将原始密码+盐进行散列,进行比对。

5、授权原理

1、对subject进行授权,调用方法isPermitted"permission"

2SecurityManager执行授权,通过ModularRealmAuthorizer执行授权

3ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据

         调用realm的授权方法:doGetAuthorizationInfo

4realm从数据库查询权限数据,返回ModularRealmAuthorizer

5ModularRealmAuthorizer调用PermissionResolver进行权限串比对

6、如果比对后,isPermitted"permission"realm查询到权限数据中,说明用户访问permission串有权限,否则 没有权限,抛出异常。

shiro的授权方式有三种:

1)—— 编程式:通过写if/else 授权代码块完成:(这种比较少用,一般在项目中采用后两种)

Subject subject = SecurityUtils.getSubject();

if(subject.hasRole(admin)) {//有权限} else {//无权限}

2)——  注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")public void hello() {//有权限}

3)——  JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:

jsp页面导入shiro的标签既可以使用shiro的标签来进行权限的判断:

Jsp页面添加:<%@ taglib uri="http://shiro.apache.org/tags" prefix="shiro" %>

标签名称 标签条件(均是显示标签内容)

<shiro:authenticated> 登录之后

<shiro:notAuthenticated> 不在登录状态时

<shiro:guest> 用户在没有RememberMe

<shiro:user> 用户在RememberMe

<shiro:hasAnyRoles name="abc,123" > 在有abc或者123角色时

<shiro:hasRole name="abc"> 拥有角色abc

<shiro:lacksRole name="abc"> 没有角色abc

<shiro:hasPermission name="abc"> 拥有权限资源abc

<shiro:lacksPermission name="abc"> 没有abc权限资源

<shiro:principal> 显示用户身份名称

 <shiro:principal property="username"/>     显示用户身份中的属性值

<shiro:hasRole name="admin">

<!— 有权限—></shiro:hasRole>

6、shiro与项目的整合

7、配置文件:在web.xml中配置filter:在web系统中,shiro也通过filter进行拦截。filter拦截后将操作权交给spring中配置的filterChain(过虑链儿)

8、shiro提供很多filter web.xml中配置filter

spring的整合交由spring的容器管理:security manager realmfilter都交由spring整合

<context:component-scan base-package="com.test"/>
<mvc:annotation-driven>
    <mvc:message-converters>
        <bean  class="com.alibaba.fastjson.support.

spring.FastJsonHttpMessageConverter">
   <property name="supportedMediaTypes">
            <list><value>text/html;charset=utf-8</value>
               <value>application/json</value> </list>
            </property></bean>
    </mvc:message-converters>
</mvc:annotation-driven>
    <!--视图解析器--><bean  class="org.springframework.web.servlet. view.InternalResourceViewResolver">
        <property name="prefix" value="/"></property>
        <property name="suffix" value=".jsp"></property> </bea

  <!--连接池--><bean id="ds" class="com.alibaba.druid.pool.DruidDataSource">
    <property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
        <property name="url" value="jdbc:mysql://localhost:3306/sh"></property>
        <property name="username" value="root"></property>
        <property name="password" value="123456"></property></bean>
  <!--创建会话工厂--><bean class="org.mybatis.spring.SqlSessionFactoryBean">
   <property name="dataSource" ref="ds"></property>
    <property name="mapperLocations">           <list><value>classpath:com/test/mapper/*.xml</value></list></property></bean>
    <!--域--><bean id="realm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
        <property name="dataSource" ref="ds"/>
        <property name="permissionsLookupEnabled" value="true"/>
<property name="authenticationQuery" value="select pwd from users where account=?"/>
        <property name="userRolesQuery" value="select p.play from user_res r left join play p on p.id=r.resid left join users u on u.id=r.uid where  account=?"/>
        <property name="permissionsQuery" value="select q.name from role_perm r left join play p on r.rid=p.id left join qx q on r.pid=q.id where play=?"/>
 </bean>
    <!--缓存管理器--><bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"></bean>
     <!--安全管理器--><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
     <property name="realm" ref="realm"/>
     <property name="cacheManager" ref="cacheManager"/></bean>
    <bean id="shiro" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <!--需登录--><property name="loginUrl" value="/tologin.do"/>
        <!--无权访问--><property name="unauthorizedUrl" value="/toNoqx.do"/>
        <property name="filterChainDefinitions">
            <value>

/admin/**=authc
                /**=anon

</value> </property> </bean>
 <bean class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
 <bean  class="org.apache.shiro.spring.security.

interceptor.AuthorizationAttributeSourceAdvisor"/>
    <!--异常处理-->
<bean  class="org.springframework.web.portlet.

handler.SimpleMappingExceptionResolver">
 <property name="exceptionMappings">
      <props><prop key="org.apache.shiro.authz.UnauthenticatedException">
                    redirect:/noqx.jsp</prop></props> </property></bean>
</beans>

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
好的,下面是一个简单的SSM+Shiro的登录认证示例: 首先,需要在pom.xml中添加相关依赖: ```xml <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>5.2.3.RELEASE</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-jdbc</artifactId> <version>5.2.3.RELEASE</version> </dependency> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </dependency> ``` 其中,spring-webmvc和spring-jdbc是Spring的核心依赖,mybatis-spring-boot-starter是MyBatis的依赖,shiro-core和shiro-spring是Shiro的依赖。 然后,在Spring的配置文件中配置数据源和MyBatis: ```xml <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> <property name="driverClassName" value="com.mysql.jdbc.Driver"/> <property name="url" value="jdbc:mysql://localhost:3306/test"/> <property name="username" value="root"/> <property name="password" value="root"/> </bean> <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean"> <property name="dataSource" ref="dataSource"/> <property name="typeAliasesPackage" value="com.example.demo.entity"/> <property name="mapperLocations" value="classpath:/mapper/*.xml"/> </bean> <bean id="mapperScanner" class="org.mybatis.spring.mapper.MapperScannerConfigurer"> <property name="basePackage" value="com.example.demo.mapper"/> </bean> ``` 接下来,配置Shiro: ```xml <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"/> </bean> <bean id="myRealm" class="com.example.demo.shiro.MyRealm"/> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login"/> <!-- 登录页面 --> <property name="successUrl" value="/index"/> <!-- 登录成功页面 --> <property name="filterChainDefinitions"> <value> /login = anon /logout = logout /** = authc </value> </property> </bean> ``` 其中,DefaultWebSecurityManager是Shiro的安全管理器,MyRealm是自定义的Realm类,ShiroFilterFactoryBean是Shiro的过滤器。 最后,实现登录认证: ```java @Controller public class LoginController { @Autowired private UserService userService; @RequestMapping("/login") public String login() { return "login"; } @RequestMapping("/index") public String index() { return "index"; } @RequestMapping("/loginCheck") @ResponseBody public String loginCheck(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "success"; } catch (AuthenticationException e) { return "fail"; } } } ``` 其中,UserService是自定义的用户服务类,login方法返回登录页面,index方法返回登录成功页面,loginCheck方法处理登录请求,判断用户名和密码是否正确。 以上就是一个简单的SSM+Shiro的登录认证示例,希望可以帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值