Shiro使用

最新推荐文章于 2022-04-12 17:21:21 发布
最新推荐文章于 2022-04-12 17:21:21 发布
阅读量193 收藏
点赞数
分类专栏: # Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qgnczmnmn/article/details/114398168
版权

Apache Shiro一个开源的安全框架,本文将会对Shiro的相关知识做一个总结,先来看一个Shiro的结构图:
在这里插入图片描述
接下来介绍下Shiro框架的使用,主要介绍两种方式:

  1. 配置文件
  2. 使用配置类
1、配置文件方式
1.1配置文件元素介绍

Shiro的配置文件中包含以下元素:
[main]
配置应用程序的SecurityManager实例及其任何依赖项(如:Realms)的地方,举例如下:

[main]
sha256Matcher = org.apache.shiro.authc.credential.Sha256CredentialsMatcher

myRealm = com.company.security.shiro.DatabaseRealm # 定义了一个Realm的对象实例
myRealm.connectionTimeout = 30000
myRealm.username = jsmith
myRealm.password = secret
myRealm.credentialsMatcher = $sha256Matcher # 使用$符号来进行值的引用

securityManager.sessionManager.globalSessionTimeout = 1800000

[users]
用于去指定一些静态的用户账户,这些账户的指定需要遵循如下规则:

username = password, roleName1, roleName2, ..., roleNameN

等号右边的第一个值为账号的密码,后边的为账号所分配的角色,之间用逗号(",")隔开;如下为一些例子:

[users]
admin = secret
lonestarr = vespa, goodguy, schwartz
darkhelmet = ludicrousspeed, badguy, schwartz

注意:
在指定用户的账户密码时,可以使用加密后的值来展示,但是一旦这里使用了hash后的值,就必须在[main]部分中指定自己在进行加密时所使用的算法,如在main中所指定的参数:

myRealm.credentialsMatcher = $sha256Matcher # 设定加密算法

来设置自己所用的算法;除此以外你还可以在加密的时候设置一些其他的策略,但是也是需要进行在[main]中进行配置,如:

sha256Matcher.storedCredentialsHexEncoded = false  # 用户的密码字符串是Base64编码的,而不是默认的十六进制编码

[roles]
用来将[users]部分和权限进行关联,当角色数量较少时我们可以直接使用这个静态文件来配置;创建的格式为:

rolename = permissionDefinition1, permissionDefinition2, ..., permissionDefinitionN

举一个例子来展示一下:

[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5

[urls]
为您的应用程序中的任何匹配URL路径定义特别过滤器链,url部分的格式如下:

URL_Ant_Path_Expression = Path_Specific_Filter_Chain

举例如下:

[urls]
/index.html = anon
/user/create = anon
/user/** = authc
#/user/login/**=anon
/admin/** = authc, roles[administrator]
/rest/** = authc, rest
/remoting/rpc/** = authc, perms["remote:invoke"]

注意:

  • 在上述的urls配置中,有一第一个匹配到的规则生效的原则;
    例如:上述中的/user/login/**=anon规则永远都不会被匹配到,因为在/user/**=authc在其前边已经生效了。
  • 等号(=)右边的令牌是要为匹配该路径的请求执行的逗号分隔的筛选器列表(authc为过滤器名称),可以使用默认的过滤器,也可以自定义过滤器;自定义的过滤器必须符合以下格式:
filter1[optional_config1], filter2[optional_config2], ..., filterN[optional_configN] # filterN为在[main]部分定义的过滤器的名字,[optional_configN]为一个可选的参数,由于这是一个过滤器链,所以先后顺序很重要
    
#举例如下,自定义过滤器的使用
[main]
myFilter = com.company.web.some.FilterImplementation
myFilter.property1 = value1
...
    
[urls]
...
/some/path/** = myFilter
  • 也可以使用一些默认的过滤器,如:
    在这里插入图片描述
  • 如果需要禁用某一个过滤器可以在[main]部分中借助于过滤器的enabled属性来设置,如下:
[main]
# configure Shiro's default 'ssl' filter to be disabled while testing:
ssl.enabled = false
...

[urls]
/some/path = ssl, authc
/another/path = ssl, roles[admin]
....
1.2、配置文件的使用

shiro.ini配置文件如下:

[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

接下来介绍下配置文件在代码中的使用:

public class App {
	private static final Logger log = LoggerFactory.getLogger(App.class);

	public static void main(String[] args) {
		log.info("My First Apache Shiro Application");
		Factory<org.apache.shiro.mgt.SecurityManager> securityManagerFactory = new IniSecurityManagerFactory(
				"classpath:shiro.ini");
		// 获取SecurityManager实例
		SecurityManager securityManager = securityManagerFactory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);

		// 获取当前的用户
		Subject subject = SecurityUtils.getSubject();
		Subject currentUser = SecurityUtils.getSubject();

		// Do some stuff with a Session (no need for a web or EJB container!!!)
		Session session = currentUser.getSession();
		session.setAttribute("someKey", "aValue");
		String value = (String) session.getAttribute("someKey");
		if (value.equals("aValue")) {
			log.info("Retrieved the correct value! [" + value + "]");
		}
		if (!subject.isAuthenticated()) {
			UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
			// 设置记住我
			token.setRememberMe(true);
			try {
				currentUser.login(token);
			} catch (UnknownAccountException uae) {
				log.info("There is no user with username of " + token.getPrincipal());
			} catch (IncorrectCredentialsException ice) {
				log.info("Password for account " + token.getPrincipal() + " was incorrect!");
			} catch (LockedAccountException lae) {
				log.info("The account for username " + token.getPrincipal() + " is locked.  "
						+ "Please contact your administrator to unlock it.");
			} catch (AuthenticationException ae) {
			}
		}
		log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
		if (currentUser.hasRole("schwartz")) {
			log.info("May the Schwartz be with you!");
		} else {
			log.info("Hello, mere mortal.");
		}
		if (currentUser.isPermitted("lightsaber:weild")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }
		if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }
		//all done - log out!
        currentUser.logout();
	}
}
2、配置类的方式

先来构建一个Shiro的配置类,如下所示:

package com.rhine.blog.config;

import java.io.Serializable;
import java.util.Collection;
import java.util.LinkedHashMap;
import java.util.Map;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.codec.Base64;
import org.apache.shiro.mgt.RememberMeManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import com.rhine.blog.realm.UserRealm;

@Configuration
public class ShiroConfig {
	
	/**设置hash加密的方式**/
	@Bean("hashedCredentialsMatcher")
	public HashedCredentialsMatcher hashedCredentialsMatcher() {
		HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
		// 指定加密方式为MD5
		credentialsMatcher.setHashAlgorithmName("MD5");
		// 加密次数
		credentialsMatcher.setHashIterations(1024);
		credentialsMatcher.setStoredCredentialsHexEncoded(true);
		return credentialsMatcher;
	}

	@Bean("userRealm")
	public UserRealm userRealm(@Qualifier("hashedCredentialsMatcher") HashedCredentialsMatcher matcher) {
		UserRealm userRealm = new UserRealm();
		userRealm.setCredentialsMatcher(matcher);
		return userRealm;
	}
	@Bean
	public ShiroFilterFactoryBean shirFilter(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) {
		ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
		// 设置 SecurityManager
		bean.setSecurityManager(securityManager);

		bean.setSuccessUrl("/main");
		// 设置登录跳转页面
		bean.setLoginUrl("/toLogin");
		// 设置未授权提示页面
		bean.setUnauthorizedUrl("/error/unAuth");
		/**
		 * Shiro内置过滤器,可以实现拦截器相关的拦截器
		 *    常用的过滤器:
		 *      anon:无需认证(登录)可以访问
		 *      authc:必须认证才可以访问
		 *      user:如果使用rememberMe的功能可以直接访问
		 *      perms:该资源必须得到资源权限才可以访问
		 *      role:该资源必须得到角色权限才可以访问
		 **/
		Map<String, String> filterMap = new LinkedHashMap<>();

		filterMap.put("/login", "anon");
		filterMap.put("/user/index", "authc");
		filterMap.put("/vip/index", "roles[vip]");
		filterMap.put("/druid/**", "anon");
		filterMap.put("/static/asserts/**", "anon");
		filterMap.put("/static/pages/**", "authc");

		filterMap.put("/**", "user"); 
		filterMap.put("/logout", "logout");

		bean.setFilterChainDefinitionMap(filterMap);
		return bean;
	}
	/**
	 * 注入 securityManager
	 */
	@Bean(name = "securityManager")
	public DefaultWebSecurityManager getDefaultWebSecurityManager(HashedCredentialsMatcher hashedCredentialsMatcher) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		// 关联realm.
		securityManager.setRealm(userRealm(hashedCredentialsMatcher));
		securityManager.setRememberMeManager(getRememberMeManager()); //配置记住我的功能
		securityManager.setSessionManager(getSessionManager());
		return securityManager;
	}
	
	/**
	 * 进行记住我的相关配置
	 * 
	 */
	public SimpleCookie getCookie() {
		SimpleCookie simpleCookie=new SimpleCookie("remember"); // 配置cookie的名称为rememberMe
		simpleCookie.setMaxAge(100); // 100s
		return simpleCookie;
	}
	
	public CookieRememberMeManager getRememberMeManager() {
		CookieRememberMeManager rememberMeManager=new CookieRememberMeManager();
		rememberMeManager.setCookie(getCookie());
		rememberMeManager.setCipherKey(Base64.decode("2AvVhdsgUs0FSA3SDFAdag=="));
		return rememberMeManager;
	}
	
	/**
	 * 会话管理
	 */
	public DefaultWebSessionManager getSessionManager() {
		SimpleCookie simpleCookie=new SimpleCookie("sessionId"); 
		simpleCookie.setMaxAge(30); // 60s
		DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();
		sessionManager.setSessionIdCookie(simpleCookie);
		sessionManager.setSessionIdCookieEnabled(true);// 默认为true
		return sessionManager;
	}
}

逻辑认证器UserRealm的代码如下:

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    /**
     * 授权
     **/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("执行授权");

        Subject subject = SecurityUtils.getSubject();
        UserBean user = (UserBean)subject.getPrincipal();
        if(user != null){
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            // 角色与权限字符串集合
            Collection<String> rolesCollection = new HashSet<>();
            Collection<String> premissionCollection = new HashSet<>();

            Set<RoleBean> roles = user.getRole();
            for(RoleBean role : roles){
                rolesCollection.add(role.getName());
                Set<PermissionBean> permissions = role.getPermissions();
                for (PermissionBean permission : permissions){
                    premissionCollection.add(permission.getUrl());
                }
                info.addStringPermissions(premissionCollection);
            }
            info.addRoles(rolesCollection);
            return info;
        }
        return null;
    }

    /**
     * 认证
     **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("执行认证");
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        UserBean bean = userService.findByName(token.getUsername());
        if(bean == null){
            throw new UnknownAccountException();
        }
        ByteSource credentialsSalt = ByteSource.Util.bytes(bean.getName());
        return new SimpleAuthenticationInfo(bean, bean.getPassword(),
                credentialsSalt, getName());
    }
}

登入/登出接口:

@RequestMapping("/login")
	public String login(HttpServletRequest request, HttpServletResponse response) {
		response.setHeader("root", request.getContextPath());
		String userName = request.getParameter("username");
		String password = request.getParameter("password");

		if (!StringUtils.isEmpty(userName)) {
			// 1.获取Subject
			Subject subject = SecurityUtils.getSubject();
			// 2.封装用户数据
			UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
			token.setRememberMe(true);
			// 3.执行登录方法
			try {
				subject.login(token);
				return "redirect:/main";
			} catch (UnknownAccountException e) {
				System.out.println("用户名不存在!");
				request.setAttribute("msg", "用户名不存在!");
			} catch (IncorrectCredentialsException e) {
				System.out.println("密码错误!");
				request.setAttribute("msg", "密码错误!");
			}
		}

		return "login";
	}

	@RequestMapping("/logout")
	public String logout() {
		Subject subject = SecurityUtils.getSubject();
		if (subject != null) {
			subject.logout();
		}
		return "redirect:/main";
	}

其他博文:
Shiro原理剖析

野生开发者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
/原创/初学者简单的shrio用法
myID_hongming的博客
11-10 401
随便写点东西
shrio--------(2)初识shrio的相关用法
wenge1477的博客
07-20 116
1、shrio身份验证 用户需要提供 principals (身份)和 credentials(证明),shrio通过凭证去查询,用户的身份和凭证 principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名 / 密码 / 手机号。 credentials:证...
Shiro框架的用法
yzx的博客
08-08 249
一、创建一个Maven项目 二、在pom.xml文件中加入依赖 pom.xml代码: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.
授权 - Spring Security简单案例
个人纪录、总结!
10-21 600
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
shiro 相关关系
qq_39162772的博客
07-14 147
一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也接继承了 CachingRealm(带有缓存实现)。其中主要默认实现如下: org.apache.shiro.realm.text.IniRealm:[users] 部分指定用户名 / 密码及其角色;[roles] 部分指定角色即权限信息; org.apache.sh...
Shiro使用手册
03-29
### Shiro 使用手册详解 #### 一、Shiro 概述 ##### 1.1 什么是Shiro? Apache Shiro 是一款强大且易于使用的 Java 安全框架,它提供了多种安全相关的功能,包括但不限于认证、授权、加密以及会话管理等。Shiro ...
shiro使用简单Demo
11-01
在这个"shiro使用简单Demo"中,我们可以看到作者提供了一个基础的Shiro实现,特别针对URL和注解的权限管理进行演示,这对于初学者来说是一个很好的起点。 首先,我们来看`shiro2.xml`,这是Shiro的配置文件。在该...
shiro使用方法.ppt
07-19
在授权方面,Shiro 使用权限(Permission)、角色(Role)和用户(User)作为基础元素。权限表达式通常由冒号分隔,表示不同的操作范围。例如,`User:view` 表示用户查看权限,`User:view,edit` 表示用户有查看和...
shiro使用jar
04-09
首先,"shiro使用jar" 指的是在 Java 开发中使用 Apache Shiro 框架时所需的核心库文件Shiro 提供了多个 jar 包来支持其不同模块的功能,如 `shiro-core.jar` 是核心组件,包含认证、授权和会话管理的基础类;`...
shiro使用方法
04-04
shiro使用方法shiro使用方法shiro使用方法shiro使用方法
30分钟学会如何使用Shiro
weixin_30426879的博客
07-22 1121
本篇内容大多总结自张开涛的《跟我学Shiro》原文地址:http://jinnianshilongnian.iteye.com/blog/2018936 我并没有全部看完,只是选择了一部分对我来说急需在项目中使用的知识加以学习。并且对于大多数第一次接触Shiro的同学来说,掌握这些也应该足够了。 一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙...
Shiro安全框架入门使用方法
宋铮的博客
08-15 1万+
框架介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任 何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shrio的主要功能: Authentication:用户认证(登录) Authorization:权限控制 Session Management:会话管理 Cryptogr
使用 Shiro 设计基于用户、角色、权限的通用权限管理系统
IT小村
04-06 5万+
一、前言 在大型的信息管理系统中,经常涉及到权限管理系统 下面来个 demo,很多复杂的系统的设计都来自它 Coding(github)地址:https://git.coding.net/larger5/urp.git https://git.coding.net/larger5/urp.git 2018.4.3 版本0.5 在 SpringBoot 中使用 Shiro+MySQL...
解决springboot集成shiro登录时出现报错org.apache.shiro.authc.IncorrectCredentialsException
m0_67391377的博客
04-12 1182
1.错误说明 简答来说错误就是:错误的登陆凭证异常 2.错误产生的原因 用户名和密码与数据库不匹配,数据库密码是加密加盐的,检查了一下,注册时候的自定义加密方式和shrio验证时候自定义验证 这是我自定义的加密方式,也是用的shrio自带的SimpleHash 写验证方式的时候是这样的 一个进行了3次Hash值计算一个2次,所以对不上,再有,我自己对SimpleHash这个方法的参数没了解清楚,看了一下源码 所以修改之后 这样之后就正常了,验证通过能正常登陆了 ...
Shiro】Springboot 关于 Shiro 权限配置 以及 相关问题解决
CodeMan丶
03-26 873
1、权限配置首先涉及到用户、权限、角色三张表,三张表的关系为用户与角色为一对多,角色与权限为一对多 2、配置shiro的相关目录 3、引入shiro相关依赖 <!--shiro --> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> ...
使用shiro实现用户登录认证和简单权限的实现(法院项目)
25k董的博客
11-05 1577
实现登录认证 步骤一:导入依赖包 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;2.0.6.R...
在项目中使用 shiro 的心得
qq_42394457的博客
06-08 909
不要使用 shiro 默认的拦截器。我第一个使用shiro的场景就是登录,但是权限,登录,登出的拦截器都是重写的,也不要实现 LogOutFilter,这就是个坑,当你重写 preHandler 方法的时候,那不是登出的时候调用,是只要有拦截到 你 SecurityMananger 配置好的 拦截器,就会判断,如果你拦截器返回 true,就会调用 preHandler方法,而我需要的是,在用户点击...
在前后端分离的SpringBoot项目中集成Shiro权限框架
热门推荐
Ian的博客
12-12 24万+
项目背景 公司在几年前就采用了前后端分离的开发模式,前端所有请求都使用ajax。这样的项目结构在与CAS单点登录等权限管理框架集成时遇到了很多问题,使得权限部分的代码冗长丑陋,CAS的各种重定向也使得用户体验很差,在前端使用vue-router管理页面跳转时,问题更加尖锐。于是我就在寻找一个解决方案,这个方案应该对代码的侵入较少,开发速度快,实现优雅。最近无意中看到springbo...
源码分析Apache Shiro 加密与登录验证
Kenny的博客
07-21 1632
前言 最近项目中用到Shiro安全框架,做加密验证的时候遇到一些问题,网上的多数Shiro的环境搭建只是简单的明文密码匹配,甚至有些文章的注释也不尽正确。在这里通过源码解析来还原真相。 大纲 使用Shiro提供的类进行密码加密 验证用户输入的账号密码的流程 使用Shiro提供的类进行密码加密 Shiro提供了org.apache.shiro.crypto.hash.SimpleH...
shiro使用token
最新发布
10-14
Shiro可以使用token进行身份验证和授权。具体来说,可以使用JWT(JSON Web Token)作为token进行身份验证和授权。JWT是一种基于JSON的开放标准,用于在各方之安全地传输信息。它可以包含用户的身份信息和权限信息...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值