Shiro知识复习

最新推荐文章于 2022-12-07 18:05:03 发布
最新推荐文章于 2022-12-07 18:05:03 发布
阅读量594 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oppoppoppo/article/details/53431356
版权

1.获取subject和SecurityManager

通过静态工厂类SecurityUtils来获取

2.login逻辑

login是通过表单认证FormAuthenticationFilter,对用户名和密码从request中获取,然后封装成Token传入Realm中进行验证,验证通过则不需要处理验证不通过需要处理逻辑,FormAuthenticationFilter会在request域中存放错误信息注意是调用request的getAttribute方法(key:shiroLoginFailure),logout的逻辑不需要处理,只需要配置

<property name="filterChainDefinitions">
			<value>
				<!-- 对静态资源设置匿名访问 -->
				/images/** = anon
				/js/** = anon
				/styles/** = anon
				<!-- 验证码,可匿名访问 -->
				/validatecode.jsp = anon
				
				<!-- 请求 logout.action地址,shiro去清除session-->
				/logout.action = logout
				<!--商品查询需要商品查询权限 ,取消url拦截配置,使用注解授权方式 -->
				<!-- /items/queryItems.action = perms[item:query]
				/items/editItems.action = perms[item:edit] -->
				<!-- 配置记住我或认证通过可以访问的地址 -->
				/index.jsp  = user
				/first.action = user
				/welcome.jsp = user
				<!-- /** = authc 所有url都必须认证通过才可以访问-->
				/** = authc
				<!-- /** = anon所有url都可以匿名访问 -->
				
			</value>
		</property>

/logout.action = logout


LogoutFilter会处理请求为此action的所有请求然后清除session,默认返回路径为“/”

授权使用PermissionsAuthorizationFilter进行

同样在filterChainDefinaition中设置需要访问的url(或者*url)需要对应什么权限

然后PermissionsAuthorizationFilter调用realm的doGetAuthorizationInfo方法获取数据库的正确权限

PermissionsAuthorizationFilter会将xml中配置的权限(或者注解表示的权限)对比(对比方法不在realm的代码中)

如果权限的验证不成功,可以配置shiroFilter中的unauthorizedUrl进行注册跳转页面

	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 -->
		<property name="loginUrl" value="/login.action" />
		<!-- 认证成功统一跳转到first.action,建议不配置,shiro认证成功自动到上一个请求路径 -->
		<property name="successUrl" value="/first.action"/>
		<!-- 通过unauthorizedUrl指定没有权限操作时跳转页面-->
		<property name="unauthorizedUrl" value="/refuse.jsp" />
配置realm所需要的散列算法,在shiro.xml文件中配置 

<!-- realm -->
<bean id="customRealm" class="cn.itcast.ssm.shiro.CustomRealm">
	<!-- 将凭证匹配器设置到realm中,realm按照凭证匹配器的要求进行散列 -->
	<property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>

<!-- 凭证匹配器 -->
<bean id="credentialsMatcher"
	class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
	<property name="hashAlgorithmName" value="md5" />
	<property name="hashIterations" value="1" />
</bean>
credentialsMatcher是自定义realm的父类或者父接口的成员变量

使用@requriedPemission权限需要在springmvc.xml中配置AOP代理支持(shiro就是AOP的经典实现)

因为springmvc就是管理controller而我们的shiro@标签就是处理controller的方法,故用之在Spirngmvc.xml

	<!-- 开启aop,对类代理 -->
	<aop:config proxy-target-class="true"></aop:config>
	<!-- 开启shiro注解支持 -->
	<bean
		class="
org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>

也可以这样配置再用一个统一的异常处理器,simpleMappingExceptionResolver处理异常 

	<!-- 支持Shiro对Controller的方法级AOP安全控制 begin-->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
		<property name="proxyTargetClass" value="true" />
	</bean>
	
	<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
		<property name="exceptionMappings">
			<props>
				<prop key="org.apache.shiro.authz.UnauthorizedException">error/403</prop>
				<prop key="java.lang.Throwable">error/500</prop>
			</props>
		</property>
	</bean>

页面中使用shiro标签的requiredPermission只是“”显示不显示“”这个按钮或者输入框等,有权显示无权不显示

授权过程

当调用了controller一个方法,该方法加了requiresPermissions(“”。。“”),shiro会调用realm获取数据库的权限信息,不存在拒绝访问,存在就授权

当展示一个jsp页面时就会,如果某段jsp代码有这个标签,也会调用realm,同上,注意页面上有多少个shiro标签就会调用realm多少次,缓存处理就会很有必要

oppoppoppo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
想要控制好权限,这8个注解必须知道!
码猿技术专栏
08-07 419
大家好,我是不才陈某~在码猿慢病云管理系统采用的是Spring Cloud 集成Spring Security OAuth2的方式实现认证、鉴权,其中涉及到的一个重要问题则是数据权限的过滤,今天就来介绍一下实现的方案。在之前的文章中曾经介绍过通过自定义的三个注解 @RequiresLogin、 @RequiresPermissions 、 @RequiresRoles 实现微服务的鉴权其实就是参考...
猿创征文 第二季| #「笔耕不辍」--生命不息,写作不止#
越努力越幸运~~ Java领域从业者;CSDN新兴创新博主;Java领域优质创作者;书写奋斗者故事;欢迎交流学习进步;
09-18 281
要求subject中必须同时含有file:read和write:aFile.txt的权限才能执行方法someMethod()。2、第一个服务和另一个服务的版本没有对应上,如另一个服务版本升级了,恰好升级的版本才添加的实体类被第一个服务调用了,因此404。要求方法调用的过程中,失败的时候,系统有办法进行自动重试,重试达到一定次数后,钉钉通知开发。程序问题-----》数学问题----》做更合适的优化----》在可容忍的空间和时间做选择。技术的更高层优化是必要的----》代码质量。Java stream将。
若依权限校验源码分析
qq_41683000的博客
12-07 3577
若依权限校验源码分析
Shiro相关知识点总结
qq_41943011的博客
05-09 365
Shiro 一、基本功能 **Authentication:**身份认证/登录,用于验证用户是不是拥有相应的身份。 **Authorization:**授权,验证某个已认证的用户是否拥有某个权限。 **Session Manager:**会话管理,既用户登录后就是一次会话,没有退出之前,所有的信息都在会话中。会话管理所包含的功能有: Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储。 Web Support:Web支持,可以非常容易的集成到Web环境。 Cachi
shiro入门
trasewell的博客
09-25 799
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro笔记整理.docx
08-04
shiro笔记整理,通过学习shiro课程所做的笔记整理,可用于面试复习或者整体理解,但是做好还是配合课程进行具象的理解。https://blog.csdn.net/qq_23095607/article/details/107346396
shiro1.5.3
05-11
最新shiro1.5.3全依赖jar包,里面包含shiro-core shiro-spring shiro-web 等等一系列
shiro1.6版本
09-07
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。这里面包含1.1、1.6版本的jar包
shiro1.7.1.zip
04-12
最新版shiro1.7.1.jar包,安全升级专用
shiro核心资料笔记
04-04
超级详细的shiro笔记 , 基本使用 , 整合web , 整合spring ,都有详细的记录 , 纯手写笔记 , 包含代码.............
Apache Shiro安全框架深入讲解+面试题+案例
07-02
本课程共24节,包含一节课程总结和面试题讲解。内容包括权限管理原理和表结构设计,基于文本域的身份验证和权限验证,基于JDBC域的身份验证和权限验证,盐和加密,集成web环境,shiro过滤器的使用,session的管理,缓存和SSM的集成等。边讲边记,绝不照搬照念,是shiro学习的好资料。
Apache Shiro的使用
E_K_in的博客
11-08 276
本文将讲述在Spring+SpringMvc项目中使用Shiro来保障系统的安全。关于shiro理论性的东西本文不深入讲解,重点在于在Spring项目中配置和使用shiro.关于理论性的东西,可以看看 张开涛的《跟我学Shiro》。话不多说,先来看看如何配置Shiro。 1 在web.xml中添加一个ShiroFilter shiroFilter org.springframewor
shiro-springmvc-mybatis登录认证 权限控制
MR_wb的博客
07-28 1万+
shiro-springmvc权限控制
spring mvc 集成shiro 做权限的简单使用
Hsienhua's blog
08-05 7531
1.概述 现在的项目使用的权限控制系统是spring security 3.因为项目的框架使用spring,就顺便使用了。最近研究了一下spring side4,推荐使用shiro。照着示例做了一遍。在原有的spring web工程中。步骤如下。 2.引进包,maven设置 org.apache.shiro shiro-all 1.2.1
Shiro第三篇【授权过滤器、与ehcache整合、验证码、记住我】
3y
03-21 412
前言本文主要讲解的知识点有以下:一、授权过滤器测试我们的授权过滤器使用的是permissionsAuthorizationFilter来进行拦截。我们可以在applica...
shiro知识点整理
互联网叫兽
08-16 562
一、 什么是shiro shiro是一个强大易用的安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。 三个核心组件:Subject, SecurityManager 和 Realms 1、subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在s
Shiro基础知识03----shiro授权(编程式授权),Permission详解,授权流程
热门推荐
ChangWen的博客
10-01 1万+
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。   在权限认证中,最核心的是:主体/用户(Subject)、权限(Permission)、角色(Role)、资源(Resource)。     1、权限,即操作资源的权利,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,比如访问某个页面,以及对某个模块的
springboot shiro 网关配置shiro
最新发布
10-16
要在Spring Boot中配置Shiro网关,可以使用Shiro的Filter来实现。具体步骤如下: 1. 在pom.xml文件中添加Shiro和Spring Boot Starter Web依赖。 2. 创建一个ShiroFilter类,继承自org.apache.shiro.web.servlet....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值